GDPR - doporučení pro sportovní kluby

Dne 25. května 2018 vstoupí v účinnost Obecné nařízení EU č. 2016/679 (dále jen „GDPR“), které přináší sportovním klubům a tělovýchovným jednotám (dále jen „subjektům“) nové povinnosti.

K tomu, abyste si mohli být jisti, že Váš subjekt (sportovní spolek) zpracovává osobní údaje v souladu s GDPR, je třeba provést vnitřní audit. To znamená zjistit, jaké osobní údaje zpracováváte, za jakým účelem, z jakého právního důvodu, jakou dobu je uchováváte, a konečně jakým způsobem je máte zabezpečeny. V případě, že jste dosud datový audit neprovedli, Česká unie sportu Vám důrazně doporučuje k tomuto kroku přistoupit co nejdříve. Na podkladě výstupů zjištěných auditem je třeba posoudit, zdali osobní data zpracováváte legitimním způsobem, a současně vše zdokumentovat tak, abyste byli připraveni pro případ kontroly soulad s GDPR doložit.

V případě, že je činnost vašeho spolku totožná se vzorovým auditem klubu (budeme pro vás mít brzy k dispozici), můžete vycházet ze vzorových zjištění auditu a aplikovat konkrétní doporučená opatření. Totéž bude platit pro sportovní národní svazy se standardní agendou (vzorový audit svazu, též pro vás připravujeme). K posouzení legitimity zpracování osobních údajů a doložení souladu slouží tzv. srovnávací analýza, ze které pro Vás může rovněž vyplynout povinnost ustanovit si Pověřence pro ochranu osobních údajů. Provedení srovnávací analýzy je vhodné svěřit kvalifikovanému subjektu, přičemž Česká unie sportu v tomto ohledu spolupracuje se společností GDPR Solutions.

S ohledem na shora popsanou problematiku, v situaci, kdy audit nebude mít pravděpodobně nikdo hotový, Vám doporučujeme od 25.5.2018 začít dodržovat minimálně tato základní pravidla:

  • Zpracování osobních údajů musí být založeno na některém z právních důvodů. Zpracovávejte jen ty osobní údaje, které nezbytně potřebujete pro splnění zákonné povinnosti (například pojištění člena spolku dle zákona o pojišťovnictví nebo údaje zaměstnance nutné z důvodu pracovněprávní/mzdové agendy atd.), v souvislosti se smluvním plněním (například smlouvy spolku se zaměstnanci nebo s dodavateli - fyz. osobami), nebo na základě souhlasu dotčené osoby v kvalitě požadované GDPR (Informace o zpracování osobních údajů a Souhlas se zpracováním osobních údajů).
  • Je třeba jasně vymezit, jaký záměr je zpracováním, uchováním osobních údajů sledován, tzn. je třeba určit účel zpracování osobních údajů. Tím je u sportovního spolku například vedení evidence členů spolku, vedení údajů k žádosti o finanční příspěvek z veřejných zdrojů, údaje potřebné k přihláškám/soupiskám ke sportovním soutěžím, vedení vnitřní personální agendy, vedení kontaktních údajů rodičů pro případ nahodilé události v rámci účasti dítěte na soutěžích, výcvikových táborech atd., propagace spolku/soutěží atd.
  • Všechny způsoby a formy, rozsah zpracování a doba uchování osobních údajů musí být vždy přiměřené účelu zpracování. Tzn. uvádět pouze nezbytné údaje k dosažení účelu, např. na přihlášce do soutěže není nutné vyplňovat údaje o vzdělání, rodinných a majetkových poměrech atd. Současně ihned poté, co účel zpracování pomine, je třeba osobní údaje bezodkladně vymazat.
  • Je třeba informovat členy spolku o zpracování osobních údajů a vyžádat souhlas se zpracováním osobních údajů. Vzorový formulář je k dispozici zde. Souhlas je potřeba získat od stávajících i nových členů. Souhlas je potřeba uchovávat ve spolku v takové podobě, aby byl doložitelný pro účely kontroly (elektronicky nebo písemně).
  • Veškeré zpracovávané osobní údaje mějte náležitě zabezpečeny. Osobní údaje v papírové formě uchovávejte v uzamykatelných skříňkách. Osobní údaje v elektronické formě zabezpečujte standardními metodami – dbejte na to, aby měl každý člen své individuální heslo pro vstup do PC, stejně jako uživatelské jméno a další heslo pro vstup do informačních systémů, kde se nacházejí osobní údaje. Po ukončení práce v informačních systémech svůj profil vždy odhlaste.
  • Nikdy nezálohujte osobní údaje členů z informačních databází na externí disk.
  • Nikdy nezpřístupňujte osobní údaje členů spolku třetím osobám, aniž by k tomu byl stanovený důvod zákonným či interním předpisem, případně smlouvou.
  • Proveďte základní revizi smluv s Vašimi smluvními partnery a ujistěte se, že Vám uvedené smluvní dokumentace garantují, že osobní data členů budou vašimi partnery zpracovávána v souladu s GDPR.
  • Bez souhlasu sportovců lze umisťovat jejich fotografie a jiné osobní údaje na webové stránky (sociální sítě nebo do tištěných zpravodajů) pouze za účelem zpravodajství z těchto sportovních událostí. Zdůrazňujeme, že se jedná pouze o fotografie pořízené v průběhu sportovního klání.
  • Naopak pouze se souhlasem sportovců je možné prezentovat jejich fotografie a jiné osobní údaje na webové stránky (sociální sítě nebo do tištěných zpravodajů) za účelem marketingu (patří sem i pozvánky na sportovní akce). Zde není rozhodné, zda se jedná o fotografii pořízenou v průběhu sportovního klání či nikoliv.
  • Vnitřní předpisy (stanovy nebo vnitřní směrnice) spolku by jako jednu z podmínek členství měly obsahovat souhlas členů s využitím jejich rodného čísla pro celou strukturu ČUS za účelem evidence členů. Pokud tomu tak není (v současné době ve většině případů), je potřeba situaci výhledově řešit změnou obsahu stanov spolku nebo doplněním směrnic.
  • V případě, že dojde k úniku osobních údajů, nebo k tomu máte pouze podezření, informujte neprodleně Úřad pro ochranu osobních údajů, a to do 72h od doby, kdy jste se o události dozvěděli.
  • V případě, že si nevíte rady nebo potřebujete pomoci s provedením vnitřního auditu a vytvořením vnitřních předpisů dokládajících soulad s nařízením nebo naplněním některého z výše uvedených bodů, obraťte se na partnera ČUS pro přípravu opatření pro sportovní spolky – společnost GDPR Solutions a.s. https://www.gdprsolutions.cz/kontakty/.

 

GDPR - nejčastější dotazy

Vzorový formulář

Publikováno: 18.5.2018 12:00:00
Kategorie: sport
Rubrika: ostatní
diskuze k článku
Aktuální číslo
Obsah čísla 3/2019