GDPR
GDPR (General Data Protection Regulation)
Česká unie sportu (ČUS) ve spolupráci s odbornou firmou již několik měsíců pracují na metodice, která by usnadnila členským subjektům aplikaci GDPR (obecného nařízení o ochraně osobních údajů). Prvním harmonizačním krokem je splnění informační povinnosti vůči členům sportovních spolků a vzorový formulář souhlasu se zpracováním osobních údajů.
OBECNÝ ÚVOD DO TEMATIKY GDPR
Nařízení Evropského parlament a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (zkráceně GDPR) začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Cílem vzniku Nařízení GDPR bylo hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i spolků, jednotlivců a online služeb, které zpracovávají data uživatelů.
Ač ochrana osobních údajů u nás platí od roku 1992 a úřad zřízený zákonem o ochraně osobních údajů kontroluje povinnosti tímto zákonem uložené už téměř dvě desetiletí, pro ty, kteří si se zákonem starosti nedělali, jako by šlo o novou věc. Mediální kampaň, která se v posledních měsících kolem GDPR rozpoutala, vyvolává u mnohých téměř hysterické reakce, podobně jako tomu bylo před několika lety při zavádění nových hygienických předpisů. Kampaň přitom provází řada nesprávných a zavádějících informací, šířených v médiích a zaznívajících i na některých přednáškách. Informace v tomto článku vycházejí jen a pouze z následujících pramenů, kterými jsou: samotný text Nařízení GDPR (dostupný v češtině online v Úředním věstníku Evropské unie), příručka a další materiály Úřadu pro ochranu osobních údajů (dostupné na webových stránkách ÚOOÚ) a podklady zpracované ČUS (viz níže).
Pro orientaci v textu Nařízení je třeba rozumět několika základním pojmům. Základní z nich je samotné „zpracování osobních údajů“, což jsou operace s osobními údaji prováděné a pouze na ně se tato ochrana vztahuje (tedy ne na každé použití údaje nějakého člověka v jakékoliv situaci, jak se často mylně domnívají ti, kdo ochranu osobních údajů ztotožňují s ochranou osobnosti podle občanského zákoníku). Dalšími podobnými pojmy jsou třeba „subjekt údajů“, což je člověk, o jehož údaje jde, „správce“, což je ten, kdo operace s osobními údaji provádí buď z vlastního rozhodnutí, nebo proto, že je to jeho zákonnou povinností a „zpracovatel“, což je ten, koho správce prováděním takové činnosti pro něj smlouvou pověří.
ZÁSADY A ZÁKONNOST ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
GDPR ve svém článku č. 5 určuje sedm zásad zpracování osobních údajů. Jsou jimi:
- zákonnost, korektnost a transparentnost (ve vztahu k „subjektu údajů“, tedy dotčené osobě, je třeba postupovat přehledně a dle dané legislativy)
- účelové omezení (shromažďování daných osobních informací je možné pouze pro určité, výslovně vyjádřené a legitimní účely, nikoli pro „strýčka Příhodu“)
- minimalizace údajů (přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu)
- přesnost (správce musí přijmout rozumná opatření, aby uchovávané informace měl aktuální)
- omezení uložení (po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány – pokud např. člověk ukončí členství v oddílu, je potřeba jeho informace z evidence vymazat)
- integrita a důvěrnost (zpracovávání informací způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením)
- odpovědnost (správce musí být schopen doložit dodržení souladu s těmito zásadami – např. pomocí vypracování vnitřního předpisu pro zacházení s osobními údaji)
Každý správce (tedy i sportovní spolek, který vede evidenci svých členů) bude povinen přijmout určitá opatření, jako je např. zmíněné vypracování vnitřního předpisu o zacházení s osobními údaji. ČUS připravuje pro své kluby metodiku zpracování těchto zásad a dalších bodů Nařízení GDPR a jakmile bude daná metodika hotová, předá informace o ní svým členským organizacím prostřednictvím svých krajských a okresních pracovišť (v případě členských SK/TJ prostřednictvím SPORTMOSTU). Prvním z kroků pro harmonizaci stavu uvnitř SK/TJ s Nařízením je nové získání souhlasů se zpracováním osobních údajů od jednotlivých členů.
GDPR definuje (v článku č. 6) šest zákonných důvodů pro to, aby správce mohl dané údaje uchovávat. První z nich je samotný udělený souhlas od subjektu údajů (doložitelný, jasně definovaný akt – vzorový příklad pro SK/TJ viz následující kapitola tohoto článku). Získávat souhlas od subjektu údajů není třeba, pokud je splněn některý ze zbývajících 5 zákonných důvodů:
- nezbytnost pro splnění smlouvy (např. pokud nakoupíte zboží a chcete si ho nechat doručit, je logické, že prodejce potřebuje znát vaší adresu, jinak by nebyl schopen dostát svému závazku a nepotřebuje proto speciální souhlas, stejně tak údaje na pracovních smlouvách a podobně)
- splnění právní povinnosti (např. sportovní kluby jsou povinny na základě § 3a odst. 3 zákona 115/2001 Sb. o podpoře sportu evidovat určité údaje o svých členech)
- ochrana životně důležitých zájmů subjektu údajů (typicky zdravotnická zařízení uchovávají údaje o vašem zdravotním stavu)
- splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce za předpokladu, že nepřevažují zájmy subjektu údajů (např. kamerový systém pro ochranu majetku)
VZOR SOUHLASU A POKYNY K JEHO APLIKACI
Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Nejprokazatelnější cestou je mít zaevidovaný podepsaný formulář souhlasu (v adekvátně zabezpečené podobě – dokumenty např. nesmějí být skladovány na volně přístupných místech). GDPR také nově nařizuje, že tento souhlas musí být samostatný a jasně odlišitelný – nelze ho tedy zahrnout do obchodních podmínek či členské přihlášky, jak tomu bylo dříve (v tomto případě nahlíží Nařízení na takový souhlas jako vynucený). Subjekt údajů má právo svůj souhlas kdykoli odvolat, což musí být stejně snadné jako jej poskytnout.
Z těchto informací logicky vyplývá, že formulář informovanosti a souhlasu je třeba nově nechat podepsat všechny členy (nejen nové, ale i stávající). Pokud stávající člen odmítne souhlas udělit, bude možné jeho údaje zpracovávat pouze v rozsahu potřebném pro splnění zákonných povinností. Podle stanoviska ČUS nebude muset být přijat nový zájemce o členství, pokud odmítne poskytnout údaje nutné k plnění povinností spolku. Je vhodné členům věnovat určitý čas a vysvětlit jim, že požadavek na poskytnutí jejich osobních údajů není samoúčelný – spolek potřebuje své členy jednoznačně identifikovat, aby jim mohl zajistit plnohodnotné využívání jejich práv, případně jednoznačně prokázat jejich existenci při dotačních žádostech či uplatnění hromadného pojištění.
Vzorový formulář Informace a Souhlas se zpracováním osobních údajů naleznete ke stažení ZDE.
Každý sportovní klub či tělovýchovná jednota si jej samozřejmě může upravit pro své účely – je však potřeba mít na paměti povinnosti vyjmenované v čl. 13 GDPR (např. uvést všechny účely zpracování či oprávněné zájmy a také kategorie příjemců získaných údajů).
Informace k harmonizaci sportovní spolkové evidence s Nařízením GDPR od České unie sportu naleznete ZDE.
Zdroj: PTU,ČUS
GDPR A ORGANIZOVANÝ SPORT
Článek přináší koncentrované zamyšlení nad problematikou GDPR v kontextu aktuálně platné legislativy a koncepčně profiluje zpracování osobních údajů ve sportovních spolcích na pozadí spolkového a sportovního účelu.
GDPR A ORGANIZOVANÝ SPORT = ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ BY MĚLO SLOUŽIT LIDEM = !!!
Zejména pro potřeby členských TJ/SK, pro orientační pochopení vlivu GDPR do jejich spolkového a sportovního provozu v souvislosti se zpracováním a ochranou osobních údajů (OÚ) od 25.5.2018, uvádíme níže přehled pracovních příloh / odkazů, a to:
- Český text Nařízení GDPR v Úřednímu věstníku Evropské unie = ZDE
- Aktuálně projednávaný Sněmovní tisk č. 138 „národní adaptace GDPR“ = ZDE
- Orientační přehled rozdílů Zákona č. 101/2000 Sb. a GDPR pro potřeby TJ/SK = ZDE
- VZOR Záznamu o činnostech zpracování OÚ v TJ/SK = ZDE
- VZOR Souhlasu se zpracováním OÚ (zpracovaný v gesci ČUS) = ZDE
(Oba vzory jsou pouze orientační a určené ke konečné úpravě podle provozní skutečnosti v každé TJ/SK samostatně)
A. ÚVODEM …
1. Soukromí (každého z nás) v širším slova smyslu je znakem „svobody“ uprostřed vrchnostenského vlivu jak výkonu veřejné moci, tak trhu samotného, které vytvářejí multi-společenské interakce. Není proto asi překvapivé, že ústavní Listina č. 2/1993 Sb. ve svém článku 10 poskytuje bazální ústavní ochranu „soukromí“ a jeho „identitě“, které jsou pro účely soukromého práva blíže upraveny především v §§ 81-90 nového občanského zákona č. 89/2012 Sb.
2. Zpracování osobních údajů jak na úrovni výkonu veřejné moci, tak v úrovni všech soukromých právnických osob (tedy i spolků), jakož i podnikajících fyzických osob, jest regulováno (dosud, nejméně do 25.5.2018 – viz dále GDPR) zákonem č. 101/2000 Sb. o ochraně osobních údajů, který – přes dílčí jen technické nedostatky – vytvořil poměrně spolehlivý a srozumitelný rámec pro (legální) zpracování osobních údajů, a to také PROPORČNĚ (s vazbou na deklarovaný účel zpracování), aniž by samozřejmě jakkoliv rezignoval na podmínku (i pasivně doloženého) „poučeného a informovaného“ souhlasu toho, kdo poskytuje (veřejné nebo soukromé instituci) svoje osobní data ke zpracování v rozsahu odpovídajícímu danému účelu (zpracování). Z důvodu ústavně garantované právní jistoty v této oblasti byl také ustaven speciální (dohledový, kontrolní) Úřad pro ochranu osobních údajů (ÚOOÚ ČR), který je také nadán (soudně přezkoumatelnými) sankčními pravomocemi.
3. Největším zpracovatelem osobních údajů – z podstaty (funkce) státu – jest veřejná moc, a to jak na úrovni „státní“, tak „samosprávné“, a dále pak v rámci soukromého sektoru jsou to především peněžní a pojišťovací ústavy, a zejména pak firmy, které na pozadí svých služeb (telekomunikačních, energetických etc.) – vytvářejí takřka nekonečné aplikace klientských multi-databází (často přesahující „národní“ hranice).
4. Exponenciální (všude ve světě, tedy i v ČR) nárůst tzv. digitalizace veřejné správy a zejména pak on-line (soukromých) služeb a (možnosti) osobních profilů, ve stejné míře eskaluje nejen rizika / hrozby, ale již reálné nikoli JEN individuální, ALE masové úniky nebo jiné formy zneužívání osobních údajů (viz aktuálně causa Facebook), kterým mohou národní vlády a jejich „multi-nacionální“ uskupení efektivně čelit nejen společnou legislativou, ale i sdílenými technickými prostředky ochrany provozu např. internetu, a to i u vědomí toho, že významná část (osobních) uživatelů internetu a jeho on-line „mutací a profilů“ až neuvěřitelně lhostejně „propouštějí na veřejnost“ o své vůli nejen svoje „běžná“ osobní data, ale i jiné části svojí osobní identity (např. podobizny / fota), či dokonce „intimní osobní návyky“.
5. V tomto stručném kontextu jest pak i relativně pochopitelné, že v dubnu 2016 také za spolu-asistence české vlády (předsedy) a některých českých euro-poslanců (dáme-li stranou jen „pracovní“ podíl české „gesční“ komisařky EK) bylo ono GDPR = evropské Nařízení EPR (EU) 2016/679 = schváleno, jehož „kogentní“ části budou také od 25.5.2018 direktně platit na území všech členských států (tedy i ČR). Tradiční „česká potíž“ spočívá v tom, že od dubna 2016 nebyly česká vláda, ani parlament – pro jiná „zaneprázdnění“ – schopny (na rozdíl např. od sousedního Německa nebo Rakouska etc.) využít „dispozitivní části GDPR“ pro včasné přijetí „národní-české adaptace GDPR“. Jest tak NYNÍ činěno jaksi na poslední chvíli ve Sněmovně (TISKy 138 + 139), bez „odhadu konečného věcného i časového výsledku“ (rozhodně přes časový limit 25.5.2018)!
6. Nad to, speciálně PRO české sportovní (nejen spolkové) prostředí, na pozadí § 3a/ zákona č.115/2001 Sb., by měl být – nejpozději na přelomu června / července 2018 – ze strany MŠMT ČR spuštěn do reálné (veřejné) praxe multi E-rejstřík sportu, jako výchozí (digitálně-datový, včetně specifických osobních údajů) povinný předpoklad pro každého uchazeče (nejen korporátního či jen „spolkového“) o veřejnou státní (dotační) podporu v rámci ministerstvem (nebo posléze nově ustavenou vládní Agenturou) vyhlášených dotačních (sportovních) programů!
B. GDPR A ORGANIZOVANÝ SPORT VE SPOLCÍCH
(TJ/SK, SVAZY, „STŘECHY“)
1. Dobrovolně soukromě organizovaný sport ve spolcích má nepřerušenou tradici takřka 200 let (bez ohledu na změny politických režimů), když i dnes má dominantní pozici, pokud jde o nabídku (různých) sportovních příležitostí pro širokou veřejnost. V této expozici je sport (ve všech jeho formách) definován zákonem č. 115/2001 Sb. o podpoře sportu jako veřejně prospěšná činnost. Normativním základem každého organizovaného sportu je sportovní pravidlo, které vedle respektu (navzdory individuální nebo týmové konkurenci) mezi sportujícími na principu „fair play“ zcela přirozeně přikazuje osobní identifikaci „každého zúčastněného na sportovní činnosti“, a to v zájmu „regulérnosti“ sportu samotného a jeho účastníků, jak je také očekávána jak ze strany přímo nezúčastněné veřejnosti, tak ze strany veřejné moci.
Formální (institucionální) struktura soukromě organizovaného sportu nejen v ČR, ale i v expozici Charty Sportu, je založena zpravidla na dvou společně kooperujících pilířích, a to horizontálním / lokálním multi-subjektovém (typicky TJ/SK, kde je bazálně soustředěna pravidelná sportovní příprava) a vertikálním / celostátním (typicky sportovní svazy, v jejichž rámci jest regulována – na různých stupních – odvětvová multi-sportovní konkurence).
Oba pilíře pak více-méně ve shodě o společných zájmech při organizaci sportu, alespoň v ČR, vytvářejí společnou (členskou) spolkovou platformu (např. Českou unii sportu) – pomineme-li existenci „specificky solitérně – pobočně – jednotných“ spolků, jako jsou např. ČOS, Orel nebo KČT, anebo specificky (olympijsky) reprezentativní spolek (pro všechny sporty, uznávající olympijskou – mezinárodní – Chartu), jako jest ČOV.
V této expozici – pokud jde o zpracování osobních údajů na úrovni všech spolků – byl a dosud jest do 25.5.2018 zákon č.101/2000 Sb. o ochraně osobních údajů, aniž by jakkoliv rezignoval na „povinnost doloženého souhlasu – i mlčky daného“, v zásadě „provozně“ velmi šetrný, neboť respektoval „soukromou spolkovou autonomii“ (srovnej §§ 16 a 18 cit. zákona), kterou postavil na úroveň „důvodného účelu zpracování osobních údajů“ – bez dalšího, aniž by po dobu účinnosti cit. zákona byly zaznamenány nějaké celoplošné nebo jinak masové úniky osobních údajů, nebo jejich nějaké systematické či jinak pravidelné zneužití (ke škodě nositelů osobních údajů) v provozu spolkových sportovních organizací, ač již nejméně posledních 5 let jsou osobní data (od úrovně TJ/SK, přes svazy a jejich „střechy“) v rámci organizovaného sportu – samozřejmě se souhlasem – zpracovávána takřka celoplošně už JEN „kontinuálně“ digitálně-elektronicky s dálkovým přenosem (samozřejmě s výjimkou nezbytných jen dílčích „papírových listin“ s jmenovitými detaily při tréninku nebo při účasti v soutěži).
2. Tvůrci GDPR, stojící primárně na principu rovnocenné OCHRANY každého nositele osobních údajů, bez ohledu komu a proč hodlá (dobrovolně-nevynuceně) předat část nebo úplnost své identifikace, tak „logicky“ nemohli přirozený (autonomní) stav (obecného) spolčování, jakož i soukromá, byť i mezinárodně uznávaná, pravidla sportu nijak „specificky“ zohlednit a vytvořit – pro spolky a sport – nějaké výjimky, úlevy nebo zmírnění.
3. GDPR tak rozděluje oblast (ochrany) zpracování osobních dat JEN na VEŘEJNÝ sektor s již taxativně direktně definovanými účely (zpracování) – a – paradoxně s řadou výjimek (ve veřejném zájmu) – a (celoplošně) na SOUKROMÝ sektor, kde JSOUvšichni potencionální SPRÁVCI OÚ, bez ohledu na jimi definovaný účel, zda je tak činěno pro účely komerční nebo jen zájmové (např. spolkové) == postaveni „úvodně“ takříkajíc do stejné LATĚ (tedy např. komerčně bonitní mobilní operátor = vedle „vesnického“ klubu).
To, jak který soukromý Správce zpracování osobních dat bude muset naplnit GDPR pro svůj definovaný účel(y) – v úplnosti, anebo JEN v některých parametrech – je pak dáno ROZSAHEM (blíže numericky neurčeným) zpracování, PRAVIDELNOSTÍ, a zejména pak RIZIKY (při zpracování, uchovávání a způsobu přenosu dat etc.), v obecné definici „velká rizika“ (zejména ve světle elektronického zpracování „multi-osobních“ dat).
Pro všechna soukromá zpracování osobních dat samozřejmě bezpodmínečně platí doložitelný AKTIVNÍ individuální souhlas nositele (subjektu) osobních údajů, který musí být náležitě poučený a informovaný s vazbou na definovaný účel zpracování, jeho způsob a rozsah užití.
4. Všechny sportovní spolky pro účely sběru, zpracování a užití osobních údajů svých ČLENŮ by měly definovat nejméně DVA věcné ÚČELY důvodu zpracování ve významové stručnosti alespoň takto (zejména na úrovni členských TJ/SK v OS ČUS):
A) SPOLKOVÉ = jen pro potřeby výkonu členských práv a povinnosti každého člena, a obvyklou spolkovou statistiku (žactvo / mládež, muži / ženy, senioři), jako také oporu pro získá(vá)ní veřejné (grantové / dotační) podpory provozovaného účelu (hlavního poslání) spolku.
B) SPORTOVNÍ = jen pro potřeby rozvrhu tréninku, cvičení, soustředění, ke sportovní nominaci, resp. ke sportovně technické registraci /vč. osobního fota/ nebo k získání sportovní licence, k pořizování závodních soupisek, zápisů o sportovním utkání / turnaji, výsledkových listin, sportovních statistik / kronik / archivů a jejich zpravodajská presentace v míře nezbytné i do společně sdílených informačních systémů sportovních svazů a České unie sportu, pokud s nimi bylo ujednáno společně sdílené správcovství osobních dat.
5. Každý sportovní spolek, jako přesně určený Správce osobní dat, musí samozřejmě určit „kompetentního a důvěryhodného“ Zpracovatele osobních dat, nebo jejich „omezený“ okruh, který se bude podílet na zpracování a ochraně osobních dat a bude o tom činit tzv. Záznam(y). Zrovna tak bude muset určit způsob a techniku zpracování a jejich ochranné zabezpečení před případným únikem nebo zneužitím. V tomto kontextu může každá TJ/SK – podle stavu svého „vertikálního“ členství – „společně sdílet správcovství“ s příslušným sportovním svazem (svazy) i s ČUS, pokud tak bude mezi nimi „ujednáno“.
6.Na úrovni drtivé většiny TJ/SK nebude dána povinnost zřizovat funkci Pověřence pro účely spolkové a sportovní. Naopak každá (členská) TJ/SK může přijmout nabídku ČUS nebo příslušného SVAZU ke sdílení funkce „jejich Pověřence“, pokud splňuje náležitě všechny podmínky, včetně přímého kontaktu pro účely porady a monitoringu.
C. ZÁVĚREM …
1. Tento článek je pokusem v kontextu vstupně informovat především členské TJ/SK o skutečném dopadu a vlivu GDPR na jejich zpracování osobních údajů JEN pro účely spolkové a sportovní (jak plynou vesměs z jejich veřejně zapsaných spolkových stanov), a jejich členské-systémové propojení/sdílení do informačních systémů jak České unie sportu, tak národních sportovních svazů… i s vazbou na dosud veřejně „neoživený“ E-rejstřík sportu v gesci a provozu MŠMT ČR. Je tak činěno i z důvodu, že ČUS a jeho členské národní sportovní svazy se dosud (především v zájmu členských TJ/SK, kde dochází primárně k výchozímu-počátečnímu zpracování, z kterého multi-aplikačně těží ČUS a Svazy) nijak nedokázaly „společně dohodnout“ na relativně „jednotné funkcionalitě“ zpracování, což aktuálně plodí v klubovém a jednotovém terénu neuvěřitelnou zátěž a zmatky!
2. Tento článek – z logických důvodů – se nijak nevěnuje zpracování a ochraně osobních dat pro účely, resp. všude tam, kde TJ/SK plní roli „zaměstnavatele“, byť by i jen jednoho zaměstnance, a byť i jen „na dohodu“, zrovna tak, kde TJ/SK plní roli „komerčního provozovatele“ (třeba i tzv. sportovních služeb) na principu „klienta platícího poskytovanou službu“ = tedy v expozici zákona o ochraně spotřebitele.
3. Z opatrnosti také upozorňujeme všechny sportovní spolky, které provozují pod svým názvem veřejně svoje „soukromé weby“, že od 25.5.2018 – pokud jsou na nich také zveřejňovány osobní údaje, profily nebo jiné formy možné osobní identifikace, samozřejmě s předchozím poučeným a informovaným souhlasem „subjektu údajů“, anebo onen provozovaný web umožňuje pod kódem/registrací či jinou formou tzv. přihlášení vstup do „selektivních“ částí webu, anebo na webu jest dostupný tzv. nabídkový / přístupový / kontaktní „emailový formulář“ – musí být takový web na své úvodní masce zřetelně opatřen v úplnosti, KDO plní roli Správce a Zpracovatele osobních údajů, resp. KDO plní funkci Pověřence, pokud jest Správcem ustaven, a to včetně jejich kontaktů, kde jsou „promptně“ k dosažení k případné ochraně dat.
4. V tomto kontextu pak zvolený název tohoto článku „Zpracování osobních údajů by mělo sloužit lidem“, byť je součástí Preambule GDPR v úvodní části odstavce (4), může leckomu znít jako „Trouby v Jerichu“ … S omluvou!
Zdroj: JUDr. Alexander Vachta (PTU)