GDPR a organizovaný sport

Článek přináší koncentrované zamyšlení nad problematikou GDPR v kontextu aktuálně platné legislativy a koncepčně profiluje zpracování osobních údajů ve sportovních spolcích na pozadí spolkového a sportovního účelu.

GDPR a organizovaný SPORT = Zpracování osobních údajů by mělo sloužit lidem = !!!

Zejména pro potřeby členských TJ/SK, pro orientační pochopení vlivu GDPR do jejich spolkového a sportovního provozu v souvislosti se zpracováním a ochranou osobních údajů (OÚ) od 25.5.2018, uvádíme níže přehled pracovních příloh / odkazů, a to:

  • Český text Nařízení GDPR v Úřednímu věstníku Evropské unie = ZDE
  • Aktuálně projednávaný Sněmovní tisk č. 138 „národní adaptace GDPR“ = ZDE
  • Orientační přehled rozdílů Zákona č. 101/2000 Sb. a GDPR pro potřeby TJ/SK = ZDE
  • VZOR Záznamu o činnostech zpracování OÚ v TJ/SK = ZDE
  • VZOR Souhlasu se zpracováním OÚ (zpracovaný v gesci ČUS) = ZDE 
    (Oba vzory jsou pouze orientační a určené ke konečné úpravě podle provozní skutečnosti v každé TJ/SK samostatně)

A. ÚVODEM …

1. Soukromí (každého z nás) v širším slova smyslu je znakem „svobody“ uprostřed vrchnostenského vlivu jak výkonu veřejné moci, tak trhu samotného, které vytvářejí multi-společenské interakce. Není proto asi překvapivé, že ústavní Listina č. 2/1993 Sb. ve svém článku 10 poskytuje bazální ústavní ochranu „soukromí“ a jeho „identitě“, které jsou pro účely soukromého práva blíže upraveny především v §§ 81-90 nového občanského zákona č. 89/2012 Sb.

2. Zpracování osobních údajů jak na úrovni výkonu veřejné moci, tak v úrovni všech soukromých právnických osob (tedy i spolků), jakož i podnikajících fyzických osob, jest regulováno (dosud, nejméně do 25.5.2018 – viz dále GDPR) zákonem č. 101/2000 Sb. o ochraně osobních údajů, který – přes dílčí jen technické nedostatky – vytvořil poměrně spolehlivý a srozumitelný rámec pro (legální) zpracování osobních údajů, a to také PROPORČNĚ (s vazbou na deklarovaný účel zpracování), aniž by samozřejmě jakkoliv rezignoval na podmínku (i pasivně doloženého) „poučeného a informovaného“ souhlasu toho, kdo poskytuje (veřejné nebo soukromé instituci) svoje osobní data ke zpracování v rozsahu odpovídajícímu danému účelu (zpracování). Z důvodu ústavně garantované právní jistoty v této oblasti byl také ustaven speciální (dohledový, kontrolní) Úřad pro ochranu osobních údajů (ÚOOÚ ČR), který je také nadán (soudně přezkoumatelnými) sankčními pravomocemi.

3. Největším zpracovatelem osobních údajů – z podstaty (funkce) státu – jest veřejná moc, a to jak na úrovni „státní“, tak „samosprávné“, a dále pak v rámci soukromého sektoru jsou to především peněžní a pojišťovací ústavy, a zejména pak firmy, které na pozadí svých služeb (telekomunikačních, energetických etc.) – vytvářejí takřka nekonečné aplikace klientských multi-databází (často přesahující „národní“ hranice).

4. Exponenciální (všude ve světě, tedy i v ČR) nárůst tzv. digitalizace veřejné správy a zejména pak on-line (soukromých) služeb a (možnosti) osobních profilů, ve stejné míře eskaluje nejen rizika / hrozby, ale již reálné nikoli JEN individuální, ALE masové úniky nebo jiné formy zneužívání osobních údajů (viz aktuálně causa Facebook), kterým mohou národní vlády a jejich „multi-nacionální“ uskupení efektivně čelit nejen společnou legislativou, ale i sdílenými technickými prostředky ochrany provozu např. internetu, a to i u vědomí toho, že významná část (osobních) uživatelů internetu a jeho on-line „mutací a profilů“ až neuvěřitelně lhostejně „propouštějí na veřejnost“ o své vůli nejen svoje „běžná“ osobní data, ale i jiné části svojí osobní identity (např. podobizny / fota), či dokonce „intimní osobní návyky“.

5. V tomto stručném kontextu jest pak i relativně pochopitelné, že v dubnu 2016 také za spolu-asistence české vlády (předsedy) a některých českých euro-poslanců (dáme-li stranou jen „pracovní“ podíl české „gesční“ komisařky EK) bylo ono GDPR = evropské Nařízení EPR (EU) 2016/679 = schváleno, jehož „kogentní“ části budou také od 25.5.2018 direktně platit na území všech členských států (tedy i ČR). Tradiční „česká potíž“ spočívá v tom, že od dubna 2016 nebyly česká vláda, ani parlament – pro jiná „zaneprázdnění“ – schopny (na rozdíl např. od sousedního Německa nebo Rakouska etc.) využít „dispozitivní části GDPR“ pro včasné přijetí „národní-české adaptace GDPR“. Jest tak NYNÍ činěno jaksi na poslední chvíli ve Sněmovně (TISKy 138 + 139), bez „odhadu konečného věcného i časového výsledku“ (rozhodně přes časový limit 25.5.2018)!

6. Nad to, speciálně PRO české sportovní (nejen spolkové) prostředí, na pozadí § 3a/ zákona č.115/2001 Sb., by měl být – nejpozději na přelomu června / července 2018 – ze strany MŠMT ČR spuštěn do reálné (veřejné) praxe multi E-rejstřík sportu, jako výchozí (digitálně-datový, včetně specifických osobních údajů) povinný předpoklad pro každého uchazeče (nejen korporátního či jen „spolkového“) o veřejnou státní (dotační) podporu v rámci ministerstvem (nebo posléze nově ustavenou vládní Agenturou) vyhlášených dotačních (sportovních) programů!

B. GDPR a ORGANIZOVANÝ SPORT ve spolcích
(TJ/SK, svazy, „střechy“)

1. Dobrovolně soukromě organizovaný sport ve spolcích má nepřerušenou tradici takřka 200 let (bez ohledu na změny politických režimů), když i dnes má dominantní pozici, pokud jde o nabídku (různých) sportovních příležitostí pro širokou veřejnost. V této expozici je sport (ve všech jeho formách) definován zákonem č. 115/2001 Sb. o podpoře sportu jako veřejně prospěšná činnost. Normativním základem každého organizovaného sportu je sportovní pravidlo, které vedle respektu (navzdory individuální nebo týmové konkurenci) mezi sportujícími na principu „fair play“ zcela přirozeně přikazuje osobní identifikaci „každého zúčastněného na sportovní činnosti“, a to v zájmu „regulérnosti“ sportu samotného a jeho účastníků, jak je také očekávána jak ze strany přímo nezúčastněné veřejnosti, tak ze strany veřejné moci.

Formální (institucionální) struktura soukromě organizovaného sportu nejen v ČR, ale i v expozici Charty Sportu, je založena zpravidla na dvou společně kooperujících pilířích, a to horizontálním / lokálním multi-subjektovém (typicky TJ/SK, kde je bazálně soustředěna pravidelná sportovní příprava) a vertikálním / celostátním (typicky sportovní svazy, v jejichž rámci jest regulována – na různých stupních – odvětvová multi-sportovní konkurence).

Oba pilíře pak více-méně ve shodě o společných zájmech při organizaci sportu, alespoň v ČR, vytvářejí společnou (členskou) spolkovou platformu (např. Českou unii sportu) – pomineme-li existenci „specificky solitérně – pobočně – jednotných“ spolků, jako jsou např. ČOS, Orel nebo KČT, anebo specificky (olympijsky) reprezentativní spolek (pro všechny sporty, uznávající olympijskou – mezinárodní – Chartu), jako jest ČOV.

V této expozici – pokud jde o zpracování osobních údajů na úrovni všech spolků – byl a dosud jest do 25.5.2018 zákon č.101/2000 Sb. o ochraně osobních údajů, aniž by jakkoliv rezignoval na „povinnost doloženého souhlasu – i mlčky daného“, v zásadě „provozně“ velmi šetrný, neboť respektoval „soukromou spolkovou autonomii“ (srovnej §§ 16 a 18 cit. zákona), kterou postavil na úroveň „důvodného účelu zpracování osobních údajů“ – bez dalšího, aniž by po dobu účinnosti cit. zákona byly zaznamenány nějaké celoplošné nebo jinak masové úniky osobních údajů, nebo jejich nějaké systematické či jinak pravidelné zneužití (ke škodě nositelů osobních údajů) v provozu spolkových sportovních organizací, ač již nejméně posledních 5 let jsou osobní data (od úrovně TJ/SK, přes svazy a jejich „střechy“) v rámci organizovaného sportu – samozřejmě se souhlasem – zpracovávána takřka celoplošně už JEN „kontinuálně“ digitálně-elektronicky s dálkovým přenosem (samozřejmě s výjimkou nezbytných jen dílčích „papírových listin“ s jmenovitými detaily při tréninku nebo při účasti v soutěži).

2. Tvůrci GDPR, stojící primárně na principu rovnocenné OCHRANY každého nositele osobních údajů, bez ohledu komu a proč hodlá (dobrovolně-nevynuceně) předat část nebo úplnost své identifikace, tak „logicky“ nemohli přirozený (autonomní) stav (obecného) spolčování, jakož i soukromá, byť i mezinárodně uznávaná, pravidla sportu nijak „specificky“ zohlednit a vytvořit – pro spolky a sport – nějaké výjimky, úlevy nebo zmírnění.

3. GDPR tak rozděluje oblast (ochrany) zpracování osobních dat JEN na VEŘEJNÝ sektor s již taxativně direktně definovanými účely (zpracování) – a – paradoxně s řadou výjimek (ve veřejném zájmu) – a (celoplošně) na SOUKROMÝ sektor, kde JSOU všichni potencionální SPRÁVCI OÚ, bez ohledu na jimi definovaný účel, zda je tak činěno pro účely komerční nebo jen zájmové (např. spolkové) == postaveni „úvodně“ takříkajíc do stejné LATĚ (tedy např. komerčně bonitní mobilní operátor = vedle „vesnického“ klubu).

To, jak který soukromý Správce zpracování osobních dat bude muset naplnit GDPR pro svůj definovaný účel(y) – v úplnosti, anebo JEN v některých parametrech – je pak dáno ROZSAHEM (blíže numericky neurčeným) zpracování, PRAVIDELNOSTÍ, a zejména pak RIZIKY (při zpracování, uchovávání a způsobu přenosu dat etc.), v obecné definici „velká rizika“ (zejména ve světle elektronického zpracování „multi-osobních“ dat).

Pro všechna soukromá zpracování osobních dat samozřejmě bezpodmínečně platí doložitelný AKTIVNÍ individuální souhlas nositele (subjektu) osobních údajů, který musí být náležitě poučený a informovaný s vazbou na definovaný účel zpracování, jeho způsob a rozsah užití.

4. Všechny sportovní spolky pro účely sběru, zpracování a užití osobních údajů svých ČLENŮ by měly definovat nejméně DVA věcné ÚČELY důvodu zpracování ve významové stručnosti alespoň takto (zejména na úrovni členských TJ/SK v PTU/ČUS):

A) SPOLKOVÉ = jen pro potřeby výkonu členských práv a povinnosti každého člena, a obvyklou spolkovou statistiku (žactvo / mládež, muži / ženy, senioři), jako také oporu pro získá(vá)ní veřejné (grantové / dotační) podpory provozovaného účelu (hlavního poslání) spolku.

B) SPORTOVNÍ = jen pro potřeby rozvrhu tréninku, cvičení, soustředění, ke sportovní nominaci, resp. ke sportovně technické registraci /vč. osobního fota/ nebo k získání sportovní licence, k pořizování závodních soupisek, zápisů o sportovním utkání / turnaji, výsledkových listin, sportovních statistik / kronik / archivů a jejich zpravodajská presentace v míře nezbytné i do společně sdílených informačních systémů sportovních svazů a České unie sportu, pokud s nimi bylo ujednáno společně sdílené správcovství osobních dat.

5. Každý sportovní spolek, jako přesně určený Správce osobní dat, musí samozřejmě určit „kompetentního a důvěryhodného“ Zpracovatele osobních dat, nebo jejich „omezený“ okruh, který se bude podílet na zpracování a ochraně osobních dat a bude o tom činit tzv. Záznam(y). Zrovna tak bude muset určit způsob a techniku zpracování a jejich ochranné zabezpečení před případným únikem nebo zneužitím. V tomto kontextu může každá TJ/SK – podle stavu svého „vertikálního“ členství – „společně sdílet správcovství“ s příslušným sportovním svazem (svazy) i s ČUS, pokud tak bude mezi nimi „ujednáno“.

6.Na úrovni drtivé většiny TJ/SK nebude dána povinnost zřizovat funkci Pověřence pro účely spolkové a sportovní. Naopak každá (členská) TJ/SK může přijmout nabídku ČUS nebo příslušného SVAZU ke sdílení funkce „jejich Pověřence“, pokud splňuje náležitě všechny podmínky, včetně přímého kontaktu pro účely porady a monitoringu.

C. Závěrem …

1. Tento článek je pokusem v kontextu vstupně informovat především členské TJ/SK o skutečném dopadu a vlivu GDPR na jejich zpracování osobních údajů JEN pro účely spolkové a sportovní (jak plynou vesměs z jejich veřejně zapsaných spolkových stanov), a jejich členské-systémové propojení/sdílení do informačních systémů jak České unie sportu, tak národních sportovních svazů… i s vazbou na dosud veřejně „neoživený“ E-rejstřík sportu v gesci a provozu MŠMT ČR. Je tak činěno i z důvodu, že ČUS a jeho členské národní sportovní svazy se dosud (především v zájmu členských TJ/SK, kde dochází primárně k výchozímu-počátečnímu zpracování, z kterého multi-aplikačně těží ČUS a Svazy) nijak nedokázaly „společně dohodnout“ na relativně „jednotné funkcionalitě“ zpracování, což aktuálně plodí v klubovém a jednotovém terénu neuvěřitelnou zátěž a zmatky!

2. Tento článek – z logických důvodů – se nijak nevěnuje zpracování a ochraně osobních dat pro účely, resp. všude tam, kde TJ/SK plní roli „zaměstnavatele“, byť by i jen jednoho zaměstnance, a byť i jen „na dohodu“, zrovna tak, kde TJ/SK plní roli „komerčního provozovatele“ (třeba i tzv. sportovních služeb) na principu „klienta platícího poskytovanou službu“ = tedy v expozici zákona o ochraně spotřebitele.

3. Z opatrnosti také upozorňujeme všechny sportovní spolky, které provozují pod svým názvem veřejně svoje „soukromé weby“, že od 25.5.2018 – pokud jsou na nich také zveřejňovány osobní údaje, profily nebo jiné formy možné osobní identifikace, samozřejmě s předchozím poučeným a informovaným souhlasem „subjektu údajů“, anebo onen provozovaný web umožňuje pod kódem/registrací či jinou formou tzv. přihlášení vstup do „selektivních“ částí webu, anebo na webu jest dostupný tzv. nabídkový / přístupový / kontaktní „emailový formulář“ – musí být takový web na své úvodní masce zřetelně opatřen v úplnosti, KDO plní roli Správce a Zpracovatele osobních údajů, resp. KDO plní funkci Pověřence, pokud jest Správcem ustaven, a to včetně jejich kontaktů, kde jsou „promptně“ k dosažení k případné ochraně dat.

4. V tomto kontextu pak zvolený název tohoto článku „Zpracování osobních údajů by mělo sloužit lidem“, byť je součástí Preambule GDPR v úvodní části odstavce (4), může leckomu znít jako „Trouby v Jerichu“ … S omluvou!

JUDr. Alexander Vachta♣

Copyright PTU 2000-2016, všechna práva vyhrazena. Created by Designeo Creative s.r.o.