Časté otázky ke GDPR a srovnávací analýza

Česká unie sportu ve spolupráci s Českým olympijským výborem, SSS ČR a ČOS vypracovala další odpovědi na otázky klubů a modelové dokumenty k novému nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR).

Cílem dvou modelových srovnávacích analýz v oblasti ochrany osobních údajů pro sportovní kluby/tělovýchovné jednoty s jedním, resp. s více sportovními odvětvími je poskytnutí nejen praktického návodu, ale i dokumentu, který by měl obecným způsobem zmapovat a popsat základní činnosti při zpracování osobních údajů v TJ/SK. Pražská tělovýchovná unie poskytla svým členským subjektům tyto podkladové materiály prostřednictvím e-mailu.

Dokumenty by měly sloužit jako studijní materiál a zároveň vzor, jehož úpravami a doplněním vznikne text, který bude odrážet specifické podmínky v jednotlivých klubech. Po přizpůsobení individuálním potřebám a požadavkům je možné dokumenty opatřit logem klubu nebo podepsat a předložit při případné kontrole z Úřadu pro ochranu osobních údajů, jakožto doklad o zajištění souladu s novou právní úpravou.

Česká unie sportu dále pracuje na vzoru modelové bezpečnostní směrnice, kterou si bude moci každý klub také upravit a implementovat pro své účely.

Kromě výše uvedených dokumentů vypracovala ČUS ve spolupráci s odbornou firmou také tzv. FAQ, tedy odpovědi na nejčastější otázky klubů. Některé z nich uvádíme zde:

Je nutné archivovat originálně podepsaný souhlas v papírové podobě nebo stačí archivovat souhlas naskenovaný například v PC?

GDPR stanovuje pro souhlas v tomto ohledu jedinou podmínku – musí být doložitelný. Takže je lhostejné, zda bude uložen v papírové podobě ve skříni nebo v elektronické podobě v PC za předpokladu, že budete schopni jej dohledat a předložit případné kontrole. Tímto se může např. rozumět databáze screenshotů emailů s udělenými souhlasy, databáze emailů se souhlasy, případně jiné druhy elektronické evidence souhlasů se zpracováváním osobních údajů.

V přihlášce do klubu nezletilého člena máme údaje člena a obou rodičů, hlavně email, telefon a adresu. Můžeme to zpracovávat pouze s jedním souhlasem nebo je potřeba mít jeden formulář pro dítě a další pak pro rodiče?

U fyzických osob mladších 15 let doporučujeme souhlasy spojit do jednoho dokumentu, který podepíše zejména zákonný zástupce a svůj souhlas může udělit i nezletilý člen (není nutné).  Fyzická osoba starší 15 let je oprávněna udělit souhlas sama. Odborná literatura se shoduje, že v případě neshody rodičů při zastupování dítěte rozhodne o osobě zástupce i způsobu zastoupení sice soud, primárně však zákon předpokládá, že společné zastupování povede rodiče k dohodě, což je v nejlepším zájmu samotného dítěte.

Co se stane, když souhlas daná osoba nebude chtít podepsat? Rozdíl bude určitě mezi stávajícími členy a členy novými. Jak se postupuje, když nesouhlasí se zpracováním jen jednoho údaje? Daný údaj se v souhlasu škrtne a souhlas se podepíše?

Zde záleží na tom, které údaje fyzická osoba nechce udělit. Pokud nechce udělit osobní údaje, bez kterých nemůže být registrována, pak nezbude než tuto skutečnost dotčené osobě vysvětlit, případně ji nezaregistrovat. Pokud osoba neudělí souhlas ke zpracování osobního údaje, bez kterého se lze obejít, doporučujeme jej anonymizovat (začernit) a souhlas nechat podepsat.

Na členství ve spolku není žádný právní nárok – konkrétně podle § 233 odst. 2 Občanského zákoníku: „kdo se uchází o členství ve spolku, projevuje tím vůli být vázán stanovami“. Stanovy (a případně další směrnice a vnitřní předpisy vypsané ve stanovách) definují práva a povinnosti členů vůči spolku – v tomto případě se jedná o Směrnici ČUS ze dne 19.6.2018 o evidenci členské základny v České unii sportu, která členským subjektům definuje povinnost rodné číslo (a další vyjmenované údaje) evidovat.

Jak postupovat v případě pořádání a focení sportovní akce, které se zúčastní i nečlenové spolku tzn. veřejnost?

Pokud se jedná o klasickou sportovní akci typu fotbalový zápas, domníváme se, že pořizování fotek je odůvodněno zákonnou zpravodajskou licencí dle § 89 občanského zákoníku. V této souvislosti upozorňujeme, že použití zákonné zpravodajské licence musí být přiměřené cíli, který zpravodajská licence předpokládá, tedy informování veřejnosti o sportovní akci. Proto lze vyfotit i diváky, nicméně důrazně doporučujeme nefotit je individuálně, ale spíše jako ilustraci dokreslující atmosféru sportovní akce.

Zobrazení fotografií sportovců ze sportovních událostí za marketingovými účely (pozvánky, Facebook, při vyhlašování) je možné výlučně na základě souhlasu.

Jak je to se zaměstnanci spolku a zpracování jejích osobních údajů?

Každý zaměstnavatel by měl zpracovávat o svých zaměstnancích zejména ty osobní údaje, které mu uloží zákon, tedy zejména jméno, příjmení, pohlaví, trvalý pobyt a rodné číslo zaměstnance, případně jiné číslo pojištěnce.

Jak je to s předávanými osobními daty členů klubu k ČUS? Máme uzavírat s ČUS smluvní dokumentaci o souladu s GDPR?

Mezi správcem a zpracovatelem osobních údajů musejí být upraveny vztahy prostřednictvím závazné smlouvy, případně jiného právního aktu, čímž má být docílena právní ochrana osobních údajů. V tomto konkrétním případě je vztah řešen Směrnicí ČUS ze dne 19.6.2018 o evidenci členské základny v České unii sportu. Pokud jde o vztah s jinými partnery (komerční sektor), doporučujeme s nimi skutečně uzavřít smlouvu o zpracování osobních údajů. ČUS na vypracování vzoru smlouvy o zpracování osobních údajů pracuje.

Jsme TJ s více oddíly. Jak máme vyplnit kolonku správce v souhlasu se zpracováním údajů, musí tam být i konkrétní oddíl, např. karate (TJ xxx z.s., oddíl karate)?

V případě, že v rámci vaší TJ existuje více oddílů s právní subjektivitou (odděleně zapsaných v rejstříku), je třeba všechny považovat za samostatné subjekty, kterým je nezbytné odděleně udělit souhlas se zpracováním osobních údajů. Pokud je celá TJ jeden spolek, udílí sportovec jeden souhlas pro celou TJ a dalšího již není třeba.

Odpovědi na další otázky, vzor Informovanosti a Souhlasu a základní doporučení pro spolky naleznete přímo na webu ČUS.

Ing. Pavla Šrůtová

 

Copyright PTU 2000-2016, všechna práva vyhrazena. Created by Designeo Creative s.r.o.