IS ČUS
Databáze tělovýchovných jednot (TJ), sportovních klubů (SK) a svazů, které jsou sdruženy v České unii sportu, doplněná o údaje o sportovních zařízeních, která TJ a SK provozují.
Česká unie sportu (ČUS) ve spolupráci s odbornou firmou již několik měsíců pracují na metodice, která by usnadnila členským subjektům aplikaci GDPR (obecného nařízení o ochraně osobních údajů). Prvním harmonizačním krokem je splnění informační povinnosti vůči členům sportovních spolků a vzorový formulář souhlasu se zpracováním osobních údajů.
Rozcestník článku:
Nařízení Evropského parlament a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (zkráceně GDPR) začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Cílem vzniku Nařízení GDPR bylo hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i spolků, jednotlivců a online služeb, které zpracovávají data uživatelů.
Ač ochrana osobních údajů u nás platí od roku 1992 a úřad zřízený zákonem o ochraně osobních údajů kontroluje povinnosti tímto zákonem uložené už téměř dvě desetiletí, pro ty, kteří si se zákonem starosti nedělali, jako by šlo o novou věc. Mediální kampaň, která se v posledních měsících kolem GDPR rozpoutala, vyvolává u mnohých téměř hysterické reakce, podobně jako tomu bylo před několika lety při zavádění nových hygienických předpisů. Kampaň přitom provází řada nesprávných a zavádějících informací, šířených v médiích a zaznívajících i na některých přednáškách. Informace v tomto článku vycházejí jen a pouze z následujících pramenů, kterými jsou: samotný text Nařízení GDPR (dostupný v češtině online v Úředním věstníku Evropské unie), příručka a další materiály Úřadu pro ochranu osobních údajů (dostupné na webových stránkách ÚOOÚ) a podklady zpracované ČUS (viz níže).
Pro orientaci v textu Nařízení je třeba rozumět několika základním pojmům. Základní z nich je samotné „zpracování osobních údajů“, což jsou operace s osobními údaji prováděné a pouze na ně se tato ochrana vztahuje (tedy ne na každé použití údaje nějakého člověka v jakékoliv situaci, jak se často mylně domnívají ti, kdo ochranu osobních údajů ztotožňují s ochranou osobnosti podle občanského zákoníku). Dalšími podobnými pojmy jsou třeba „subjekt údajů“, což je člověk, o jehož údaje jde, „správce“, což je ten, kdo operace s osobními údaji provádí buď z vlastního rozhodnutí, nebo proto, že je to jeho zákonnou povinností a „zpracovatel“, což je ten, koho správce prováděním takové činnosti pro něj smlouvou pověří.
GDPR ve svém článku č. 5 určuje sedm zásad zpracování osobních údajů. Jsou jimi:
Každý správce (tedy i sportovní spolek, který vede evidenci svých členů) bude povinen přijmout určitá opatření, jako je např. zmíněné vypracování vnitřního předpisu o zacházení s osobními údaji. ČUS připravuje pro své kluby metodiku zpracování těchto zásad a dalších bodů Nařízení GDPR a jakmile bude daná metodika hotová, předá informace o ní svým členským organizacím prostřednictvím svých krajských a okresních pracovišť (v případě pražských TJ/SK prostřednictvím PTU). Prvním z kroků pro harmonizaci stavu uvnitř TJ/SK s Nařízením je nové získání souhlasů se zpracováním osobních údajů od jednotlivých členů.
GDPR definuje (v článku č. 6) šest zákonných důvodů pro to, aby správce mohl dané údaje uchovávat. První z nich je samotný udělený souhlas od subjektu údajů (doložitelný, jasně definovaný akt – vzorový příklad pro TJ/SK viz následující kapitola tohoto článku). Získávat souhlas od subjektu údajů není třeba, pokud je splněn některý ze zbývajících 5 zákonných důvodů:
Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Nejprokazatelnější cestou je mít zaevidovaný podepsaný formulář souhlasu (v adekvátně zabezpečené podobě – dokumenty např. nesmějí být skladovány na volně přístupných místech). GDPR také nově nařizuje, že tento souhlas musí být samostatný a jasně odlišitelný – nelze ho tedy zahrnout do obchodních podmínek či členské přihlášky, jak tomu bylo dříve (v tomto případě nahlíží Nařízení na takový souhlas jako vynucený). Subjekt údajů má právo svůj souhlas kdykoli odvolat, což musí být stejně snadné jako jej poskytnout.
Z těchto informací logicky vyplývá, že formulář informovanosti a souhlasu je třeba nově nechat podepsat všechny členy (nejen nové, ale i stávající). Pokud stávající člen odmítne souhlas udělit, bude možné jeho údaje zpracovávat pouze v rozsahu potřebném pro splnění zákonných povinností. Podle stanoviska ČUS nebude muset být přijat nový zájemce o členství, pokud odmítne poskytnout údaje nutné k plnění povinností spolku. Je vhodné členům věnovat určitý čas a vysvětlit jim, že požadavek na poskytnutí jejich osobních údajů není samoúčelný – spolek potřebuje své členy jednoznačně identifikovat, aby jim mohl zajistit plnohodnotné využívání jejich práv, případně jednoznačně prokázat jejich existenci při dotačních žádostech či uplatnění hromadného pojištění.
Vzorový formulář Informace a Souhlas se zpracováním osobních údajů naleznete ke stažení ZDE.
Každá tělovýchovná jednota či sportovní klub si jej samozřejmě může upravit pro své účely – je však potřeba mít na paměti povinnosti vyjmenované v čl. 13 GDPR (např. uvést všechny účely zpracování či oprávněné zájmy a také kategorie příjemců získaných údajů). Další pokyny k harmonizaci sportovní spolkové evidence s Nařízením GDPR vám zprostředkujeme, jakmile je bude mít k dispozici od České unie sportu.
Ing. Pavla Šrůtová
Pražská tělovýchovná unie, z.s.
Hanusova 347/16
140 00 Praha 4
IČ: 00435228
Tel. +420 261 215 365
Email: info@ptupraha.cz