Málokterou lidskou činnost je možné realizovat zcela bez zpracování osobních údajů a ani organizované sportovní aktivity nejsou výjimkou. Pokud lze soudit z omezených osobních zkušeností a dále z veřejných zdrojů, panují značné rozdíly v přístupu k tomuto tématu napříč sportovními odvětvími i v rámci jednotlivých sportovních klubů či oddílů. Zastřešujícím dojmem nicméně je, že přístup k plnění povinností podle GDPR[1] je spíše povrchní a formalistický. Informace adresované subjektům údajů jsou zpravidla neaktuální a neúplné, případně nejsou k dispozici vůbec. Přetrvávají také některé „oblíbené“ chyby, typicky v definování správného právního titulu. Pokusíme se zde poskytnout základní orientaci v rolích a odpovědnosti různých aktérů a naznačit některá úskalí, která v kontextu zpracování osobních dat v oblasti organizovaného sportu vznikají.
Kdo za zpracování odpovídá?
V roli správce osobních údajů budou nejčastěji jednotlivé sportovní kluby a oddíly. Ty vznikají proto, aby sdružovaly zájemce o daný sport a zajišťovaly jim potřebné zázemí, včetně organizačních záležitostí spojených např. s účastí v soutěžích či na závodech. Založením sportovního klubu s tímto cílem je současně stanoven i účel zpracování údajů, které bude zapotřebí shromáždit a dále zpracovávat. Vedle své hlavní činnosti se mohou sportovní kluby rozhodnout, že osobní údaje budou využívat také například k získávání dotací nebo pro marketingové aktivity, čímž definují další účely jejich zpracování.
Uvedené platí bez ohledu na právní subjektivitu sportovního klubu nebo její typ,[2] neboť asi není ani nutné připomínat, že definičním znakem správce osobních údajů podle čl. 4 odst. 7 GDPR není nic jiného než určení účelu a prostředků zpracování. V případě sportovních kroužků působících ve školách nebo jako součást domů dětí a mládeže bude v postavení správce údajů právě tato instituce, která rozhodla, že bude sportovní kroužek zřizovat. Vodítkem pro určení odpovědného správce osobních dat je to, komu zájemce o členství adresuje svoji přihlášku.
Složitější může být určení postavení sportovních unií a svazů sdružujících sportovní kluby, tj. ne přímo jednotlivé sportovce. Podle konkrétních okolností mohou být v postavení společných správců (vždy s příslušným sportovním klubem) nebo správců samostatných.
Ve sportovním odvětví, kde je společná členská základna spravovaná na úrovni unie či svazu, jako je tomu například u Českého atletického svazu (ČAS), Českého florbalu (ČF) nebo Fotbalové asociace ČR (FAČR), je na místě považovat sportovní klub a příslušný svaz za společné správce, přinejmenším pro účel správy členské základny. Naopak tam, kde je cílem zastřešující organizace primárně všeobecná podpora činnosti sportovních oddílů, jako je tomu v případě České unie sportu (ČUS), společné správcovství nevzniká a případná spolupráce zahrnující zpracování osobních údajů bude probíhat ad hoc na úrovni správce – správce.
Oproti tomu situace, kdy by unie nebo svaz byly při plnění svého hlavního poslání (podpora daného sportovního odvětví) v roli zpracovatele, je méně pravděpodobná. Vzhledem k tomu, že smyslem jejich existence je aktivně se podílet na prosazování svých zájmů i zájmů sdružených klubů, definují vlastní, příp. společné cíle, k jejichž naplnění osobní údaje zpracovávají. To nicméně nevylučuje roli zpracovatele v souvislosti s vedlejšími nebo podpůrnými aktivitami, jako je např. vedení účetnictví nebo správa webových stránek.
Ve všech zmíněných konstelacích je zásadní, aby si jednotliví aktéři vzájemné postavení ujasnili, neboť na tom závisí plnění dalších povinností vyplývajících z GDPR – zejména povinnost vymezit odpovědnost společných správců (čl. 26 GDPR), příp. uzavřít smlouvu se zpracovatelem (čl. 28 GDPR), nalézt vhodný právní titul pro předávání nebo sdílení údajů (čl. 5 odst. 1 ve spojení s čl. 26 nebo 28 GDPR) a v neposlední řadě povinnost transparentně informovat o těchto datových tocích subjekty údajů – sportovce (čl. 13 GDPR, viz dále).
Společné standardy a vzory
Formálně tedy leží odpovědnost za splnění požadavků GDPR na sportovních klubech. Ty z nich, které jsou organizované ve vyšších celcích, mohou na této úrovni hledat i podporu pro plnění svých zákonných povinností. Pomoc ze strany sportovních unií a svazů může přijít hlavně ve formě vzorových dokumentů a postupů, případně i odpovědí na dotazy, se kterými se zástupci klubů setkají při své činnosti. Očekávání takové podpory je zcela pochopitelné, nelze předpokládat, že by na úrovni každého jednotlivého sportovního klubu a oddílu (zejména pak na té nejnižší úrovni určené široké veřejnosti nebo dětem) byly dostatečné kapacity na to zbývat se vedle tréninků a zápasů ještě implementací GDPR.
Podporu v tomto směru poskytuje svým členům například ČUS, která má na svých webových stránkách přímo sekci věnovanou ochraně osobních údajů zahrnující základní pravidla a doporučení i vzorové dokumenty.[3] Konkrétně zde zástupci sportovních klubů najdou základní výklad GDPR, vzorový formulář informace o zpracování osobních údajů, souhlas se zpracováním osobních údajů (pro případ marketingového využití dat), vzorovou smlouvu o zpracování osobních údajů, vzor záznamu o činnostech zpracování osobních údajů a také odpovědi na nejčastější otázky.
Díky této sadě dokumentů má sportovní klub, který se rozhodne je využít, práci významně jednodušší, ačkoli samozřejmě vyplnění vzorů nebo posouzení relevance např. zpracovatelské smlouvy zůstává stále na straně každého správce údajů. Inspiraci zde mohou najít samozřejmě i ty kluby, které nejsou členy ČUS, ale jejichž činnost je obdobná, tj. spíše malé kluby, oddíly a spolky.
V jiných oblastech sportu není z veřejných zdrojů možné zjistit, zda a do jaké míry je podobný servis poskytován. Určité náznaky, např. jednotný formát nebo obsah informací o zpracování osobních údajů v případě klubů spadajících pod ČAS nebo ČF, nicméně nasvědčují tomu, že určitá podpora k dispozici je.
Informování sportovců
Jednou ze základních povinností, které se nevyhne žádný sportovní oddíl nebo klub (v pozici správce osobních údajů) a která vzniká již při náboru budoucích členů, je povinnost informovat subjekty údajů podle čl. 13 GDPR, tj. o rozsahu, povaze a důvodech zpracování jejich údajů.
Pro kluby, které provozují pouze sportovní činnost a nevyužívají shromážděné údaje pro marketingové akce, by splnění této povinnosti nemělo být nijak komplikované – v zásadě stačí vhodným způsobem zpřístupnit členům standardizovaný text informace o zpracování osobních údajů. Je na rozhodnutí klubu, zda se tak stane prostřednictvím webové stránky nebo v písemné formě např. současně s podpisem přihlášky či vyvěšením dokumentu na nástěnce. Podstatné je, aby sportovci byli o možnosti seznámit se s informacemi poučeni a aby byl text informace revidován, dojde-li ke změně v parametrech nebo podmínkách zpracování údajů (např. zapojení zpracovatele nebo rozšíření účelů využití).
Obsah informace o zpracování osobních údajů nemusí být nijak rozsáhlý ani složitý, splnění informační povinnosti je možné v několika stručných bodech, v rozsahu formátu A4:
- identifikace správce (sportovního klubu anebo jeho zřizovatele);
- kategorie údajů nezbytných pro vznik a trvání členství (kromě základních identifikačních dat, jako je jméno a příjmení, datum narození, příp. rodné číslo a adresa bydliště, se bude dále jednat o evidenci finančních příspěvků, sportovních aktivit: přihlášky a výsledky nebo i zprávy o zdravotní způsobilosti[4]);
- případné dobrovolné kategorie údajů (zejména kontaktní telefonní číslo a e-mail);
- účely zpracování (např. evidence členské základny, zajištění sportovních aktivit a účasti na soutěžích, včetně vyřizování pojištění a zprostředkování úhrady nákladů, dále podávaní žádostí o dotace a granty, příp. také plnění členských povinností vůči zastřešujícím sportovním organizacím a sportovním svazům);
- právní titul pro zpracování údajů k jednotlivým účelům (viz dále);
- doba uchování údajů (typicky po dobu členství a dále po dobu nezbytnou k vypořádání všech vzájemných povinností, příp. povinností vyplývajících např. z čerpání dotací a grantů, v případě evidencí vedených za historickými účely, jako jsou kroniky nebo síně slávy, lze pak uvažovat o uchování po celou dobu existence klubu);
- identita případných společných správců, účel tohoto zpracování (tj. které cíle jsou dosahovány v rámci společné správy dat), kdo ze zúčastněných subjektů odpovídá za jednotlivé části procesu zpracování a také jakým způsobem a u koho může člen v případě potřeby uplatnit svá práva;
- předávání údajů dalším subjektům a jejich role při zpracování údajů (např. orgány státní správy vyřizující granty nebo zpracovatelé);
- práva člena jakožto subjektu údajů a způsob jejich uplatnění.
Dále je vhodné předání informace, resp. poučení o možnosti seznámit se s jejím obsahem, určitým způsobem zdokumentovat, aby mohl správce splnění informační povinnosti doložit. Uvedené neznamená, že je nutné nechávat sportovce podepisovat samostatný dokument, je např. možné zakomponovat do přihlášky prohlášení o převzetí písemné verze, resp. o seznámení se s umístěním na webové stránce.
Popsaný postup předpokládá, že sportovní klub požadované informace zpracoval do uceleného dokumentu, který může předat nebo na něj odkazovat. To nicméně není podmínkou pro splnění povinnosti podle čl. 13 GDPR – je teoreticky možné, že potřebné informace sportovec obdrží v kontextu několika různých dokumentů a zdrojů (např. přihláška, stanovy, interní směrnice). Dokonce je možné soudit, že toto je – ať již záměrně nebo ne – poměrně obvyklá praxe. Rizikem je, že se některé informace neobjeví v žádném dokumentu nebo že se k určitému subjektu údajů touto cestou nedostanou.
Právní tituly pro zpracování osobních údajů
Po určení právního titulu zpracování osobních údajů lze vznik členství ve sportovním spolku, klubu nebo oddíle považovat za uzavření smlouvy se správcem údajů. Vedení evidence členů v rozsahu nezbytném pro zajištění sportovních aktivit (tj. základní identifikační údaje, informace o platbách nebo příspěvcích a o účasti na aktivitách klubu, včetně sportovních výsledků), se tedy bude odehrávat na základě právního titulu podle čl. 6. odst. 1 písm. b) GDPR.
Pokud žádá klub o podporu z veřejných prostředků, pak za tímto účelem musí shromažďovat i rodná čísla sportovců, tj. zpracovává tyto údaje v rámci zákonné licence dle čl. 6. odst. 1 písm. c) GDPR (k tomu podrobněji dále).
Zpracování dalších kontaktních údajů, jako je e-mail nebo telefonní číslo, může probíhat v rámci oprávněného zájmu správce – sportovního klubu a současně subjektu údajů – sportovce, tedy na základě čl. 6. odst. 2 písm. f) GDPR. Efektivní komunikace s členy a koordinace aktivit klubu, zasílání propozic sportovních událostí nebo provozních informací, oprávněný zájem určitě představují.[5] Alternativně je možné pro tyto kategorie údajů využít souhlas sportovce, resp. jeho zákonného zástupce, podle čl. 6. odst. 2 písm. a) GDPR. Výhodou je, že není nutné zpracovat zmíněný balanční test. Nevýhodou (vyplývající z povinnosti poučit o dobrovolnosti těchto údajů), že mohou vznikat rozdíly v rozsahu kontaktních údajů u jednotlivých členů a s tím související komplikace při komunikaci.
Prostor pro souhlas se zpracováním údajů je jinak v rámci aktivit sportovních klubů minimální. Zapotřebí bude především tam, kde by měly být shromážděné osobní údaje využity k jinému účelu, než je základní činnost sportovního klubu, typicky pro marketingové aktivity. V takovém případě se ale mělo jednat o souhlas vyžádaný od konkrétního sportovce, příp. skupiny, nikoli paušálně od všech členů např. již v rámci přihlášky do klubu.[6]
Je vhodné připomenout, že vyžadování souhlasu se zpracováním osobních údajů v situaci, kdy tento právní titul není relevantní, ať již z neznalosti, nebo „pro jistotu“, není přípustné. A to především proto, že subjekt údajů získává v kontextu takové žádosti nepřesné, nebo přímo zavádějící informace. Nesprávné vyhodnocení právního titulu může pak na straně správce údajů vést i k tomu, že bude mít problémy i s plněním dalších povinností. Kromě nedostatků v informační povinnosti bude např. postrádat balanční test nebo bude mít chybně zpracované záznamy o činnosti zpracování.
V tomto kontextu je také dobré zopakovat, že souhlas se zpracováním osobních údajů prezentovaný jako podmínka členství, nebude nikdy platným právním titulem, neboť postrádá aspekt dobrovolnosti. Zakládat na něm jakékoli zpracování osobních údajů pak logicky povede k porušení GDPR.
Právě chybné informování nebo vyžadování souhlasu není v případě sportovních klubů nijak výjimečné. Zájemci o členství se tak např. dozvědí, že podáním přihlášky dávají souhlas se zpracováním poskytnutých osobních údajů, a to pro účely, které souhlasu nepodléhají (vedení členské evidence nebo komunikace s příslušnými orgány klubu a nadřízených organizací). Anebo že člen má povinnost v přihlášce uvést a strpět zpracování nezbytných osobních údajů, přičemž současně podpisem přihlášky stvrzuje svůj souhlas s jejich zpracováním.[7]
Vhodnější formulací je, že člen podpisem přihlášky „bere na vědomí“ skutečnosti uvedené v přihlášce, příp. v samostatné informaci o zpracování osobních údajů. Výsledný dojem může ale snadno zkazit, že toto prohlášení je uvedeno pod nadpisem „souhlas se zpracováním osobních údajů“.[8]
Zvláštní kategorie osobních údajů – informace o zdravotním stavu
Samozřejmě, že v kontextu sportovních aktivit nelze vyloučit zpracování informací o zdravotním stavu (spadající do zvláštních kategorií osobních údajů), a to hlavně v případech, kdy dojde k úrazu nebo jiné zdravotní indispozici na straně někoho z účastníků nebo diváků akce pořádané sportovním klubem. V těchto výjimečných případech se tak bude dít na základě čl. 6 odst. 1 písm. d) a čl. 9 odst. 2 písm. c) GDPR, tedy v zájmu ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
Systematickému zpracování údajů o zdravotním stavu svých členů by se ale sportovní kluby měly raději vyhnout. Pro takové zpracování totiž nelze v čl. 9 odst. 2 GDPR nalézt vhodný právní titul. Oprávněný zájem, který by se nabízel u „obyčejných“ údajů, totiž pro zpracování zvláštních kategorií údajů zaveden není a výslovný souhlas se zpracováním zase není prakticky možné použít pro účely zpracování, které správce považuje za nezbytné, a nemohou být proto zcela závislé na svobodném rozhodnutí subjektu údajů.
Potenciálně riziková situace vzniká konkrétně v souvislosti s požadavkem na předložení výsledků lékařské prohlídky. Tento požadavek není neobvyklý již u pravidelně sportujících dětí, kdy se kluby obvykle spokojí s potvrzením praktického lékaře obecně konstatujícím způsobilost ke sportování. V tomto případě je možné říci – analogicky s tím, jak je to vykládáno v pracovně právních vztazích, že zpráva obsahuje nepochybně údaje osobní, ne ale nezbytně údaje vypovídající o zdravotním stavu. Jiná situace může nastat zhruba v období, kdy mladí sportovci vstupují do kategorie mladších žáků. Sportovní kluby u těchto kategorií standardně vyžadují, aby sportovec podstoupil vyšetření sportovním lékařem zahrnující zejména změření EKG při zátěži, a žádají předložení závěrečné zprávy. Jsou-li součástí takové zprávy kromě výsledného zhodnocení způsobilosti k výkonnostnímu sportu také např. naměřené hodnoty, a pokud je předložení takové zprávy formulováno jako podmínka dalšího členství v klubu, dochází ze strany klubu ke zpracování informací o zdravotním stavu sportovce. Jak už bylo uvedeno, z výčtu v čl. 9 odst. 2 GDPR není možné na takový postup aplikovat žádný právní titul. Vhodným postupem je, že si zástupce klubu lékařskou zprávu nechá předložit, ověří její obsah, ale nepořizuje a neukládá kopie, příp. pouze kopie té části, která zdravotní informace neobsahuje.
Zpracování rodných čísel
S odkazem na jedno z témat, kterému se věnuje stručný výklad GDPR ze strany ČUS,[9] lze dále zmínit i zpracování rodných čísel sportovců. V tomto případě je bohužel postup prezentovaný v materiálu ČUS chybný.
ČUS konkrétně uvádí, že interní předpisy sportovního klubu musí jako jednu z podmínek členství obsahovat souhlas člena s využitím rodného čísla za účelem evidence členů, a to pro celou strukturu ČUS. Jak už bylo ale zmíněno, takto formulovaný souhlas, tedy jako podmínka členství, neodpovídá požadavkům GDPR, neboť postrádá zásadní parametr svobodného úkonu. V tomto směru je již méně podstatné, že definovaný účel (evidence členů) a ani požadavek na udělení souhlasu vůči celé struktuře unie nejsou zcela srozumitelné, tedy neumožňují posouzení z pohledu zásady minimalizace údajů anebo účelovosti předání dat dalším subjektům.
V současné době je pro zpracování rodných čísel sportovními kluby možné nalézt oporu v § 3f odst. 2 písm. c) zákona č. 115/2001 Sb., o podpoře sportu, podle kterého se jedná o povinný údaj zadávaný v případě, že daný sportovní klub žádá o podporu ze státního rozpočtu. Tato úprava byla do citovaného zákona vložena jako součást novely,[10] kterou byla zřízena Národní sportovní agentura, a to právě včetně rejstříku sportovních organizacích žádajících o státní podporu. Je otázkou, jak dalece jsou rodná čísla sportovců a trenérů skutečně nezbytnou podmínkou pro „vytvoření podmínek pro lepší kontrolu finančních prostředků vynakládaných na podporu sportu ze státního rozpočtu“ (jak ke vzniku rejstříku uvádí důvodová zpráva). Počínaje červencem 2019, kdy tato novela nabyla účinnosti, mají ale sportovní kluby alespoň právní oporu pro jednání, které bylo sice historicky zavedenou, ale – minimálně v kontextu právních předpisů na ochranu osobních údajů – nesprávnou praxí.
Kromě účelu souvisejícího s žádostí o příspěvky bude ale zpracování rodných čísel v činnosti sportovních klubů zřejmě vždy v rozporu se zásadou minimalizace. V rámci běžné činnosti musí pro dostatečnou identifikaci sportovců stačit základní paleta identifikačních údajů. Správnou cestou není v případě rodných čísel ani zpracování se souhlasem – pokud má být souhlas zcela svobodný a dobrovolný, je zřejmé, že jej správce nemusí získat od všech dotčených osob, a předmětná agenda tak zjevně nemůže být na zpracování takového údaje založena (tj. údaj není nezbytný).
Zveřejňování fotografií pro publikační a zpravodajské účely
Zmíněné shrnutí povinností vyplývajících z GDPR sportovním klubům publikované ČUS lze ale jinak hodnotit pozitivně, jako stručné a srozumitelné shrnutí problematiky. Zahrnuje mimo jiné i odlišení publikování fotografií ze sportovních akcí za účelem zpravodajství (mimo režim GDPR) od využití snímků a dalších informací za účelem marketingu, na které se GDPR vztahuje.
Pro většinu sportovních klubů je určitá publikační činnost nejen běžná, ale vlastně (v zájmu náboru nových členů) i potřebná. Informování o činnosti, dosažených úspěších nebo o realizovaných akcích se dnes běžně děje formou článků a příspěvků na webových stránkách nebo sociálních sítích, jejichž významnou část tvoří fotodokumentace dané události. Obava nebo nejistota ohledně pravidel pro publikační a zpravodajské činnosti přitom může být jedním z důvodů pro zmíněnou nesprávnou praxi vyžadování souhlasu se zpracováním osobních údajů jako podmínky členství anebo vedle jiných právních titulů – „pro jistotu“.
Je proto dobré vědět, že publikování záběrů (fotografií nebo videí), které mají reportážní nebo ilustrační význam, tj. zachycují průběh nebo atmosféru určité akce, nepředstavuje zpracování osobních údajů. Řídí se občanským zákoníkem (§ 84 a násl.), který upravuje ochranu soukromí při pořizování a používání tzv. „podoby člověka“. Občanský zákoník podmiňuje pořízení i další využití („rozšiřování a rozmnožování“) záznamu svolením dotčených osob. Získání takového svolení je však možné i méně formálním způsobem, než je tomu v režimu GDPR – z dostupných informací a kontextu dané akce mohou dotčené osoby předpokládat, že se reportážní záznamy pořizují.[11]
O zpracování osobních údajů vyžadující souhlas podle GDPR by se jednalo až v případě, kdy by záměrem bylo využití podoby a identity konkrétního, jednoznačně identifikovatelného sportovce za účelem trvalejší propagace klubu, např. v rámci upoutávky nebo náborového videa.
Zveřejňování statistik a výsledků
Informování o dosažených výsledcích konkrétních sportovců je také nedílnou součástí sportovních aktivit. Ostatně podstatou soutěžení je vzájemné poměřování výsledků, které se logicky neobejde bez určité míry veřejnosti těchto informací. Při pohledu na čl. 6 odst. 1 GDPR je pak velmi snadná odpověď na otázku, na základě jakého právního titulu se tak může dít, protože jediným možným je oprávněný zájem sportovních klubů, sportovních svazů a unií, případně i samotných sportovců.
Tento právní titul zmiňuje i ÚOOÚ,[12] když uvádí, že v případě sportu jsou různé formy prezentace sportovců zahrnující i identifikační údaje nezbytné a přirozené. A dále že zveřejnění takových údajů (např. na výsledkových listinách) se neděje na základě souhlasu sportovců, ale představuje zpracování na základě oprávněného zájmu sportovního klubu.
Na oprávněný zájem odkazují i dostupné dokumenty ČUS nebo ČAS. ČUS[13] se v tomto případě omezuje na konstatování výše uvedeného, tedy že informování o výsledcích a o sportovcích je naplněním samotné podstaty sportovního zápolení a že se jedná o realizaci oprávněného zájmu organizátora turnaje. A dále že účastníky je o tomto postupu zapotřebí vhodným způsobem informovat.
Formulář zpracovaný pro ČAS[14] obsahuje i určitý náznak balančního testu. V návaznosti na účel zpracování údajů spočívající v evidenci a zveřejňování sportovních výsledků (včetně evidence účasti na sportovních soutěžích a vedení sportovních statistik) je zde oprávněný zájem zdůvodněn tak, že jde o zpracování nezbytné k plnění předmětu činnosti správce a dalších zainteresovaných osob. Těmito třetími stranami jsou zejména pořadatelé závodů, národní či mezinárodní sportovní asociace a subjekty zabývající se statistikou, zpravodajstvím nebo publicistikou. Dále se již jen konstatuje, že zájmy subjektu údajů na ochraně osobních údajů nepřevažují nad oprávněnými zájmy správců, třetích stran a veřejnosti na vedení databází výsledků sportovních událostí, včetně jednotlivých výkonů a identifikace účastníků závodů a vedení historických statistik, a také na informování veřejnosti o průběhu sportovních klání.
Pokud by toto vysvětlení mělo představovat kompletní balanční test, pak by bohužel požadavky GDPR nesplňovalo. Zatímco zájmy na straně správce a dalších subjektů jsou alespoň stručně popsány (a např. v kontextu stanov sportovních klubů a ČAS je lze dále dovodit), konkrétní zájmy na straně dotčených subjektů údajů a zejména důvody, proč v daném případě nepřeváží nad zájmy správce, nejsou uvedeny vůbec. Dále není zřejmé, zda se hodnocení týká dočasného zveřejňování výsledkových listin z konkrétních závodů a utkání nebo se vztahuje také na trvalé zveřejnění všech osobních výkonů a statistik, jak je tomu typicky v Registru atletů ČAS. Mnohem detailněji je také nutno analyzovat zájmy subjektů údajů a jejich váhu ve vztahu k zájmům správce v případě amatérských a nezletilých sportovců.
Z obsahu veřejně poskytovaných informací ještě samozřejmě není nutné vyvozovat, že daný správce údajů balanční test nezpracoval. Je tedy možné, že sportovní kluby mají k dispozici detailnější posouzení, kterým naplní podmínku pro využití oprávněného zájmu jakožto právního titulu. V opačném případě by totiž jednaly v rozporu s požadavky GDPR.
Zpracování balančního testu nicméně není pro správce údajů zrovna snadný úkol, neboť v jeho rámci je povinen jednoznačně definovat své zájmy i práva subjektů údajů, kterých se dané zpracování má týkat, a tyto zájmy a práva porovnat. Je tedy nutno brát v úvahu více aspektů současně, hodnotit je maximálně objektivně a dojít k jednoznačnému závěru. Realizace zpracování je pak možná jen za předpokladu, že výsledek tohoto porovnání (balance) je za daných konkrétních okolností ve prospěch zájmů správce anebo je-li váha zájmů zcela shodná (GDPR říká, že zájmy subjektu údajů nesmí „převažovat“). Situaci správců nepomáhá ani to, že v GDPR ani jinde není stanoven standardizovaný proces nebo forma výstupu.[15]
Cílem tohoto příspěvku není poskytnout detailní návod na provedení balančního testu, pro ilustraci je ale možné zmínit, jaké úvahy zpracování musí zahrnovat:
- účel zpracování (správce definuje účel – konkrétní cíl, kterého chce prostřednictvím zpracování dosáhnout, a následně posoudí, zda tento cíl skutečně představuje jeho oprávněný zájem);
- nezbytnost zvoleného způsobu zpracování (správce posoudí, zda je k dosažení definovaného cíle skutečně nezbytné zpracovávat osobní údaje, resp. zpracovávat je v plánovaném rozsahu a formě);
- zájmy subjektů údajů, jejich očekávání a dopady do jejich práv (správce definuje zájmy a očekávání subjektů údajů, resp. dopady, které pro ně zpracování osobních údajů může mít);
- porovnání zájmů správce a zájmů subjektů údajů se závěrem, zda toto srovnání vychází ve prospěch nebo neprospěch správce.
S ohledem na základní zásady vyplývající z čl. 5 odst.1 písm. a) a odst. 2 GDPR, tedy zásadu zákonnosti zpracování a doložitelnosti souladu s GDPR, je také potřeba zmínit, že provedení balančního testu nelze provést jinak než formou písemného zdůvodnění a vyhodnocení.
Již z tohoto stručného nastínění je zjevné, že provedení balančního testu bude jednou z činností, při které by sportovní kluby měly získat podporu ze strany svých zastřešujících institucí. Zejména pokud se jedná o činnosti, které vychází z iniciativy těchto institucí, na kterých se případně podílí i jako společní správci.
Závěrem lze říci, že dosažení souladu se všemi požadavky GDPR v rámci činnosti sportovních oddílů, klubů či spolků (zejména těch na amatérské úrovni) je úkol, který bude pro většinu z nich bez opory „zvenčí“ nebo „shora“ velmi obtížný. V praxi je vidět, že menší a lokální sportovní kluby tomuto tématu nevěnují zásadní pozornost a povinnosti plní spíše formalisticky. Svoji roli v tom jistě hraje i to, že na rozdíl od jiných životních situací v kontaktu se sportovními kluby sportovci a jejich zákonní zástupci zpracování svých dat také příliš neakcentují. A zatímco v případě zpracování na lokální úrovni, spočívajícím fakticky jen v evidenci členů a jejich příspěvků, lze absenci úsilí věnovaného souladu s GDPR pochopit, pro případné nedostatky na úrovni zastřešujících institucí (např. pokud jde o právní tituly pro trvalé a veřejně dostupné přehledy sportovních výkonů) by mělo být pochopení rozhodně méně.
Ludmila Probstová
Autorka je GDPR specialistka ve společnosti Bosch
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).
[2] V převážné většině fungují sportovní kluby jako spolky, resp. zapsané spolky.
[3] https://www.cuscz.cz/poradna-a-vzory/ochrana-osobnich-udaju.html
[4] Zde je vhodné připomenout, že osobními údaji nejsou pouze údaje identifikační, ale právě např. i informace o úhradě členských příspěvků, o sportovních aktivitách a dosažených výsledcích, které každý sportovní klub nepochybně s identifikátory spojuje.
[5] Zde je nutno připomenout povinnost zpracovat tzv. balanční test. Jeho vyznění ve prospěch správce je v případě základních kontaktních údajů (e-mail, telefon) vysoce pravděpodobné, bohužel ale stejně pravděpodobné je, že existence balančního testu zpracovaného tak, aby skutečně odpovídal požadavkům GDPR, bude spíše výjimkou.
[6] Z informací poskytnutých v rámci žádosti o souhlas by mělo být totiž zřejmé, k jakému konkrétnímu účelu a po jakou dobu budou údaje využity. Obecně proto nejsou správná paušální, široce definovaná svolení.
[7] Viz například směrnice Českého florbalu o ochraně osobních údajů (https://www.ceskyflorbal.cz/ochrana-osobnich-udaju), resp. i některých pražských florbalových klubů, které použily stejnou formulaci.
[8] Jak je tomu ve formuláři „Informace o zpracování osobních údajů“ zpracovaném pro ČAS, který využívají atletické kluby napříč republikou.
[9] Odpovědi na otázky k problematice GDPR, https://www.cuscz.cz/poradna-a-vzory/ochrana-osobnich-udaju.html.
[10] Zákon č. 178/2019 Sb., kterým se mění zákon č. 115/2001 Sb., o podpoře sportu, ve znění pozdějších předpisů, a některé další zákony.
[11] Tento výklad lze nalézt i na webových stránkách ÚOOÚ (článek „Činnosti spolků, sportovních klubů a obdobných zájmových sdružení“, https://uoou.gov.cz/profesional/qa-otazky-a-odpovedi/cinnosti-spolku-sportovnich-klubu-a-obdobnych-zajmovych-sdruzeni).
[12] Článek „Činnosti spolků, sportovních klubů a obdobných zájmových sdružení“ na webových stránkách ÚOOÚ (https://uoou.gov.cz/profesional/qa-otazky-a-odpovedi/cinnosti-spolku-sportovnich-klubu-a-obdobnych-zajmovych-sdruzeni).
[13] Odpovědi na otázky k problematice GDPR, https://www.cuscz.cz/poradna-a-vzory/ochrana-osobnich-udaju.html.
[14] Formulář „Informace o zpracování osobních údajů“ zpracovaný pro ČAS.
[15] Je nicméně možné vyjít z návodů a metodik publikovaných některými dozorovými úřady.