GDPR a sportovní kluby: Regulace se týká dobrovolníků i podnikatelů ve sportu

publikováno: 2019-02-12

V květnu 2018 nabylo v celé Evropské unie účinnosti Obecné nařízení o ochraně osobních údajů, známé též pod zkratkou GDPR. Uvedený právní předpis dopadá na každého, kdo shromažďuje nebo jinak zpracovává osobní údaje. Za osobní údaje je nutno považovat jakékoliv informace vztahující se ke konkrétní fyzické osobě. GDPR se tedy nevyhne ani sportovním klubům a sdružením, které nepochybně zpracovávají data o různých osobách, například hráčích, fanoušcích, zaměstnancích apod.

Případné nedodržování GDPR se může nepříjemně prodražit. Maximální výše pokut, které mohu být za porušení povinností při zpracování osobních údajů uděleny, dosahuje až 20 miliónů euro, v případě podniku pak 4 % z celosvětového obratu, podle toho, která hodnota je vyšší. Zároveň je však třeba dodat, že pokuta se uděluje vždy s přihlédnutím k individuálnímu případu a poměrům delikventa a v žádném případě nesmí být likvidační.

Jaké změny GDPR přineslo?

Ač to tak dle více či méně odborné diskuse, která probíhala v uplynulém roce, nemusí vypadat, GDPR v porovnání s předchozí právní úpravou, jež v České republice platila již od roku 2000, nepředstavuje zásadní změnu nebo snad převrat. Základní pojmy, jako je osobní údaj, citlivý osobní údaj, zpracování údajů, správce či zpracovatel osobních údajů, zůstávají obsahově stejné, případně jsou upřesněny na základě dosavadní praxe a judikatury evropských soudů. Totéž platí i pro hlavní zásady zpracování osobních údajů, jako je zásada zákonnosti (tzn. nutnost existence právního důvodu pro zpracování údajů), korektnosti a transparentnosti zpracování, minimalizace dat či pravidlo bezpečnosti, důvěrnosti a integrity osobních údajů.

Nová právní úprava naopak přináší změny v posílení a rozšíření práv subjektů údajů, tedy osob, jejichž osobní údaje jsou zpracovávány. Mezi nejvýznamnější z nich patří právo na informace o zpracování osobních údajů včetně práva na kopie zpracovávaných dat, právo být zapomenut (tzv. právo na výmaz), právo na námitku proti zpracování údajů nebo právo na přenositelnost osobních údajů. Zejména poslední zmiňované právo, podle kterého je správce údajů v některých případech povinen předat osobní údaje jinému správci, a to ve strojově čitelném formátu, by mohlo působit problémy právě sportovním klubům, jelikož na to nyní často nejsou vybaveny ani technologicky, ani administrativně.

GDPR rovněž zavádí řadu nových administrativních povinností pro dokládání souladu s pravidly pro zpracování osobních údajů. Patří mezi ně zejména nutnost při přípravě nového zpracování nebo zapojení nové technologie, např. kamerového systému zpracovávajícího biometrické údaje, provést tzv. posouzení dopadu na ochranu osobních údajů, jehož součástí je identifikace a zhodnocení rizik nového zpracování z hlediska práv a svobod dotčených osob. Dále se jedná např. o povinnost vést záznamy o činnostech zpracování, povinnost ohlašovat bezpečnostní incidenty s dopadem na osobní údaje Úřadu pro ochranu osobních údajů a někdy i přímo dotčeným osobám, v případě určitých správců či zpracovatelů taktéž povinnost jmenovat pověřence pro ochranu osobních údajů nebo o povinnost přijmout náležitá opatření pro ochranu osobních údajů při jejich předávání mimo Evropskou unii.

Specifika zpracování osobních údajů sportovců

Mnohé povinnosti plynoucí z GDPR, které se dotýkají sportovních klubů, souvisejí s osobními údaji jejich členů, resp. hráčů. Plnění povinností při základních činnostech, jako je vedení evidence členů, pracovněprávní agenda či plnění smluv s profesionálními hráči, obvykle nepředstavuje větší komplikace. Naopak u některých sofistikovaných postupů, které se týkají zejména vrcholových klubů, již splnění podmínek GDPR vyžaduje vynaložení většího úsilí a nastavení detailních vnitřních pravidel a postupů.

Jako příklad může posloužit situace, kdy klub sbírá o hráčích data prostřednictvím zařízení sledujících jejich výkonnost či tělesné funkce, tzv. wearables. V takovém případě se jedná zpracování citlivých osobních údajů, údaje o zdravotním stavu, které požívají vyšší míry ochrany a pro jejichž zpracování je nezbytné splnit další podmínky. Ve sportu je pro jejich zpracování nutný výslovný souhlas každé dotčené osoby, přičemž tento souhlas musí splňovat řadu dalších náležitostí (informovanost, svobodné vyjádření) a je kdykoliv odvolatelný. Odvolání souhlasu pak nesmí být hráči k újmě a tyto údaje nesmí být následně dále zpracovávány bez toho, aniž by byly anonymizovány.

Dalším problematickým bodem zpracovávání dat hráčů může být přenositelnost těchto údajů, např. když hráč přestupuje do jiného klubu. Tehdy si hráč od svého současného klubu může vyžádat poskytnutí údajů, které o něm byly na základě jeho souhlasu nebo v rámci plnění smlouvy zpracovány, a následně je může předat svému novému klubu. To by se pak týkalo i informací o jeho výkonnosti a zdravotním stavu. Klub je také povinen nastavit přiměřenou lhůtu pro další uchování jednotlivých kategorií údajů v případě odchodu hráče: některé údaje je klub povinen archivovat v rámci svého účetnictví, jiné, které již objektivně nepotřebuje, například výše zmíněné údaje o zdravotním stavu, by měl bezprostředně po odchodu daného hráče vymazat.

Další situací, kdy jsou zpracovávány údaje o zdravotním stavu sportovců, je činnost související s bojem proti dopingu. V tomto případě je však související zpracování osobních údajů sportovním klubům a orgánům státu či mezinárodním organizacím uloženo zvláštními právními předpisy, které určují i rozsah, způsob a dobu zpracování takto získaných údajů. K jejich zpracování tak není nezbytný souhlas dotčené osoby, ani plnění dalších podmínek při předávání dat mimo Evropskou unii. Bude však možné předat pouze takové údaje, které s touto kontrolou bezprostředně souvisí.

Specifika zpracování osobních údajů fanoušků

Při zpracování osobních údajů fanoušků lze specifika oproti jiným sektorům vidět zejména ve vztahu k zajištění bezpečnosti osob a majetku při sportovních utkáních, konkrétně pak v oblasti adresného ticketingu, vedení interních evidencí osob, které mají vstup na stadion buď úředně zakázaný, nebo jim ho klub chce na základě vlastního rozhodnutí odepřít, a částečně v použití kamer, zejména pokud tyto dokáží identifikovat konkrétní osobu na základě biometrických údajů, tzv. facial recognition.

           

Při adresném ticketingu, prodávání vstupenek konkrétním, identifikovaným osobám, je klíčové shromažďovat osobní údaje jen v minimálním rozsahu, který obvykle k identifikaci fyzické osoby postačuje. Za ten lze označit jméno, příjmení, datum narození a místo bydliště dotyčného klienta. Protože zpracování údajů v tomto rozsahu je nezbytné k ochraně oprávněných zájmů sportovního klubu, není v rozporu s GDPR, pokud daný klub uzavření smlouvy, tzn. prodej vstupenky, podmíní poskytnutím osobních údajů fanouška. Na druhé straně zpracování rodného čísla či vyžadování kopie identifikačního dokladu bude v tomto kontextu nadbytečné, tzn. v přímém rozporu se základními zásadami GDPR.

Obdobně u kamerového systému monitorujícímu veřejně přístupné části stadionu či jeho bezprostřední okolí platí, že primárním a hlavním právním důvodem pro související zpracování údajů je oprávněný zájem jednoho či více sportovních klubů nebo jejich sdružení. Při nasazení pokročilé techniky, které kromě pořizování obrazových záznamů dokáže i automaticky rozpoznávat obličeje jednotlivých osob na základě biometrických rysů, se opět bude jednat o zpracování citlivých osobních údajů. Před jejím nasazením bude nutné splnit některé výše uvedené povinnosti, zejména provést dopadovou analýzu a opatření pro zmírnění zbytkového rizika konzultovat s Úřadem pro ochranu osobních údajů. I v tomto případě bude důležité nastavit přiměřenou dobu uchování pořízených záznamů či biometrických údajů. V případě, kdy nedojde k žádné neočekávané situaci, jako je například potyčka mezi domácími a hostujícími diváky, by k této likvidaci mělo dojít ideálně do druhého dne.

Vedení databáze či přístup do evidence osob, které bylo úředně zakázáno účastnit se sportovních utkání či událostí na konkrétním stadionu, za účelem realizovat toto státem uložené opatření, je nezbytné ke splnění právní povinnosti daného klubu. Z tohoto pohledu se tudíž bude jednat o zpracování, o kterém nerozhoduje daný sportovní klub a při jehož realizaci není nutné plnit některé z povinností uložených GDPR ani získávat souhlas dotčených osob. Pokud se však klub rozhodne vést i vlastní evidenci osob, které na základě vlastního rozhodnutí nehodlá vpustit na jím organizované události, nese odpovědnost za nastavení tohoto procesu, rozsahu údajů i dobu uchování osobních údajů sám.

U každého zpracování, které je prováděno na základě oprávněného zájmu, pak kromě jiného platí, že dotčená osoba proti takovémuto zpracování může podat námitku. Kupříkladu fanoušek, které je mu na základě rozhodnutí klubu odpírán přístup na stadion, může proti souvisejícímu zpracování údajů podat námitku, ve které může uvést individuální okolnosti, které podle jeho názoru převažují nad oprávněným zájmem správce jeho osobní údaje zpracovávat. Správce údajů, sportovní klub, je pak povinen danou záležitost jednotlivě posoudit a zvážit, zda v konkrétním případě skutečně převažuje jeho oprávněný zájem na zpracování údajů, nebo právo dotčeného fanouška na ochranu jeho soukromí.

I v případech zpracování osobních údajů, které je sportovnímu klubu či asociaci uloženo právními předpisy, stejně jako pro zpracování nezbytné pro ochranu jejich oprávněných zájmů, platí, že o něm musí být dotčené osoby v patřičném rozsahu a ve většině situací předem informovány. Informace se musí týkat účelů a právních důvodů zpracování, dalších subjektů, kterým mohou být osobní údaje předány, i práv dotčených osob, jako je zmíněné právo na výmaz či námitku proti zpracování. Ty mohou být například vhodným způsobem zveřejněny na webových stránkách sportovního klubu či asociace.

Závěr

Nové nařízení o ochraně osobních údajů nedopadá pouze na velké obchodní společnosti, ale dotýká se v zásadě všech sektorů včetně sportu. Povinnost zpracovávat osobní údaje v souladu s GDPR a plnit i další povinnosti, které z tohoto nařízení vyplývají, tudíž dopadá i na sportovní kluby a asociace bez ohledu na jejich velikost. Výše bylo zmíněno několik specifických situací zpracování osobních údajů v této oblasti, ale sportovní kluby a asociace musí pochopitelně plnit i ty povinnosti, které v zásadě ve stejném rozsahu dopadají na všechny povinné subjekty, ať už se jedná o využívání cookies a dalších nástrojů při online marketingu nebo při zasílání elektronických newsletterů nebo plnění specifických požadavků na smlouvy s dodavateli, kteří se podílejí na zpracování osobních údajů.

Mgr. Bc. Milan Fric, LL.M., Mgr. František Nonneman

(Mgr. Bc. Milan Fric, LL.M., pracuje jako advokát v Praze a v Mostě, specializující se, mimo jiné, na sportovní právo a ochranu osobních údajů. Mgr. František Nonnemann je právník zabývající se ochranou osobních údajů, člen Výboru Spolku pro ochranu osobních údajů.)