Jistě jste v souvislosti se svou profesí nebo výkonem nějaké veřejné funkce slyšeli kouzelnou formuli „GDPR“ znamenající opatření k ochraně osobních údajů nařízenou směrnicí EU. Tato směrnice se v určitém rozsahu týká i zapsaných spolků, ke kterým se počítá i náš lyžařský klub.
K tomu, abychom si mohli být jisti, že náš sportovní spolek zpracovává osobní údaje v souladu s GDPR, je třeba provést vnitřní audit. To znamená zjistit, jaké osobní údaje zpracováváme, za jakým účelem, z jakého právního důvodu, jakou dobu je uchováváme a konečně jakým způsobem je máme zabezpečeny. V případě, že jsme dosud datový audit neprovedli, Česká unie sportu a Český olympijský výbor nám důrazně doporučuje k tomuto kroku přistoupit co nejdříve. Na podkladě výstupů zjištěných auditem je třeba posoudit, zda osobní data zpracováváme legitimním způsobem, a současně vše zdokumentovat tak, abychom byli připraveni pro případ kontroly soulad s GDPR doložit.
S ohledem na shora popsanou problematiku, v situaci, kdy audit nebude mít pravděpodobně nikdo hotový, Česká unie sportu doporučuje od 25. 5. 2018 začít dodržovat minimálně tato základní pravidla:
• Zpracování osobních údajů musí být založeno na některém z právních důvodů. Zpracovávejte jen ty osobní údaje, které nezbytně potřebujete pro splnění zákonné povinnosti (například pojištění člena spolku dle zákona o pojišťovnictví nebo údaje zaměstnance nutné z důvodu pracovněprávní/mzdové agendy atd.), v souvislosti se smluvním plněním (například smlouvy spolku se zaměstnanci nebo s dodavateli – fyz. osobami) nebo na základě souhlasu dotčené osoby v kvalitě požadované GDPR (Informace o zpracování osobních údajů a Souhlas se zpracováním osobních údajů).
• Je třeba jasně vymezit, jaký záměr je zpracováním osobních údajů sledován, tzn. je třeba určit účel zpracování osobních údajů. Tím je u sportovního spolku například vedení evidence členů spolku, vedení údajů k žádosti o finanční příspěvek z veřejných zdrojů, údaje potřebné k přihláškám/soupiskám ke sportovním soutěžím, vedení vnitřní personální agendy, vedení kontaktních údajů rodičů pro případ nahodilé události v rámci účasti dítěte na soutěžích, výcvikových táborech atd., propagace spolku/soutěží atd.
• Všechny způsoby a formy, rozsah zpracování a doba uchování osobních údajů musí být vždy přiměřené účelu zpracování. Tzn. uvádět pouze nezbytné údaje k dosažení účelu, např. na přihlášce do soutěže není nutné vyplňovat údaje o vzdělání, rodinných a majetkových poměrech atd. Současně ihned poté, co účel zpracování pomine, je třeba osobní údaje bezodkladně vymazat.
• Je třeba informovat členy spolku o zpracování osobních údajů a vyžádat si souhlas se zpracováním osobních údajů. Vzorový formulář je k dispozici zde:
Souhlas je potřeba získat od stávajících i nových členů. Souhlas je potřeba uchovávat ve spolku v takové podobě, aby byl doložitelný pro účely kontroly (elektronicky nebo písemně).
• Veškeré zpracovávané osobní údaje mějte náležitě zabezpečeny. Osobní údaje v papírové formě uchovávejte v uzamykatelných skříňkách. Osobní údaje v elektronické formě zabezpečujte standardními metodami – dbejte na to, aby měl každý člen své individuální heslo pro vstup do PC, stejně jako uživatelské jméno a další heslo pro vstup do informačních systémů, kde se nacházejí osobní údaje. Po ukončení práce v informačních systémech svůj profil vždy odhlašte.
• Nikdy nezálohujte osobní údaje členů z informačních databází na externí disk.
• Nikdy nezpřístupňujte osobní údaje členů spolku třetím osobám, aniž by k tomu byl stanovený důvod zákonným či interním předpisem, případně smlouvou.
• Proveďte základní revizi smluv s Vašimi smluvními partnery a ujistěte se, že Vám uvedené smluvní dokumentace garantují, že osobní údaje členů budou vašimi partnery zpracovávána v souladu s GDPR.
• Bez souhlasu sportovců lze umisťovat jejich fotografie a jiné osobní údaje na webové stránky (sociální sítě nebo do tištěných zpravodajů) pouze za účelem zpravodajství z těchto sportovních událostí. Zdůrazňujeme, že se jedná pouze o fotografie pořízené v průběhu sportovního klání.
• Naopak pouze se souhlasem sportovců je možné prezentovat jejich fotografie a jiné osobní údaje na webové stránky (sociální sítě nebo do tištěných zpravodajů) za účelem marketingu (patří sem i pozvánky na sportovní akce). Zde není rozhodné, zda se jedná o fotografii pořízenou v průběhu sportovního klání či nikoliv.
• Vnitřní předpisy (stanovy nebo vnitřní směrnice) spolku by jako jednu z podmínek členství měly obsahovat souhlas členů s využitím jejich rodného čísla pro celou strukturu ČUS za účelem evidence členů. Pokud tomu tak není (v současné době ve většině případů), je potřeba situaci výhledově řešit změnou obsahu stanov spolku nebo doplněním směrnic.
V příštích dnech se budeme obracet formou individuálního E-mailu na všechny naše aktivní členy tj. ty se zaplaceným členským příspěvkem a na rodiče aktivních členů do 18 let o poskytnutí souhlasu s použitím jejich osobních údajů ve smyslu výše uvedeného doporučení. Tento souhlas bude uložen v elektronické formě pro případ jejich kontroly.
Ing. Jaroslav Trhlík
Předseda Ski Soláň z.s.