GDPR pro sportovní organizace
Informace k procesu harmonizace činnosti ČUS s nařízením EU - v oblasti ochrany osobních údajů (GDPR)
V rámci ČUS je v současné době odbornou firmou prováděn datový audit a srovnávací analýza činnosti ČUS z hlediska povinností vyplývajících z GDPR. Jde o časově i finančně náročnou službu.
Jedná se o poměrně složitý proces, neboť ani odborné firmy, které se problematikou GDPR profesionálně zabývají, nemají k dispozici žádné závazné výklady nařízení EU či bližší metodiku pro specifickou oblast sportu. Situaci komplikuje i skutečnost, že nebyl přijat ani příslušný právní předpis v rámci České republiky, který by řešil otázky, které GDPR ponechává národním předpisům. Zpracování potřebné dokumentace se z tohoto důvodu časově protahuje.
Výsledkem shora uvedené analýzy činnosti ČUS by pak mělo být zejména následující:
- katalogizace zpracovávaných údajů, tj. posouzení zda a jaké osobní údaje jsou v rámci jednotlivých činností ČUS zpracovávány (např. rodná čísla při vedení členské základny);
- posouzení jednotlivých účelů zpracování osobních údajů (tj. např. zda se jedná o účel, kterým je plněna zákonná povinnost – typicky zpracování personální agendy, kdy je třeba rodného čísla zaměstnanců k odvádění pojistného na zdravotní a sociální pojištění);
- doporučení, jaká opatření (např. přijetí vnitřních předpisů) či procesy (např. zabezpečení počítačů) má ČUS přijmout za účelem dosažení souladu s GDPR;
- posouzení, zda ČUS bude mít povinnost sestavit „Posouzení vlivu na ochranu osobních údajů“ a zda bude mít povinnost ustavit „Pověřence pro ochranu osobních údajů“.
Ze strany ČUS pak budou uvedené výsledky analýzy, včetně příslušných doporučení a vzorových metodik, dány k dispozici sdruženým subjektům (svazům, okresům, klubům). Ty pak budou moci posoudit, zda vykonávají typově shodnou činnost jako ČUS a jak se na ně v tomto směru vztahuje GDPR a budou moci využít i doporučení, jaká opatření mají přijmout.
ČUS pak má poměrně široký záběr činností, na které může dopadat GDPR a sdružené subjekty tak budou mít k dispozici posouzení a doporučení pro řadu typových činností jako je:
- vedení členské základny;
- vedení personální a mzdové agendy pro vlastní zaměstnance;
- vedení personální a mzdové agendy a vedení účetnictví pro třetí subjekty;
- správa webových stránek, informačních systémů, profilů na sociálních sítích
- kamerový systém ve sportovních zařízení;
- ubytovací služby (vedení knih hostů);
- činnost nestátního zdravotnického zařízení.
Současně bude upozorněno na některé činnosti, které ČUS sice nevykonává, ale sdružené subjekty ano. Typicky jde o povinnost získat souhlasy členů se zpracováním osobních údajů pro činnost spolku na úrovni SK/TJ/svazů. Lze předpokládat, že bude nejen třeba nově naformulovat text souhlasu do přihlášek pro nové členy, ale i stávající členové budou muset svůj souhlas zopakovat.
Přesto je třeba důrazně upozornit na to, že může nastat situace, kdy sdružený subjekt bude vykonávat i jinou činnost, na kterou může dopadat GDPR, která však nebude předmětem shora uvedené analýzy. V takovém případě bude třeba oslovit odbornou firmu, aby provedla individuální posouzení. ČUS svým sdruženým subjektům doporučuje společnost GDPR Solutions, a.s., která provádí proces harmonizace činnosti ČUS. Má tak již načtené procesy a podmínky ve sportovním spolku (kontaktní osoba: Mgr. Jakub Mareš, tel.: 608 311 933, e‑mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.). Výběr poradce je však plně na vás.
Vzhledem ke specifičnosti zadání nelze přesně stanovit termín dodání dokumentace pro ČUS. Naší snahou bude, aby byly pro vás k dispozici nejpozději v dubnu. Opatření EU vstupují v platnost 25.5.2018.
Jan Boháč, generální sekretář ČU