Czy kluby sportowe, związki sportowe, stowarzyszenia i fundacje podlegają przepisom RODO? Przepis art. 3 ust. 2 pkt 2 (aktualnej) ustawy o ochronie danych osobowych (aktualnej) przewiduje, że „ustawę stosuje się również do (…) osób prawnych (…) jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych”. Przetwarzanie danych osobowych w celach niezarobkowych nie jest więc wystarczającym argumentem to stwierdzenia, że przepisów w zakresie ochrony danych osobowych nie stosuje się. Nie ma co ukrywać, że tematyka ochrony danych osobowych w wielu organizacjach traktowana jest „po macoszemu”.
RODO jako nowy akt prawny nie wprowadza zmiany co do zakresu podmiotowego podlegania przepisom z zakresu ochrony danych osobowych, tzn. nie wyłącza generalnie organizacji non-profit z tego zakresu. Niewątpliwie zasięg danych przetwarzanych przez organizacje pozarządowe (organizacje III-ego sektora / NGO) bywa niekiedy spory i może dotyczyć przykładowo takich zbiorów danych jak: członkowie (stowarzyszenia), zawodnicy, ich rodzice i opiekunowie (kluby sportowe, szkółki i akademie piłkarskie), adresaci działań pożytku publicznego (często dotowanych przez jednostki samorządu terytorialnego), kibice (lista mailingowa do newslettera), posiadacze karnetów meczowych, osoby wspierające (sponsorzy, partnerzy).
Jeśli chodzi o podstawowe obowiązki związane z ochroną danych osobowych, RODO (jako akt prawa UE) nie różnicuje również konieczności ich przestrzegania od „wielkości” danego podmiotu. Innymi słowy – czy chodzi o małe stowarzyszenie czy wielką korporację, to co do swojej istoty ich obowiązki będą takie same (co oczywiście nie znaczy, że wymagać one będą takich samych działań i kosztów). Każde państwo UE ma co prawda możliwość wprowadzenia pewnych wyłączeń od stosowania części zapisów RODO, ale możliwości te są mocno ograniczone.
Zarówno na gruncie obecnej ustawy o ochronie danych osobowych, jak i RODO, nie ulega wątpliwości, że klub sportowy jest administratorem danych osobowych (ustala cele i sposoby przetwarzania danych osobowych), jak również to, że przetwarza dane osobowe (chociażby zbiera, przechowuje, przekazuje itd.) – co najmniej w odniesieniu do takich kategorii danych jak wspomniano wyżej.
Administrator jest zobowiązany do prowadzania „rejestru czynności przetwarzania danych osobowych”. Obowiązek ten nie będzie miał zastosowanie do podmiotu zatrudniającego mniej niż 250 osób, chyba, że przetwarzanie może powodować „naruszenie praw i wolności”, albo „nie ma charakteru sporadycznego”, albo „dotyczy danych wrażliwych (np. danych o stanie zdrowia). Trudno przesądzić z całą pewnością czy ogólnie w przypadku klubów sportowych zachodzić będzie potrzeba prowadzenia takiego rejestru.
RODO wprowadza również obowiązek powołania „inspektora ochrony danych osobowych” w niektórych podmiotach. Kryteria tego obowiązku (których organizacji on dotyczy, a których nie) nie pozwalają na jednoznaczne wykluczenie klubów i związków sportowych z grona organizacji obciążonych takim obowiązkiem.
Rekomenduje się dokonanie przez kluby audytu w zakresie ochrony danych osobowych, gdyż to jest punktem wyjścia do ustalenia zakresu obowiązków, które trzeba będzie spełnić. Godzi się przypomnieć, że RODO wchodzi w życie 25 maja 2018 r. (niezależnie czy do tego dnia wejdzie w życie polska ustawa w tym zakresie oraz przepisy wykonawcze).
Paweł Sliwowski (radca prawny), Michał Gniatkowski (radca prawny)
ENGLISH
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (GDPR – in Poland known as „RODO”) is also applicable to NGOs – sports clubs (even at amateur level), associations, foundations. Polish Law does not provide for general exemptions for non-profit organizations.