Főoldal/Szakértő/Sportegyesületek és a GDPR

Dr. Horváth Katalin LL.M. adatbiztonsági és adatvédelmi szakjogásszal beszélgettünk arról, hogy mire kell figyelnie egy sportegyesületnek, ha szeretne megfelelni a GDPR törvényben előírtaknak.

GDPR és adatkezelés a gyakorlatban

Három éve lépett hatályba az Európai Unió általános adatvédelmi rendelete, a GDPR. Szakmabeliként hogy látod, mennyire sikerült az embereknek alkalmazkodni az előírásokhoz?

Sajnos még mindig elmondható, hogy sokan nem veszik komolyan ezt a kérdést. Ennek egyrészt oka lehet a tájékozatlanság, vagyis hogy nem ismerik a jogszabályokat, amiknek meg kellene felelniük, nem értik meg, hogy adatkezelővé válhatnak mások személyes adatainak a birtokában, másrészt azt gondolják, hogy őket úgysem éri el a baj.

Milyen adatok kezelése merülhet fel egy sportegyesület kapcsán?

Egy sportegyesületnél gyermekadatokat is kezelhetnek, ezért fontos tudni, hogy a 16 éven aluliak esetében az adatok kezeléséhez a törvényes képviselő hozzájárulása is szükséges. A személyes alapadatokon kívül (név, lakcím, születési adatok, telefonszám) olyan különleges adatokat is kezelhetnek, mint például a sportorvosi vizsgálatok, esetleges sportsérülések eredményei, amik egészségügyi adatnak minősülnek, ezáltal védelmükre különösen figyelni kell. Számolni kell a különböző adattovábbításokkal is például egy versenynevezés esetén.

Honnan kellene tájékozódnia a sportegyesületnek, ha nem tudja, hogy pontosan milyen előírásoknak kell megfelelnie?

A GDPR egy általános rendelet, ami a kereteket jelöli ki, de léteznek olyan ágazati jogszabályok, mint például a Sporttörvény, ami előírja a sportegyesületek számára vonatkozó adatkezelési kötelezettségeket, de az egyes sportszövetségek szabályzatai is ide sorolhatók.

Szabályozandó területek

Melyek azok a legfontosabb területek, amelyeket mindenképpen szabályoznia kell a sportegyesületnek?

E-mail és facebook csoportok

Szinte kivétel nélkül minden egyesület használ valamilyen felületet arra, hogy tájékoztassa a sportolókat, szülőket az aktuális tudnivalókról. Mit kell tudni ezekről a zárt e-mail- és facebook csoportokról?

Köre-mailek esetén javasolt, hogy titkos másolatban küldjük el az érintetteknek a levelet, vagy hozzunk létre olyan e-mail csoportot, ahol a tagok nem láthatják egymás e-mailcímét. Sokan élnek a facebook csoportok adta lehetőséggel is, talán ezen a felületen a legkönnyebb tájékoztatni a szülőket. Ebben az esetben különösen figyeljünk arra, hogy az internetes profil mögött, de akár egy e-mailcím mögött is, soha nem tudhatjuk, hogy ki áll valójában.

Fontos az Adatvédelmi szabályzatban rögzíteni és a tagok figyelmét különösen felhívni arra, hogy a zárt csoportokba kikerülő fényképek a rajta szereplő érintettek engedélye nélkül nem oszthatók tovább. Megtörtént eset, hogy egy családon belüli erőszak miatt védelembe vett anyukát és kisgyermekét egy Facebookra jogosulatlanul feltöltött kép miatt talált meg az erőszakot elkövető apuka.

Soha nem tudhatjuk, hogy a másik szülő miért nem járul hozzá ahhoz, hogy a gyermekéről fényképek készüljenek és kerüljenek megosztásra, de értsük meg, hogy mindenkinek joga van ezt megtiltani és ezt tiszteletben kell tartani.

személyes adatok védelme
Biztonságos adattárolás

Van-e arra vonatkozó előírás, hogy hogyan kell tárolni az adatokat?

Azt írja a GDPR, hogy az adatkezelőnek megfelelő technikai és szervezési intézkedésekkel kell védenie a rábízott személyes adatokat. Ez történhet számítógépes rendszeren, ebben az esetben megfelelő vírusvédelmet kell kialakítani, akár VPN-t alkalmazni, hogy ne férjenek hozzá illetéktelenek.

A papír alapú tárolással sincsen gond, de akkor azokat egy kulccsal zárható szekrényben vagy fiókban minden egyes alkalommal el kell zárni. Ha történik egy betörés és hozzáférhető helyen elöl maradtak személyes adatokat tartalmazó iratok, az adatvédelmi incidensnek számít, mert nem bizonyítható, hogy a behatolók nem nézték át az iratokat, ilyen jellegű incidens miatt már volt eljárás a Hatóság előtt.

Mi a teendő adatvédelmi incidens esetén?

Ilyen esetekben az adatkezelőnek 72 órán belül intézkednie kell. Az adott incidens súlyosságától függ, hogy elég-e egy belső nyilvántartásba venni, vagy bizony ,,önfeljelentést” kell tenni, és a Hatóság felé bejelenteni, valamint az érintetteket minden esetben haladéktalanul tájékoztatni kell. Én azt tanácsolom, hogy jobb bejelenteni, mert ha utólag kiderül, hogy mégis nagyobb volt az incidens, mint gondoltuk, komoly baj származhat belőle. Az incidens kezelésére legjobb, ha szakembert kérünk meg. Sportegyesületeknél nem hátrány, ha van egy adatvédelmi tisztviselő, aki az ilyen esetekben segítséget tud nyújtani.

bírói kalapács

Reméljük, sok hasznos információt nyújtottunk ebben az interjúban és megvilágítottunk néhány homályos területet az adatkezelés terén. Ha úgy érzitek, hogy hiányos az egyesületetek adatkezelési gyakorlata és szükségetek lenne szakmai segítségre, a hiányzó dokumentumok elkészítésére, forduljatok bizalommal dr. Horváth Katalin LL.M. adatbiztonsági és adatvédelmi szakjogászhoz a drhorvathkatalin@hadatvedelem.com vagy a 06307996980 elérhetőségek valamelyikén.

A SportSupport blogon számos, hasonlóan informatív cikk várható a jövőben. Kövessétek facebookon, vagy iratkozzatok fel a hírlevélre.