Współcześnie zawodowy sport to nie tylko rywalizacja, emocje i wypełnione po brzegi stadiony. To także coraz bardziej złożone organizacyjnie struktury, które w każdym aspekcie zbliżają się do funkcjonowania pełnoprawnych przedsiębiorstw. Dyscypliny zespołowe i indywidualne, począwszy od piłki nożnej, przez koszykówkę i siatkówkę, a kończąc na lekkoatletyce, prowadzą działalność, w której przetwarza się bardzo duże ilości danych osobowych. Organizowanie imprez masowych, obsługa sprzedaży biletów, prowadzenie komunikacji z kibicami, szeroko pojęte działania marketingowe, prowadzenie sklepów internetowych czy stosowanie monitoringu wizyjnego, to tylko część obszarów, w których pojawiają się obowiązki wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Zasadne jest więc postawienie pytania: czy kluby i związki sportowe rzeczywiście są na to gotowe?
Systemy biletowe i obowiązki wynikające z obowiązującego prawa
Dystrybucja biletów na organizowane wydarzenia wiąże się z wymogiem rejestracji danych osobowych kibiców. W wielu przypadkach, zwłaszcza przy obsłudze spotkań podwyższonego ryzyka, przetwarzane są nie tylko imiona i nazwiska wraz z danymi kontaktowymi, ale także numery PESEL oraz dane z dokumentów tożsamości. Wiąże się to z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, zwłaszcza w przypadku nieprawidłowego zabezpieczenia tychże danych lub ich udostępnienia nieuprawnionym podmiotom. Wyciek takiego zestawu danych mógłby skutkować poważnymi konsekwencjami, począwszy od kradzieży tożsamości po wykorzystanie danych do nieuczciwych celów. Kluby sportowe działają tu na podstawie Ustawy o bezpieczeństwie imprez masowych (Dz. U. 2009 nr 62 poz. 504), jednak zgodność z RODO wymaga spełnienia także innych warunków, tj. transparentności względem osób, których dane są przetwarzane, ograniczenia celu, minimalizacji przetwarzanych danych oraz wdrożenia i stałego monitorowania odpowiednich zabezpieczeń technicznych i organizacyjnych.
Dodatkowym obszarem ryzyka, które warto przy tej okazji przytoczyć, jest przetwarzanie danych po zakończeniu wydarzenia. Kluby, będące administratorami danych, muszą analizować, przez jaki okres czasu mogą przechowywać zebrane dane i czy okres ten wynika z przepisów obowiązującego prawa, czy też z uzasadnionych interesów administratora (przyp. art. 6 ust 1 lit. f RODO). Każdorazowe przetwarzanie danych na tzw. „wszelki wypadek”, bez ważnej podstawy, może zostać bowiem uznane za niezgodne z prawem. Brak polityki retencji danych lub jej nieprawidłowa implementacja może prowadzić do gromadzenia nieaktualnych, zbędnych informacji, które zwiększają zarówno ryzyko naruszenia ochrony danych, jak też koszty ich utrzymania (w tym zabezpieczenia).
Wyzwania w zakresie przetwarzania wizerunku dopingujących
Organizowanie masowych wydarzeń sportowych nierozerwalnie wiąże się z utrwalaniem wizerunku uczestników, tj. sportowców oraz, a może przede wszystkim, kibiców. O ile dokumentowanie przebiegu zawodów jest zgodne z przepisami prawa, o tyle dalsze wykorzystywanie zdjęć i nagrań (np. w mediach społecznościowych, reklamach czy na banerach reklamowych) może wymagać odrębnej podstawy prawnej – najczęściej zgody osoby, której wizerunek jest wykorzystywany (art. 6 ust. 1 lit a RODO). W praktyce powstaje więc pytanie, czy organizatorzy w wystarczającym stopniu analizują sposób pozyskiwania i dokumentowania tych zgód oraz czy stosują jasne zasady publikowania wizerunku kibiców, np. w mediach społecznościowych.
Wątpliwości zarządzających klubami może także rodzić stosowanie monitoringu wizyjnego na arenach sportowych. Wielu zarządców obiektów skupia się na funkcji prewencyjnej monitoringu, pomijając jednak obowiązki wynikające z RODO, takie jak ocena wpływu na prywatność czy zapewnienie adekwatności zasięgu kamer do celu przetwarzania. Choć jego cel – zapewnienie bezpieczeństwa – jest uzasadniony, to jego działanie musi być zgodne z obowiązującymi przepisami RODO. W praktyce oznacza to konieczność informowania o jego stosowaniu (przyp. chociażby w postaci piktogramów), ograniczania zasięgu stosowania oraz ograniczonego czasu przechowywania nagrań. Ważne jest tutaj sporządzenia oceny skutków dla ochrony danych (DPIA), gdy monitoring obejmuje dużą liczbę osób.
Wyzwania cyfrowej komunikacji – czyli promocja i marketing
Komunikacja z kibicami nie kończy się na hali czy stadionie. Kluby sportowe bardzo chętnie wykorzystują newslettery, kampanie e-mailowe i SMS-owe, by informować swoich sympatyków o nadchodzących wydarzeniach, promocjach czy nowościach w sklepie internetowym. Przetwarzanie danych w tym zakresie wymaga jednak uzyskania wyraźnych zgód, zgodnych z wymaganiami RODO i krajowej ustawy – Prawo Komunikacji Elektronicznej.
W praktyce, dla wielu podmiotów, wyzwaniem staje się prawidłowe konstruowanie zgód marketingowych, a także ich późniejsze dokumentowanie. Administratorzy nie mogą również zapominać o zagwarantowaniu osobom, których dane dotyczą łatwego wycofania udzielonych zgód. Niedopełnienie tych obowiązków może skutkować intensyfikacją ilości składanych skarg do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Jest to bardzo realne, bo jak wskazują statystyki, liczba składanych skarg wzrosła – rok do roku – o ponad 40 procent. Konsekwencją tego typu zgłoszeń może być interwencja organu nadzoru. Sektor sportu nie jest wyjątkiem i również tutaj możliwe są kontrole, decyzje administracyjne, a w skrajnych przypadkach także kary finansowe.
Dane wrażliwe w grze
W strukturze każdego profesjonalnego klubu znajdują się nie tylko kibice, ale też zawodnicy, trenerzy, fizjoterapeuci i personel administracyjny. Dane osobowe tychże osób, w szczególności informacje dotyczące stanu zdrowia, wyniki testów, dane o karach dyscyplinarnych czy też wysokości obowiązujących kontraktów, podlegają szczególnej ochronie. Przetwarzanie wskazanych kategorii danych musi opierać się na odpowiednich podstawach prawnych (m.in. przepisach prawa pracy, regulaminach ligowych, medycynie sportowej), których identyfikacja jest obowiązkiem klubów, a także być obwarowane surowymi zasadami bezpieczeństwa organizacyjnego i technicznego.
Kluby, reagując na wskazane wyzwania, powinny odpowiednio zarządzać polityką ochrony prywatności zawodników. Podobnie jak inni administratorzy danych, zobowiązane są przeprowadzać regularne audyty i zapewniać minimalizację dostępu do tzw. danych wrażliwych. Warto również zadbać o świadomość personelu pracującego z takimi informacjami, tak by każdy upoważniony pracownik wiedział, jak z nimi postępować. Nie każdy musi mieć wgląd we wszystko, stąd też kluby muszą odpowiednio zarządzać zakresem dostępów do danych. Przecież nawet przypadkowe ujawnienie informacji o kontuzji czy zapisów z kontraktu może wywołać spore zamieszanie w mediach, w szatni, a czasem też stanowić naruszenie, które należy zgłosić PUODO.
Kto strzela samobóje?
Współczesny sport zawodowy to dziedzina bardzo silnie uzależniona od danych. Przetwarzane przez kluby i związki dane stanowią zasób pozwalający na personalizację relacji z kibicami, lepsze zarządzanie organizowanymi wydarzeniami i skuteczniejsze działania promocyjne. Nie wolno jednak zapominać, że równocześnie są też źródłem potencjalnie poważnych ryzyk prawnych i wizerunkowych. Naruszenia na gruncie RODO mogą w skrajnych przypadkach skutkować dotkliwymi sankcjami finansowymi, odbić się negatywnym rozgłosem medialnym, a co za tym idzie nadszarpnięciem lub całkowitą utratą zaufania kibiców, sponsorów lub akcjonariuszy.
Kluby i organizacje sportowe powinny traktować zgodność z RODO nie jako kolejną formalność, ale jako część swojej strategii zarządzania. Szeroko pojęte bezpieczeństwo danych stanowi wartość dodaną każdego profesjonalnego podmiotu. Regularna analiza ryzyk, okresowy przegląd podstaw prawnych, podnoszenie świadomości personelu i przejrzysta komunikacja z kibicami to fundamenty nowoczesnego podejścia do ochrony danych w sporcie. Podsumowując więc warto pamiętać, że w „grze” o dane osobowe nie ma miejsca na błędy. Każdy z nich może zakończyć się „czerwoną kartką” od organu nadzorczego.
