Zásady správania SKGA a jej členov pri spracúvaní osobných údajov

Zásady správania Slovenskej golfovej asociácie a jej členov pri spracúvaní osobných údajov

Čl. I

Výklad pojmov a pôsobnosť

1. Tieto Zásady správania Slovenskej golfovej asociácie a jej členov pri spracovaní osobných údajov (ďalej len „Zásady“) upravujú podmienky spracovania osobných údajov dotknutých osôb, práv a povinnosti SKGA a klubov. SKGA ako národný športový zväz a kluby ako športové organizácie spracúvajú osobné údaje podľa osobitného predpisu, ktorým je zákon č.440/2015 Z.z. o športe, potrebné pre vedenie registra fyzických osôb v športe v informačnom systéme športu.

2. Na účely týchto Zásad sa rozumie:
3. a) GDPR – Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov);
4. b) zákon o ochrane osobných údajov – zákon č.18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov;
5. c) zákon o športe – zákon č.440/2015 Z.z. o športe a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov;
6. d) SKGA – Slovenská golfová asociácia o.z. so sídlom Kukučínova 26, 83102 Bratislava,

IČO: 50284363; SKGA je národným športovým zväzom podľa ust.§16 zákona o športe;

1. e) klub – členský subjekt SKGA (v zmysle stanov SKGA riadny člen SKGA alebo pridružený člen SKGA); klub je športovou organizáciou a športovým klubom podľa ust.§15 zákona o športe;
2. f) dotknutá osoba – fyzická osoba – hráč golfu, ktorý je členom klubu a individuálnym členom SKGA;
3. g) SOV – Slovenský olympijský výbor;
4. h) MŠ SR – Ministerstvo školstva, vedy, výskumu a športu Slovenskej republiky; MŠ SR spravuje a prevádzkuje informačný systém športu;
5. i) osobný údaj – všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osoby, najmä údaje uvedené v článku. 4 ods. 1. GDPR:
6. chránený osobný údaj – osobný údaj, ktorý nie je predmetom zverejnenia a údaj patriaci do osobitnej kategórie osobných údajov (vymedzenie čl. I. ods. 2. písm. j)), pre účely týchto Zásad sú takýmito údajmi najmä rodné číslo, dátum narodenia, bydlisko, číslo dokladu totožnosti, telefónne číslo, e-mailová adresa, fotografie alebo audiovizuálne záznamy;
7. ostatný osobný údaj – osobný údaj, ktorý SKGA zverejňuje na internetových stránkach www.skga.sk. Týmito údajmi sú meno, priezvisko, členské číslo v klube, členská príslušnosť ku klubu, handicap, handicap status, údaj o blokácii;
8. j) osobitná kategória osobných údajov (citlivý údaj) – údaj, ktorý vypovedá o národnostnom, rasovom alebo etnickom pôvode, politických postojoch, členstve v odborových organizáciách, náboženstve a svetonázore, odsúdení za trestný čin, zdravotnom stave, sexuálnom živote a genetický údaj; citlivým údajom je tiež biometrický údaj, ktorý umožňuje priamu identifikáciu alebo autentifikáciu subjektu údajov;
9. k) spracovanie osobných údajov – zhromažďovanie, ukladanie na nosiče informácií, sprístupňovanie, úprava alebo zmena, vyhľadávanie, používanie, odovzdávanie, šírenie, zverejňovanie, uchovávanie, výmena, triedenie alebo kombinovanie, blokovanie a likvidácia, ako aj ďalšie spôsoby spracovania uvedené v článku. 4 ods. 2. GDPR;
10. l) zoznam členov – ak vedie klub zoznam členov, jeho predpisy určia, ako vykonáva v zozname členov zápisy a výmazy týkajúce sa členstva osôb v klube.

3. Informačný systém športu je podľa zákona o športe informačným systémom verejnej správy, ktorého správcom a prevádzkovateľom je MŠ SR. Informačný systém športu tvoria tieto moduly: (a) register fyzických osôb v športe, (b) register právnických osôb v športe, (c) verejný portál informačného systému športu a (d) register odbornej prípravy športových odborníkov.

4. Povinné údaje sa do informačného systému športu zapisujú priamym vložením alebo automatickou synchronizáciou údajov v zdrojovej evidencii športovej organizácie s údajmi v informačnom systéme športu.

5. Do registra fyzických osôb v športe sa podľa zákona o športe zapisujú údaje o fyzických osobách, ktoré vykonávajú športovú činnosť ako (a) profesionálny športovec, (b) amatérsky športovec, (c) športový odborník podľa § 6 ods. 1 zákona o športe, (d) držiteľ športového poukazu.

6. O každej fyzickej osobe sa do registra fyzických osôb v športe zapisujú údaje uvedené v ust. §80 ods.2 až ods.7 zákona o športe.

7. Osobné údaje hráčov golfu získava každý klub a SKGA povinné osobné údaje odovzdávajú do informačného systému SKGA na ďalšie spracovanie.

8. Osobné údaje hráča golfu spracúva klub, pokiaľ ide o údaje jeho členov – fyzických osôb, a SKGA.

Čl. II

Účel spracovania osobných údajov

1. Prevádzkovateľ je pri spracovaní osobných údajov povinný stanoviť účel, na ktorý majú byť osobné údaje spracované.

2. SKGA spracováva osobné údaje na nasledujúce účely:
3. a) evidencia fyzických osôb v golfe, vrátane vedenia handicapového systému;
4. b) organizácia hry golfu;
5. c) spracovanie prihlášok, štartovných a výsledkových listín turnajov či súťaží;
6. d) tvorba rebríčkov;
7. e) zistenie výkonnosti hráčov;
8. f) spracovanie prehľadov členskej základne pre SOV, MŠ SR či pre iné orgány a organizácie, ktorých oprávnenie je dané zákonom;
9. g) spracovanie prehľadov pre orgány štátnej správy a samosprávy;
10. h) spracovanie na účely oprávnených záujmov SKGA.

3. Kluby spracúvajú osobné údaje na nasledujúce účely:
4. a) evidencia fyzických osôb v golfe (členov klubu);
5. b) spracovanie prihlášok, štartovných a výsledkových listín turnajov či súťaží;
6. c) organizácia hry golfu, vrátane handicapového systému;
7. d) tvorba rebríčkov;
8. e) zistenie výkonnosti hráčov;
9. f) spracovanie prehľadov členskej základne pre SOV, MŠ SR či pre iné orgány a organizácie, ktorých oprávnenie je dané zákonom;
10. g) spracovanie prehľadov pre orgány štátnej správy a samosprávy;
11. h) spracovanie na účely oprávnených záujmov klubu.

4. Dotknuté subjekty musia byť o spracovaní osobných údajov uvedených vyššie v ods. 2. a 3. výslovne informované spôsobom uvedeným v čl. IV týchto Zásad.

5. SKGA a kluby spracúvajú osobné údaje na základe zákona na účely, ktoré účastník nemôže odmietnuť, a to na zabezpečenie činností potrebných podľa zákona o športe, na vedenie evidencie dotknutých osôb, spracovania prehľadov pre orgány štátnej správy, spracovania prehľadov pre SOV, MŠ SR či pre iné orgány a organizácie, ktorých oprávnenie je dané legislatívou, na poskytovanie služieb, pre daňové a účtovné účely, a pod.

Čl. III

Práva a povinnosti subjektov

1. SKGA a kluby sú povinné:
2. a) spracovávať osobné údaje zodpovedajúce len určenému účelu a v rozsahu potrebnom pre naplnenie stanového účelu;
3. b) prijať opatrenia, aby nemohlo dôjsť k neoprávnenému alebo náhodnému prístupu k osobným údajom, k ich zmene, zničeniu či strate, neoprávneným prenosom, k ich inému neoprávnenému spracovaniu, ako aj k inému zneužitiu osobných údajov a viesť evidenciu bezpečnostných incidentov;
4. d) spracovať a dokumentovať prijaté a vykonané technicko-organizačné opatrenia na zabezpečenie ochrany osobných údajov;
5. e) zabezpečiť, aby zamestnanci a funkcionári klubov a SKGA, ako aj ďalšie osoby, ktoré v rámci plnenia svojich povinností prichádzajú do styku s osobnými údajmi dotknutých subjektov, si boli vedomí svojej povinnosti zachovávať mlčanlivosť o osobných údajoch a o bezpečnostných opatreniach, ktorých zverejnenie by ohrozilo bezpečnosť osobných údajov. Povinnosť mlčanlivosti trvá aj po skončení zamestnania či funkcionárskeho alebo obdobného vzťahu alebo príslušných prác;
6. f) za všetkých okolností s maximálnou pozornosťou a starostlivosťou dbať o dôsledné napĺňanie povinností podľa čl. 28 GDPR, najmä mať so spracovateľom údajov (napr. správcom servera) uzavretú písomnú zmluvu o spracovaní osobných údajov. V zmluve musí byť výslovne uvedené, v akom rozsahu, za akým účelom a na akú dobu sa uzatvára a musí obsahovať záruky spracovateľa o technickom a organizačnom zabezpečení ochrany osobných údajov;
7. g) uvádzať totožnosť a kontaktné údaje správcu údajov;
8. h) informovať zainteresované strany o existencii práva podať sťažnosť u dozorného úradu;
9. i) informovať dotknuté subjekty o skutočnosti, že poskytovanie osobných údajov je požiadavka zákonná a nie zmluvná (dotknutý subjekt je povinný údaje poskytnúť), a zároveň dotknuté subjekty informovať o možných dôsledkoch neposkytnutia týchto údajov.

Čl. IV

Informácia o spôsobe spracovania osobných údajov

1. Kluby majú v súlade s ustanovením čl. 13 a čl. 14 GDPR povinnosť poskytnúť informáciu o spôsobe spracovania osobných údajov dotknutých subjektov (žiadateľov / svojich členov).

2. Spracúvané chránené osobné údaje sú verejne neprístupnými údajmi, ktoré sú chránené heslom a sú poskytované len na účely klubovej evidencie a evidencie v rámci SKGA. Člen má právo kedykoľvek prekontrolovať svoje osobné údaje a požadovať od klubu ich opravu, ak nezodpovedajú pravde.

3. Všetky osobné údaje sú spracovávané v súlade s ustanovením §13 ods.1 písm. c) zákona o športe za účelom vedenia evidencie fyzických osôb v golfe a s tým súvisiacimi činnosťami, budú spracovávané v informačnom systéme SKGA a budú použité len na vymedzený účel. Osobné údaje budú spracovávané a uchovávané po dobu 5 rokov odo dňa, keď člen klubu prestane vykonávať činnosť, pre ktorú je evidovaný.

4. Dotknutá osoba má právo:

• mať prístup k svojim osobným údajom (čl. 15 GDPR),
• požadovať opravu osobných údajov (čl. 16 GDPR),
• na vymazanie jej osobných údajov bez zbytočného odkladu, ak sú dané dôvody podľa čl. 17 GDPR,
• na obmedzenie spracovania osobných údajov v prípadoch podľa čl. 18 GDPR,
• podať sťažnosť proti neoprávnenému nakladaniu s osobnými údajmi podľa čl. 77 GDPR u dozorného orgánu.

5. V prípade súčasných členov klubov, majú kluby povinnosť informovať členov v rozsahu uvedenom v ods. 2. tohto článku, a to na samostatnej listine alebo elektronicky na webovej stránke klubu.

6. Ak ide o dotknutú osobu mladšiu ako 16 rokov, klub má povinnosť informovať zákonného zástupcu dieťaťa o spracovaní osobných údajov.

7. SKGA a kluby prijmú primerané technické bezpečnostné opatrenia za účelom ochrany osobných údajov, napríklad :

• zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia);
• zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovacích jednotiek);
• šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí;
• identifikácia, autentizácia a autorizácia osôb v informačnom systéme;
• vytváranie záloh s vopred zvolenou periodicitou;
• bezpečné vymazanie osobných údajov z dátových nosičov;
• detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov;
• pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam).

8. SKGA a kluby prijmú organizačné bezpečnostné opatrenia, za účelom ochrany osobných údajov, napríklad :

• vymedzenie osobných údajov, ku ktorým má mať konkrétna osoba prístup na účel plnenia jej povinností alebo úloh;
• poučenie osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov);
• správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov);
• vzájomné zastupovanie osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia pracovného alebo obdobného pomeru);
• určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov).

9. SKGA a kluby sú povinné oznámiť Úradu na ochranu osobných údajov SR porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedeli; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.

10. Osobné údaje spracované v informačnom systéme SKGA bude spracovávané treťou osobou na základe zmluvy so SKGA.

11. Práva a povinnosti SKGA, klubov a dotknutých osôb, ktoré nie sú v týchto Zásadách výslovne upravené, sa riadia GDPR :

https://dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf

Tieto Zásady boli schválené prezídiom SKGA a nadobúda účinnosť dňom 25. mája 2018.

V Bratislave, dňa 22. mája 2018

JUDr. Tomáš Stoklasa, prezident SKGA