25. maist hakkas üle Euroopa kehtima isikuandmete kaitse üldmäärus, mis toob andmeid koguvatele ettevõtetele, teiste seas ka mittetulundusühingutele kaasa rea täiendavaid nõudeid. Ka spordiorganisatsioonid peavad end määrusega kurssi viima ning vajadusel oma tegevust nõuetele vastavuse tagamiseks ümber korraldama.
2014. aasta kevadel kiitis Euroopa Parlament heaks isikuandmete kaitse üldmääruse, millega asendati tänavu 25. maist senine andmekaitsedirektiiv. Kuna uus määrus on otsekohalduv, muutis see kehtetuks Eestis seni kehtinud isikuandmete kaitse seaduse. Siiski kehtivad vanast seadusest tuntud põhimõtted ka uues määruses enamjaolt edasi. Lisandub vaid andmete ülekantavuse nõue.
Uue regulatsiooni läbivaks põhimõtteks on printsiip, et täieliku vastutuse isikuandmete (kliendiandmete) töötlemise ja turvalisuse tagamise eest võtab vaid (spordi)organisatsioon teenusepakkujana, teisisõnu andmete kogujana. Kõik see tähendab, et teenusepakkuja peab lähtuma eesmärgipäraselt ning koguma vaid neid andmeid, mis tema poolt pakutava teenuse kvaliteedi tagamiseks on printsipiaalsed. Andmetöötlus peab mitte ainult olema, vaid ka näima kliendi jaoks läbipaistev, õiglane ja põhjendatud. Just sel põhjusel peavad isikuandmete töötlejad arvestama vaikimisi ja lõimitud andmekaitse üldpõhimõtteid.
Suurim sisuline muudatus puudutab andmete ülekantavust. See tähendab, et inimene võib võtta oma andmed organisatsioonist A ja viia need organisatsiooni B. Andmekaitse Inspektsiooni hinnangul peab iga organisatsioon esmalt enese jaoks selgeks tegema, milliseid andmed vajalikud on ning millistest põhimõtetest lähtuda. Üldiselt kehtib reegel, et mida tundlikumaid andmeid töödeldakse, seda rangemad on reeglid. Tundlikud andmed on seotud näiteks inimese tervisega. Organisatsioonid, kes tundlikke isikuandmeid ei töötle, oma töös olulisi muudatusi planeerima ei pea. Küll on vajalik klientidele tutvustada, millised on organisatsioonis rakendatavad isikuandmete kaitse põhimõtted ning kuidas andmeid töödeldakse. Kui andmeid jagatakse teenuse tagamiseks kolmandatele osapooltele (lepingulistele partneritele), siis tuleb sellest kliente teavitada. Näitena võib tuua spordiürituse korraldaja, kes ostab sisse ajavõtuteenuse ning volitab teenusepakkujat seeläbi kliendi andmeid töötlema. Tulemuseks on näiteks nimelise finišiprotokolli koostamine ja veebilehel avaldamine, mis on ka spordiüritust külastanud kliendi huvides.
Kuidas mõjutab uus direktiiv spordiorganisatsioone?
Kuna spordiorganisatsioonidki tegelevad kliendiandmete kogumisega, peavad sealsed juhid tähele panema, kuivõrd mõjutab kehtima hakanud direktiiv nende igapäevast elu. Kuna spordiklubid ja –koolid tegelevad treeningrühmadega ning korraldavad näiteks avalikke spordiüritusi, kogudes teenuse korraldamiseks seaduse mõistes isikuandmeid, on eeltoodut silmas pidades vajalik hästi läbi mõelda, kuidas teha parimaid pingutusi, et klientide andmed oleksid kaitstud.
Näiteid iskuandmete kaitse kohaldamisest organisatsioonides
Kosmeetikafirma Oriflame’i tingimused
Spordiüritusi korraldava Pärnu Kahe Silla klubi tingimused
Spordiüritusi korraldava Spordiürituste Korraldamise Klubi tingimused
Postituse foto: medium.com