De Algemene Verordening Gegevensbescherming (de “AGV”, ook bekend onder de Engelse afkorting “GDPR”) treedt op 25 mei 2018 in werking in de ganse Europese Unie.

De GDPR heeft een aantal consequenties voor elke organisatie die persoonsgegevens verwerkt. De begrippen “persoonsgegevens” en “verwerking” zijn zeer ruim gedefinieerd, zodat in feite bijna elke entiteit vroeg of laat met deze nieuwe regels geconfronteerd zal worden.

Ook sportclubs, sportfederaties en zelfs wedstrijdorganisatoren vallen onder het toepassingsgebied van de GDPR. Aangezien sportclubs en sportfederaties op velerlei wijze persoonsgegevens verwerken verwerken, denk maar aan leden- of deelnemerslijsten, of via databanken voor abonnementen- en ticketverkoop, is een bijzondere aandacht hiervoor aangewezen. Deze aandacht is des te meer gerechtvaardigd nu sportclubs en sportfederaties vaak werk met – 13 jarigen, hetgeen bijkomende verplichtingen met zich mee brengt.

De GDPR bouwt voort op de bestaande privacywetgeving, maar wijzigt deze ook substantieel. Een greep uit de belangrijkste verplichtingen onder de GDPR:

  • Elke sportclub of -federatie die persoonlijke gegevens laat verwerken door andere ondernemingen (bijvoorbeeld bepaalde IT-diensten, personeelsadministratie, bepaalde onderaannemers) is verplicht een schriftelijke overeenkomst af te sluiten (een zogenaamde verwerkingsovereenkomst) die conform is aan de GDPR en waarin de verplichtingen van deze dienstverlener, of onderaannemer met betrekking tot gegevensbescherming worden vastgelegd.
  • De vereisten voor een geldige toestemming van een individu voor het verwerken van zijn persoonsgegevens worden strenger;
  • Elke sportclub of -federatie die persoonlijke data verwerkt moet een intern register van haar verwerkingsactiviteiten bijhouden, moet een passend privacybeleid hebben en moet maatregelen implementeren die voldoen aan de beginselen van gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default).
  • Mogelijks dienen bepaalde sportclub of -federaties voorafgaandelijk aan welbepaalde nieuwe verwerkingen van persoonsgegevens een ‘Gegevensbeschermingseffectbeoordeling’ uit te voeren (Data Protection Impact Assessment – PIA);
  • Bepaalde organisatie zullen misschien ook verplicht een functionaris voor gegevensbescherming (Data Protection Officer) moeten aanstellen;
  • In bepaalde omstandigheden moeten lekken van persoonsgegevens binnen de 72 uur aan de bevoegde autoriteit (in België de Gegevensbeschermingsautoriteit) moeten gemeld worden.
  • Inbreuken kunnen worden bestraft met geldboetes (tot 20 miljoen euro ofwel 4% van de wereldwijde omzet);

De GDPR treedt zoals gezegd in werking op 25 mei 2018. Tot dan hebben organisaties de tijd om zich in regel te stellen met de GDPR.

De implementatie van al deze verplichtingen vereist evenwel de nodige tijd en aanpassingen binnen de sportclub, sportfederatie of wedstrijdorganisatie.

Wij raden alle sportclubs, federaties en organisatoren dan ook aan om dit thema zo snel mogelijk aan te pakken. Een eerste stap bestaat erin te (laten) analyseren welke persoonsgegevens er binnen uw club, federatie of organisatie worden verwerkt en welke verplichtingen dit voor uw club of federatie met zich zal meebrengen onder de nieuwe wetgeving.

Everest Sport kan uw bedrijf begeleiden bij de opmaak van een eerste analyse en een verdere implementatie van de verplichtingen.

Voor meer informatie en advies over de GDPR, aarzel niet om met ons contact op te nemen via ons  contactformulier, per e-mail (sport@everest-law.be) of telefonisch (09/334.94.70).