Professionelle atleter formår i henhold til den givne lovgivning af få beskyttet navn, finansielle forhold og deres private liv.
Men hvad med beskyttelsen mod udnyttelsen af de oplysninger, som foreligger i form af konditionstal, træningsresultater eller deres performance i konkurrencerne?
Der er mange statistikker, der kan udledes af disse oplysninger, og sportsklubber benytter i stort omfang oplysningerne på deres atleter til at analysere atleternes performance og sundhed. Det er dog ikke her, at problematikken opstår.
Problemet opstår, når udefrastående virksomheder/bettingfirmaer aktivt overvåger oplysningerne og benytter disse til at opnå en økonomisk gevinst – og det er set gentagne gange over de seneste år.
Derfor har 850 fodboldspillere rejst spørgsmålet:
Er professionelle atleters performance resultater og sundhedsoplysninger beskyttet ved lov?
Gruppen af fodboldspiller går under navnet ”Project Red Card”, der er ledt an af Russell Slade, tidligere toptræner. Project Red Card søger nu økonomisk kompensation for handel med atleternes personlige data fra flere virksomheder.
Men besvarelsen af spørgsmålet er ikke kun relevant for Project Red Card, men også øvrige professionelle atleter inden for andre sportsgrene.
Manglende overholdelse af databeskyttelsesretten (GDPR)?
I henhold til databeskyttelsesretten (GDPR) vil atleters oplysninger være omfattet af definitionen af databeskyttelsesforordningens art. 4, hvorefter personoplysninger anses for enhver form for information om en identificeret eller identificerbar fysisk person.
Brugen af professionelle atleters oplysninger i form af deres præstationer og sundhedsdata er således omfattet af ”personoplysninger”, og med det samme eksterne virksomheder/bettingfirmaer bruger oplysningerne, skal databeskyttelsesretten (GDPR) overholdes, da der i så fald sker behandling af personoplysningerne.
Herefter er spørgsmålet, hvorvidt virksomhederne har haft den fornødne hjemmel til lovlig behandling af personoplysningerne – og i denne forbindelse er spørgsmålet, hvorvidt atleterne har givet det fornødne samtykke?
Behandlingshjemlen skal som udgangspunkt findes i art. 6 om almindelige oplysninger og art. 9 om følsomme oplysninger.
Det er ikke alene hjemlen til behandlingen af personoplysningerne, der skal foreligge, men derimod vil virksomhederne, som dataansvarlige, også være forpligtet til at sørge for, at de grundlæggende principper i databeskyttelsesretten tilgodeses. Disse er netop til for at beskytte atleterne, der i denne lovgivningsmæssig sammenhæng anses for værende de ”registrerede”.
Project Red Card stiller de samme spørgsmål:
Er databeskyttelsesretten (GDPR) overholdt – eller er der tale om en ulovlig behandling af de professionelle atleters personoplysninger?
Ud fra et databeskyttelsesretligt perspektiv er der flere argumenter for, at sagerne vil ende til fordel for de professionelle atleter. Dog afhænger besparelsen af spørgsmålet også af, hvad der særligt står i atleternes individuelle kontrakter om behandling af personoplysninger.
Sagen er rejst af Project Red Card – men udfaldet af sagen foreligger ikke endnu.