Dane z GPS i wearables – kto jest właścicielem Twoich statystyk? RODO, dostęp trenera vs prywatność zawodnika, komercjalizacja danych i ryzyko profilowania

Kiedy zawodnik zakłada kamizelkę GPS, opaskę monitorującą sen, pulsometr albo inny wearable, bardzo szybko pojawia się pytanie, które w praktyce jest ważniejsze niż sama technologia: czyje są te dane. Intuicyjna odpowiedź, że „to moje statystyki, więc są moje”, brzmi dobrze, ale w prawie ochrony danych sprawa wygląda subtelniej. RODO nie operuje kategorią własności danych osobowych w takim sensie, w jakim mówimy o własności rzeczy czy praw majątkowych. Operuje natomiast kategoriami administratora, podmiotu przetwarzającego i osoby, której dane dotyczą. Innymi słowy, dane z GPS i wearables nie są po prostu „własnością” klubu ani „własnością” zawodnika; są danymi osobowymi, a często także danymi szczególnej kategorii, wobec których trzeba ustalić, kto decyduje o celach i sposobach przetwarzania, na jakiej podstawie to robi i jakie prawa ma sam zawodnik. Jeżeli statystyki pozwalają zidentyfikować konkretną osobę albo odnoszą się do jej cech fizjologicznych, wydolności, zdrowia, obciążeń treningowych czy regeneracji, bardzo łatwo wpadają w obszar danych osobowych, a nierzadko także danych o zdrowiu, które podlegają podwyższonej ochronie na gruncie art. 9 RODO.

Z perspektywy klubu i sztabu szkoleniowego nie ma większego znaczenia, że dane powstają „na boisku”, „w hali” albo „w czasie pracy zawodnika”. To nadal dane osobowe, a ich przetwarzanie musi być zgodne z zasadami legalności, celowości, minimalizacji i ograniczenia przechowywania. UODO od lat podkreśla przy różnych formach monitoringu, że im bardziej ingerujący system nadzoru, tym poważniejsze musi być uzasadnienie jego stosowania, a zakres danych musi być adekwatny i ograniczony do tego, co rzeczywiście niezbędne. W realiach sportu oznacza to, że trener nie może zasłaniać się ogólnym hasłem „optymalizacji treningu”, jeśli klub zbiera wszystko, co da się zebrać: sen, tętno spoczynkowe, lokalizację poza treningiem, wahania masy ciała, poziom stresu czy historię mikrourazów, choć do prowadzenia jednostki potrzebuje tylko części tych informacji. Im bardziej system wchodzi w sferę prywatną zawodnika poza samym treningiem i meczem, tym trudniej obronić go bez precyzyjnego celu, dobrej podstawy prawnej i realnych zabezpieczeń.

Właśnie tu pojawia się pierwsze praktyczne napięcie: dostęp trenera versus prywatność zawodnika. Klub może argumentować, że bez danych z GPS nie da się zarządzać obciążeniem, ryzykiem urazu i powrotem do gry, a więc przetwarzanie jest uzasadnione organizacją procesu szkoleniowego i ochroną zdrowia sportowca. To często prawda, ale z punktu widzenia RODO sama użyteczność danych nie wystarcza. Trzeba jeszcze odpowiedzieć, kto naprawdę powinien mieć do nich dostęp i w jakim zakresie. Inne potrzeby ma pierwszy trener, inne trener przygotowania motorycznego, inne lekarz klubowy, a jeszcze inne dział skautingu czy zarząd. Zasada minimalizacji i ograniczenia dostępu oznacza, że pełne, surowe dane biomedyczne nie powinny automatycznie krążyć po całej organizacji tylko dlatego, że „mogą się przydać”. W szczególności dane zdrowotne wymagają bardziej rygorystycznego podejścia, a ich wtórne wykorzystanie do celów niezwiązanych bezpośrednio z opieką medyczną czy adekwatnym prowadzeniem procesu sportowego musi być oceniane ostrożnie.

W środowisku sportowym bardzo często popełnia się błąd przy podstawie prawnej. Kusi, by wszystko oprzeć na zgodzie zawodnika, bo to brzmi elegancko i „bezpiecznie”. Tymczasem europejskie i krajowe podejście do relacji podobnych do pracowniczych jest znacznie bardziej ostrożne. Jeżeli istnieje nierównowaga stron albo odmowa może w praktyce oznaczać gorsze traktowanie, zgodę trudno uznać za w pełni dobrowolną. Organ brytyjski ICO wprost wskazuje, że gdy monitoring zdrowia wynika z obowiązków organizacyjnych albo relacji podporządkowania, zgoda nie musi być właściwą podstawą, a administrator powinien rozważyć inne przesłanki legalności. W sporcie zawodowym ten problem jest jeszcze wyraźniejszy: zawodnik formalnie „wyraża zgodę”, ale wie, że brak wearables może być odczytany jako brak profesjonalizmu albo utrudnić rywalizację o miejsce w składzie. Dlatego bezpieczniejsze i uczciwsze jest budowanie modelu opartego na jasno zdefiniowanym celu, właściwej podstawie z art. 6 RODO oraz odrębnej przesłance dla danych szczególnej kategorii z art. 9 RODO, zamiast udawać, że podpis na formularzu rozwiązuje wszystko.

Drugim wielkim polem ryzyka jest profilowanie. Dane z GPS i wearables nie służą wyłącznie do opisu przeszłości; one coraz częściej służą do tworzenia profili zawodników, przewidywania ryzyka urazu, oceny zdolności wysiłkowej, kalkulowania „wartości sportowej”, planowania rotacji, a nawet podejmowania decyzji kontraktowych. RODO traktuje profilowanie bardzo serio, a EDPB od dawna podkreśla, że gdy profilowanie prowadzi do decyzji wywołujących istotne skutki wobec osoby, wchodzą w grę dodatkowe gwarancje z art. 22 RODO. W praktyce oznacza to, że klub nie powinien doprowadzić do sytuacji, w której system analityczny albo model AI de facto „decyduje” o odsunięciu zawodnika, obniżce wynagrodzenia, nieuwzględnieniu go w kadrze czy braku przedłużenia kontraktu bez realnej, ludzkiej oceny i możliwości zakwestionowania takiej oceny. Nawet jeśli formalnie decyzję podpisuje człowiek, ale faktycznie bezrefleksyjnie powiela scoring z systemu, ryzyko naruszenia rośnie.

Do tego dochodzi komercjalizacja danych. Dane wydolnościowe i trackingowe mają dziś wartość rynkową: dla sponsorów technologicznych, producentów urządzeń, dostawców platform analitycznych, firm bukmacherskich, mediów, a czasem również dla podmiotów zajmujących się scoutingiem i wyceną talentów. Prawnie nie oznacza to jednak, że klub może dowolnie „sprzedawać statystyki”, skoro sam finansuje infrastrukturę. Jeżeli dane są danymi osobowymi, ich dalsze wykorzystanie do celów marketingowych, komercyjnych albo produktowych wymaga odrębnej analizy zgodności celu, przejrzystości wobec zawodnika i odpowiedniej podstawy prawnej. Szczególnie ostrożnie trzeba traktować sytuacje, w których dane są udostępniane partnerom technologicznym lub transferowane poza Europejski Obszar Gospodarczy, bo wtedy obok kwestii celu pojawiają się jeszcze obowiązki związane z rolami stron, umowami powierzenia i transferami międzynarodowymi. Sam fakt, że wearable pochodzi od renomowanej marki, nie zwalnia klubu z odpowiedzialności za to, co dzieje się z danymi później.

Z punktu widzenia zawodnika najważniejsze jest to, że nie jest on biernym „źródłem danych”. RODO daje mu realne prawa: prawo dostępu do własnych danych, prawo do sprostowania, a w określonych warunkach także prawo do przenoszenia danych. Komisja Europejska i EDPB przypominają, że osoba może żądać otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, jeśli przetwarzanie odbywa się zautomatyzowanie i opiera się na zgodzie lub umowie. W sporcie może to mieć duże znaczenie przy zmianie klubu albo przy sporze z dotychczasowym pracodawcą: zawodnik może chcieć zabrać ze sobą historię obciążeń, parametry treningowe i dane z regeneracji do nowego sztabu. To jednak nie oznacza automatycznie, że wszystko da się przenieść w każdej sytuacji i w każdym zakresie, bo część analiz może być już pochodną pracy klubu, modelem scoringowym albo wewnętrznym know-how. Granica między „Twoimi danymi” a „cudzą warstwą analityczną” bywa jednym z najtrudniejszych zagadnień praktycznych.

Klub, który chce działać bezpiecznie, powinien także pamiętać o DPIA, czyli ocenie skutków dla ochrony danych. Monitoring biometryczny, ciągłe śledzenie parametrów fizjologicznych, wykorzystywanie systemów scoringowych i łączenie wielu strumieni danych o zawodniku to klasyczny przypadek przetwarzania mogącego powodować wysokie ryzyko dla praw i wolności osób. Organy ochrony danych od lat wskazują, że zaawansowany monitoring, przetwarzanie danych wrażliwych i profilowanie to typowe sytuacje, w których DPIA nie jest luksusem, tylko obowiązkiem. W świecie sportu to szczególnie ważne, bo szkoda po stronie zawodnika nie musi ograniczać się do „naruszenia prywatności” w abstrakcyjnym sensie. Wyciek albo nadmierne wykorzystanie takich danych może wpływać na pozycję negocjacyjną przy kontrakcie, ocenę rynkową, zainteresowanie transferowe, a nawet na zdrowie psychiczne zawodnika, który czuje się stale obserwowany i oceniany.

Odpowiedź na pytanie, kto jest właścicielem Twoich statystyk, brzmi więc mniej efektownie, ale prawnie uczciwiej: nikt nie „posiada” ich w prostym sensie własnościowym, za to ktoś nimi administruje, ktoś je przetwarza, a zawodnik pozostaje osobą, której dane dotyczą i której prawa nie znikają dlatego, że dane powstały w klubowym ekosystemie. Trener ma prawo do informacji potrzebnych do prowadzenia procesu sportowego, ale nie do nieograniczonego wglądu w całe życie fizjologiczne zawodnika. Klub może korzystać z technologii, ale nie może traktować wearables jak prawnego wytrychu do pełnej inwigilacji. Partner komercyjny może widzieć w danych wartość, ale nie może dostawać ich „przy okazji”, bez transparentności i właściwej podstawy. Im nowocześniejszy sport, tym ważniejsze staje się dobre uporządkowanie tych ról, celów i granic.

Właśnie dlatego dobrodziejstwo współpracy z kancelarią prawa sportowego w takich sprawach jest bardzo konkretne. Dobra kancelaria nie zatrzymuje się na ogólnym stwierdzeniu, że „trzeba mieć zgodę i politykę prywatności”, tylko buduje realny model zgodności dla klubu, związku albo akademii. Pomaga ustalić, które dane z GPS i wearables są rzeczywiście niezbędne, jaką podstawę prawną przyjąć dla poszczególnych celów, jak rozdzielić dostęp trenera, sztabu medycznego i działu zarządzającego, jak opisać retencję danych oraz jak zabezpieczyć transfery do dostawców technologii. Przygotowuje DPIA, klauzule informacyjne, umowy z vendorami i procedury realizacji praw zawodników, ale równie ważne jest to, że umie przełożyć język RODO na język szatni i działu performance. Dzięki temu klub nie tylko ogranicza ryzyko kary administracyjnej czy sporu z zawodnikiem, ale też buduje zaufanie, bez którego żadna analityka sportowa nie działa dobrze. W sporcie dane są paliwem przewagi, ale tylko wtedy, gdy korzysta się z nich legalnie, proporcjonalnie i z szacunkiem dla człowieka, którego ciało zamienia się w wykres.