Aktualności

GIODO: Kluby bezprawnie gromadzą niektóre dane kibiców

News

GIODO: Kluby bezprawnie gromadzą niektóre dane kibiców

17 sierpnia 2011 o godzinie 11 odbyła się konferencja prasowa dra Wojciecha R. Wiewiórowskiego, Generalnego Inspektora Danych Osobowych. Składała się ona z dwóch części. W pierwszej Inspektor omówił wyniki kontroli w zakresie gromadzenia i przetwarzania danych osobowych przez wybrane kluby Ekstraklasy SA.

Wśród nich znalazła się również Legia. Druga odsłona spotkania dotyczyła zaś uwag GIODO w zakresie nowelizacji ustawy o bezpieczeństwie imprez masowych.

Minister Wiewiórowski uważa, że obowiązujące przepisy w zakresie gromadzenia i przetwarzania danych osobowych kibiców są uzasadnione, ale podkreśla przy tym, że powinny być poddawane permanentnej kontroli odpowiednich organów odpowiedzialnych za organizację rozgrywek – Ekstraklasy SA. i PZPN, a także organów państwowych – Policji, GIODO, a także Rzecznika Praw Obywatelskich.

Kontrola objęła sześć klubów Ekstraklasy i I ligi: Legię Warszawa, Polonię Bytom, ŁKS Łódź, Polonię Warszawa, Śląsk Wrocław i Górnika Zabrze. W jej efekcie wydane zostały pierwsze decyzje pokontrolne dotyczące trzech najczęściej powtarzających się problemów:

  1. Łączenie wniosku o wydanie karty kibica ze zbieraniem danych, które nie są związane z bezpieczeństwem imprez masowych. Najczęściej dotyczy to danych adresowych: miejsca zamieszkania, numeru telefonu, adresu e-mail. Pobieranie, gromadzenie i przetwarzanie tych danych bez zgody kibica stanowi naruszenie przepisów ustawy o ochronie danych osobowych, jak i ustawy o bezpieczeństwie imprez masowych. Zgoda kibica musi być wyraźnie wyróżniona od zbierania danych obowiązkowych i może być ona w każdym momencie odwołana. Dane, które jesteśmy zobowiązani udostępnić klubowi to: imię, nazwisko, PESEL i wizerunek twarzy. Na pozostałe musimy wydać zgodę.
  2. Kibice są zmuszani do obowiązkowego wyrażania zgody na przekazywanie danych osobowych do innych podmiotów, które nie są związane z bezpieczeństwem imprez masowych. Co więcej, przekazywanie takich danych następuje nie tylko do podmiotów wyraźnie określonych przez administratora, ale też do nieznanych kibicowi podmiotów trzecich. Tu też wymagana jest wyraźna zgoda kibica na przekazanie tych danych. Z reguły kluby przekazują te dane innym podmiotom w celach marketingowych (np. otrzymujemy oferty reklamowe na skrzynki e-mail)
  3. Brak wyraźnego poinformowania, kto jest administratorem danych osobowych, które są przekazywane podczas procesu wyrabiania karty kibica. Co do zasady są to kluby, ale powtarzają się przypadki, że klub powierza administrowanie tymi danymi innym podmiotom. Jeżeli pojawia się inny podmiot, to u GIODO rodzą się wątpliwości co do profesjonalizmu klubu – organizatora.

GIODO nie chciał ujawnić nazw klubów, co do których miał najwięcej zastrzeżeń. Podkreślił przy tym, że kluby mają duże problemy w zapewnieniu ochrony danych osobowych. Nie określają np. kto jest upoważniony do przetwarzania danych osobowych, nie mają polityki bezpieczeństwa danych osobowych, nie prowadzą prawidłowo ewidencji upoważnień, które są wydawane przez kluby piłkarskie. Powtarzają się także niedopuszczalne praktyki skanowania czy kserowania dokumentów tożsamości. Kluby mają też kłopot z zabezpieczeniem danych osobowych kibiców – przenoszą je między systemami informatycznymi bez żadnych zabezpieczeń.

Jeżeli zaś chodzi o zmianę ustawy o bezpieczeństwie imprez masowych, to GIODO poinformował, że zgłaszał szereg zastrzeżeń do rozwiązań proponowanych w projekcie przyjętym przez Sejm. Dopiero jednak w Senacie uwagi Inspektora zostały uwzględnione w sposób akceptowalny i senatorowie zgłosili poprawki do projektu, które Sejm będzie głosował w piątek. W skrócie: Minister uważał, że proponowane przez posłów zmiany w zakresie ochrony danych osobowych są niedostatecznie precyzyjne, a tym samym mogą prowadzić do naruszeń ustawy o ochronie danych osobowych.

GIODO zwrócił szczególną uwagę na tworzoną centralną bazę kibiców. W związku z tym, karty kibica staną się nośnikiem informacji, które same w sobie zawierają te dane, a ponadto poprzez karty przekazuje się dane do centralnego rejestru. Minister zapowiada więc, że będzie miał baczenie, by w bazie zamieszczane były jedynie dane obowiązkowe, które zostały wprowadzone przez ustawę o bezpieczeństwie imprez masowych, w tym również dane o zakazach stadionowych.

O ile GIODO nie ma zastrzeżeń co do zamieszczania w rejestrze informacji o zakazach wydanych przez sąd, to jego wątpliwości budzi wprowadzanie danych dotyczących klubowych zakazów stadionowych. Bo jeżeli klub wydał zakaz, który miałby dotyczyć tylko własnego obiektu, to nie wydaje się, by istniała potrzeba zgłaszania tego typu informacji do centrali. GIODO uważa wprawdzie, że takie rozwiązanie jest przydatne, ale nie ma pewności, czy jest ono zgodne z rozwiązaniami konstytucyjnymi.

GIODO zaapelował również do kibiców, byśmy zachowali czujność i nie bali się pytać o podstawę prawną, na jakiej zbierane są nasze dane osobowe. W przypadku uzasadnionego podejrzenia, że kluby bezprawnie wymuszają podanie danych osobowych, sugerował powiadamianie policji. Prosił też, by informować go o przypadkach naruszeń ustawy (np. gdy podmiot trzeci wszedł w posiadanie naszych danych osobowych), a w razie wątpliwości nawiązywać z nim kontakt i pytać o kwestie związane z gromadzeniem i przetwarzaniem naszych danych.