Zarówno PZPN, jak i firma Less, która jest właścicielem portalu kupbilet.pl, dopuściły się nieprawidłowości podczas gromadzenia i przetwarzania danych osobowych osób składających zamówienia na bilety na mecze piłkarskich mistrzostwach Europy - wynika z raportu pokontrolnego Generalnego Inspektora Ochrony Danych Osobowych.
GIODO zarządził kontrolę, gdyż na stronie internetowej pojawiały się dane osób zalogowanych na portalu. Jak się okazało, nie zastosowano odpowiednich zabezpieczeń. Te uchybienia – jak przyznaje rzecznik prasowy Inspektora – zostały szybko usunięte.
Firma wyznaczona przez PZPN żądała od kibiców więcej danych, niż jest niezbędnych do losowania biletów. Całkiem niepotrzebnie pytano o numer NIP-u, dokładny numer dowodu osobistego. To są te dane, które nie zostały zaznaczone przez PZPN w umowie i w regulaminie i tych danych Less nie powinien zbierać - mówi Michał Serzycki.
Poza tym, przy logowaniu proszono o hasło, które zamiast 8 znaków – jak nakazują przepisy – składało się tylko z czterech.
Znacznie więcej zarzutów dotyczy Polskiego Związku Piłki Nożnej. Nieprawidłowa była m.in. forma pozyskiwania zgody na przetwarzanie danych tzw. przyjaciela, czyli drugiej osoby, dla której każdy składający zamówienie mógł się ubiegać o bilet. Taką zgodę musi wyrazić samodzielnie osoba, której dane dotyczą, a nie ktoś inny – wyjaśniła rzecznik GIODO.
Poza tym, PZPN zastrzegł, że udział w losowaniu mogą wziąć tylko te osoby, które wyraziły zgodę na przetwarzanie danych przez firmę Less. Związek, działając w ten sposób, ograniczał prawa osób zainteresowanych rezerwacją biletów do swobodnego dysponowania swoimi danymi. Wyrażoną w ten sposób zgodę określa się jako wymuszoną - zaznaczyła Małgorzata Kałużyńska-Jasak. Po losowaniu dane kibiców powinny natychmiast zostać skasowane, bo były zbierane tylko w tym celu. Generalny Inspektor Ochrony Danych Osobowych zapewnił, że zarówno PZPN, jak i Less będą jeszcze nieraz kontrolowane.
Za nieprawidłowość uznano także brak w umowie zapisów co do okresu i celu, w jakim firma Less może przetwarzać pozyskane dane osobowe. Wobec PZPN wszczęto już postępowanie administracyjne.