Imprezy masowe

Dane wykorzystywane podczas imprez masowych

GIODO kontrolował ośrodki sportu i rekreacji będące właścicielami stadionów, na których odbywają się imprezy masowe. Ośrodki te nie organizowały imprez masowych, natomiast udostępniały stadiony innym podmiotom, w większości klubom sportowym. Ustalono, iż stadiony, na których organizowane były mecze piłki nożnej, wyposażone były w elektroniczne systemy kontroli wstępu na te imprezy.

Obowiązek wyposażenia stadionów w powyższe systemy wynika z art. 13 ust. 2 ustawy z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych (Dz. U. Nr 62, poz. 504 z późn. zm.), zgodnie z którym stadiony, na których odbywają się mecze piłki nożnej, wyposażone są w systemy elektroniczne służące do identyfikacji osób, sprzedaży biletów, kontroli przebywania w miejscu i w czasie trwania meczu piłki nożnej, kontroli dostępu do określonych miejsc oraz weryfikacji informacji dotyczących osób objętych zakazem wstępu na imprezę masową (tzw. zakaz stadionowy), zakazem klubowym lub zakazem zagranicznym. Obowiązek powyższy ciąży na organizatorach imprez masowych – meczów piłki nożnej. W powyższych systemach przetwarzane są dane osobowe kibiców będących uczestnikami meczów piłki nożnej.

Jak ustalono, podmioty organizujące imprezy masowe – w tym mecze piłki nożnej – utrwalają przebieg organizowanych przez siebie imprez masowych za pomocą systemów monitoringu zainstalowanych na stadionach. Nagrania z systemu monitoringu zawierają zestawy informacji dotyczących uczestników imprez masowych tworzące zbiory danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Dostęp do tych danych był bowiem możliwy według czasu oraz miejsca nagrania.

Ponadto ustalono, że dane te są przetwarzane wyłącznie w celu wskazanym w art. 11 ust. 9 ustawy o bezpieczeństwie imprez masowych, tj. wykorzystania zarejestrowanego obrazu i dźwięku w postępowaniu dowodowym w stosunku do osób zakłócających porządek podczas imprezy masowej.

Identyfikacja kibiców – zakres zbieranych danych

Kibice są identyfikowani w systemach elektronicznych, o których mowa powyżej, na podstawie informacji zapisanych na elektronicznych kartach zbliżeniowych, tzw. kartach kibica. Karty kibica są zindywidualizowane, tzn. są przypisane do konkretnej osoby. Podczas wystawiania kart kibica niektóre podmioty pozyskiwały dane osobowe w szerszym zakresie (np. płeć, wykształcenie, stan cywilny, dzieci, status zawodowy, zainteresowania) niż wskazany w art. 13 ust. 4 ustawy o bezpieczeństwie imprez masowych. Zgodnie z art. 13 ust. 4 powołanej ustawy, zakres przetwarzanych danych identyfikujących osoby uczestniczące w meczu piłki nożnej obejmuje imię, nazwisko, numer PESEL oraz wizerunek.

Jak były wykorzystywane dane?

Ustalono też, iż pozyskane dane były wykorzystywane przez kluby sportowe także w celach marketingowych. Kontrole wykazały ponadto, iż na podstawie odrębnych umów zawartych pomiędzy bankami a organizatorami imprez masowych, karty kibica, jeżeli kibic wyrazi zgodę, mogą być wykorzystywane również w charakterze kart płatniczych. W związku z powyższym zaistniała wątpliwość, czy wyżej opisane praktyki są dopuszczalne w świetle przepisów o ochronie danych osobowych.

Jeśli jest zgoda posiadacza…

Po przeanalizowaniu zagadnienia uznano, iż przetwarzanie przez kluby sportowe, jako organizatorów imprez masowych, danych osobowych w celu marketingowym, jest dopuszczalne, o ile osoby, których dane są przetwarzane, wyraziły na to zgodę. Uznano również, iż wykorzystywanie karty kibica w charakterze karty płatniczej nie narusza przepisów o ochronie danych osobowych pod warunkiem, że kibic zawarł z bankiem umowę o prowadzenie rachunku bankowego.

Inne uchybienia

Większość organizatorów imprez masowych nie zgłosiła do rejestracji Generalnemu Inspektorowi zbiorów danych osobowych. Niektóre podmioty dokonały zgłoszenia kilku zbiorów danych na jednym formularzu zgłoszenia pomimo, iż zgodnie ze stanowiskiem Generalnego Inspektora na jednym formularzu zgłoszenia można dokonać zgłoszenia tylko jednego zbioru.  Sporadycznie zdarzały się przypadki, iż zastosowane przez podmioty kontrolowane formy pozyskiwania zgody na przetwarzanie danych osobowych użytkowników nie zapewniały swobody w ich wyrażeniu lub niewyrażeniu (art. 23 ust. 1 pkt 1 w zw. z art. 7 pkt 5 ustawy).

Aby zapoznać się z przepisami przejdź do naszej podstrony Ustawy i rozporządzenia.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2011.

Dalsze analizy przypadków już wkrótce!