GIODO zarządził kontrolę w PZPN i firmie Less sp. z o.o. w związku z nieuprawnionym udostępnieniem na stronie internetowej "kupbilet.pl" danych osób składających zamówienia na bilety na mecze polskich piłkarzy w Euro-2008.
"Dane wcześniej zalogowanych osób były widoczne, ponieważ, co ustalili kontrolerzy GIODO, nie zastosowano odpowiednich zabezpieczeń. Te uchybienia firma Less sp. z o.o. usunęła jednak dość szybko, jeszcze w trakcie procesu przyjmowania zgłoszeń" - powiedziała rzecznik prasowy GIODO Małgorzata Kałużyńska- Jasak, dodając że firma nie dopełniła również wymogów co do ilości znaków w hasłach niezbędnych do uwierzytelnienia użytkownika systemu.
"Wymagane hasło mogło zawierać cztery, a nie jak nakazują przepisy o ochronie danych co najmniej osiem znaków" - wyjaśniła.
Więcej zarzutów dotyczy PZPN. Nieprawidłowa była m.in. forma pozyskiwania zgody na przetwarzanie danych tzw. przyjaciela, czyli drugiej osoby, dla której każdy składający zamówienie mógł się ubiegać o bilet.
"Zgodę taką musi wyrazić samodzielnie osoba, której dane dotyczą, a nie ktoś inny" - dodała Kałużyńska-Jasak.
Według GIODO, PZPN jako administrator zbioru danych osób zainteresowanych nabyciem biletów na Euro-2008, nie powinien dopuścić do uzależnienia udziału w losowaniu wejściówek od wyrażenia zgody na ich przetwarzanie przez firmę Less, która dysponowała nimi jedynie na mocy umowy z PZPN.
"PZPN działając w ten sposób ograniczał prawa osób zainteresowanych rezerwacją biletów do swobodnego dysponowania swoimi danymi. Wyrażoną w ten sposób zgodę określa się jako wymuszoną, a to nie mieści się w ramach definicji zgody zawartej w ustawie o ochronie danych osobowych" - podkreśliła rzecznik GIODO.
Za nieprawidłowość uznano także brak w umowie zapisów co do okresu i celu, w jakim firma Less może przetwarzać pozyskane dane osobowe. "Nie dość, że firma Less w sposób nieuprawniony otrzymywała zgodę na przetwarzanie danych osób zainteresowanych nabyciem biletów na Euro-2008, to jeszcze zachodziła obawa, że firma Less będzie je przetwarzać także w innych celach i również po zakończeniu akcji związanej z piłkarskimi ME" - wyjaśniła Kałużyńska-Jasak.
W oparciu o te uchybienia zostało wszczęte postępowanie administracyjne wobec PZPN. "Po jego zakończeniu GIODO wyda decyzję administracyjną, która zawierać będzie nakaz usunięcie stwierdzonych uchybień" - zakończyła rzecznik prasowy GIODO.
"Do zarzutów GIODO ustosunkujemy się po otrzymaniu decyzji administracyjnej. Niektóre zalecenia zawarte w protokole z kontroli realizujemy na bieżąco" - powiedział PAP Marcin Krysiński prezes firmy Less sp. z o.o.
Proces przyjmowania zgłoszeń na bilety na mecze reprezentacji Polski w tegorocznych ME z puli, jaką PZPN otrzymał od organizatorów, zakończył się w niedzielę o północy. Kibice złożyli zamówienia na 1 106 583 bilety. Losowanie około ośmiu tysięcy kart wstępu, które PZPN przekazał do publicznej sprzedaży, zaplanowano na 14 marca.
ab, pap