GIODO bada sprawę przekazania bankowi danych harcerzy
GIODO sprawdza, czy doszło do naruszenia prawa podczas przekazania danych harcerzy ZHP jednemu z komercyjnych banków. Dane zostały wykorzystane do wyrobienia nowych legitymacji członkowskich, które mogą pełnić także funkcję kart pre-paid.
"Rozpoczęliśmy postępowanie w tej sprawie z urzędu. Na podstawie znanych nam faktów, uchwał Głównej Kwatery ZHP i stosownych regulaminów mBanku nie mamy wątpliwości, że doszło do przekazania danych osobowych podmiotowi zewnętrznemu. Nie wiemy natomiast, czy była do tego podstawa prawna i czy zachowano inne zasady wynikające z ustawy o ochronie danych osobowych" - napisał w oświadczeniu przekazanym w piątek PAP Generalny Inspektor Ochrony Danych Osobowych Wojciech Wiewiórowski.
Podkreślił, że te kwestie wyjaśni postępowanie. "Na razie nie mamy podstaw do stwierdzenia, że nastąpiło naruszenie prawa, ale oczywiście w tym przypadku postępowanie z urzędu wszczęliśmy w związku z podejrzeniem naruszenia przepisów" - dodał.
Główna Kwatera ZHP informuje, że proces wydawania kart został przygotowany i przebiega z zachowaniem bezpieczeństwa danych osobowych członków ZHP.
"Związek Harcerstwa Polskiego zgodnie z ustawą o ochronie danych osobowych ma prawnie usprawiedliwiony cel ewidencjonowania danych swoich członków, a fakt wstąpienia do organizacji łączy się z przekazaniem danych osobowych niezbędnych do prowadzenia działalności statutowej ZHP" - zaznacza. Podkreślono, że BRE Bank SA (mBank to część BRE Bank SA) - odpowiedzialny za wykonanie i obsługę kart - nie posiada dostępu do systemu: Ewidencja ZHP.
Zaznaczono, że ZHP, aby wygenerować legitymacje członkowskie, wprowadził do systemu personalizacji kart imię i nazwisko oraz przekazał numer ewidencyjny ZHP. "Związek Harcerstwa Polskiego nie ma narzędzi informatycznych i koniecznego sprzętu, by wykonać takie karty samodzielnie. Tym samym zawsze musiałby zlecać taką usługę zewnętrznemu podmiotowi i do tego celu na czas niezbędny do wytworzenia kart musiałby powierzyć mu imię i nazwisko oraz numer ewidencyjny członka ZHP" - podkreślono.
Główna Kwatera ZHP informuje, że po wyprodukowaniu kart bank będzie prowadził jedynie rejestr numerów wydanych kart, bez informacji o ich użytkownikach. "Z punktu widzenia banku karta jest instrumentem pieniądza elektronicznego wydawanym na okaziciela" - podano.
Podkreśla także, że karta członkowska ZHP będzie głównym dokumentem potwierdzającym członkostwo w ZHP. "Wydawane karty mają przede wszystkim charakter legitymacji harcerskiej, natomiast funkcja płatnicza jest opcją dodatkową, która w momencie doręczenia karty harcerzom nie jest aktywna, a korzystanie z niej nie jest obowiązkowe" - podano.
Rzecznik prasowy mBanku Krzysztof Olszewski w oświadczeniu podkreślił, że bank zawarł z ZHP umowę o wydanie kart pre-paid, które przez tę organizację są wykorzystywane także jako legitymacje członkowskie, dlatego zostały one oznaczone imieniem, nazwiskiem oraz numerem ewidencyjnym członków ZHP. "Powyższy zakres danych nie pozwala jednak na dokonanie przez bank identyfikacji harcerzy" - wyjaśnił.
Zaznaczył także, że mBank nie przetwarza danych osobowych posiadacza karty do momentu, gdy właściciel nie postanowi jej samodzielnie zarejestrować.
W czwartek "Dziennik Gazeta Prawna" poinformował, że ZHP udostępnił komercyjnemu bankowi dane osobowe 82 tys. swoich członków, nie pytając ich o zgodę. Dziennik podał, że w tym celu bankowi udostępniono dane członków związku wpisane do elektronicznej ewidencji. Według gazety druhowie zapowiadają skargi do generalnego inspektora ochrony danych osobowych.
