Związek Harcerstwa Polskiego udostępnił komercyjnemu bankowi dane osobowe ponad 80 tys. swoich członków – nie pytając ich o zgodę. Dostaną nowe legitymacje, które są jednocześnie pre-paidowymi kartami płatniczymi.
Złość i oburzenie – to uczucia, które zagościły w zgodnych na ogół szeregach druhów. Zapowiadają skargi do generalnego inspektora ochrony danych osobowych.
ZHP postanowił z przytupem wejść w erę nowoczesności i cyfryzacji. Powstała elektroniczna ewidencja członków związku, a pod koniec zeszłego roku jego władze zadecydowały, że przyszła pora na wymianę legitymacji harcerskich. Kilka dni temu harcerzom pokazano wzór nowych legitymacji. I mocno się zdziwili, gdy spostrzegli, że obok logo związku na plastikowym prostokąciku znalazły się dwa inne – operatora płatności elektronicznych Visa oraz mBanku.
Okazało się, że władze ZHP zawarły porozumienie z bankiem na wyrobienie nowych, spersonalizowanych legitymacji z funkcją karty prepaidowej. W tym celu ZHP udostępniło bankowi dane członków wpisanych do elektronicznej ewidencji – imiona, nazwiska i unikalne numery ewidencyjne ZHP – łącznie 82 tys. osób. Momentalnie wybuchła awantura. – Nikt nigdy nas nie zapytał, czy zgadzamy się na umieszczenie tych danych w elektronicznej ewidencji, ani tym bardziej, czy zezwalamy na ich udostępnianie podmiotom trzecim – denerwuje się członek ZHP proszący o zachowanie anonimowości.
Związek odpiera zarzuty. – Za pomocą tych danych nie można w szybki sposób zidentyfikować członków ZHP bez dodatkowych czynności, do których osoba z zewnątrz nie jest uprawniona. Nie są one zatem danymi osobowymi w myśl ustawy o ochronie danych osobowych – mówi Paweł Chmielewski z Głównej Kwatery ZHP. Twierdzi, że po naniesieniu informacji na karty dane zostaną usunięte z zasobów informatycznych banku. Niepotrzebna jest zgoda osób zainteresowanych, gdyż dane wykorzystywane są wyłącznie do realizacji celów określonych przez ZHP, którego członkami są te osoby.
Bank zawarł z ZHP umowę o wydanie kart pre-paid, które przez tę organizację są wykorzystywane także jako legitymacje członkowskie. Dlatego zostały one oznaczone imieniem, nazwiskiem oraz numerem ewidencyjnym członków ZHP. Powyższy zakres danych nie pozwala jednak na dokonanie przez bank identyfikacji harcerzy. Informuję, że mBank nie przetwarza danych osobowych posiadacza karty do momentu, gdy właściciel nie postanowi jej samodzielnie zarejestrować – poinformował nas bank.
Ale zdaniem GIODO taka zgoda była konieczna. Bo wszelkie informacje pozwalające nawet pośrednio zidentyfikować osobę zaliczane są do kategorii danych osobowych. W dodatku jeśli sprawa dotyczy harcerzy poniżej 16. roku życia, na przetwarzanie – a tym bardziej udostępnianie – ich danych osobowych potrzebna jest zgoda rodziców lub prawnych opiekunów.
Harcerze twierdzą, że udostępnianie na zewnątrz danych członków ZHP może być wręcz niebezpieczne. W szeregach związku są osoby, które pełnią służbę wojskową np. w Afganistanie. – Nie chodzi o inicjatywę władz ZHP, która jest dobra. – Problemem jest skandaliczny sposób jej wykonania – mówi jeden z harcerzy. Zapowiada, że wraz z innymi osobami złoży w tej sprawie skargę do GIODO.
Dr. Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych
Informacje, na podstawie których, nawet w sposób pośredni, można ustalić tożsamość konkretnej osoby, są uznawane za dane osobowe. Aby ich wykorzystywanie było legalne, podmiot nimi dysponujący, musi wykazać się podstawą prawną, która go do tego uprawnia.
Jeśli przynależymy do jakiejś organizacji bądź stowarzyszenia, np. ZHP, to przetwarzanie naszych danych osobowych przez tę instytucję na potrzeby jej statutowej działalności jest dozwolone. Godzimy się na to, przystępując do tej organizacji lub stowarzyszenia. Inaczej sprawa wygląda, gdy dane udostępniane są podmiotowi trzeciemu. Wówczas wymagana jest zgoda osób, których dane dotyczą, po uprzednim ich poinformowaniu, komu, w jakim celu i zakresie dane zostaną przekazane. Przy czym zgoda może być w każdym czasie odwołana.
Jednak trzeba pamiętać, że w przypadku harcerzy poniżej 16. roku życia, zgodę zarówno na przynależność do ZHP, jak i związane z tym przetwarzanie ich danych osobowych, w tym udostępnianie innym, muszą wyrazić rodzice lub opiekunowie prawni.