Untold 2019. Nespus de multe date personale colectate de organizator ajung la contractorii acestuia

În 2019, pentru a intra la concertele organizate în cadrul Untold, posesorilor de bilete le sunt, în continuare, scanate actele de identitate, atunci când li se permite intrarea în spațiul de desfășurare al evenimentului.

În cazul acestui tip de check-in, Untold permite partenerului său Festipay Zrt, o companie din Ungaria, dar și contractorilor acesteia, să colecteze datele participanților la festival. 

În plus față de anii trecuți, în 2019 participanții își pot face check-in-ul online pe site-ul sau aplicația Untold dedicate, însă aici spectatorii trebuie să încarce o fotografie proprie pentru a finaliza procedura. 

Altfel spus, datele din buletin și imaginile participanților sunt asociate pentru a intra la un festival de muzică.

În 2017, organizatorii Festivalului Untold au fost amendați cu 7.500 lei de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Amenda a fost aplicată pentru prelucrarea nelegală a datelor personale din actele de identitate ale participanților la festival, inclusiv prin scanarea actului de identitate.

Autoritatea a considerat că această prelucrare a fost o măsură excesivă în raport cu scopul în care s-a realizat, respectiv, asigurarea accesului în incinta festivalului. 

Anul trecut, organizatorii au raportat un număr de 355.000 de participanți. Asta înseamnă o bază de date enormă, de dimensiunile populației unui oraș mare din România, ale căror informații personale, imagini și date bancare pot fi conexate de către un operator privat. 

„Operatorul prelucrează datele tale de identificare și de contact pentru scopul verificării și accesului în incinta Untold Festival, al evitării fraudelor și pentru scopul logării pe site. 

Operatorul prelucrează fotografia ta de profil în contextul asigurării accesului la Untold Festival, pentru a evita fraudele. Astfel, fotografia ta este afișată pe un ecran atunci când intri în zona de desfășurare a Untold Festival, iar partenerul nostru însărcinat cu asigurarea accesului poate verifica persoanele care intră în zona de desfășurare a Festivalului (…)

Datele privind sexul, data nașterii, țara și orașul de proveniență colectate prin intermediul site-ului sau la check-in-ul on-site (în cazul în care nu ți-ai făcut check-in-ul online) sunt utilizate și pentru scopuri statistice, astfel ca Operatorul să analizeze comportamentul persoanelor care participă la Untold Festival”

Disclaimer-ul publicat de organizatori

Ce date prelucrează, totuși, Untold? 

Suntem informați în același disclaimer: nume, prenume, data nașterii, sexul, adresă de e-mail, număr de telefon, parolă, fotografie de profil, țara și orașul din care provii, numărul biletului. 

Într-un video explicativ în care spectatorii sunt învățați cum să folosească check-in online, se specifică în clar faptul că fotografia care trebuie încărcată pe site-ul sau aplicația Untold nu joacă rolul unei simple poze de profil.

„Uploadează poza ta, astfel încât să se poată distinge ușor fața, apoi completează cu atenție câmpurile indicate”, se spune în video.

Imaginea încărcată trebuie, așadar, să fie standard, de buletin cum se spune, ca să permită identificarea persoanei. La intrare, când participantului i se scanează brățara de acces, pe ecranul operatorului apare fotografia acestuia.

Folosind același id de festival, care procesează deja cărțile de identitate și imaginile utilizatorilor, participanții pot transfera bani pe brățara electronică de festival, pentru a putea efectua plăți în incinta festivalului. Asta înseamnă că și conturile persoanelor sunt asociate profilului. 

Dacă accesezi butonul online check-in&top-up, Operatorul informează că va prelucra date agregate „pentru a analiza preferințele participanților la Untold Festival” și că nu „realizează profiluri individuale ale participanților la Untold Festival”.

Ce spun participanții

I.B., participant Untold 2019

„Poți face check in online sau direct la vânzătorii autorizați de bilete. În ambele cazuri, poza ta e asociată cu biletul. Ți se scanează brățara când intri, cu telefonul, iar pe telefonul lor apare fotografia ta.

Nu știu să fi semnat că sunt de acord cu procesarea acestor date. Am bifat că sunt de acord să îmi trimită e-mailuri, posibil să fi fost și un acord, nu mai știu. Eu mi-am cumpărat biletul de la Orange, mi-am încărcat singur poza de profil pe site și apoi am mers cu buletinul și biletul ca să-mi iau brățara„.

Ana, participant Untold 2019

„Nu am datele legate de check-in, că vara mea a luat biletele. Pe aplicație am completat nume și vârstă și poză. Nu am citit termenii și condițiile, iar poza e pentru a se evita transferul de brățară, cred„. 

Mădălina, participant Untold 2019

„Mi-a scanat buletinul, dar nu mi-a făcut poză. Dacă faci check-in online sigur se cere poză apoi ridici brățara cu buletinul. Dar oricum, sigur ai semnat undeva că ești de acord cu toate condițiile”.

Daniel, participant Untold 2019

„Eu am avut o invitație. Mi-au scanat buletinul, mi-au dat brățara. Era acolo un device special pentru asta.

N-a trebuit să semnez nimic, nu mi s-a cerut acordul, când am intrat mi-au scanat brățara cu telefonul, sunt acei copii la intrare, care pun camera telefonului pe brățară și le dă un cod, și pe ecran le generează ceva, e o întreagă discuție aici, chiar vorbeam cu un prieten.

Eu am plătit spațiul meu în acel festival, timp de 96 de ore e al meu. E spațiul plătit de mine. De ce nu pot da spațiul plătit de mine, altcuiva, de exemplu? Pentru că eu, să spunem, nu mai pot ajunge. 

Nu pot dispune de un patrimoniul de-al meu, nu-mi pot exercita drepturile. Nu pot dispune de banii pe care îi am depuși pe brățară și așa mai departe„

Cui sunt divulgate aceste date personale?

Efortul de colectare a datelor este considerabil, iar informațiile privind stocarea acestora sunt neclare și contradictorii.

Organizatorii susțin că „partenerul” însărcinat cu asigurarea accesului în spațiul Untold Festival va șterge datele în termen de 72 de ore de la data închiderii Festivalului.

Nu se specifică și ce se întâmplă cu datele care au fost transmise „partenerilor contractuali”.

Citind în continuare, aflăm că organizatorii vor „păstra datele cu caracter personal pentru o perioadă rezonabilă de timp, calculată în funcție de scopul pentru care prelucrăm datele„.

„Stocăm datele tale cu caracter personal pe serverele noastre din România, însă vom putea să le stocăm pe platforme cloud operate de furnizori de servicii cloud din Uniunea Europeană.

Operatorul va putea de asemenea să transmită datele partenerilor contractuali, în scopul realizării scopurilor prezentate mai sus, dar numai în temeiul unui angajament de confidențialitate din partea acestora, prin care garantează că aceste date sunt păstrate în siguranță și că furnizarea lor se face conform legislației în vigoare (furnizori de servicii de marketing, curierat, servicii de plată, servicii bancare, telemarketing sau alte servicii, asigurători”

Organizatorii Untold 2019

Ce spune Regulamentul General privind Protecția Datelor cu Caracter Personal (GDPR)?

În teorie, GDPR este foarte clar și spune că prelucrarea de date este necesară în următoarele situații: atunci când se pune în executare un contract la care persoana vizată este parte, pentru îndeplinirea obligațiilor legale, pentru protecția intereselor vitale ale persoanei și pentru îndeplinirea unei sarcini care servește unui interes public.

În cazul participării la un concert sau o serie de concerte, relația contractuală poate fi considerată încheiată în momentul în care o persoană plătește contravaloarea biletului de acces.

Am cerut părerea Autoritatății Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu privire la necesitatea măsurilor de securitate instituite de Untold în 2019.

ANSPDCP spune că a reținut situația prezentată la Untold și că va verifica felul în care organizatorii respectă prevederile Regulamentului european.

„În ceea ce privește datele și categoriile de date colectate și prelucrate, precizăm faptul că este necesară respectarea principiilor stabilite de art. 5 din RGPD, printre care cel privind prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (principiul proporționalității) și de asigurare a unei securități adecvate a acestora. Operatorul este responsabil de respectarea acestor principii şi poate demonstra această respectare (principiul responsabilității).”

Autoritatea insistă pe nevoia ca operatorul de date personale să-și adapteze politica de securitate la nevoile evenimentului și să procedeze responsabil, fără a folosi în exces măsurile de securitate.

L-am contactat și pe Bogdan Manolea, specialist în GDPR și director executiv al Asociației pentru Tehnologie și Internet – ApTI.

Manolea spune că întrebarea la care trebuie să răspundă organizatorii Untold este: Care e temeiul legal pentru colectarea acestor date?

„La prima auzire, s-ar putea să fie excesiv. Pe de altă parte, dacă brățara respectivă predispune, de exemplu, la fraude bancare, atunci e discutabil în ce măsură operatorul poate procesa astfel de date despre un participant la festival.

Trebuie ca operatorul să răspundă foarte clar dacă participantul a fost informat în mod expres că i se vor colecta aceste date.

Există un interes legitim? Care e temeiul legal în baza căruia se prelucrează aceste informații? Toate acestea ar trebui să fie scrise în politica lor de confidențialitate. În mod normal, GDPR-ul nu acceptă o formulare de tipul .

Nu e conform cu GDPR-ul. Trebuie specificată perioada, o zi, trei zile, 30 de ani, cât o fi. Utilizatorul nu are de unde ști cât înseamnă pentru operator o perioadă rezonabilă. În mod normal, copierea actului de identitate ar trebui să nu se supună acelorași tip de informații care se pretează unui interes de marketing. Cine are acces la aceste date?”, a comentat pentru PressOne, Bogdan Manolea.

Ce spun organizatorii Untold

Am contactat și organizatorii Festivalului Untold și i-am întrebat la ce folosesc imaginile participanților asociate fiecărei brățări și cât de mare este baza de date colectată anual de către Untold?

De asemenea, am cerut să ni se spună câți dintre partenerii oficiali ai Untold au solicitat acces la această bază de date în 2017, 2018 și 2019 și cum sunt securizate aceste date colectate și prelucrate?

Nu ni s-a răspuns punctual, ci selectiv la întrebările adresate. 

Edy Chereji, directorul de comunicare al Untold, spune că sistemul implementat împreună cu partenerul maghiar, Festipay, este menit să asigure un acces mai rapid în incinta festivalului, „evitarea fraudelor și asigurarea securității participanților la festival”.

Redăm, în continuare, răspunsul Untold:

„Practic, imaginea furnizată de participanți este asociată biletului (respectiv a brățării de acces) în baza căruia aceștia pot avea acces în cadrul festivalului. În concret, participanții au trei opțiuni prin care pot face check-in:

Totodată, precizăm că participanții care nu au fost de acord cu scanarea actului de identitate, au posibilitatea de a se înregistra la un ghișeu special unde check-in-ul se poate face fără scanarea cărții de identitate. 

[…] Exemplare ale Politicii de Prelucrare a Datelor sunt afișate la intrarea în locațiile în care a fost organizat festivalul. Participanții la festival au, astfel, posibilitatea de a lua la cunoștință cu privire la condițiile în care sunt prelucrate datele lor cu caracter personal și prin consultarea exemplarelor politicii de prelucrare a datelor disponibile fizic în locațiile festivalului. 

Precizăm că datele participanților în procesul de check-in sunt colectate de partenerii societății care au implementat și operează mecanismele de check-in și acces în cadrul festivalului. 

În cazul participanților care au făcut check-in-ul la ghișeele dedicate din cadrul festivalului, aceste date au fost colectate, în calitate de operator, de către Festipay Zrt și contractorii acesteia.

Așa cum rezultă și din informațiile disponibile în politica de prelucrare a datelor Untold, ca regulă, datele cu caracter personal ale participanților sunt păstrate pentru o perioadă de 72 de ore de la închiderea festivalului.

La expirarea acestei perioade, datele cu caracter personal sunt șterse atât din sistemele noastre, cât și din sistemele partenerilor care au asigurat accesul în cadrul festivalului. Anumite date ar putea fi reținute mai mult timp în cazuri justificate, dacă sunt necesare pentru investigarea fraudelor, investigarea eventualelor incidente de către autoritățile publice”.

„(…) ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”

Art. 24 din GDPR