Kluby piłkarskie nie mają prawa, by np. podczas wyrabiania kart kibica pozyskiwać numer telefonu czy adres zamieszkania (lub adres internetowy) i bez wiedzy i zgody kibiców wykorzystywać je w innych celach niż zapewnienie bezpieczeństwa. Udostępnianie tych danych innym podmiotom również musi się odbywać z poszanowaniem zasad ochrony danych osobowych. W ustawie o bezpieczeństwie imprez masowych, do której liczne i słuszne poprawki wniósł Senat znajduje się zadanie utworzenia Centralnej Bazy Kibiców. Zdaniem dr Wojciecha Wiewiórowskiego daje to możliwość dostępu do wielu danych pobranych przez kluby sportowe w celu rozpowszechniania w całej Polsce. GIODO dopuszcza możliwość pewnych odstępstw od tych zasad, gdy w grę wchodzi impreza podwyższonego ryzyka.
- Nie idę pod prąd walce z kibolami – zapewnił w czasie konferencji prasowej dr Wojciech Wiewiórowski. – Chcę tylko poszanowania praw i wolności obywatelskich. Nie jestem także przeciwnikiem utworzenia Centralnej Bazy Kibiców, jednak musimy dbać o to, aby były przechowywane dane niezbędne dla bezpieczeństwa imprez masowych.
Tymczasem napływające do GIODO skargi świadczą o naruszeniach ochrony danych. Było to jedną z przyczyn podjęcia przez GIODO decyzji o przeprowadzeniu kontroli. Kontrolowane były takie kluby jak; Legia Warszawa, Polonia Bytom, LKS, Polonia Warszawa i Śląsk Wrocław. Jej pierwsze wyniki potwierdzają nieprawidłowości w wykorzystywaniu danych osobowych przez kluby sportowe. Kluby np. dzielą się informacjami o osobach z kartą kibica nie tylko z policją, ale także z firmami komercyjnymi, które są sponsorami stadionów.
Zmiany w ustawie o bezpieczeństwie imprez masowych – zdaniem dr Wiewiórowskiego są zasadne, lecz powinno podlegać permanentnej kontroli. Kontrola powinna być przeprowadzana przez Ekstraklasę S.A oraz PZPN. Drugą grupą instytucji kontrolnych są: policja, GIODO, a nawet Rzecznik Praw Obywatelskich.