RODO a organizacja loterii promocyjnych oraz konkursów

Zasady urządzania loterii promocyjnych określa ustawa o grach hazardowych, która uznaje loterie promocyjne za jedną z kategorii gier losowych (czyli takich, których wynik w szczególności zależy od przypadku). Z kolei zasady organizacji konkursów (w których elementu losowości brak) uregulowane są przepisami kodeksu cywilnego. W związku z wejściem w życie RODO1 organizator loterii lub konkursu, który bezsprzecznie przecież pozyskuje dane osobowe uczestników, ma obowiązek zastosować się do nowych wymogów w zakresie danych osobowych.

Administrator danych osobowych
Kto jest administratorem danych uczestników? Zgodnie z RODO, administrator decyduje o sposobach i celach przetwarzania danych osobowych. Najczęściej administratorem będzie organizator loterii lub konkursu. Jeżeli jednak organizator zleca agencji reklamowej kompleksową obsługę loterii lub konkursu (np. zbieranie zgłoszeń, losowanie nagród i wysyłkę nagród), nie ma dostępu do danych uczestników i pozostawia zleceniobiorcy swobodę w ustaleniu zakresu danych, wówczas agencja reklamowa może zostać uznana za administratora tych danych osobowych. Klasyfikacja organizatora lub agencji marketingowej jako administratora lub procesora będzie zależeć od okoliczności danego przypadku i ustaleń biznesowych stron. Status administratora danych wynika wprost ze stanu faktycznego danej sprawy. Strony nie mogą umówić się, że X jest administratorem jeżeli X nie decyduje o celu i sposobie przetwarzania danych osobowych.

Umowa powierzenia przetwarzania
W praktyce zdarza się, że zlecenie dla agencji reklamowej obejmuje czynności techniczne dot. konkursu lub loterii, w tym zbieranie zgłoszeń, sprawdzanie zgodności zgłoszeń z regulaminem, a organizator zachowuje prawo do losowania nagród i ich uroczystego wręczania. Przekazywanie nagród jest często połączone z publikacjami wizerunków zwycięzców w Internecie, np. na kontach na portalach społecznościowych. Agencja reklamowa działa tutaj w imieniu organizatora. Na gruncie RODO należy uznać, że organizator (administrator) powierza agencji marketingowej (procesor) przetwarzanie danych osobowych uczestników konkursu lub loterii dla celów organizacji i przeprowadzenia danego wydarzenia i strony powinny zawrzeć umowę powierzenia przetwarzania danych. W umowie strony powinny uregulować np. rodzaj i czas przetwarzania danych przez agencję reklamową, sposób postępowania z danymi osobowymi i nośnikami danych po zakończeniu współpracy stron itp. Szczegółowe wymagania odnośnie zakresu takiej umowy wynikają z art. 28 ust. 3 RODO.

Zgoda uczestnika
Ogólna zasada mówi, że przetwarzanie danych osobowych jest dopuszczalne, jeżeli istnieje konkretna podstawa przetwarzania np. umowa stron, przepis prawa, ochrona żywotnych interesów osoby, której dane dotyczą itp. W przypadku konkursu lub loterii podstawą pozyskania i dalszych działań z danymi osobowymi uczestnika będzie najczęściej zgoda osoby, której dane dotyczą. Należy pamiętać, że zgłoszenie uczestnika konkursu lub loterii, w tym podanie danych osobowych, nie jest tożsame z wyrażeniem zgody na przetwarzanie jego danych osobowych. Zgoda uczestnika musi być wyraźna. Po wtóre, każdy uczestnik konkursu lub loterii ma prawo w dowolnym momencie wycofać zgodę. Organizator nie może ograniczyć lub wyłączyć prawa cofnięcia zgody na przetwarzanie danych. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem i trzeba o tym poinformować osobę, której dane dotyczą, zanim wyrazi ona zgodę. Po trzecie, wycofanie zgody musi być równie łatwe jak jej wyrażenie. Jeżeli zatem – zgodnie z regulaminem konkursu lub loterii – dla wyrażenia zgody wystarczy zaznaczyć kratkę w formularzu online to jedyną drogą wycofania zgody nie powinno być wysłanie oświadczenia na piśmie, listem poleconym za potwierdzeniem odbioru.

Zapytanie o zgodę
Na podstawie art. 7 ust. 2 RODO zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, np. zapytania o akceptację regulaminu konkursu lub loterii, zapytania o wybór formy zgłoszenia itp. Jednocześnie pytanie należy sformułować w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Zapytanie nie musi zawierać odwołania do RODO lub konkretnych przepisów. Jako podpowiedź można traktować uwagę, iż zapytanie o zgodę powinno być sformułowane w taki sposób, jakby miało zostać skierowane do 12-latka. Po drugie, zapytanie o zgodę określa konkretny cel przetwarzania. Z powyższego wynika, iż wola przetwarzania danych dla kilku celów wymaga udzielenia przez osobę fizyczną odrębnych zgód. Ponadto organizator konkursu lub loterii jest związany otrzymaną zgodą i nie może jej wykorzystać do nowego celu przetwarzania, nie może zmienić celu przetwarzania danych osobowych z pominięciem uczestnika.

Przejrzystość przetwarzania danych
RODO opiera się na założeniu, że osoba fizyczna powinna mieć rozeznanie o sposobie przetwarzania jej danych osobowych. W rezultacie, równocześnie z zapytaniem o zgodę na przetwarzanie danych dla celu przeprowadzenia konkursu lub loterii należy przekazać osobie fizycznej wszystkie informacje, o których mowa w art. 13 RODO. W myśl powołanego przepisu organizator konkursu (ewentualnie agencja reklamowa) powiadamia osobę fizyczną m.in. o nazwie i danych kontaktowych administratora, danych kontaktowych inspektora ochrony danych, celach i podstawie prawnej przetwarzania, ewentualnie prawnie uzasadnionych interesów administratora, odbiorcach danych lub kategoriach odbiorców, zamiarze przekazania danych poza EOG, okresie przechowywania danych, prawach osoby fizycznej, w tym wycofania zgody i zgłoszenia skargi do Prezesa Urzędu Ochrony Danych Osobowych, konsekwencjach braku podania danych osobowych. Wszystkie ww. informacje mają dać osobie fizycznej wiedzę kto i co będzie robił z jej danymi osobowymi w takim stopniu, który pozwoli udzielić zgody w świadomy sposób. Podkreślić należy, że RODO nie precyzuje sposobu i formy przekazania ww. informacji. Brak przeciwwskazań aby obowiązek informacyjny z art. 13 RODO realizować z wykorzystaniem odpowiednich klauzul w regulaminie konkursu lub loterii.

Zasada rozliczalności
Administrator jest odpowiedzialny za przetwarzanie danych osobowych zgodnie z zasadami ogólnymi ujętymi w art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie. W większości przypadków RODO nie precyzuje i nie zawiera gotowych rozwiązań jak w praktyce wykonywać obowiązki administratora, procesora itp. Nie ma jednego wzorca ochrony danych osobowych dla sektora publicznego albo prywatnego, sektora usług albo przedsiębiorstw czy wreszcie branży marketingowej, w tym agencji reklamowej. Każdy organizator loterii lub konkursu samodzielnie decyduje o zakresie zbieranych danych, sposobach ich zabezpieczenia, stosowanych środkach technicznych i organizacyjnych itp., chyba, że zlecił agencji reklamowej kompleksową obsługę danego wydarzenia. Niewątpliwie jednak system ochrony danych osobowych u organizatora loterii lub konkursu powinien być zaplanowany, racjonalny i skrojony na miarę danego podmiotu. Jeden wzorzec ochrony danych osobowych będzie obowiązywał urząd gminy – organizatora konkursu dla mieszkańców gminy na najładniejszy ogródek lub balkon, a inny producenta odzieży – organizatora konkursu na najlepsze zdjęcie typu selfie z wykorzystaniem produktów danej marki.

Urszula Szefler – radca prawny w Dr Krystian Ziemski & Partners Kancelaria Prawna sp.k.

/ 1 – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1).

Artykuł ukazał się w ostatnim numerze OOH magazine, pobierz bezpłatnie TUTAJ.