Organizujesz konkurs dla klientów i zastanawiasz się jak spełnić wszystkie wymogi związane z ochroną danych osobowych? Chcesz, aby regulamin twojego konkursu był zgodny z RODO? W takim razie, ten artykuł jest dla Ciebie. Opisujemy w nim najważniejsze aspekty organizacji konkursów związane z przetwarzaniem danych osobowych i podajemy wskazówki, a jaki sposób napisać regulamin konkursu zgodny z RODO.
Dane osobowe a konkurs
Niezależnie czy organizujesz konkurs dla swoich klientów (np. podsiadających konto w Twoim sklepie internetowym) czy też konkurs dostępny bez ograniczeń, zawsze będziesz przetwarzać jakieś dane osobowe klientów. Przede wszystkim dane osobowe mogą być konieczne do zarejestrowania się jako uczestnik konkursu. Jeżeli wymagasz uprzedniej rejestracji, będziesz przetwarzał w celu realizacji konkursu dane osobowe, które podają klienci rejestrując się. Jeżeli organizujesz konkurs np. w sklepie internetowym i korzystasz z danych zawartych np. na koncie klienta w Twoim sklepie internetowym, to przetwarzasz w celu organizacji konkursu te dane osobowe dostępne na koncie klienta, których używasz przy okazji konkursu. Jeżeli uczestnicy konkursu wysyłają Ci zadania konkursowe np. w formie mailowej lub w formie wiadomości w portalu społecznościowym, przetwarzasz ich dane, które przesłali w związku z taką wiadomością – zarówno adres e-mail lub nazwę konta w portalu społecznościowym, jak i dane zawarte w samym zadaniu konkursowym. Jeżeli przy okazji konkursu zbierasz zgody na marketing Twoich produktów lub usług wśród uczestników, będziesz przetwarzać dane potrzebne do tego marketingu. Wreszcie, konkurs wymaga wyłonienia zwycięzców i powiadomienia ich o wygranej oraz ewentualnie dostarczenia im nagrody. W tym celu również konieczne jest przetwarzanie określonych danych tych zwycięzców.
Każdy opisany tutaj przypadek przetwarzania danych musi być zgodny z zasadami ustanowionymi przez Rozporządzenie RODO oraz odbywać się na określonej podstawie prawnej.
Zasady przetwarzania danych uczestników konkursu
Dane osobowe uczestników konkursu powinny być przetwarzane według następujących zasad zawartych w art. 5 Rozporządzenia RODO:
- zgodność z prawem, rzetelność i przejrzystość – musisz zadbać, aby mieć podstawę prawną do przetwarzania danych oraz aby uczestnik konkursu wiedział dokładnie jakie jego dane i w jakich celach będą przetwarzane;
- ograniczenie celu – dane osobowe powinny być przetwarzane tylko w takich celach, w jakich zostały zebrane i o jakich uczestnik został poinformowany. Przykładowo, jeżeli uczestnik podał dane tylko po to abyś mógł zidentyfikować jego zadanie konkursowe i skontaktować się z nim w razie wygranej, nie będziesz mógł przetwarzać tych danych w celach marketingowych;
- minimalizacja danych – możesz zbierać tylko takie dane uczestników konkursu, które są konieczne w danym celu. Przykładowo, jeżeli konkurs polega na wysyłce zadań konkursowym w formie e-maila, a nagrodą jest zniżka na zakupy w Twoim sklepie internetowym, nie powinieneś zbierać danych o adresie zamieszkania klienta.
- prawidłowość – dane powinieneś uaktualnić w razie potrzeby (np. jeżeli wykryjesz w nich błąd lub uczestnik zwróci na to uwagę), a jeżeli jakiekolwiek dane okażą się nieprawidłowe lub nie będą niezbędne dla danego celu, to należy je niezwłocznie poprawić lub usunąć;
- ograniczenie przechowywania – powinieneś przechowywać dane uczestników nie dłużej, niż to jest niezbędne z punktu widzenia danego celu przetwarzania. Przykładowo, jeżeli zbierasz dane tylko do realizacji konkursu, to po zakończeniu konkursu większość danych nie powinna być już przechowywana, ale jeżeli np. w ramach udziału w konkursie uczestnik założył konto w Twoim sklepie internetowym, to nie musisz kasować tego konta tak, długo jak klient tego nie zażąda;
- integralność i poufność – powinieneś zebrane dane klientów przetwarzać tak, aby były one bezpieczne, nie uległy przypadkowej utracie, zniszczeniu czy uszkodzeniu.
Regulamin konkursu a dane osobowe
Regulamin konkursu spełnia generalnie funkcję informacyjną wobec uczestników. Jest to aktualne również w odniesieniu do postanowień regulaminu, które odnoszą się do danych osobowych. Jako organizator konkursu w większości przypadków będziesz administratorem danych osobowych jego uczestników. Rozporządzenie RODO w art. 13 nakłada na administratora obowiązek poinformowania osoby, której dane są przetwarzane o kwestiach takich jak:
- dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
- jeżeli administrator wyznaczył inspektora ochrony danych – dane kontaktowe tej osoby;
- cele i podstawy prawne przetwarzania danych osobowych;
- kategorie odbiorców danych osobowych – jeżeli administrator przekazuje dane klientów jakimś podmiotom zewnętrznym (np. firmy kurierskie – w przypadku konieczności dostarczenia nagrody);
- przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
- konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
- prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
- prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
- prawo do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
- czy wymóg podania danych osobowych jest warunkiem koniecznym do wzięcia udziału w konkursie oraz jakich danych i jakich sytuacji taki wymóg dotyczy.
Dobrze napisany regulamin będzie uwzględniał powyższe informacje. W ten sposób uczestnik będzie mógł w łatwy sposób skontrolować, jakie jego dane i w jakich celach możesz przetwarzać przy realizacji konkursu. Dzięki temu potencjalny uczestnik może podjąć świadomą decyzję, czy w zamian za możliwość wygrania określonej nagrody w konkursie, jest skłonny podać określone swoje dane.
Jakich zgód wymaga RODO przy organizacji konkursu
Z punktu widzenia Rozporządzenia RODO, najważniejsze jest wykazanie że jako administrator danych osobowych uczestnika, poinformowałeś go o kwestiach wymaganych przez art. 13 RODO. J
eżeli organizujesz konkurs w internecie, np. w swoim sklepie lub serwisie internetowym, najłatwiej spełnić ten obowiązek poprzez wymóg zaznaczenia przez klienta checkboxa z potwierdzeniem zapoznania się z regulaminem konkursu zawierającym wszystkie te wymagane informacje. Taki checkbox powinien zawierać również aktywny link do regulaminu umieszczonego na stronie Twojego sklepu czy serwisu internetowego lub na Twojej stronie firmowej. Jeżeli nie masz możliwości utworzenia checkboxa np. w sytuacji gdy organizujesz konkurs na Facebooku, umieść regulamin na stronie, na której organizujesz konkurs (np. na swoim fanpage’u na Facebooku) i poproś uczestników, aby wysyłając swoje prace konkursowe potwierdzali, że zapoznali się z tym regulaminem. Wreszcie, jeżeli organizujesz konkurs poza internatem np. w swoim sklepie stacjonarnym, najlepiej abyś wydawał każdemu uczestnikowi kopię regulaminu i wymagał pisemnego potwierdzenia otrzymania i zapoznania się z regulaminem.
Jeżeli zbierasz dane osobowe wyłącznie celu przeprowadzenia konkursu, uczestnik nie musi wyrażać odrębnej zgody na ich przetwarzanie. W takim przypadku przetwarzasz dane na w prawie uzasadnionym celu, jakim jest organizacja konkursu, w którym uczestnik chce wziąć udział i w tym celu podaje organizatorowi swoje dane. Powyższe oświadczenia dotyczą zatem tylko potwierdzenia, że uczestnik otrzymał od Ciebie wszystkie wymagane informacje.
Odrębną kwestią jest zbieranie danych uczestników przy okazji konkursu do celów niezwiązanych bezpośrednio z samą organizacją konkursu, a więc np. do celów marketingowych. W ten sposób możesz łatwo powiększyć np. swoją bazę adresów e-mail do wysyłki newslettera z informacjami o swoich produktach czy usługach. Pamiętaj jednak, że w każdym przypadku, gdy zbierasz dane osobowe, aby przetwarzać je w celu niezwiązanym z konkursem, powinieneś uzyskać na ten cel odrębna zgodę klienta, aby mieć podstawę prawną do przetwarzania jego danych. Tutaj podstawą prawną nie może być już samo żądanie klienta jak przy przetwarzaniu danych tylko w celu przeprowadzenia konkursu. Zgodę możesz uzyskać np. za pomocą osobnego checkboxa, za pomocą prośby o skopiowanie oświadczenia o zgodzie np. z Twojej strony i przesłania go przez uczestnika lub poprzez osobne oświadczenie pisemne, które klient może podpisać przy zapisywaniu się na konkurs.
To samo dotyczy zbierania danych do jakichkolwiek innych celów niezwiązanych bezpośrednio z organizacją konkursu np. na marketing produktów lub usług Twoich partnerów handlowych.
Podsumowanie – regulamin konkursu zgodny z RODO
Wymogi stawiane przez Rozporządzenie RODO mają duże znaczenie przy organizacji konkursu, niezależnie od tego czy odbywa się on w internecie, czy też poza nim. Pamiętaj, że przetwarzanie danych osobowych uczestników niezgodnie z wymogami RODO, może w razie kontroli Urzędu Ochrony Danych Osobowych, prowadzić w skrajnych przypadkach do nałożenia kary finansowej w wysokości do 4% całkowitego, rocznego światowego obrotu Twojej firmy z poprzedniego roku obrotowego lub do 20 mln euro.
Warto więc zapewnić, aby dane osobowe, które zbierasz w związku z konkursem były zbieranie i przetwarzane w prawidłowy sposób, na odpowiednich podstawach prawnych, a uczestnicy otrzymali wszystkie wymagane przez RODO informacje.
Jeżeli masz jakiekolwiek pytania związane z tym artykułem lub potrzebujesz pomocy przy pisaniu regulaminu Twojego konkursu, zapraszamy do kontaktu z naszymi prawnikami np. pod adresem: kontakt@prokonsumencki.pl.