iSecure logo
  • pl
  • en
    • Blog

    Regulamin konkursu – na co zwrócić uwagę?

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Niemal każda firma od czasu do czasu zainteresowana jest przeprowadzeniem konkursu. Nie ma dwóch takich samych zabaw, bo w zależności od potrzeb i możliwości danego podmiotu, forma prowadzenia konkursu może się różnić. Najczęściej jednak opracowywane są regulaminy – innymi słowy mówiąc zasady prowadzenia konkursu. I to właśnie na tym aspekcie skupię się w tym krótkim opracowaniu.

     

    Dostajesz do analizy regulamin konkursu? Oto kilka podpowiedzi

     

    Zgoda czy nie zgoda?

    Przede wszystkim pamiętaj, że regulamin konkursu opisuje zasady prowadzenia konkursu, w tym prawa i obowiązki organizatora oraz uczestnika. Aby działanie w oparciu o regulamin miało sens, uczestnik musi mieć możliwość zapoznania się z nim, a organizator powinien także odebrać potwierdzenie akceptacji warunków regulaminu. Jeżeli organizator przedstawia określone warunki prowadzonej akcji, a uczestnik te warunki akceptuje (najczęściej w formie elektronicznej poprzez zaznaczenie okienka), to dochodzi tym samym do nawiązania swoistej umowy pomiędzy organizatorem a uczestnikiem (powstaje stosunek zobowiązaniowy, ale też uprawnienia po każdej ze stron). Podstawą prawną przetwarzania danych osobowych uczestnika może być więc art. 6 ust. 1 lit. b RODO. Nie potrzebujesz więc w regulaminie informacji, że uczestnik wyraża zgodę na przetwarzanie danych w celu realizacji konkursu. A nawet więcej – poszukaj, czy w regulaminie nie ma sformułowań typu:

    „Przesyłając zgłoszenie uczestnik zgadza się na przetwarzanie danych osobowych przez organizatora.”

    „Akceptując regulamin uczestnik wyraża zgodę na przetwarzanie danych osobowych w celu realizacji konkursu.”

    „Wzięcie udziału w konkursie jest równoznaczne z wyrażeniem zgody na przetwarzanie danych zgodnie z RODO w celu prowadzenia konkursu.”

    Paradoksalnie żadna z tych zgód nie daje organizatorowi możliwości przetwarzania danych uczestnika w oparciu o tak wyrażoną zgodę, dlatego jeżeli w regulaminie znajdują się tego typu postanowienia, musisz na nie uważać. Nawet jeżeli zdecydujesz się oprzeć przetwarzanie danych uczestnika w oparciu o zgodę (jako alternatywnej podstawie prawnej), to nie może być ona wyrażona w sposób dorozumiany, poprzez ukrycie jej w regulaminie i musi być ona konkretna – a żaden z powyższych przykładów taką zgodą nie jest.

    Zgoda może być jednak w pewnych aspektach nieunikniona i na pewno będzie dotyczyć przypadków, kiedy przy okazji zbierania danych w celach konkursowych chcielibyście je wykorzystać do realizacji innych celów, np.:

    • przekazywanie informacji handlowych drogą elektroniczną (np. newsletter)
    • wykonywanie połączeń telefonicznych w celu marketingu (np. dodanie danych do bazy telemarketingowej)
    • rozpowszechnienie wizerunku w celach promocyjnych (np. w social media lub na stronie firmowej w związku z podaniem do publicznej wiadomości informacji o zwycięzcach konkursu)

     

    Klauzula informacyjna

    Kolejnym ważnym aspektem jest zwrócenie uwagi na to, czy i w jaki sposób uczestnik informowany jest o tym, jak będą przetwarzane jego dane osobowe. Regulamin jest bardzo dobrą okazją, żeby wykorzystać dostępne miejsce do podania wszystkich, wyczerpujących informacji, o których mowa w art. 13 RODO (jeżeli dane zbierane są bezpośrednio od uczestnika). Żaden IOD nie jest w stanie opracować takiej klauzuli bez informacji od biznesu. Dlaczego? Ponieważ konieczne jest chociażby ustalenie okresu przechowywania danych osobowych czy podmiotów, którym będą one ujawniane. To jest moment, aby zweryfikować między innymi, czy w prowadzeniu konkursu będą brać udział zewnętrzne podmioty (członkowie kapituły konkursowej wydelegowani przez partnera, agencja zbierająca dane z konkursowego landing page, firma wysyłająca nagrody w imieniu organizatora), bądź podsumować wszystkie cele przetwarzania danych zbieranych w trakcie konkursu (sama realizacja konkursu, jak też budowanie bazy marketingowej, promocja w postaci podania informacji o zwycięzcach, itp.).

    Podanie klauzuli informacyjnej w regulaminie, przy jednoczesnym zapewnieniu, że regulamin jest opublikowany i dostępny w każdym czasie będzie dobrym pomysłem również wtedy, kiedy zdecydujesz się na wykonanie obowiązku informacyjnego w tzw. sposób warstwowy. W praktyce wyglądałoby to tak, że jeżeli z jakiś powodów chcielibyśmy uniknąć podawania bezpośrednio pod formularzem pełnej treści klauzuli informacyjnej (najczęściej, aby nie „atakować” użytkownika ogromem treści na landing page), to możliwe jest podanie pod formularzem zgłoszenia najważniejszych informacji o przetwarzaniu danych z jednoczesną wskazówką, typu: „pełne informacje o przetwarzaniu danych znajdziesz w rozdziale X regulaminu”.

     

    Niezbędność danych, poufność, prywatność lub dobra osobiste osób trzecich

    Zdarzało mi się analizować regulaminy konkursów, które opierały się na przesłaniu pracy konkursowej potencjalnie mogącej zawierać dane osobowe (np. wizerunki) innych osób bądź naruszającej poufność informacji należących do przedsiębiorstwa. Chodzi np. o zdjęcia przedstawiające pomysły na efektywne miejsce pracy lub nauki zdalnej. Biorąc pod uwagę kreatywność uczestników, nie mogliśmy wykluczyć sytuacji, kiedy jakiś uczestnik przesłałby zdjęcie z wizerunkami domowników lub (i tu nie wiadomo co gorsze) zdjęcie, na którym widać, co jest wyświetlane na monitorze komputera lub na dokumentach leżących aktualnie na biurku.

    Nie będzie to dotyczyć każdego konkursu, ale jeżeli zakłada on przesłanie prac konkursowych, to weź pod uwagę, czy coś „niepożądanego” się na nich nie znajdzie (nawet jeżeli nie jest wynikiem złych intencji uczestnika). Może się bowiem okazać, że konkurs na przesłanie zdjęcia obrazującego nadejście wiosny będzie zawierać uśmiechnięte buzie gromadki dzieci przedszkolnych wybierających się na spacer lub osób przypadkowo przechadzających się po parku.

    Inną sprawą jest też to, aby zbierać w celach konkursowych wyłącznie aktualne dane uczestnika (tak, aby uniknąć chociażby problemów w komunikacji w razie błędnych danych kontaktowych).

    Zalecam w takich przypadkach wyraźne dodanie w regulaminie zastrzeżenia, typu:

    „Uczestnik zobowiązany jest do podawania prawdziwych, aktualnych i własnych danych osobowych (tzn. dotyczących samego Uczestnika) w zakresie wskazanym w pkt [wskazanie punktu regulaminu, który wymienia, jakie dane są do podania w formularzu rejestracyjnym] Regulaminu. Podawanie danych w szerszym zakresie (również w pracy konkursowej, np. wizerunku) nie jest dozwolone. Uczestnik na żadnym etapie konkursu, a zwłaszcza podczas dostarczania pracy konkursowej, nie może podawać danych dotyczących innych osób. Niedozwolone jest zamieszczanie w pracach konkursowych informacji naruszających prywatność czy dobra osobiste innych osób, a w szczególności wizerunków innych osób.”

    „Wzięcie udziału w Konkursie nie wymaga podawania wizerunków (zdjęć) Uczestników ani innych osób.”

    „Uczestnicy na żadnym etapie konkursu, a zwłaszcza podczas dostarczania zadań, nie mogą podawać danych poufnych, w tym dotyczących innych osób. Uczestnicy mogą podawać wyłącznie własne dane osobowe, które są pełne i aktualne. Niedozwolone jest zamieszczanie w zadaniach konkursowych (np. wykonywanych zdjęciach) informacji naruszających: tajemnicę przedsiębiorstwa organizatora czy narażających organizatora na poniesienie szkody, jak też naruszających prywatność czy dobra osobiste innych osób, a w szczególności wizerunków innych osób (np. członków rodziny).”

     

    „Czas to pieniądz” i nie tylko…

    Sprawdzenie regulaminu i wprowadzenie ewentualnych poprawek (często nieuniknionych) wymaga czasu. Jeżeli jeszcze tego nie zrobiłeś, to zakomunikuj i powtarzaj w organizacji, że wszelkie akcje konkursowe muszą być prowadzone zgodnie z zasadą privacy by design&by default, w szczególności powinny być odpowiednio wcześniej zgłaszane do analizy. „Odpowiednio wcześniej”, to oczywiście nie jest piątek o godz. 14:00, kiedy konkurs ma ruszyć w poniedziałek. Takie podejście oszczędzi wszystkim nerwów i nieporozumień. Być może współpracownicy nie zdają sobie sprawy, ile czasu wymaga realne sprawdzenie regulaminu, a przede wszystkim zebranie informacji chociażby w tym zakresie, jaki jest potrzebny do opracowania pełnej klauzuli informacyjnej w regulaminie. Warto to wyjaśniać, zgłaszać systematycznie i regularnie, a z czasem mam nadzieję wszyscy w organizacji nabiorą nowego, dobrego nawyku J

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Ustawa o sygnalistach w końcu uchwalona – nowe wyzwania pod kątem ochrony danych osobowych

    Wstęp Po bardzo długich miesiącach, licznych zmianach, poprawkach, dyskusjach, głośna medialnie ustawa o ochronie sygnalistów w końcu została podpisana przez Prezydenta oraz opublikowana w Dzienniku Ustaw. Ustawa wejdzie w życie w ciągu 3 miesięcy od dnia jej ogłoszenia, tj. 25 września 2024. Organizacje mają zatem niecałe 3 miesiące na dostosowanie się do wymogów ustawy, a […]

    Czytaj więcej
    Michał Sztąberek

    Dziewięć najważniejszych obszarów, które powinieneś uwzględnić w swojej polityce ochrony danych osobowych

    Wydaje się, że polityka ochrony danych osobowych (dalej jako PODO) to podstawowy dokument opisujący zasady obowiązujące w organizacji w interesującym nas temacie, czyli… ochronie danych osobowych. PODO można napisać w bardzo różny sposób. Można z tego zrobić dość obszerny i szczegółowy dokument albo pójść w kierunku czegoś nieco bardziej ogólnego, ale odsyłającego do bardziej rozbudowanych […]

    Czytaj więcej
    Kinga Bieniek-Zawadzka

    Rekrutacje ukryte a zgodność z RODO

    Wielu pracodawców, decydując się na zaimplementowanie procesu rekrutacji zgodnie z przepisami o ochronie danych osobowych, zastanawia się, czy właściwe jest ukrycie swojej tożsamości podczas pozyskiwania kandydatów do pracy. Takie działanie podyktowane jest często wewnętrznymi potrzebami pracodawcy. Dlatego też pracodawcy poddają ocenie dopuszczenie możliwości zorganizowania procesu rekrutacyjnego bez ujawniania szczegółowych informacji o konkretnym podmiocie. W ogłoszeniach […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki
    UWAGA!
    Informujemy, że w ostatnim czasie pojawiły się przypadki podszywania się pod naszą firmę. Oszuści wykorzystują naszą nazwę, adres, NIP oraz logo, wysyłając fałszywe faktury z nieprawidłowym numerem rachunku bankowego.
    ⚠️ Prosimy o zachowanie szczególnej ostrożności i dokładne weryfikowanie danych nadawcy oraz numeru konta przed dokonaniem płatności.
    Prawdziwe faktury wystawiane przez iSecure zawsze zawierają numer konta: PL62 1140 2004 0000 3202 7863 9118 (dla płatności w PLN) bądź PL17 1140 2004 0000 3612 0768 4683 (dla płatności w EUR).
    W razie wątpliwości prosimy o kontakt pod adresem: kontakt@isecure.pl
    Dziękujemy za czujność i współpracę.