iSecure logo
Blog

Regulamin konkursu – na co zwrócić uwagę?

Niemal każda firma od czasu do czasu zainteresowana jest przeprowadzeniem konkursu. Nie ma dwóch takich samych zabaw, bo w zależności od potrzeb i możliwości danego podmiotu, forma prowadzenia konkursu może się różnić. Najczęściej jednak opracowywane są regulaminy – innymi słowy mówiąc zasady prowadzenia konkursu. I to właśnie na tym aspekcie skupię się w tym krótkim opracowaniu.

 

Dostajesz do analizy regulamin konkursu? Oto kilka podpowiedzi

 

Zgoda czy nie zgoda?

Przede wszystkim pamiętaj, że regulamin konkursu opisuje zasady prowadzenia konkursu, w tym prawa i obowiązki organizatora oraz uczestnika. Aby działanie w oparciu o regulamin miało sens, uczestnik musi mieć możliwość zapoznania się z nim, a organizator powinien także odebrać potwierdzenie akceptacji warunków regulaminu. Jeżeli organizator przedstawia określone warunki prowadzonej akcji, a uczestnik te warunki akceptuje (najczęściej w formie elektronicznej poprzez zaznaczenie okienka), to dochodzi tym samym do nawiązania swoistej umowy pomiędzy organizatorem a uczestnikiem (powstaje stosunek zobowiązaniowy, ale też uprawnienia po każdej ze stron). Podstawą prawną przetwarzania danych osobowych uczestnika może być więc art. 6 ust. 1 lit. b RODO. Nie potrzebujesz więc w regulaminie informacji, że uczestnik wyraża zgodę na przetwarzanie danych w celu realizacji konkursu. A nawet więcej – poszukaj, czy w regulaminie nie ma sformułowań typu:

„Przesyłając zgłoszenie uczestnik zgadza się na przetwarzanie danych osobowych przez organizatora.”

„Akceptując regulamin uczestnik wyraża zgodę na przetwarzanie danych osobowych w celu realizacji konkursu.”

„Wzięcie udziału w konkursie jest równoznaczne z wyrażeniem zgody na przetwarzanie danych zgodnie z RODO w celu prowadzenia konkursu.”

Paradoksalnie żadna z tych zgód nie daje organizatorowi możliwości przetwarzania danych uczestnika w oparciu o tak wyrażoną zgodę, dlatego jeżeli w regulaminie znajdują się tego typu postanowienia, musisz na nie uważać. Nawet jeżeli zdecydujesz się oprzeć przetwarzanie danych uczestnika w oparciu o zgodę (jako alternatywnej podstawie prawnej), to nie może być ona wyrażona w sposób dorozumiany, poprzez ukrycie jej w regulaminie i musi być ona konkretna – a żaden z powyższych przykładów taką zgodą nie jest.

Zgoda może być jednak w pewnych aspektach nieunikniona i na pewno będzie dotyczyć przypadków, kiedy przy okazji zbierania danych w celach konkursowych chcielibyście je wykorzystać do realizacji innych celów, np.:

  • przekazywanie informacji handlowych drogą elektroniczną (np. newsletter)
  • wykonywanie połączeń telefonicznych w celu marketingu (np. dodanie danych do bazy telemarketingowej)
  • rozpowszechnienie wizerunku w celach promocyjnych (np. w social media lub na stronie firmowej w związku z podaniem do publicznej wiadomości informacji o zwycięzcach konkursu)

 

Klauzula informacyjna

Kolejnym ważnym aspektem jest zwrócenie uwagi na to, czy i w jaki sposób uczestnik informowany jest o tym, jak będą przetwarzane jego dane osobowe. Regulamin jest bardzo dobrą okazją, żeby wykorzystać dostępne miejsce do podania wszystkich, wyczerpujących informacji, o których mowa w art. 13 RODO (jeżeli dane zbierane są bezpośrednio od uczestnika). Żaden IOD nie jest w stanie opracować takiej klauzuli bez informacji od biznesu. Dlaczego? Ponieważ konieczne jest chociażby ustalenie okresu przechowywania danych osobowych czy podmiotów, którym będą one ujawniane. To jest moment, aby zweryfikować między innymi, czy w prowadzeniu konkursu będą brać udział zewnętrzne podmioty (członkowie kapituły konkursowej wydelegowani przez partnera, agencja zbierająca dane z konkursowego landing page, firma wysyłająca nagrody w imieniu organizatora), bądź podsumować wszystkie cele przetwarzania danych zbieranych w trakcie konkursu (sama realizacja konkursu, jak też budowanie bazy marketingowej, promocja w postaci podania informacji o zwycięzcach, itp.).

Podanie klauzuli informacyjnej w regulaminie, przy jednoczesnym zapewnieniu, że regulamin jest opublikowany i dostępny w każdym czasie będzie dobrym pomysłem również wtedy, kiedy zdecydujesz się na wykonanie obowiązku informacyjnego w tzw. sposób warstwowy. W praktyce wyglądałoby to tak, że jeżeli z jakiś powodów chcielibyśmy uniknąć podawania bezpośrednio pod formularzem pełnej treści klauzuli informacyjnej (najczęściej, aby nie „atakować” użytkownika ogromem treści na landing page), to możliwe jest podanie pod formularzem zgłoszenia najważniejszych informacji o przetwarzaniu danych z jednoczesną wskazówką, typu: „pełne informacje o przetwarzaniu danych znajdziesz w rozdziale X regulaminu”.

 

Niezbędność danych, poufność, prywatność lub dobra osobiste osób trzecich

Zdarzało mi się analizować regulaminy konkursów, które opierały się na przesłaniu pracy konkursowej potencjalnie mogącej zawierać dane osobowe (np. wizerunki) innych osób bądź naruszającej poufność informacji należących do przedsiębiorstwa. Chodzi np. o zdjęcia przedstawiające pomysły na efektywne miejsce pracy lub nauki zdalnej. Biorąc pod uwagę kreatywność uczestników, nie mogliśmy wykluczyć sytuacji, kiedy jakiś uczestnik przesłałby zdjęcie z wizerunkami domowników lub (i tu nie wiadomo co gorsze) zdjęcie, na którym widać, co jest wyświetlane na monitorze komputera lub na dokumentach leżących aktualnie na biurku.

Nie będzie to dotyczyć każdego konkursu, ale jeżeli zakłada on przesłanie prac konkursowych, to weź pod uwagę, czy coś „niepożądanego” się na nich nie znajdzie (nawet jeżeli nie jest wynikiem złych intencji uczestnika). Może się bowiem okazać, że konkurs na przesłanie zdjęcia obrazującego nadejście wiosny będzie zawierać uśmiechnięte buzie gromadki dzieci przedszkolnych wybierających się na spacer lub osób przypadkowo przechadzających się po parku.

Inną sprawą jest też to, aby zbierać w celach konkursowych wyłącznie aktualne dane uczestnika (tak, aby uniknąć chociażby problemów w komunikacji w razie błędnych danych kontaktowych).

Zalecam w takich przypadkach wyraźne dodanie w regulaminie zastrzeżenia, typu:

„Uczestnik zobowiązany jest do podawania prawdziwych, aktualnych i własnych danych osobowych (tzn. dotyczących samego Uczestnika) w zakresie wskazanym w pkt [wskazanie punktu regulaminu, który wymienia, jakie dane są do podania w formularzu rejestracyjnym] Regulaminu. Podawanie danych w szerszym zakresie (również w pracy konkursowej, np. wizerunku) nie jest dozwolone. Uczestnik na żadnym etapie konkursu, a zwłaszcza podczas dostarczania pracy konkursowej, nie może podawać danych dotyczących innych osób. Niedozwolone jest zamieszczanie w pracach konkursowych informacji naruszających prywatność czy dobra osobiste innych osób, a w szczególności wizerunków innych osób.”

„Wzięcie udziału w Konkursie nie wymaga podawania wizerunków (zdjęć) Uczestników ani innych osób.”

„Uczestnicy na żadnym etapie konkursu, a zwłaszcza podczas dostarczania zadań, nie mogą podawać danych poufnych, w tym dotyczących innych osób. Uczestnicy mogą podawać wyłącznie własne dane osobowe, które są pełne i aktualne. Niedozwolone jest zamieszczanie w zadaniach konkursowych (np. wykonywanych zdjęciach) informacji naruszających: tajemnicę przedsiębiorstwa organizatora czy narażających organizatora na poniesienie szkody, jak też naruszających prywatność czy dobra osobiste innych osób, a w szczególności wizerunków innych osób (np. członków rodziny).”

 

„Czas to pieniądz” i nie tylko…

Sprawdzenie regulaminu i wprowadzenie ewentualnych poprawek (często nieuniknionych) wymaga czasu. Jeżeli jeszcze tego nie zrobiłeś, to zakomunikuj i powtarzaj w organizacji, że wszelkie akcje konkursowe muszą być prowadzone zgodnie z zasadą privacy by design&by default, w szczególności powinny być odpowiednio wcześniej zgłaszane do analizy. „Odpowiednio wcześniej”, to oczywiście nie jest piątek o godz. 14:00, kiedy konkurs ma ruszyć w poniedziałek. Takie podejście oszczędzi wszystkim nerwów i nieporozumień. Być może współpracownicy nie zdają sobie sprawy, ile czasu wymaga realne sprawdzenie regulaminu, a przede wszystkim zebranie informacji chociażby w tym zakresie, jaki jest potrzebny do opracowania pełnej klauzuli informacyjnej w regulaminie. Warto to wyjaśniać, zgłaszać systematycznie i regularnie, a z czasem mam nadzieję wszyscy w organizacji nabiorą nowego, dobrego nawyku J

Pobierz wpis w wersji pdf

Podobne wpisy:

Przydatne aplikacje

When does the processor become a controller?

Can the processor also act as a controller in the course of a personal data processing entrustment agreement? Can the processor, after termination of the entrustment agreement, become the controller of personal data which it previously processed only on behalf of another entity? Answers to these questions are important for determining the duties and potential […]

RODO pod lupą – cykl praktycznych warsztatów w formie webinarium

Po wakacjach, już od września, wracamy z nową partią tematów, które chcemy omówić w formie praktycznych warsztatów. Nasi eksperci, którzy na co dzień mierzą się z wdrożeniem wymagań stawianych przez RODO, swoją wiedzą i doświadczeniem podzielą się z Wami podczas webinarium – wydarzenia, które prowadzimy on-line i które ma na celu omówienie wybranego konkretnego tematu, […]

Czy muszę udostępniać dane na żądanie osoby fizycznej? Jeżeli tak, to jak bezpiecznie zrealizować prawo dostępu do danych?

Europejska Rada Ochrony Danych (EROD) udostępniła wytyczne do konsultacji publicznych przedstawiając różne aspekty prawa dostępu do danych https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_pl. Konsultacje zostały zakończone, pierwszą część wytycznych opisałem w poprzednim artykule https://www.isecure.pl/blog/prawo-dostepu-do-danych-w-oczach-erod/, teraz zapraszam na drugą część. Na co powinieneś zwrócić uwagę obsługując wniosek dostępu do danych? Za wytycznymi ERODu powtórzmy ogólne zasady prawa dostępu do danych. Co […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki