Partner serwisu:

Michał Sztąberek

Dam ipada za dane osobowe

15 kwietnia 2011

4 minuty czytania

Artykuł

Myśląc o ochronie danych osobowych w kontekście konkursów lub loterii, zawsze powstaje pewien problem. Wynika on przede wszystkim z konieczności określenia, jakim celom mają służyć tego typu działania.

Z tego artykułu dowiesz się:

  • jak przygotować konkurs, tak by zebrane w jego trakcie dane można było wykorzystywać do celów marketingowych
  • jak przygotować formularz konkursowy
  • jak współpracować przy konkursie z firmami trzecimi
  • jakich informacji potrzebujemy, by zarejestrować bazę marketingową w GIODO
  • kiedy musimy zgłosić bazę marketingową w GIODO

Najogólniej można przyjąć, że jeżeli ideą jest wyłącznie zorganizowanie konkursu czy loterii, istnieje realna szansa, by uznać zebrane w ten sposób dane za tzw. zbiór doraźny. Nie wnikając w szczegóły, chciałbym zaznaczyć, że zbiór doraźny, zgodnie z obowiązującą ustawą o ochronie danych osobowych, to zbiór utworzony doraźnie, wyłącznie ze względów technicznych, przy czym składające się na niego dane osobowe, po ich wykorzystaniu, są niezwłocznie usuwane albo poddane anonimizacji (usunięciu tych informacji, które umożliwiają identyfikację konkretnej osoby fizycznej). Jako modelowy przykład takich zbiorów podaje się właśnie loterie czy konkursy. Ich zaletą jest to, że nie trzeba ich zgłaszać do GIODO, firma natomiast musi zadbać o ich bezpieczeństwo, a także, choć tu brak wyraźnego przepisu prawa, o ich legalne pozyskanie.

Przez konkurs do bazy marketingowej

Pojawia się jednak jeden zasadniczy problem. Firmy nie po to organizują konkursy czy loterie, by za chwilę pozbywać się danych (chyba, że działanie takie ma wyłącznie wizerunkowy charakter). Dane te później (po zakończeniu konkursu czy loterii) mają najczęściej służyć dla celów marketingowych i przesyłania informacji handlowych. Krótko mówiąc, jest to jedna z metod służących do stworzenia bazy marketingowej. Taka baza bez wątpienia będzie wymagała zgłoszenia do GIODO. Zanim jednak przystąpimy do rejestracji, powinniśmy dopełnić kilku wymogów już na etapie przygotowywania konkursu lub loterii.

Słuchaj „Marketer+” Podcast

Zbieraj legalnie

Przede wszystkim ustalmy cel, dla jakiego te dane – poza oczywiście samym konkursem – będą wykorzystywane. Od tego bowiem uzależnione jest dobranie właściwej przesłanki, która zalegalizuje zbieranie danych. Przesłanki te zostały zebrane w art. 23 ust. 1 ustawy o ochronie danych osobowych. Przyjmując zatem, że chcemy te dane wykorzystać potem w celach marketingowych, powinniśmy sięgnąć po dwie przesłanki, które wymienia wyżej przytoczony przepis, a mianowicie zgodę na przetwarzanie danych (będzie nam potrzebna po to, by móc wykorzystać dane dla celów marketingowych) oraz po przesłankę, zgodnie z którą przetwarzanie danych jest dopuszczalne, jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną (rozstrzygnięcie konkursu).

Informuj

Formularz uczestnictwa w konkursie powinien ponadto zawierać tzw. obowiązek informacyjny, o którym mowa w art. 24 ust. 1 ww. ustawy. Oznacza to, że organizator konkursu ma obowiązek poinformować osobę fizyczną, której dane pozyskuje, o swej nazwie i siedzibie, wskazać cel, dla którego pozyskuje dane (uczestnictwo w konkursie, marketing), pouczyć o prawie dostępu do danych oraz możliwości ich poprawiania, a także wskazać, czy ich podanie ma charakter dobrowolny czy też istnieje jakiś prawny obowiązek (konkretny przepis, z którego to wynika) ich podania.

Razem z inną firmą

Firmy, organizując konkurs, nierzadko korzystają z pomocy podmiotów zewnętrznych, takich jak agencje interaktywne (przygotowanie konkursu, jego reklama, a nawet sama czynność związana ze zbieraniem danych osobowych) czy firmy hostingowe (baza danych przechowywana na hostingowanym serwerze). Jeżeli taka sytuacja ma miejsce, musimy sięgnąć do jeszcze jednego przepisu, a mianowicie art. 31 interesującej nas ustawy. Przepis ten precyzuje, w jaki sposób firma (w naszym przykładzie organizator konkursu oraz właściciel przyszłej bazy marketingowej) może współpracować przy przetwarzaniu danych z podmiotem trzecim. Gdyby zatem taka sytuacja miała miejsce, niezbędne jest zawarcie umowy powierzenia przetwarzania danych, która określa cel powierzenia, jego zakres, a także zobowiązuje firmę trzecią do podjęcia środków mających na celu zabezpieczenie powierzonych danych. Zabezpieczenia, o których tu mowa wynikają z rozdziału 5 ustawy o ochronie danych osobowych oraz z przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Wniosek do GIODO

Po spełnieniu powyższych wymogów wreszcie jesteśmy gotowi przejść do ostatniego etapu, a mianowicie zgłoszenia zbioru do GIODO. Z punktu widzenia ww. ustawy rejestracja musi poprzedzić czynności związane ze zbieraniem danych osobowych. Innymi słowy – najpierw zgłaszamy zbiór do GIODO (decyduje moment zgłoszenia, a nie faktycznego dopisania do rejestru, chyba że w zbiorze znajdują się tak zwane dane wrażliwe np. stan zdrowia), dopiero potem zaczynamy je przetwarzać (w tym zbierać).

Zanim przystąpimy do wypełniania wniosku rejestracyjnego, przygotujmy sobie informacje na temat:

  • firm, którym powierzymy w drodze umowy przetwarzanie danych osobowych (pełna nazwa i siedziba),
  • przesłanki (przesłanek), na której opieramy legalność przetwarzania danych osobowych,
  • celu, który realizujemy,
  • osób, od których będziemy pozyskiwali dane osobowe (nie chodzi tu o wpisywanie konkretnych osób, a o pewne uogólnienie np. osoby, które wyraziły zgodę na przetwarzanie danych w celach marketingowych),
  • zakresu danych, które będziemy zbierali,
  • sposobów zbierania danych,
  • udostępniania danych innym podmiotom niż te, które są uprawnione na podstawie przepisów prawa (np. policji),
  • przekazywania danych do państw trzecich (państw, które nie należą do Europejskiego Obszaru Gospodarczego np. Białoruś),
  • zabezpieczeń fizycznych, technicznych, logicznych i organizacyjnych, które zastosowano w celu ochrony danych osobowych.

Mając powyższe informacje, możemy wypełnić wniosek, wydrukować go, dać do podpisu osobie reprezentującej firmę i przesłać (albo złożyć osobiście) do GIODO. Od tej chwili nasza baza marketingowa może być „napełniana” danymi osobowymi.

[kreska]Zbieranie danych osobowych w celach marketingowych w 6 krokach:

  1. Ustal sposób pozyskiwania danych osobowych np. konkurs, loteria.
  2. Przygotuj zgodny z prawem formularz konkursowy (klauzule, obowiązek informacyjny).
  3. Opracuj regulamin konkursowy.
  4. Jeśli będziesz korzystał z pomocy firm trzecich przy przetwarzaniu danych, podpisz z nimi umowę powierzenia przetwarzania danych.
  5. Zgłoś zbiór danych do GIODO.
  6. Możesz zaczynać zbierać dane osobowe.

Czytaj więcej w tematach:

Prawo w marketingu
Agnieszka Grzesiek-Kasperczyk

Dlaczego Magmisie poprawiające koncentrację są sprzeczne z zasadami etyki, a Nagie Góralki nie

10 minut czytania

Średniozaawansowany Artykuł
Agnieszka Grzesiek-Kasperczyk

Digital Service Act – zakaz stosowania dark patterns. Część 3

6 minut czytania

Średniozaawansowany Artykuł
Agnieszka Grzesiek-Kasperczyk

AI a prawo. Jak legalnie i bezpiecznie wykorzystywać sztuczną inteligencję w marketingu

10 minut czytania

Średniozaawansowany Artykuł