02 gru

Czy zgodnie z RODO potrzebna jest zgoda na przetwarzanie danych uczestnika konkursu?

Tematami konkursów zajmowałam się już kilkukrotnie, m.in. we wpisach:

Jednakże problem wrócił do mnie ze zdwojoną siłą ze względu na opublikowany w zeszłym tygodniu RODOporadnik dla sektora nowych technologii. Autorzy poradnika podeszli do zagadnienia w bardzo praktyczny sposób, odpowiadając na najczęstsze pytania, z jakimi mierzą się firmy prowadzące działalność marketingową. Szczególnie polecam omówienie tematu zgody na wysyłanie newsletteru.

Nie mogę jednak zgodzić się z wytycznymi w zakresie organizowania konkursów. Szczerze mówiąc mam duże wątpliwości, czy autorzy rzeczywiście mieli na myśli to co ostatecznie zostało opublikowane w poradniku, biorąc pod uwagę ich wcześniejsze wytyczne, które stoją w sprzeczności z poradami w zakresie konkursów.

Ale od początku. Ostatnie pytanie zadane w poradniku odnosi się do kwestii legalności przetwarzania danych osobowych uczestników konkursów. Czy niezbędna jest zgoda, czy można uznać, że przetwarzanie ich danych wpisuje się w prawnie usprawiedliwiony interes administratora danych, jakim jest marketing produktów własnych (art. 6 ust. 1 lit. f RODO)? Zdaniem autorów poradnika, Administrator danych, organizując konkurs, będący  przyrzeczeniem publicznym w rozumieniu art. 919 Kodeksu cywilnego i nast., może przetwarzać dane osobowe uczestnika konkursu na podstawie prawnie uzasadnionego
interesu, m.in. w celu: organizacji konkursów, w tym obsługi zgłoszeń, w zakresie pomocy
technicznej, informowania o wynikach i wyłaniania zwycięzców oraz przyznawania i wysyłania nagród konkursowych.

W mojej opinii do przeprowadzenia konkursu niezbędna jest zgoda uczestnika. Wywodzę ją nie tylko z przepisów RODO, ale także dotychczasowej praktyki oraz wytycznych Urzędu Ochrony Danych Osobowych w tym zakresie. Ale po kolei.

Motyw 47 RODO wskazuje sytuacje, w których administrator może powołać się na swój prawnie usprawiedliwiony interes:

Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Autorzy poradnika słusznie zauważają, że konkurs jest przyrzeczeniem publicznym i osoba, która zgłasza swój udział w konkursie, może spodziewać się, że jej dane będą przetwarzane w celu przeprowadzenia konkursu. Jednakże należy zwrócić uwagę, że już samo zgłoszenie do konkursu jest wyrażeniem zgody w rozumieniu art. 7 RODO. Motyw 32 RODO wyraźnie wskazuje, że wyrażenie zgody może nastąpić także poprzez świadome działanie. Takim działaniem jest zgłoszenie do konkursu. Samo zgłoszenie jest dla administratora podstawą do stwierdzenia, że uczestnik wyraził zgodę na przetwarzanie jego danych. Należy jednak pamiętać, że to na administratorze danych (organizatorze) ciąży obowiązek udowodnienia, że zgoda została pozyskana. Właśnie dlatego Urząd Ochrony Danych Osobowych zaleca, aby pozyskać zgodę w formie oświadczenia (pisemnego lub elektronicznego), które będzie stanowić dowód w sprawie.

Należy także zwrócić uwagę, że UODO prosi o wyrażenie zgody na przetwarzanie danych osobowych od uczestników organizowanych przez siebie konkursów, co podtrzymuje stanowisko, że zgoda jest podstawą legalizującą przetwarzanie w celu organizacji konkursu.

Patrząc na zagadnienie od drugiej strony. Gdyby przetwarzanie danych osobowych uczestnika konkursu odbywało się na podstawie prawnie uzasadnionego interesu administratora, nie byłoby niezbędne zapraszanie uczestników do zgłoszenia udziału w konkursie. Organizator sam decydowałby kto i na jakich zasadach przystępowałby do konkursu. Na przykład stwierdzałby, że uczestnikiem jest każdy z jego klientów, następnie wybierałby z klientów spełniających „kryteria konkursowe” i przydzielał im nagrody. Podobnie każda osoba odwiedzająca centrum handlowe mogłaby stać się uczestnikiem konkursu, poprzez wejście do centrum, w którym ustawiony byłby apart fotograficzny robiący zdjęcie każdemu gościowi. Nagrodę otrzymywałaby najlepiej ubrana osoba. W obu przypadkach uczestnicy konkursu zostają zgłoszeniu do konkursu na podstawie woli organizatora, który organizując konkurs na określonych przez siebie zasadach dokonuje przyrzeczenia publicznego, pozwalającego mu dokonywać takich wyborów. Właśnie przez takie działanie należy rozumieć prawnie uzasadniony interes administratora w rozumieniu RODO. Organizowanie konkursów na takich zasadach stałoby w oczywistej sprzeczności z RODO, które stawia interesy osoby, której dane dotyczą ponad interesami administratora. W szczególności ta osoba ma prawo do prywatności oraz do nie stawania się uczestnikiem konkursu wbrew własnej woli lub bez pytania o zgodę.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 3 grudnia 2018