Organizowanie konkursu na zlecenie klienta
Wśród firm, z którymi współpracuję jest kilka agencji reklamowych, które bardzo często przeprowadzają konkursy na zlecenie swoich klientów. Doświadczenie pokazuje, że większość tych klientów nie ma pojęcia o kwestiach formalnych takich jak powierzenie danych agencji, pozyskiwanie zgody na przetwarzanie danych, tworzenie regulaminu, czy w końcu rozliczanie podatku. A podkreślenia wymaga fakt, że odpowiedzialność za niewłaściwie (niezgodnie z przepisami prawa) przeprowadzony konkurs ciąży na organizatorze, czyli agencji. Biorąc pod uwagę konsekwencje prawne dla agencji, takie jak kary finansowe, odszkodowania tytułem naruszenia prywatności, czy utrata wizerunku marki, nie można sobie na to pozwolić.
Podstawowe problemy i zagrożenia związane z realizowaniem konkursów na zlecenie:
- Presja czasu (konkurs ma być „na wczoraj”)
- Zbieranie danych uczestników i przekazywanie klientowi bez sformalizowania współpracy w umowie powierzenia
- Niewłaściwe zabezpieczenie gromadzonych i przetwarzanych danych
- Nielegalne gromadzenie danych uczestników (brak właściwie pozyskanej zgody)
- Zbieranie danych uczestników do celów marketingowych pod przykrywką konkursu
- Źle przygotowany regulamin lub jego brak
- Niewypełniony obowiązek informacyjny wobec uczestnika
- Brak przeszkolenia pracowników agencji w zakresie procedury przeprowadzania konkursów
- Klient wie lepiej (to najgorsze)
Z mojego doświadczenia wynika, że wszystkie te problemy można rozwiązać poprzez wprowadzenie odpowiedniej, oficjalnej procedury przeprowadzania konkursów i przeszkolenia pracowników w tym zakresie. Wiedza i przeświadczenie pracownika o konieczności zrealizowania konkursu zgodnie z procedurą to fundament zabezpieczenia interesu prawnego agencji (nie oszukujmy się, jeden źle zrobiony konkurs, dookoła którego zrobi się szum, może puścić agencję z torbami, a ludzi zmusić do konieczności szukania nowej pracy). Ludzie znający procedury i będący przekonani o konieczności ich przestrzegania, są także w stanie użyć właściwych argumentów w rozmowie z klientem.
Przed zrealizowaniem pierwszego konkursu, już na etapie przyjmowania zlecenia, agencja powinna zawrzeć z klientem umowę powierzenia danych. Zapisy powierzenia mogą być także częścią umowy na świadczenie usług. Nawet jeżeli z klientem nie ma umowy na usługi (lub jeszcze nie ma), umowa powierzenia powinna zostać zawarta. Agencja powinna mieć opracowany wzór umowy oraz zapisy do umowy na usługi, aby móc od razu przekazać je klientowi. Umowa powierzenia powinna określać cel i zakres zbieranych danych, obowiązki i uprawnienia agencji oraz zakres jej odpowiedzialności. W proces realizowania konkursu powinien być zaangażowany Administrator Bezpieczeństwa Informacji. Na podstawie przedstawionych założeń konkursu opracuje odpowiednie procedury i zalecenia do przeprowadzenia konkursu. Warto dodać, że jeżeli agencja korzysta z usług podwykonawcy (np. hosting, stworzenie i obsługa formularza konkursowego), to należy z podwykonawcą także zawrzeć umowę powierzenia.
Podstawowy problem, jaki pojawia się na etapie opracowywania procedury przeprowadzenia konkursu, to kto jest administratorem danych osobowych: agencja czy klient.
Zgodnie z ustawą o ochronie danych osobowych administratorem jest ten kto decyduje o celach i środkach przetwarzania danych osobowych. W przypadku konkursów na zlecenie klienta mamy do czynienia z sytuacją, w której agencja na zlecenie klienta przetwarza dane osobowe uczestników konkursu (stąd konieczność powierzenia). Zgodnie z definicją instytucji powierzenia danych, administratorem danych jest ten kto powierza dane, czyli klient. Jednakże należy zwrócić uwagę, że mogą być odstępstwa od tej reguły. Po pierwsze może się okazać, że klient zleca przeprowadzenie konkursu, ale jego udział w całym konkursie ogranicza się do zapłacenia za nagrody (jest fundatorem nagród). Na żadnym etapie nie decyduje o tym kto ma tę nagrodę otrzymać (czyli nie ma wpływu na obrady komisji konkursowej), nie otrzymuje też danych uczestników, czy zwycięzców. W takim wypadku trudno mówić o decydowaniu o celach i środkach przetwarzania danych. W mojej ocenie administratorem danych, w tym wypadku będzie agencja. Nie dotyczy to sytuacji, w której klient chce mieć wpływ na wybór zwycięzców, wysyła im nagrody, rozpatruje reklamacje albo zagwarantował sobie przetwarzanie danych uczestników w celach marketingowych (za ich zgodą). Wówczas schemat, w którym klient pozostaje ADO jest nienaruszony. Drugi, szczególny przypadek dotyczy sytuacji, w której agencja odprowadza podatek. Wówczas to agencja staje się administratorem danych osobowych zwycięzców. Jeżeli administratorem był klient, zalecam agencji pozyskanie dodatkowej zgody od zwycięzcy na przetwarzanie danych osobowych do celów podatkowych na protokole odbioru nagrody. Tak naprawdę dopiero na tym etapie agencja powinna pozyskiwać dane niezbędne do rozliczenia podatku – zbieranie wszystkich danych już na etapie zgłoszeń konkursowych może zostać uznane za nieadekwatne do celu, ponieważ pełny zakres jest potrzebny dopiero na etapie rozliczania podatku od nagrody.
Całą procedurę przeprowadzania konkursu opisałam tutaj.
Dobra, ale co jeżeli „klient wie lepiej”?
Jeżeli nie chce zawrzeć umowy powierzenia danych, powinniśmy uświadomić mu, że jest to dla niego ogromne ryzyko prawne wiążące się z naruszeniem przepisów o ochronie danych osobowych, a co za tym idzie kary i utrata wizerunku (a odbudowanie wizerunku jest kosztowne). Jeżeli argumenty zdroworozsądkowe nie trafiają, naprawdę odradzam agencji realizowanie takiego konkursu, gdyż może też być tak, że klient świadomie nie podpisuje umowy powierzenia, aby przenieść jak najwięcej ryzyka i odpowiedzialności na agencję, a zgromadzone dane przetworzyć w celu niezgodnym z konkursem (np. sprzedać lub wysyłać reklamy).
Jeżeli klient ma swój regulamin, agencja powinna obstawać przy wprowadzeniu niezbędnych, zabezpieczających jej interes prawny zapisów. Może się zdarzyć, że poprzez odpowiednie zapisy, klient będzie chciał przenieść ryzyko i odpowiedzialność na klienta.
Co jeżeli klient mówi, że to tylko mały konkursik na fajesbuku i nie ma sensu zawracać sobie głowy regulaminem i pozyskiwaniem zgody? Nie ma czegoś takiego jak „mały konkursik”, niezależnie od tego w jaki sposób i jak szybko jest realizowany, powinna zostać zachowana procedura. I w przypadku takich małych konkursików na szybko, sprawdza się oficjalna procedura przeprowadzania konkursów, która zwiera wzorcowy regulamin oraz wzory na przetwarzanie danych.
Zdarzyło mi się jeszcze, że klient nie zgadzał się na zbieranie szerszego zakresu danych zwycięzców niż adres e-mail i adres do wysyłki nagrody, podczas gdy agencja musiała odprowadzić podatek i w tym celu był jej niezbędny PESEL zwycięzcy. Oczywiście prośba klienta jest nieuzasadniona, a przychylenie się do niej może pociągnąć konsekwencje karno-skarbowe. Serdecznie odradzam.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!