Konkursy i loterie a dane osobowe

Przeczytaj także: Ocena skutków przetwarzania danych dla ich ochrony

Razem z inną firmą

Firmy, organizując konkurs, nierzadko korzystają z pomocy podmiotów zewnętrznych takich jak agencje interaktywne (przygotowanie konkursu, jego reklama, a nawet sama czynność związana ze zbieraniem danych osobowych) czy firmy hostingowe (baza danych przechowywana na hostingowanym serwerze). Jeżeli taka sytuacja ma miejsce, musimy sięgnąć do jeszcze jednego przepisu, a mianowicie art. 31 interesującej nas ustawy. Przepis ten precyzuje w jaki sposób firma (w naszym przykładzie organizator konkursu oraz właściciel przyszłej bazy marketingowej) może współpracować przy przetwarzaniu danych z podmiotem trzecim.

Gdyby zatem taka sytuacja miała miejsce, niezbędne jest zawarcie umowy powierzenia przetwarzania danych, która określa cel powierzenia, jego zakres, a także zobowiązuje firmę trzecią do podjęcia środków mających na celu zabezpieczenie powierzonych danych. Zabezpieczenia, o których tu mowa wynikają z rozdziału 5 ustawy o ochronie danych osobowych oraz z przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Wniosek do GIODO

Po spełnieniu powyższych wymogów wreszcie jesteśmy gotowi przejść do ostatniego etapu, a mianowicie zgłoszenia zbioru do GIODO. Z punktu widzenia ww. ustawy rejestracja musi poprzedzić czynności związane ze zbieraniem danych osobowych. Innymi słowy – najpierw zgłaszamy zbiór do GIODO (decyduje moment zgłoszenia, a nie faktycznego dopisania do rejestru, chyba że w zbiorze znajdują się tak zwane dane wrażliwe np. stan zdrowia), dopiero potem zaczynamy je przetwarzać (w tym zbierać).

Zanim przystąpimy do wypełniania wniosku rejestracyjnego, przygotujmy sobie informacje na temat:

• firm, którym powierzymy w drodze umowy przetwarzanie danych osobowych (pełna nazwa i siedziba)
• przesłanki (przesłanek) na której opieramy legalność przetwarzania danych osobowych
• celu, który realizujemy
• osób, od których będziemy pozyskiwali dane osobowe (nie chodzi tu o wpisywanie konkretnych osób, a o pewne uogólnienie np. osoby, które wyraziły zgodę na przetwarzanie danych w celach marketingowych)
• zakresu danych, które będziemy zbierali
• sposobów zbierania danych
• udostępniania danych innym podmiotom niż te, które są uprawnione na podstawie przepisów prawa (np. policji)
• przekazywania danych do państw trzecich (państw, które nie należą do Europejskiego Obszaru Gospodarczego np. Białoruś)
• zabezpieczeń fizycznych, technicznych, logicznych i organizacyjnych, które zastosowano w celu ochrony danych osobowych

Mając powyższe informacje, możemy wypełnić wniosek, wydrukować go, dać do podpisu osobie reprezentującej firmę i przesłać (albo złożyć osobiście) do GIODO. Od tej chwili nasza baza marketingowa może być „napełniana” danymi osobowymi.