Brak regulaminu konkursu i zbyt wiele danych żądanych od jego uczestników — takie podstawowe zarzuty ma Generalny Inspektor Ochrony Danych Osobowych (GIODO) do firmy, która organizowała konkurs. Spółka (jej nazwy nie podano) otrzymała od generalnego inspektora pismo z wnioskiem o ustosunkowanie się do zgłoszonych wątpliwości.
GIODO wystąpił do spółki, bo do jego biura trafiły informacje o zbieraniu przez nią wielu szczegółowych danych, które należy umieścić w kuponie zgłoszenia do konkursu, zamieszczonego na jej stronie internetowej. W piśmie zwrócono uwagę, że firma posiada jeden zarejestrowany zbiór danych, obejmujący nazwiska, imiona, adresy zamieszkania lub pobytu, numery telefonów oraz adresy poczty elektronicznej. Kupon zgłoszeniowy obejmuje jednak także datę urodzenia, serię i numer dowodu osobistego oraz opcjonalnie numer konta bankowego. Do czego potrzebne są te dodatkowe dane oraz w jakim zbiorze są one przetwarzane? — pyta GIODO. Jednocześnie przypomina, że administrator danych ma obowiązek zgłaszać generalnemu inspektorowi każdą zmianę zakresu przetwarzanych informacji, w ciągu 30 dni od dokonania zmiany w posiadanym zbiorze.
W ocenie generalnego inspektora samo zgłoszenie się do udziału w konkursie nie jest jednoznaczne z wygraniem nagrody, dlatego w pierwszym etapie konkursu w zupełności powinno wystarczyć podanie tylko takich informacji, jak imię i nazwisko oraz e-mail lub numer telefonu, dla umożliwienia kontaktu. Dopiero po wyłonieniu zwycięzcy, gdy należy wypłacić nagrody, konieczne może być uzyskanie szczegółowych danych osobowych, takich jak adres, numer rachunku bankowego, data urodzenia. W każdym przypadku jednak wątpliwa jest podstawa prawnadla żądania informacji o serii i numerze dowodu osobistego. Generalny inspektor zwraca też uwagę, że na stronie internetowej pod zakładką „Regulaminy konkursów i krzyżówek — aktualny regulamin” nie wyświetla się żadna treść. To wbrew przepisom, bo najpóźniej w momencie pozyskiwania danych należy przekazać osobom, których one dotyczą, niezbędne informacje, w tym także o adresie aktualnej siedziby administratora. Zainteresowany powinien mieć możliwość właściwej oceny sytuacji, aby podjąć decyzję co do ujawniania i udostępnienia danych i korzystać z przyznanych mu praw oraz występować z ewentualnymi roszczeniami (sprawa DOLiS-035-622/14).
Podstawowe obowiązki administratora danych
Zapewnienie,
aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych,
zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu
niezgodnemu z tymi celami — dane powinny być adekwatne do celów ich
przetwarzania (czyli gromadzone tylko te, które są do tego celu
niezbędne), przechowywane w postaci umożliwiającej identyfikację osób,
których dotyczą, i nie dłużej niż jest to konieczne do osiągnięcia celu
przetwarzania. Zapewnienie osobom, których dane dotyczą, prawa do
kontroli procesu ich przetwarzania. Zapewnienie ochrony przetwarzanych
danych przed ich udostępnieniem (także ich zabraniem) osobom
nieupoważnionym, ich zmianą, utratą, uszkodzeniem lub zniszczeniem oraz
przetwarzaniem z naruszeniem przepisów. Obowiązek informowania o celu
gromadzenia i przetwarzania danych.