Loteria Paragonowa — nieprawidłowości w wykonywaniu obowiązków w zakresie informacji o przetwarzaniu danych osobowych

W kontekście porannego tekstu o zwolnieniu z podatku dochodowego nagród uzyskanych w Loterii Paragonowej warto zwrócić uwagę na jeszcze jeden temat, który coś mi podpowiada: że sprawa jest częściowo ułożona na kolanie.

Chodzi mi o jakże prostą sprawę jaką jest klauzula o zgodzie na przetwarzanie danych osobowych przez uczestników Loterii Paragonowej. Jak wszyscy wiedzą zgodnie z art. 24 ustawy o ochronie danych osobowych administrator ma obowiązek, w przypadku zbierania danych od osoby, której dane te dotyczą, dopełnienia prostych i nieskomplikowanych obowiązków informacyjnych. Po drugie art. 7 pkt 5 UoODO wyraźnie mówi, że zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.


loteria paragonowa dane osobowe

Informacja o przetwarzaniu danych osobowych dostępna w serwisie Loterii Paragonowej nie spełnia wymogów ustawy o ochronie danych osobowych. Zgodnie z art. 54 UoODO grozi za to nawet kara 1 roku pozbawienia wolności.


W praktyce przyjmuje to postać znanych i lubianych drobnych druczków pod formularzami, które mówią o tym, że… albo nie, oddajmy głos ustawodawcy:

art. 24 ust. 1 UoODO
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
3) prawie dostępu do treści swoich danych oraz ich poprawiania;
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Tymczasem w formularzu dostępnym w serwisie loteriaparagonowa.gov.pl widzimy li tylko coś takiego:

Akceptuję regulamin i wyrażam zgodę na przetwarzanie moich danych na potrzeby przeprowadzenia Loterii.

Zatem nie dość, że zgoda na związanie się przez uczestnika loterii postanowieniami regulaminu jest powiązana ze zgodą na przetwarzanie danych osobowych (naruszenie art. 7 pkt 5 UoODO), to w dodatku: nie dowiadujemy się z tego formularza (i) kto jest administratorem danych osobowych, (ii) czy mamy prawo dostępu do zgromadzonych danych i ich poprawiania, (iii) o tym czy podanie danych jest dobrowolne czy obowiązkowe. Tymczasem zgodnie z art. 54 UoODO niedopełnienie obowiązku w zakresie poinformowania osoby o jej prawach podlega karze grzywny, ograniczenia wolności — a nawet pozbawienia wolności do 1 roku.

A dla jasności co do samych danych osobowych uczestników hazardu pod nazwą Loteria Paragonowa (informacje te zaszyte są wyłącznie w regulaminie!):

  • administratorem danych uczestników jest Minister Finansów (par. 12 ust. 6 regulaminu);
  • dane osobowe osób składających reklamacje przetwarza organizator (czyli spółka pod firmą Unique One sp. z o.o.);
  • w regulaminie jest informacja, że dane osobowe uczestników będą usunięte po zakończeniu Loterii Paragonowej (czyli fiskusowi nie będzie wolno ich przetwarzać dłużej — ani tym bardziej opracowywać lub zestawiać z innymi danymi);
  • administratorem danych osobowych zwycięzców Loterii Paragonowej jest organizator (w regulaminie jest odniesienie do art. 29 ustawy o grach hazardowych).

Czyli wszystko ładnie pięknie, ale to powinno być także kawa-na-ławę, w formularzu rejestracyjnym — bo schowanie tych informacji w regulaminie nie załatwia sprawy.

  • Tomasz Bosak

    W formularzu kontaktowym wygląda to znacznie lepiej :)
    https://loteriaparagonowa.gov.pl/kontakt

  • Adam314

    Wygoda i użyteczność kłóci się tu z wymogami prawnymi. A gdyby tak dodać link „więcej >>” przy polu akceptacji zgody? Taki link rozszerzałby formularz o wszelkie niezbędne informacje oraz pozwalał na szczegółowe akceptacje. Jak prawo zapatrywałoby się na takie rozwiązanie?

  • W formularzu jest zastosowany taki mechanizm (zamiast „więcej” u nich ma to postać wielokropka w nawiasie (…) — jednak treść „dymka” jest dalece niewystarczająca.

    Zaś co do tego, że przepis prawa czasem jest niezgodny z UX… no cóż :) I tak nic nie przebije ustawy o prawach konsumenta (z tym, że uważam, że jasna informacja komu daję moje dane powinna być zawsze dostępna).

  • Adam314

    No właśnie wielokropek pokazuje dymek. Ale chyba nic nie stałoby prawnie na przeszkodzie gdyby formularz był bardziej dynamiczny. Możesz kliknąć jedną sumaryczną zgodę albo kliknąć w jakieś „więcej” i rozwinie się pole gdzie doczytasz dokładniej i będzie większy wybór zgód?

    A ustawa o prawach konsumenta… to cudo samo w sobie. Kiedyś doładowywałem telefon w banku mając jeden checkbox i jeden przycisk. Teraz mam trzy pola do zaznaczenia.

    A najdziwniejsze – pola są domyślnie nie zaznaczone. Nawet pole „jestem rezydentem RP”! To jest strona mojego banku, który przecież ma w papierach to, że jestem. Czy ustawa każe pytać się o coś, co bank już wie? :D

  • Dymek jest OK, niedobra jest treść dymka. Sumaryczna zgoda też jest niedobra — zakaz łączenia zgód wynika m.in. z art. 7 ust. 5 UoODO (i z art. 4 ust. 1 pkt 1 UoŚUDE).

  • Tak, tylko niech autor zwróci uwagę na art. 24 ust,2 – jeśli osoba posiada te informacje, to ten obowiązek jest wyłączony. Skoro ktoś akceptuje regulamin to znaczy, że zapoznaje się z jego treścią. Jest to dość powszechna metoda.
    Nadto proszę zauważyć, że usunięciu podlegają dane uczestników, a nie zwycięzców, które przetwarzane są już na innej podstawie prawnej niż dobrowolna zgoda.

    W swojej praktyce często spotykam się z takim stanowiskiem jak przedstawił Pan w artykule, jednak większość specjalistów, ABI jednak popiera tezy przedstawione przez mnie i stosowanie wszystkich przepisów ustawy a nie tylko opcji „bezpiecznej”

  • Ale teoria, że akceptacja regulaminu oznacza, że „wie” przeczy zakazowi domniemywania zgody z innej czynności. I tu raczej dyskusji nie ma :) nawet jeśli część ABI uważa inaczej.