-1
archive,category,category-facebook,category-330,theme-stockholm,cookies-not-set,stockholm-core-1.1,woocommerce-no-js,select-child-theme-ver-5.1.8.1573676579,select-theme-ver-5.1.8,ajax_fade,page_not_loaded,menu-animation-underline,popup-menu-fade,wpb-js-composer js-comp-ver-6.0.5,vc_responsive

Schrems II – czyli czy nadal możliwe jest korzystanie z narzędzi Facebooka i Google w Twoim przedsiębiorstwie?

Cieszące się dużą popularnością wszelkiego rodzaju narzędzia dotyczące analizy wyników sprzedaży, działań marketingowych, zachowania Twoich klientów lub potencjalnych klientów na Twojej stronie internetowej czy w e-sklepie najczęściej należą do największy graczy na rynku, którzy przekazują pozyskane w trakcie świadczenia usług dane osobowe w różne rejony świata poza Europejski Obszar Gospodarczy (EOG), a najczęściej do USA.

Photo by William Iven on Unsplash

Danymi osobowymi nie są tylko imię i nazwisko, ale także mogą nimi być adres IP i pliki cookies zatem pozyskując te dane od użytkowników Twojej strony czy klientów przetwarzasz dane osobowe i być może przekazujesz je do państw poza EOG.

Jeśli tak jest, to wydane w dniu 16.07.2020 r. przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzeczenie ws. Privacy Shield (C-311/18: „Schrems II”) dotyczące transferu danych osobowych do państwa trzeciego, czyli poza EOG, w tym w szczególności dotyczy to USA, dotyczy także Ciebie. Po wydaniu tego orzeczenia, do którego Polska jako państwo członkowskie UE powinna zastosować się, wątpliwa stała się możliwość kontynuowania korzystanie z określonych usług, w związku z którymi dochodzi do przekazywania danych do USA.

 

Możliwości transferu danych poza EOG

Zaczynając od początku należy wskazać jakie istnieją możliwości przekazywania danych osobowych do państwa trzeciego.

Transfer danych poza EOG uzależniony jest od spełnienia określonych warunków wskazanych w rozdziale V rozporządzenia (RODO). Istnieją 3 podstawy, w oparciu o które administrator danych może przekazywać dane osobowe poza EOG:

 

1. decyzja Komisji Europejskiej  (KE) (art. 45 RODO) stwierdzająca, że dane państwo zapewnia odpowiedni stopień ochrony, przekazanie danych w oparciu o taką decyzję nie wymaga specjalnego zezwolenia

 

2. razie braku decyzji KE administrator może przekazać dane osobowe poza EOG wyłącznie, gdy dane państwo zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).

Zapewnienie odpowiednich zabezpieczeń możliwe jest za pomocą np. standardowych klauzul ochrony danych przyjętych przez KE na podstawie decyzji w sprawie klauzul standardowych (SCC). Decyzje te dostępne są pod linkami:

 

3. W przypadku braku decyzji KE (pkt 1) oraz odpowiednich zabezpieczeń (pkt 2), transfer zostać oparty jedynie o konkretne przesłanki, takie jak m.in.:

    • zgodę osoby, której dane mają być przetwarzane;
    • konieczność wykonania umowy zawartej pomiędzy podmiotem danych a administratorem;
    • zawarcie lub wykonanie umowy zawartej w interesie podmiotu danych;
    • niezbędność transferu danych ze względu na ważne interesy publiczne.

Szczegółowy katalog został określony w art. 49 RODO.

 

Google i Facebook to podmioty przekazujące dane poza EOG zgodnie z regulaminami świadczonych przez nie usług, w związku z wymianą informacją w ramach wewnętrznych struktur. Najczęściej dane osobowe przekazywane są do USA ale mogą być przekazywane również do innych państw spoza obszaru EOG. Ponadto, wszystkie podmioty, z których usług korzystasz, a mają swoje siedziby w USA będą dokonywać tam transferu danych osobowych. Dokonując weryfikacji, czy dany podmiot przekazuje dane poza EOG zapoznaj się dokładnie z jego polityką prywatności i regulaminem świadczonych usług.

Do momentu wydania wyroku TUSE w sprawie C-311/18, czyli do dnia 16 lipca 2020 r. przekazywanie danych osobowych do USA odbywało się na podstawie decyzji Komisji Europejskiej, tzw. Tarczy prywatności.

 

Tarcza prywatności (privacy shield)

Decyzja Komisji Europejskiej nr 2016/1250 (wydana na podstawie art. 45 RODO) dotycząca Tarczy Prywatności UE-US (tzw. privacy shield) została przyjęta 12 lipca 2016 r. a jej zasady zaczęły funkcjonować z dniem 1 sierpnia 2016 r. Tarcza Prywatności jest mechanizmem samocertyfikowania dla przedsiębiorstw zlokalizowanych w Stanach Zjednoczonych. Tarcza Prywatności polega na zobowiązaniu amerykańskich przedsiębiorstw do przestrzegania zasad, reguł i obowiązków określonych w ramach Tarczy Prywatności, dzięki czemu Tarcza Prywatności miała zapewniać ochronę obywatelom UE, a także jasność prawa przedsiębiorstwom. Listę podmiotów spełniających wymogi Tarczy Prywatności można znaleźć na stronie https://www.privacyshield.gov/list. Certyfikacja podlegała odnowieniu po okresie roku.

 

Wyrok w sprawie Schrems II

Jednakże w wyroku z dnia 16 lipca 2020 r. o sygnaturze C-311/18 Trybunał Sprawiedliwości Unii Europejskiej (TSUE) stwierdził, że:

  1. Tarcza Prywatności nie zapewnia odpowiedniej ochrony danych osobowych w państwie trzecim, o której mowa w art. 45 ust. 2 RODO.  Zdaniem Trybunału w decyzji dotyczącej Tarczy Prywatności doszło do naruszenia przepisów Karty Praw Podstawowych Unii Europejskiej i tym sam Trybunał unieważnił decyzję Komisji Europejskiej, co oznacza że od 16 lipca 2020 r. decyzja ta nie może stanowić podstawy transferu danych do USA;
  2. decyzja KE nr 2010/87 zatwierdzająca standardowe klauzule umowne jako instrument transferu danych osobowych w rozumieniu art. 46 RODO jest ważna. Trybunał potwierdził, że klauzule te przewidują skuteczne mechanizmy ochrony danych osobowych. Jednakże samo zawarcie standardowych klauzul umownych z podmiotem z USA nie zapewnia legalności transferu danych osobowych, co oznacza, że administrator powinien dodatkowo je przeanalizować. Administrator nie jest zwolniony z obowiązku sprawdzenia oraz oceny, czy w danym państwie trzecim poziom ochrony jest odpowiedni. Administrator powinien każdorazowo ocenić poziom ochrony praw i wolności, a w przypadku gdy nie jest on odpowiedni – powinien zaprzestać przesyłanie danych do danego państwa.

 

Powyższe oznacza, że jedynym bezpiecznym i pewnym rozwiązaniem, w przypadku dalszej chęci korzystania z usług lub narzędzi firm, które przekazuje dane Twoich klientów lub użytkowników do USA jest wyrażona zgoda przez osobę, której dane dotyczą.

 

Zgoda, czyli …

Pamiętaj, że zgoda musi być wyraźna, a także dobrowolna, konkretna i świadoma. Zgoda nie może zostać wyrażona w sposób domyślny. Treść zgody powinna wskazywać administratora danych, odbiorcę za granicą, państwa, do których trafią dane, cel ich transferu, jego zakres oraz kategorie danych, jakich ona dotyczy. Zgoda powinna być uzyskana przez administratora przed przystąpieniem do operacji transferu danych. Późniejsze wystąpienie o zgodę i uzyskanie jej nie legalizuje wcześniejszego przekazania danych, chyba że administrator wykaże, że w chwili dokonywania transferu miała zastosowanie inna podstawa przekazania danych.

Twój użytkownik lub klient, czyli osoba, której dane dotyczą, przed wyrażeniem zgody musi zostać poinformowana o ewentualnym ryzyku związanym z brakiem decyzji stwierdzającej odpowiedni stopień ochrony oraz związanym z brakiem odpowiednich zabezpieczeń.

Obowiązek informacyjny powinien być wykonany zgodnie z zasadami wskazanymi w art. 12 RODO, czyli zawierać wszystkie wymagane informacje jak przy standardowym obowiązku informacyjnym dotyczącym przekazywania danych w obrębie EOG.

 

Co robić?

Jeżeli nie chcesz uzyskiwać zgód od Twoich kontrahentów i klientów na przekazywanie danych do USA, ani informować ich, że USA nie zostały uznane decyzją Komisji Europejskiej za państwo zapewniające odpowiedni stopień ochrony ich danych osobowych, oraz że nie zapewniasz odpowiednich zabezpieczeń określonych w art. 46 RODO, a także, że w związku brakiem odpowiednich zabezpieczeń istnieje ryzyko niedostatecznej ochrony danych Twoich klientów zrezygnuj z dostawców rozwiązań dla Twojego przedsiębiorstwa, którzy przekazują dane poza EOG.

Wniesione zostały już skargi do wielu europejskich organów zajmujących się ochroną danych osobowych, w tym do Prezesa Urzędu Ochrony Danych Osobowych. Szczegóły dotyczące skarg i stawionych w nich zarzutów znajdziesz pod linkiem EU-US Transfers Complaint Overview.

 

Jeśli chcesz bezpiecznie przetwarzać dane osobowe swoich klientów i użytkowników swoich aplikacji i serwisów możesz skorzystać z pakietu wzorów dokumentów RODO, który zawiera pełen zestaw dokumentów niezbędnych i pomocnych do wypełnienia obowiązków ciążących na administratorze danych osobowych.

Jeżeli nie masz pewności czy przetwarzasz dane osobowe zgodnie z przepisami albo czy nie przekazujesz danych poza EOG bez odpowiedniej postawy do dokonywania transferu skorzystaj z e-porady dostępnej w sklepie albo skontaktuj się z nami za pomocą formularza kontaktowego.

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na https://lgl-iplaw.pl/warto-wiedziec/

ABC tworzenia regulaminu konkursu w Internecie. Czego unikać i o czym pamiętać pisząc regulamin konkursu w social mediach.

Największym błędem przy organizacji konkursu w Internecie jest brak regulaminu (!). Jeszcze kilka lat temu, gdy konkursy w social mediach dopiero raczkowały, bardzo często ich organizatorzy zupełnie zapominali o tym dokumencie. Obecnie zdarza się to rzadziej, ale nadal można natknąć się na konkurs “bez zasad”.

Każdy konkurs powinien mieć określone i dostępne reguły jego organizacji i przebiegu a zwłaszcza wyłaniania zwycięzców. Nawet wtedy, gdy służy tylko zabawie dzieci czy dorosłych…

Photo by Abigail Miller on Unsplash

 

Oto podstawowe ABC tworzenia regulaminu konkursu w Internecie. 

 

A – jak abuzywne klauzule (niedozwolone)

Klauzule abuzywne, to inaczej postanowienia zakazane. Przystępujący do konkursu uczestnicy nie mają możliwości negocjowania treści regulaminu i muszą podporządkować się zasadom określonym przez organizatora. Z tego względu, z uwagi na ochronę praw konsumenta, którym jest każdy uczestnik konkursu nie związanego z działalnością gospodarczą, prawo zabrania stosowania postanowień, które są niekorzystne dla drugiej strony lub sprzeczne z prawem. Organizator, który stosuje klauzule abuzywne naraża się na postępowanie przed Prezesem Urzędu Ochrony Konkurencji i Konsumentów.

Zakazane jest używanie klauzul obejmujących m.in. zastrzeżenie możliwości zmiany regulaminu w każdym czasie bez podania przyczyn bądź zastrzeżenie sądu do rozstrzygnięcia możliwego sporu właściwego dla siedziby organizatora. Za abuzywne uznano następujące klauzule: 

  • “Organizator zastrzega sobie prawo do zmiany terminu konkursu, jego przerwania lub zawieszenia konkursu z ważnych przyczyn”
  • “Organizator zastrzega sobie prawo zmian w regulaminie w czasie trwania konkursu i zobowiązuje się do natychmiastowego opublikowania zmienionego regulaminu w miejscach, w których uprzednio opublikował regulamin konkursu”
  • “Odpowiedzialność Organizatora jest ograniczona względem Uczestnika do wysokości wartości możliwej do wygrania w Konkursie nagrody.”
  • “Wszelkie reklamacje w związku z Konkursem mogą być zgłaszane listem poleconym (…) w terminie nie późniejszym niż 7 od daty zaistnienia zdarzenia stanowiącego podstawę reklamacji, jednakże nie później niż w terminie do dnia (…) włącznie, pod rygorem wygaśnięcia jakichkolwiek roszczeń związanych z udziałem w Konkursie (…).”
  • “Niezgłoszenie roszczeń w ww. terminie oznacza zrzeczenie się przez Uczestnika wszelkich roszczeń związanych z uczestnictwem w Konkursie”
  • “Organizator zastrzega sobie prawo zmiany okresu trwania Konkursu, zmiany warunków Konkursu oraz nagród przeznaczonych do wygrania w Konkursie, o czym powiadomi Uczestników na stronach internetowych: www.(…)”
  • “Organizator nie ponosi odpowiedzialności za nieprawidłowość lub nieterminowość doręczenia przez Pocztę Polską lub kuriera listów, telegramów i innych przesyłek wysyłanych przez lub do Organizatora w związku z Konkursem, ani za działanie podmiotów świadczących usługi telekomunikacyjne lub dostępu do Internetu, w zakresie, w jakim usługi te były wykorzystywane w związku z Konkursem”
  • “Wszelkie ewentualne spory, mogące wyniknąć w związku z Konkursem lub interpretacją postanowień niniejszego Regulaminu poddane będą pod rozstrzygnięcie sądu powszechnego właściwego miejscowo dla siedziby Organizatora.”
  • “Całkowita odpowiedzialność organizatora konkursu wobec uczestnika nagrodzonego z tytułu reklamacji nie przekracza wartości nagrody przypadającej dla danego uczestnika zgodnie z zasadami określonymi w niniejszym regulaminie”
  • “Organizator zastrzega sobie prawo do zakończenia Konkursu w każdym czasie bez podania przyczyny, o czym poinformuje poprzez zamieszczenie informacji na stronie internetowej Organizatora”
  • “Organizator zastrzega sobie prawo do zmiany rodzaju nagrody podczas trwania Konkursu na nagrody o podobnych właściwościach, funkcjonalności oraz o podobnej wartości”
  • “(…) Zleceniodawca nie ponoszą odpowiedzialności za doręczenie, prawidłowość i terminowość doręczenia przez (…) pocztę bank lub kuriera odpowiednio SMS-ów, listów (w tym reklamacji), telegramów i innych przesyłek wysyłanych w imieniu organizatora/Zleceniodawcy lub przez/do Organizatora w związku z Konkursem”
  • “Organizator może zakończyć albo zawiesić Konkurs w dowolnym momencie albo na dowolny okres bez konieczności uprzedniego powiadamiania o tym fakcie Uczestników. O zakończeniu albo zawieszeniu działań konkursowych Organizator poinformuje Uczestników za pośrednictwem Serwisu”
  • “Organizator zastrzega sobie, że nie ponosi odpowiedzialności za zdarzenia uniemożliwiające prawidłowe przeprowadzenie Konkursu, których nie był w stanie przewidzieć (…)”
  • “Decyzja Komisji w zakresie wniesionej reklamacji jest ostateczna i wiążąca” (pkt (…) Regulamin Konkursu Promocyjnego”
  • “W wypadku zawieszenia lub zaprzestania organizacji Konkursu Uczestnikom nie przysługują względem Organizatora żadne roszczenia, w szczególności Uczestnikowi nie przysługuje prawo żądania […] zwrotu kosztu udziału w Konkursie”
  • “Organizator konkursu nie ponosi odpowiedzialności za wszelkie kwestie związane z realizacją nagrody przez Partnerów (…)”

pełną listę klauzul niedozwolonych znajdziesz w rejestrze prowadzonym przez Urząd Ochrony Konkurencji i Konsumentów https://www.uokik.gov.pl/rejestr_klauzul_niedozwolonych2.php

 

B – jak brak prawidłowego oznaczenia organizatora konkursu

Regulamin konkursu jest pewnego rodzaju umową uczestnika konkursu z organizatorem, dlatego w regulaminie powinny znaleźć się pełne dane organizatora wraz z adresami kontaktowymi. Przystępujący do konkursu mają prawo wiedzieć kto jest jego organizatorem, do kogo mogą zwrócić się z pytaniami czy reklamacjami dotyczącymi przebiegu konkursu.

 

C – jak czas trwania konkursu

Termin przeprowadzania konkursu powinien być z góry określony. Niedozwolone jest skracanie lub przesuwanie terminu rozpoczęcia i zakończenia konkursu. Brak wskazania terminu trwania konkursu powoduje, że jest on nieważny. Z uwagi na to, że konkurs jest wedle prawa przyrzeczeniem publicznym stosuje się do niego przepis 921. § 1.  Kodeksu cywilnego: Publiczne przyrzeczenie nagrody za najlepsze dzieło lub za najlepszą czynność jest bezskuteczne, jeśli nie został w nim oznaczony termin, w ciągu którego można ubiegać się o nagrodę.

 

D – jak dane osobowe

O tym, że istnieje RODO wiedzą już chyba wszyscy. Organizator konkursu zbiera od uczestników ich dane osobowe, które pozwalają na ich identyfikację jak imię, nazwisko, adresy zamieszkania itp. Przepisy o ochronie danych osobowych nakładają obowiązek poinformowania podmiotu, którego dane są przetwarzane o:

  • celu i podstawie przetwarzania danych
  • kto jest administratorem danych,
  • w jaki sposób dane są przechowywane
  • czy i komu będę udostępniane
  • przez jaki czas będą przetwarzane
  • jakie prawa ma użytkownik w związku z przetwarzaniem jego danych

 

E – jak element losowości

Zasady wyłaniania zwycięzców konkursu nie mogą zawierać żadnego elementu losowości. W przypadku takiego skonstruowania regulaminu, że o wyłonieniu zwycięzcy decyduje los mamy do czynienia z loterią, której organizacja wymaga spełnienia szeregu warunków zawartych w ustawie z dnia 19 listopada 2009 r. o grach hazardowych. Loteria promocyjna może być urządzona jedynie poprzez uzyskanie zezwolenia na jej urządzenie. Więcej na temat tego, kiedy konkurs jest loterią i jakie wymagania musisz spełnić organizując loterię możesz przeczytać w naszym wcześniejszym artykule: https://lgl-iplaw.pl/2020/05/konkurs-czy-loteria-podstawowe-roznice-dotyczace-tych-form-promocji-twojego-przedsiebiorstwa/

 

F – jak formalności, czyli opisanie trybu postępowania reklamacyjnego

Obowiązek ten wynika z przepisów o prawach konsumenta. Uczestnik konkursu powinien zostać poinformowany o tym gdzie i w jakim terminie może składać reklamacje w związku z przebiegiem konkursu, tj. należy wskazać czas na złożenie reklamacji, adres e-mail lub korespondencyjny na jaki należy kierować reklamację oraz co trzeba zawrzeć w składanej reklamacji.

 

G – jak gwarancja nagrody 

Najważniejsza motywacją do wzięcia udziału w konkursie zwykle są nagrody. Określenie nagród jakie są możliwe do wygrania w konkursie i sposoby ich odbioru. Nagrody jakie są możliwe do wygrania w konkursie powinny być znane uczestnikom przed przystąpieniem do konkursu. Wiadomo, że każdy chciałby wiedzieć wcześniej co może wygrać i czy wkład pracy jaki się od niego wymaga jest dla niego adekwatny do wartości nagrody.

 

H – jak hasło: “podatek od nagród”

Pamiętaj, że na organizatorze konkursu ciąży obowiązek opłacenia podatku dochodowego od wygranych przez uczestników nagród. Przygotowując konkurs sprawdź czy możliwe będzie zastosowanie zwolnienia podatkowego w innym przypadku będzie obowiązany do pobrania od uczestnika należnej do zapłaty kwoty lub przyznania zwycięzcy konkursu dodatkowej nagrody pieniężnej, która pokryje wysokość należnego podatku. Nie zapomnij zawrzeć, w zależności od wybranej przez Ciebie opcji, odpowiednich postanowień w regulaminie informujących uczestnika o obowiązkach podatkowych związanych z wygraną w konkursie.

 

I – jak informacja o braku powiązań z FB

Gdy konkurs organizowany jest w serwisach Facebook i Instagram, ważne jest czytelne wskazanie, że konkurs nie jest przeprowadzany ani w żaden inny sposób zarządzany czy powiązany z podmiotami zarządzającymi lub będącymi właścicielami obu serwisów. Zgodnie z Regulaminem serwisu Facebook promocje na Facebooku muszą zawierać następujące zapisy:

  • pełne zwolnienie serwisu Facebook z odpowiedzialności wobec każdego uczestnika
  • informację, że promocja nie jest w żaden sposób sponsorowana, popierana ani przeprowadzana przez serwis Facebook ani z nim związana.

Dodatkowo warto zwrócić uwagę na jeszcze jeden zapis z regulaminu serwisu, który zabrania wykorzystywania do konkursu prywatnych osi czasu i połączeń ze znajomymi, np. niedozwolone jest stosowanie rozwiązań typu „udostępnij na swojej osi czasu, aby wziąć udział w promocji”, „udostępnij na osi czasu znajomego, aby mieć większe szanse na wygraną w konkursie” czy „oznacz znajomych w tym poście, aby wziąć udział w promocji”

 

J – jak jasne reguły uczestnictwa w konkursie 

Regulamin powinien określać kto może wziąć w nim udział. Jeżeli konkurs jest kierowany do osób małoletnich, trzeba dopełnić dodatkowych formalności, aby mógł być przeprowadzony zgodnie z prawem takie jak np. zgoda rodzica bądź innego opiekuna prawnego. Z udziału w konkursie powinny być też wyłączone osoby bezpośrednio spokrewnione z organizatorem (zarządem, komisją konkursową) lub współpracujące z osobami zarządzającymi czy wyłaniającymi zwycięzców.

 

K – jak kryteria wyłaniania zwycięzcy 

Poprawnie określenie zasad przyznawania nagród pozwoli zaoszczędzić organizatorowi czasu i stresu, który będzie musiał poświęcić na odpisywanie rozżalonym uczestnikom, którzy nie będą się zgadzać z wynikiem konkursu. Sposób wybory zwycięzcy powinien być obiektywny, pozbawiony faworyzowania jakiejś grupy uczestników konkursu. Najlepiej jest określić kryteria jakie praca konkursowa musi spełnić oraz wskazać komisję konkursową składającą się z kilku osób, by wybór zwycięzcy był dla każdego sprawiedliwy.

 

 

Kolejne litery alfabetu konkursów pisze życie a my będziemy opisywać je w następnych wpisach 🙂

 

Jeśli już teraz potrzebujesz gotowego regulaminu konkursu, w którym prace konkursowe zwycięzców konkursu będą stanowić utwory w rozumieniu prawa autorskiego bądź przedmioty praw pokrewnych czy własności przemysłowej, gdy wyłonione prace konkursowe mają służyć np. jako logo firmy lub do innych celów związanych z eksploatacją praw autorskich – zajrzyj na https://lgl-iplaw.pl/product/wzor-regulaminu-konkursu-w-internecie/