Dzisiaj na warsztat weźmiemy karty przedpłacone (karty pre-paid). W ostatnim wpisie dotyczącym kart podarunkowych podkreślałam, że wcale nie muszą zmieniać się przepisy prawa, żeby zmieniła się praktyka ich stosowania. W przypadku kart przedpłaconych sprawa wygląda jednak odwrotnie: zmieniły się przepisy, a teraz czas na ich wdrożenie. Nowe zasady obowiązują nie tylko instytucje finansowe, które wydają kart przedpłacone, ale również tych, którzy je nabywają i docelowo z nich korzystają. A ponieważ branża marketingowa bardzo lubi się z kartami przedpłaconymi, które często wydawane są jako nagrody w akcjach promocyjnych, to mam nadzieję, że dzisiejszy wpis będzie dla Was źródłem przydatnych wskazówek.
Co się zmieniło w prawie?
Nie wchodząc nadmiernie w szczegóły: przepisy polskiego prawa musiały zostać dostosowane do europejskich regulacji, które – po kolejnych zmianach – mają być skutecznym narzędziem w walce ze zjawiskiem defraudowania pieniędzy. Być może nie wszyscy mają świadomość tego, że karty pre-paid były doskonałym narzędziem do nadużyć – nie wymagały rejestracji, przez co nie sposób było ustalić użytkownika końcowego i tego, w jaki sposób pieniądze „przepływają”.
Obecnie polskie przepisy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu zobowiązują instytucje finansowe (np. banki) do identyfikowania użytkownika końcowego karty przedpłaconej – czyli osoby, która z tej karty realnie korzysta. W praktyce oznacza to, że instytucje finansowe mogą wymagać podania zestawu konkretnych danych dotyczących osoby, która będzie korzystać z karty przedpłaconej przed wystawieniem karty. I to właśnie ten moment ma kluczowe znaczenie dla Was – organizatorów akcji promocyjnych.
W związku z tymi zmianami mogą pojawić się nowe wyzwania i pytania, na które staram się odpowiedzieć poniżej.
Co zmienia się dla organizatorów akcji promocyjnej?
W sumie wszystko co istotne można zamknąć w jednym słowie: RODO I widać to zarówno w relacji organizator – bank (wystawca karty pre-paid) i klient (zleceniodawca akcji), jak również organizator– uczestnicy.
- Organizator – bank
Jeśli w tym roku organizowaliście już akcję promocyjną, w której nagrodą były karty przedpłacone, to ten proces nie będzie dla Was zaskoczeniem.
Karty przedpłacone wydawane są na podstawie umowy zawieranej z instytucją finansową, np. bankiem. W odpowiedzi na złożone do banku zamówienie o wydanie określonej liczby kart przedpłaconych bank zobowiąże Was do przekazania danych osobowych dotyczących użytkowników końcowych tych kart (zwycięzców akcji promocyjnej). Zakres tych danych jest dość szczegółowy, bo bank może wymagać podania:
- imienia i nazwiska użytkownika,
- adresu zamieszkania,
- typ dokumentu tożsamości,
- seria i numer dokumentu tożsamości,
- data wydania i termin ważności dokumentu tożsamości,
- obywatelstwo,
- PESEL,
- a nawet numer NIP, nazwa firmy, czy główne miejsce prowadzenia działalności.
Intuicyjnie pojawia się pytanie: hej, czy to nie za dużo danych? Nie, to dokładnie tyle danych, ile zgodnie z przepisami może wymagać bank. Dlatego nie ma co protestować i rozpoczynać negocjacji z bankiem – jeśli chcecie pozyskać karty przedpłacone, to określone dane trzeba zebrać i przekazać do banku.
Na gruncie przepisów o ochronie danych osobowych, jako organizatorzy akcji nie musicie z bankiem zawierać umowy powierzenia przetwarzania danych. Agencja przekazuje dane bankowi dlatego, że bank ma prawny obowiązek zebrać te dane i jest ich odrębnym administratorem.
Natomiast współpraca z bankiem w zakresie wydawania i obsługi kart pre-paid będzie wymagała zawarcia umowy cywilnoprawnej, której wzór z pewnością przedstawi Wam bank.
- Organizator – uczestnicy
W tej relacji kluczowe jest to, w jaki sposób przebiega proces zbierania danych. Jako organizatorzy akcji powinniście dbać o to, aby był on zawsze zgodny z zasadą minimalizacji danych wynikającą z RODO. Czyli zbieracie tylko takie dane, jakie są absolutnie niezbędne do osiągnięcia danego celu.
Wskazówka dla Was: w formularzu zgłoszeniowym do akcji zbierajcie tylko takie dane osobowe, które pozwolą Wam później skontaktować się z uczestnikiem, np. żeby poinformować o przyznaniu nagrody. W praktyce możecie się więc ograniczyć do zbierania danych w postaci imienia i numeru telefonu czy adresu e-mail. Na etapie przyjmowania zgłoszeń w akcji nie możecie zbierać np. numeru i serii dowodu tożsamości, czy numeru PESEL – są to dane nadmiarowe na tym etapie.
Wiadomo już, że jeśli chcecie wydawać karty przedpłacone w akcjach promocyjnych, to karty te muszą zostać zarejestrowane na konkretnego użytkownika. Użytkownikiem karty będzie osoba, która wygra ją w akcji promocyjnej. Wobec tego akcja powinna być zaprojektowana w taki sposób, żeby szczegółowe dane konieczne do wydania i rejestracji karty przedpłaconej były zbierane wyłącznie od tych uczestników akcji, którym ta karta została przyznana jako nagroda. Dlatego dane do rejestracji karty pre-paid należy zbierać od uczestników po tym, kiedy poinformujecie ich o przyznaniu nagrody.
Sposób zbierania tych danych nie jest regulowany przepisami. Możecie poprosić zwycięzców, żeby przesłali je Wam za pośrednictwem maila, specjalnego formularza na stronie www albo uruchomić dla nich dedykowaną infolinię. Najważniejsze, żeby dane były zebrane i przechowywane w sposób bezpieczny. Musicie zapewnić odpowiednie środki bezpieczeństwa, aby przy przekazywaniu tych danych nie doszło np. do ich wycieku.
Pamiętajcie również o zasadzie zgodnie z którą, dane przetwarzane mogą być dla osiągniecia określonego celu (w tym przypadku jest to wydanie kart pre-paid). Jeśli cel zostanie zrealizowany, tzn. karty pre-paid zostaną wystawione to dane przekazane do banku powinniście usunąć. Przechowywanie danych, które nie są Wam potrzebne będzie naruszeniem przepisów prawa.
- Organizator – klient (zleceniodawca akcji)
W tym układzie najczęściej pojawia się pytanie, kto jest administratorem danych i czy musimy zawierać jakieś dodatkowe umowy.
Zbieranie konkretnych danych od uczestników po to, aby wydać im nagrodę w postaci karty pre-paid to kolejna czynność, którą organizator podejmuje w związku z przeprowadzaniem akcji. Skoro celem akcji jest nagradzanie za wykonanie określonych działań, to naturalnie potrzebujemy informacji o tym komu tę nagrodę mamy wydać.
Jeśli ustaliliście, że administratorem danych osobowych uczestników akcji jest Wasz klient (zleceniodawca akcji), to dotyczy to wszystkich danych zebranych w związku z jej przeprowadzeniem, a więc również tych, które są niezbędne do wydania kart pre-paid. W tym miejscu wyjaśniam, że nie ma to znaczenia, że klient uważa, że tych danych nie potrzebuje lub nie ma (nie chce mieć) do nich dostępu. Bycie administratorem danych to nie jest kwestia wyboru – chcę lub nie chcę nim być. Ustalenie, kto wchodzi w tę rolę wynika z przepisów RODO. Nie może to być swobodna decyzja (ale o tym zrobimy osobny wpis).
Dla przypomnienia, podejmując współpracę z klientem powinniście zadbać o to, aby została zawarta umowa powierzenia przetwarzania danych. Polecam treść tej umowy sformułować możliwie globalnie, tzn. w odniesieniu do całości usług marketingowych, jakie świadczycie dla klienta, a nie zawierać ją odrębnie do każdego realizowanego projektu (co niestety czasami się zdarza i jest dość uciążliwe operacyjnie, bo wymaga zawierania takiej umowy pod każdy projekt).
Z moich obserwacji wynika, że karty pre-paid są bardzo atrakcyjną alternatywą dla nagród rzeczowych wydawanych w akcjach promocyjnych. Są szczególnie popularne w programach motywacyjnych B2B, ale coraz częściej pojawiają się też w akcjach skierowanych do konsumentów, albo po prostu są formą wynagradzania pracowników. Bez względu na to, w jaki sposób i komu wydajecie karty pre-paid, pamiętajcie o nowych obowiązkach i zasadach dystrybucji kart pre-paid. Z pewnością wymaga to wcześniejszego przygotowania się: ustalenia warunków z bankiem, zaprojektowania procesu pozyskiwania danych od użytkowników kart i potwierdzenia z klientem tych zasad. Może nie będzie tak szybko, jak w przypadku kupowania nagród rzeczowych, ale może to być inwestycja, która się opłaci.