0 0
dni
0 0
godz
0 0
min
0 0
sek

Programy lojalnościowe a ochrona danych osobowych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Każdemu przedsiębiorcy zależy na pozyskiwaniu nowych klientów, jednak samo pozyskanie klienta to nie koniec zmagań - przed przedsiębiorcą pojawia się wyzwanie zatrzymania klienta przy sobie na jak najdłużej. W tym właśnie celu tworzone są programy lojalnościowe, dla których funkcjonowania konieczne jest zebranie danych osobowych klientów, a często także stworzenie bazy danych potencjalnych klientów. Jak postępować, by prowadząc działania marketingowe i promocyjne nie złamać prawa, a tym samym, zamiast uzyskania zakładanych korzyści, nie utracić zaufania klientów? Czytając poznamy szerzej zagadnienie programy lojalnościowe a ochrona danych osobowych

Programy lojalnościowe a ochrona danych osobowych - zgłoszenie zbioru danych osobowych

Wdrożenie programu lojalnościowego przedsiębiorca powinien rozpocząć od zgłoszenia zbioru danych osobowych. Bez tego przetwarzanie danych osobowych klientów byłoby niezgodne z prawem, bowiem zgodnie z ustawą o ochronie danych osobowych ich przetwarzanie jest prawnie dopuszczalne dopiero po zgłoszeniu zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych (dalej: GIODO). Należy zaznaczyć, że ustawa wymaga zarejestrowania zbioru danych jeszcze przed rozpoczęciem ich przetwarzania, stanowiąc jednocześnie, że już samo zbieranie danych osobowych jest formą przetwarzania. Wynika stąd, że rejestracja zbioru danych osobowych powinna być dokonana jeszcze przed złożeniem klientom oferty udziału w programie lojalnościowym. Co ważne, dane osobowe mogą zostać zgłoszone tylko w przypadku, gdy klient wyraził zgodę na ich przetwarzanie.

Ważne!

Zgodnie z art. 7 ust. 1 pkt. 5 ustawy o ochronie danych osobowych zgoda klienta na przetwarzanie jego danych osobowych musi być wyraźna. Oznacza to, że nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Z powyższego przepisu wynika, że jeżeli klient wyraził zgodę na przetwarzanie jego danych w zakresie niezbędnym do udziału w programie lojalnościowym, to nie wolno domniemywać, że wyraził zgodę również na przekazywanie jego danych podmiotom współpracującym z przedsiębiorcą prowadzącym program lojalnościowy.

Co ważne, niedopełnienie przez przedsiębiorcę obowiązku uzyskania zgody, grozi karą grzywny, ograniczeniem lub pozbawieniem wolności. GIODO może również nakazać przedsiębiorcy usunięcie zebranych danych osobowych.

Określenie podstawy gromadzenia i przetwarzania danych osobowych przy programach lojalnościowych

Administrator danych osobowych, czyli przedsiębiorca, dokonując zgłoszenia zbioru, musi wskazać podstawę prawną przetwarzania danych osobowych, którą może być właśnie wykazanie uzyskania zgody klientów na przetwarzanie ich danych. Przedsiębiorca jednak może skorzystać z innej przesłanki prawnej.

Określenie podstawy prawnej przetwarzania danych osobowych nie jest tożsame ze wskazaniem celu ich przetwarzania. Co do zasady, w przypadku programów lojalnościowych celem jest właśnie samego prowadzenie programu lojalnościowego. O ile jest to jedynym celem, o tyle uzyskanie zgody na przetwarzanie danych nie będzie wymagane. Usprawiedliwionym prawnie celem administratora danych osobowych jest wówczas prowadzenie marketingu bezpośredniego swoich usług lub produktów.

Art. 23 ust. 1 ustawy o ochronie danych osobowych

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zgodnie z pkt. 3 powyższego przepisu, zgoda na przetwarzanie danych osobowych nie jest wymagana, jeżeli dane są przetwarzane w celu wykonania umowy wiążącej strony. Należy rozumieć to w ten sposób, że klient przedsiębiorcy, przystępując do umowy uczestnictwa w programie lojalnościowym, godzi się na przetwarzanie swoich danych osobowych, które jest niezbędne dla realizacji umowy.

Ważne!

Zbiór danych osobowych wykorzystywanych przez administratora danych tylko w celu prowadzenia programu lojalnościowego jest tzw. doraźnym zbiorem danych osobowych, co wymaga od administratora usunięcia danych osobowych lub poddania ich anonimizacji niezwłocznie po zakończeniu akcji.

Powyższe dotyczy jednak tylko przypadku, w którym prowadzenie programu lojalnościowego jest jedynym celem i powodem gromadzenia danych osobowych klientów. W rzeczywistości jednak zbiór danych osobowych klientów jest wykorzystywany do innych działań promocyjnych i marketingowych przedsiębiorcy, np. przesyłania newsletterów. Wówczas wymagana jest zgoda klienta na przetwarzanie jego danych, która to zgoda:

  • jest oświadczeniem woli na przetwarzanie danych osobowych tego, który oświadczenie składa,

  • nie jest domniemana lub dorozumiana z oświadczenia woli o innej treści,

  • ma charakter świadomy i dobrowolny,

  • może być odwołana w każdym czasie.

Cechą charakterystyczną programów lojalnościowych jest fakt, że są prowadzone online. Wynika stąd szczególny obowiązek administratora danych osobowych takiego zabezpieczenia danych, by nie wydostały się poza system. Jeżeli natomiast przedsiębiorca postanawia także zbierać informacje trackingowe przy użyciu plików cookies, powinien o tym fakcie poinformować uczestników.

Programy lojalnościowe a umowa powierzenia przetwarzania danych osobowych

Przedsiębiorca może zdecydować się na zlecenie prowadzenia programu lojalnościowego firmie zewnętrznej, która zajmie się organizacją i prowadzeniem programu. Do zakresu działań zatrudnionej firmy będzie należało również przesyłanie w imieniu przedsiębiorcy informacji o promocjach, sezonowych obniżkach i innych specjalnych okazjach wynikających z uczestnictwa w programie. Zatem współpraca przedsiębiorcy z podmiotem świadczącym profesjonalne usługi w zakresie organizacji i prowadzenia programów lojalnościowych, wymaga zawarcia umowy powierzenia przetwarzania danych osobowych. Ustawa o ochronie danych osobowych określa, jakie warunki muszą być zachowane dla zwarcia takiej umowy:

  • umowa powierzenia przetwarzania danych osobowych musi mieć formę pisemną

  • w umowie strony muszą precyzyjnie określić cel i zakres przetwarzania danych osobowych

  • podmiot, któremu dane osobowe są powierzane, musi podjąć odpowiednie środki organizacyjne i techniczne, niezbędne dla zabezpieczenia przetwarzania danych osobowych

Określając cel zawarcia umowy powierzenia przetwarzania danych osobowych, przedsiębiorca powinien wskazać, po co będą one przetwarzane. W przypadku programu lojalnościowego celem może być np. prowadzenie wysyłki informacji handlowych do osób, które przystąpiły do programu i wyraziły zgodę na ich otrzymywanie na podany adres poczty elektronicznej. Z kolei określając zakres przetwarzanych danych osobowych, przedsiębiorca wskazuje na kategorię osób, których dane dotyczą oraz na rodzaj danych powierzonych do przetwarzania. W podanym przykładzie zakres danych powierzonych do przetwarzania obejmuje m.in. osoby, które przystąpiły do programu lojalnościowego (kategoria osób) oraz adresy poczty elektronicznej.

Co ważne, jeżeli dane osobowe uczestników programu lojalnościowego zostaną udostępnione partnerom biznesowym przedsiębiorcy, przedsiębiorca powinien również zadbać o zawarcie umowy powierzenia przetwarzania danych osobowych.

Programy lojalnościowe a ochrona danych osobowych

Zabezpieczenie danych osobowych jest podstawowym obowiązkiem każdego administratora danych. Chodzi tu o fizyczne i organizacyjne zabezpieczenie, a także prowadzenie dokumentacji przedstawiającej proces przetwarzania danych osobowych uczestników programu lojalnościowego.

Szczególne wymagania w zakresie zabezpieczenia infrastruktury informatycznej wykorzystywanej do przetwarzania danych osobowych określa ustawa o ochronie danych osobowych oraz rozporządzenie wykonawcze do niej. Dla bezpieczeństwa przetwarzania danych osobowych uczestników programu lojalnościowego przedsiębiorca powinien zadbać przede wszystkim o to, aby:

  • pomieszczenie, w którym przetwarzane są dane osobowe było zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych,

  • w systemie informatycznym służącym do przetwarzania danych osobowych stosowano mechanizmy kontroli dostępu do danych oraz aby ten system była zabezpieczony przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu,

  • zastosowano mechanizm zabezpieczający przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej,

  • hasła uwierzytelniające użytkowników były zmieniane co 30 dni,

  • wykonywano kopie zapasowe zbiorów danych osobowych oraz programów służących do ich przetwarzania, które to kopie powinny być zabepieczone przez nieuprawnionym przejęciem, modyfikacją, uszkodzeniami lub zniszczeniem, a gdy kopie nie będą dłużej użyteczne, powinny zostać zniszczone,
  • urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe:
  • przeznaczone do likwidacji - zostały wcześniej pozbawione zapisu danych lub uszkodzone w ten sposób by ich odczyt był niemożliwy

  • przeznaczone do napraw - zostały wcześniej pozbawione zapisu danych w sposób uniemożliwiający ich odzyskanie albo by naprawa była możliwa pod nadzorem osoby upoważnionej przez administratora danych.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów