Zdjęcie osoby trzymającej kartkę z symbolem ochrony danych osobowych

RODO w programie lojalnościowym. O czym należy pamiętać?

Przepisy dyrektywy 95/46/WE (ogólnego rozporządzenia o danych osobowych – RODO) obowiązują od 25 maja 2018 r. i mają zastosowanie również w aspekcie programów lojalnościowych prowadzonych przez podmioty oferujące usługi i towary na terenie Unii Europejskiej. W artykule informujemy, na jakie aspekty należy zwrócić uwagę, aby wdrażać i utrzymywać program lojalnościowy zgodnie z aktualnie obowiązującym prawem.

Ocena ryzyka

Zapisy unijnej dyrektywy wymagają, aby już na etapie projektowania programu lojalnościowego przeprowadzić ocenę ryzyka ochrony danych, prywatności i mechanizmów zapewniających bezpieczeństwo danym osobowym użytkowników programów lojalnościowych.

Jest to szczególnie ważne, bowiem nie znając rzeczywistego ryzyka związanego z nieprawidłową ochroną i przetwarzaniem danych osobowych, niemożliwe jest zabezpieczenie firmy przed sankcjami finansowymi, a także utratą reputacji i klientów. Z tego też względu warto oddelegować audyt i ocenę ryzyka, jakie niesie za sobą wdrożenie programu lojalnościowego, niezależnym ekspertom, którzy zadbają o obiektywną weryfikację zgodności działań z wymaganiami RODO.

Zakres gromadzonych danych

Już podczas projektowania programu lojalnościowego warto zadbać o minimalizację danych. Zgodnie z zasadą minimalizacji administrator danych ogranicza ich gromadzenie i przetwarzanie jedynie do najistotniejszych danych niezbędnych do prowadzenia programu lojalnościowego. Zatem żądanie podawania adresu zamieszkania, numeru PESEL lub danych z dokumentu tożsamości wykracza daleko poza zasadę minimalizacji, ponieważ dane te nie są niezbędne do realizacji celów programu.

Podstawa prawna przetwarzania danych

Podstawą prawną przetwarzania danych użytkowników jest regulamin programu lojalnościowego. Aby uniknąć ewentualnych nieporozumień, administratorzy danych zwykle dodatkowo proszą użytkowników o zgodę na przetwarzanie danych osobowych. Należy pamiętać, że zgoda na przetwarzanie danych musi być dobrowolna i wyrażona w sposób jednoznaczny. Zatem użytkownik musi być poinformowany i świadomy podpisywanej zgody na udostępnianie swoich danych.

Obowiązek informacyjny

Zapisy RODO wymagają, aby każdy uczestnik programu lojalnościowego, którego dane są przetwarzane, był poinformowany przez administratora o tym: kto, w jakim celu i przez jaki czas przetwarza jego dane. Administrator musi poinformować użytkownika również m.in. o tym, że przysługuje mu prawo do wycofania zgody, o profilowaniu oraz czy dane będą przekazywane do krajów spoza Unii Europejskiej.

Przepisy ograniczają obowiązek informacyjny w stosunku do przedsiębiorstw zatrudniających mniej niż 250 osób.

Zgoda na przetwarzanie danych osobowych

Zanim uczestnik skorzysta z programu lojalnościowego, musi wyrazić zgodę na przetwarzanie danych osobowych. Administrator musi zapewnić użytkownikowi faktyczny wybór przystąpienia do programu, a zgoda nie może być domyślnie aktywna. Poza tym zgoda na przetwarzanie danych nie może sprowadzać się do wybranych działań polegających na przetwarzaniu danych marketingowych, a wycofanie i odmowa udzielenia zgody nie mogą prowadzić do konsekwencji niekorzystnych dla użytkownika. Poza tym zgoda na przetwarzanie danych osobowych musi być czytelna, jasna i zrozumiała.

Usuwanie danych po wycofaniu zgody

Jeżeli użytkownik wycofa zgodę lub upłynął czas przetwarzania danych zgodnie z umową i określonym celem przetwarzania, wówczas przetwarzanie musi zostać zakończone, a dane wraz z kopią bezpieczeństwa należy usunąć. Opcjonalnie dane osobowe mogą zostać zanonimizowane przez administratora.

Uczestnictwo dzieci w programie lojalnościowym

Dane osobowe dzieci i osób niepełnoletnich mogą być przetwarzane jedynie po uzyskaniu zgody ich rodziców lub prawnych opiekunów. Należy również zwrócić uwagę na metody weryfikacji wieku uczestników programu lojalnościowego w sposób zgodny z oceną ryzyka i przy uwzględnieniu dostępnych technologii. Zgoda na uczestnictwo dziecka w programie lojalnościowym może zostać wyrażona np. podczas rozmowy telefonicznej z jego rodzicem lub opiekunem.

Ochrona danych we współpracy z zewnętrznymi podmiotami

Bardziej rozbudowane programy lojalnościowe mogą wymagać udziału podmiotów trzecich – np. fundatorów nagród lub firm realizujących zewnętrzną obsługę systemu informatycznego programu lojalnościowego. Przepisy unijnej dyrektywy RODO wymagają, aby zewnętrzne podmioty i dostawcy wybierani byli w sposób, który gwarantuje ochronę danych i praw osób fizycznych. Chcąc współpracować z podmiotami trzecimi, należy uzyskać w sposób legalny zgodę na udostępnianie danych, a także dopełnić obowiązek informacyjny związany z udostępnianiem danych zewnętrznym firmom. Jeżeli dane osobowe zostaną przekazane do procesowania podmiotom trzecim, wówczas mamy do czynienia z funkcją procesora przetwarzającego dane. Takie przekazanie danych powinno być ustalone umową powierzenia zgodna z zasadami podpowierzania danych w łańcuchu dostawców, a także z zasadami nadzoru nad dostawcą przez organizatora programu lojalnościowego.

Jeśli program lojalnościowy będzie organizowany przez dwie lub więcej firm, wówczas powstaje instytucja współadministratora. Przy takiej organizacji programu lojalnościowego należy zwrócić uwagę na to, że zasady odpowiedzialności za przetwarzanie danych dotyczą każdej ze stron.

Dokumentacja

RODO i rozporządzenie MSWiA jasno precyzują zakres oraz strukturę prowadzonej dokumentacji. W formie udokumentowanej informacji powinny być prowadzone analiza ryzyka i ocena skutków dla ochrony danych. Poza tym konieczne jest prowadzenie m.in. rejestru czynności przetwarzania czy zasad obsługi naruszeń bezpieczeństwa. Dokumentacja prowadzona jest przede wszystkim w celu uzyskania możliwości rozliczania administratora z jego obowiązków dotyczących gromadzenia i przetwarzania danych osobowych.

Incydenty naruszenia danych osobowych

Aby zminimalizować skutki naruszenia ochrony danych osobowych, należy określić procesy identyfikowania naruszeń na każdym szczeblu ochrony i zarządzania danymi, a także opracować procedury pozwalające pracownikom na dogodne zgłoszenie przypadków naruszeń ochrony danych osobowych. Podmiot organizujący program lojalnościowy musi również gromadzić dowody powstałych naruszeń oraz ustalić sposób informowania interesantów o ich wystąpieniu.

Comments are closed.