Programy lojalnościowe – najczęstsze uchybienia w zakresie RODO

Oferowanie klientom uczestnictwa w programach lojalnościowych to częsty mechanizm stosowany przez administratorów danych w celu zwiększenia sprzedaży i przywiązania klientów do oferowanych towarów i usług.

Ze względu jednak na konstrukcje takich rozwiązań niejednokrotnie można dostrzec, że administratorzy danych, przygotowując taki program, dopuszczają się błędów związanych ze stosowaniem przepisów RODO.

Błąd 1

Brak przejrzystego regulaminu określającego warunki uczestnictwa w takim programie

Pierwszym podstawowym błędem, jaki pojawia się w kontekście RODO w przypadku programów lojalnościowych, jest brak przejrzystego regulaminu określającego warunki uczestnictwa w takim programie. Trzeba pamiętać, że klient musi dokładnie wiedzieć, czego dotyczy dany program i jakie będzie miał z niego korzyści. Podstawową kwestią jest też określenie, kto jest administratorem danych i komu dane mogą być przekazane.

Dodatkowo należy wskazać zakres danych osobowych, jakie będą w tym programie gromadzone, na jakiej podstawie, w jakim celu i jak długo będą przetwarzane. W zasadzie w takim regulaminie należałoby zawrzeć wszystkie kwestie, których wymaga art. 13 RODO, gdyż administrator danych także w tym przypadku jest zobowiązany do przekazania klauzuli informacyjnej. Natomiast sposób jej przekazania jest już kwestią wtórną, może ona znajdować się w treści takiego regulaminu, ale zasadne w niektórych przypadkach, zwłaszcza w bardziej rozbudowanych regulaminach, wydaje się przygotowanie osobnej klauzuli informacyjnej.

Oczywiście należy także w regulaminie szczegółowo okreś­lić, kiedy i na jakich zasadach klient może zrezygnować z udziału w takim programie.

Błąd 2

Nieprawidłowe zbieranie zgód

Kolejnym istotnym błędem, jaki może pojawić się w kwestii programów lojalnościowych, jest nieprawidłowe zbieranie zgód na przetwarzanie danych osobowych. Tego typu programy są zazwyczaj tworzone w celu pozyskania zgód marketingowych, które pozwolą na prowadzenie relacji reklamowej czy to przez samego administratora danych, który zbiera dane klientów, czy też przez inny podmiot, któremu dane te miałyby zostać udostępnione.

Należy pamiętać, że również w tym przypadku konieczne jest zbieranie zgód w celach marketingowych na zasadach określonych w art. 7 RODO. Zgodnie z motywem 32 Preambuły RODO zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.

Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Ponadto w motywie 42 Preambuły RODO wskazano, że jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia...

Dalsza część jest dostępna dla użytkowników z wykupionym planem