Programy lojalnościowe, a ochrona naszych danych osobowych

Programy lojalnościowe, a ochrona naszych danych osobowych

Jakie dane osobowe udostępniamy?

W większości przypadków by stać się członkiem klubu stałego klienta lub uczestnikiem programu lojalnościowego musimy podać takie dane jak imię i nazwisko, dokładny adres zamieszkania, płeć oraz co najważniejsze dla organizatora adres e-mail. Wszystko wydaje się dość oczywiste skoro chcemy korzystać z preferencyjnych warunków u danego sprzedawcy (lub kilku) to musi on znać podstawowe informacje o nas. Oczywiście nie chodzi tu o skrajne przypadki, gdzie karta stałego klienta ma być również kartą kredytową jednego z banków, gdyż w takiej sytuacji wymagane jest oczywiście dużo więcej informacji jak np.:  skan RMUA z ostatnich 3 miesięcy lub inne zaświadczenie o zarobkach, czy skan dowodu osobistego. Tu należy zwrócić szczególną uwagę by zakres zbieranych danych osobowych był adekwatny do celu ich przetwarzania. Przykładowo, jeżeli ubiegamy się o kartę stałego klienta w perfumerii to pytanie o nasz ulubiony zapach będzie jak najbardziej uzasadnione natomiast pytanie o nasze miejsce urodzenia lub nazwisko rodowe matki już nie. 

Czy program lojalnościowy ma politykę prywatności?

Jednym z pierwszych pytań, jakie musimy sobie zadać zanim przystąpimy do takiego programu jest kwestia posiadania polityki prywatności lub regulaminu wybranego programu. Jeżeli nie ma takiego dokumentu i nie zostaną nam przedstawione niezbędne informacje choćby o podmiotach za niego odpowiedzialnych będzie to w oczywisty sposób zaniedbanie (Art. 24 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) Kolejną kwestią jest wyrażenie przez nas zgody na przetwarzanie naszych danych osobowych, które musi być wyrażone wprost i nie może być domniemane. Tutaj możemy się spotkać z dwoma rodzajami zgody. Pierwszy rodzaj zgody będzie dotyczył przetwarzania danych osobowych przez samego administratora danych, czyli przykładowo aptekę. Taką zgodę musimy wyrazić gdyż bez niej nie możemy brać udziału w programie, a apteka złamałaby prawo nie posiadając podstawy prawnej do przetwarzania danych (Art. 23 ust. 1 pkt 1 Ustawy o ochronie danych osobowych). Druga zgoda, z którą możemy się spotkać już nie jest obowiązkowa, a dotyczy ona zgody na przetwarzanie naszych danych osobowych przez innych administratorów danych, czyli np.: firmy farmaceutyczne.

Jak to działa w Internecie?

Programy partnerskie w sieci są potencjalnie dużo bardziej niebezpieczne. Oczywiście każdy program partnerski może stać się internetowym w momencie, gdy zalogujemy się w sieci na swoje konto w tym programie. Wtedy najczęściej stosowaną techniką, z której mało, kto zadaje sobie sprawę są tzw. „informacje trackingowe”, czyli śledzenie naszych preferencji za pośrednictwem plików cookies, czyli tzw. „ciasteczek”. Przykładowy zapis w regulaminie programu partnerskiego może wyglądać tak:

„Informacje trackingowe - zbieramy za ich pomocą następujące informacje: jakie strony, kiedy, jak często oraz w jakiej kolejności są wyszukiwane, jakie produkty są poszukiwane oraz które linki lub oferty są najczęściej wybierane.”

Oczywiście informacje te najczęściej nie będą ściśle powiązane z naszymi danymi osobowymi, a jedynie z naszym loginem lub numerem naszej karty. Jest to zabieg umyślny, gdyż połączenie tych informacji z naszymi danymi osobowymi byłoby naruszeniem ww. Ustawy poprzez gromadzenie danych wykraczających poza cel ich przetwarzania. Toteż organizator programu lojalnościowego nie wie, że Jan Kowalski od miesiąca szuka nowych opon do swojego samochodu, a wie jedynie, że posiadacz karty stałego klienta o numerze 785940, szuka takich opon.

A co z Konkursami?

Zarówno konkursy jak i wszelkie promocje umożliwiające wygraną atrakcyjnego produktu lub usługi, również najczęściej wymagają od nas podania danych osobowych. Czy będzie się to działo w sieci, czy zostaniemy zaczepieni przez ankietera w centrum handlowym w każdej z tych sytuacji okaże się, że potrzebne są nasze dane osobowe. Dla nas przedstawienie się i podanie swojego adresu zamieszkania i e-mail to najczęściej niewielka cena za udział w konkursie, a na to właśnie liczą ich organizatorzy. Z punktu widzenia organizatora takiego konkursu to często najtańsza i najszybsza metoda na stworzenie własnej bazy klientów. Koszt organizatora w takim konkursie to najczęściej jakiś mały sprzęt RTV lub voucher na pobyt w atrakcyjnym miejscu, a zyskiem może być baza danych osobowych 10 000 potencjalnych klientów. Oczywiście nie ma w tym nic złego dopóki dane te będą zgromadzone legalnie, czyli spełnione zostaną wymogi Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Kwestie wspomniane powyżej, czyli polityka prywatności i klauzule zgody to tylko część wymogów, jakie muszą być spełnione. Kolejne są związane z prawidłowym zabezpieczeniem zgromadzonych danych, czyli posiadanie przez organizatora konkursu czy programu lojalnościowego tzw. „Dokumentacji ODO”. Przygotowanie i wdrożenie Polityki prywatności i Instrukcji zarządzania systemem informatycznym, przeszkolenie i nadanie upoważnień pracownikom, którzy będą je przetwarzać oraz zgłoszenie zbiorów do GIODO.

 

Co możemy zrobić, gdy ktoś naruszy nasze dane osobowe?

Po pierwsze lepiej jest sprawdzić dokładnie ofertę organizatora konkursu czy programu, zanim podamy nasze dane. Jeżeli jednak już to zrobiliśmy i mamy wątpliwości czy nasze dane osobowe są przetwarzane zgodnie z prawem, wtedy możemy zwrócić się (na piśmie) do administratora danych, czyli organizatora o przedstawienie nam pełnej informacji o tym, co się dzieje z naszymi danymi zgodnie z Art. 32 Ustawy o ochronie danych osobowych. Organizator ma 30 dni na odpowiedź. Po tym okresie, gdy nie otrzymamy informacji lub informacja ta będzie wskazywała na jakieś uchybienia organizatora, wtedy możemy złożyć wniosek do GIODO (koszt 10 zł) o przywrócenie stanu zgodnego z prawem. Jeżeli nasz wniosek zostanie uwzględniony to GIODO w drodze decyzji administracyjnej nakaże organizatorowi np.: usunięcie uchybień. Gdyby organizator zlekceważył taką decyzje może zostać na niego nałożona np.: grzywna w celu przymuszenia w wysokości do 50 000 zł lub do 200 000 zł w zależności od formy prawnej prowadzonej działalności i ilości postępowań sprawdzających.

Podsumowując: brać udział czy nie?

Konkursy i programy stałego klienta są często korzystne zarówno dla organizatorów jak i dla uczestników. Jednak ważne jest by były one zgodne z prawem, szczególnie naszym prawem do prywatności. To czy organizator będzie odpowiednio zabezpieczał nasze dane osobowe czy też będą one udostępniane każdemu powinno być dla nas wyznacznikiem czy brać udział w takim przedsięwzięciu czy jednak wstrzymać się z podawaniem naszych danych osobowych.

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych osobowych w ODO24, Prawnik i Administrator Bezpieczeństwa Informacji w państwowej jednostce budżetowej o zasięgu ogólnokrajowym. Autor i prelegent branżowych szkoleń z zakresu ochrony danych osobowych, praw autorskich i praw pokrewnych, świadczenia usług drogą elektroniczną oraz dostępu do informacji publicznej.

e-mail: k.galaj@odo24.pl, www.odo24.pl

Komentarze