Lojalność zgodna z prawem, czyli jakie informacje w programach konsumenckich

Najpopularniejszym modelem takiego programu jest zbieranie przez klientów punktów, które później można wymienić na nagrody lub uzyskać atrakcyjną zniżkę przy okazji kolejnych zakupów. Niekiedy jednak zdarza się, że działania promocyjne i marketingowe, które wykorzystują zebrane od klientów zapisujących się do programu lojalnościowego dane osobowe, są prowadzone niezgodnie z prawem. Zamiast więc zakładanych korzyści przedsiębiorca może się narazić na ponoszenie odpowiedzialności prawnej oraz utratę zaufania swoich klientów, które bardzo trudno będzie później odbudować.

O czym powinien pamiętać każdy przedsiębiorca prowadzący dla swoich klientów program lojalnościowy, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem?

Po pierwsze, zgłoś

Zgłoszenie zbioru danych osobowych powinno być pierwszym krokiem każdego przedsiębiorcy, który zamierza wprowadzić u siebie program lojalnościowy. Zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa) administrator danych może rozpocząć przetwarzanie danych w zbiorze dopiero po zgłoszeniu go generalnemu inspektorowi ochrony danych osobowych. Skoro zaś ustawa stanowi jednocześnie, że przetwarzaniem danych osobowych jest jakakolwiek operacja wykonywana na tych danych (również ich zbieranie), to przedsiębiorca powinien dokonać odpowiedniego zgłoszenia rejestracyjnego, jeszcze zanim zacznie oferować swoim klientom możliwość wzięcia udziału w programie lojalnościowym.

Zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści

Niedopełnienie tego obowiązku może pociągać za sobą bardzo poważne konsekwencje. Ustawa przewiduje w takim przypadku karę grzywny, ograniczenia lub pozbawienia wolności do roku. Dodatkowo GIODO może nakazać przedsiębiorcy usunięcie zebranych danych osobowych.

Określ, na jakiej podstawie

Jedną z informacji, którą przedsiębiorca musi podać, zgłaszając zbiór danych osobowych uczestników programu lojalnościowego do rejestracji, jest wskazanie podstawy prawnej przetwarzania danych. Administrator danych musi więc samodzielnie określić, czy przetwarzanie danych osobowych jego klientów będzie odbywać się na podstawie ich zgody czy może skorzysta z innej przesłanki prawnej. Decydujące znaczenie będzie w tym przypadku miało określenie celu przetwarzania danych uczestników programu lojalnościowego. Jeżeli prowadzenie programu lojalnościowego będzie jedynym celem i przedsiębiorca nie zamierza wykorzystywać zgromadzonych danych dla prowadzenia innych działań marketingowych (np. wysyłania informacji handlowych drogą elektroniczną), to odbieranie zgody na przetwarzanie danych osobowych nie będzie konieczne. W takim przypadku bowiem przedsiębiorca będzie mógł argumentować, że przetwarzanie danych osobowych jest niezbędne dla realizacji umowy o uczestnictwo w programie lojalnościowym. W praktyce jednak uzyskiwane od klientów dane osobowe są wykorzystywane także do innych celów czy nawet są udostępniane partnerom biznesowym przedsiębiorcy, z którymi prowadzi on program lojalnościowy. W tej sytuacji podstawą prawną ich przetwarzania powinna być zgoda klienta. Zgodnie z ustawą przez zgodę należy rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa to oświadczenie. Dodatkowo ustawa zastrzega, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz że może być odwołana w każdym czasie. Dla swojej skuteczności zgoda powinna mieć charakter dobrowolny oraz świadomy.

Dokładnie poinformuj

Wspomniałem już, że jednym z warunków skutecznej zgody na udział w programie lojalnościowym jest jej świadomy charakter. Przedsiębiorca musi zadbać o to, aby poinformować klienta o pełnej nazwie i adresie swojej siedziby, przedstawić cel przetwarzania danych, którym obok organizacji i prowadzenia programu lojalnościowego może być np. marketing produktów i usług partnerów biznesowych przedsiębiorcy, a także wskazywać na odbiorcę lub kategorie odbiorców, którym dane uczestników programu będą przekazywane. Dodatkowo osoby przystępujące do programu powinny być poinformowane o przysługujących im na gruncie ustawy uprawnieniach, czyli prawie dostępu do treści swoich danych oraz prawie ich poprawiania. Z uwagi na to, że przetwarzanie danych osobowych na podstawie zgody musi mieć charakter dobrowolny, warto dodatkowo poinformować klienta, że wyrażenie zgody na przetwarzanie danych osobowych w związku z przystąpieniem do programu lojalnościowego jest dobrowolne.

Nie zbieraj więcej, niż to konieczne

Ustawa nakłada na administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane przetwarza. Jednym z przejawów realizacji tego obowiązku w przypadku programów lojalnościowych jest zapewnienie, że od osób przystępujących do programu zbierane są wyłącznie dane, które są rzeczywiście niezbędne do jego organizacji ?i obsługi. Jest to tzw. zasada adekwatności, która oznacza, że pomiędzy interesem przedsiębiorcy a uprawnieniem osoby do dysponowania swoimi danymi zachowana jest równowaga. W praktyce jednak przedsiębiorcy bardzo często zbierają dane, które wykraczają poza zakres uzasadniony koniecznością realizacji ściśle określonego celu. Oczywiście w zależności od specyfiki danej branży oraz oferowanych towarów i usług zależy, jakie dane w konkretnym przypadku można uznać za konieczne dla prowadzenia programu lojalnościowego. Jednak gromadzenie pewnych kategorii danych z założenia nie znajdzie uzasadnienia w przypadku jakiegokolwiek programu lojalnościowego. Jako przykład można wskazać przedsiębiorcę, który dla celów prowadzenia programu lojalnościowego zamierza zbierać od swoich klientów odcisk biometryczny linii papilarnych w celu ich identyfikacji.

Zadbaj o umowę

Jeśli przy obsłudze programu lojalnościowego przedsiębiorca zamierza skorzystać z pomocy osób trzecich, np. firmy, która w jego imieniu będzie wysyłała do klientów informacje o nowych promocjach czy sezonowych obniżkach, konieczne jest podpisanie z taką firmą umowy powierzenia przetwarzania danych osobowych. Ustawa stanowi, że umowa taka powinna zostać zawarta na piśmie oraz określać przynajmniej cel i zakres danych osobowych powierzonych do przetwarzania. Określenie celu to nic innego jak wskazanie, po co dane osobowe będą przetwarzane. W podanym wyżej przykładzie będzie to więc np. „prowadzenie wysyłki informacji handlowych do osób, które przystąpiły do programu lojalnościowego oraz wyraziły zgodę na otrzymywanie takich informacji na podany adres poczty elektronicznej". Zakres danych osobowych wskazuje z kolei na rodzaj danych powierzonych do przetwarzania oraz kategorie osób, których one dotyczą. W naszym przykładzie będą to co najmniej „adresy poczty elektronicznej" (rodzaj danych) „osób, które przystąpiły do programu lojalnościowego" (kategoria osób).

Mimo że ustawa nie przewiduje wprost takiego obowiązku, to również w sytuacji, gdy dane osobowe uczestników programu lojalnościowego mają zostać udostępnione podmiotom trzecim, a więc np. partnerom biznesowym przedsiębiorcy, warto zadbać o podpisanie stosownej umowy.

Trzeba dobrze zabezpieczyć

Każdy administrator danych jest zobowiązany do zabezpieczenia przetwarzanych danych osobowych. Chodzi zarówno o fizyczne zabezpieczenie danych, jak i o wprowadzenie określonych rozwiązań organizacyjnych w tym zakresie oraz przygotowanie odpowiedniej dokumentacji, która będzie opisywała proces przetwarzania danych osobowych uczestników programu lojalnościowego. Szczegółowe wymagania w zakresie zabezpieczenia danych osobowych zostały wskazane w ustawie oraz rozporządzeniu wykonawczym do niej. Ten ostatni akt określa precyzyjnie, z czego się składa oraz co powinna zawierać dokumentacja przetwarzania danych osobowych. Nie warto lekceważyć obowiązku właściwego zabezpieczenia danych. Niedopełnienie go, choćby nieumyślne, może skutkować karą grzywny, ograniczenia, ?a nawet pozbawienia wolności do roku.

Zdaniem autora

Łukasz ?Czynienik radca prawny, ?Hogan Lovells

Przeprowadzone w minionym roku badania rynkowe wskazały, że już ponad 50 proc. przedsiębiorców w Polsce realizuje różnego rodzaju programy lojalnościowe i motywacyjne. Zbierane przy tej okazji dane osobowe muszą być przetwarzane zgodnie z prawem, a przedsiębiorcy powinni pamiętać, że ochrona danych osobowych nie służy utrudnianiu prowadzonej przez nich działalności gospodarczej, ale temu, aby działalność ta, w tym dążenie do zwiększenia sprzedaży, nie ingerowała zbytnio w prawo do prywatności i ochrony danych osobowych. Podejmując decyzję o wprowadzeniu programu lojalnościowego, przedsiębiorca powinien mieć świadomość, że ochrona danych osobowych zbieranych od uczestników akcji jest niezwykle istotna i przekłada się na ich liczbę. Wymagania, jakie stawia ustawa w tym zakresie, nie są uciążliwe, a ich przestrzeganie ?nie tylko zapewnia poczucie bezpieczeństwa prawnego, ?ale z pewnością też przyczynia się do budowania pozytywnego wizerunku przedsiębiorcy w oczach jego klientów.