– Wszystkie programy lojalnościowe, nieco bardziej zaawansowane niż zbieranie naklejek lub pieczątek, opierają się na przetwarzaniu dużych ilości danych osobowych i transakcyjnych. Na przykład w programie Payback w Polsce mamy obecnie około 8 milionów kart, których użytkownicy powierzają nam swoje dane osobowe. Niestety, dotychczas zgodność przetwarzania danych osobowych z prawem była przez wiele firm lekceważona, a czasami wręcz świadomie naruszana. Z jednej strony wynikało to z niedostatecznej wiedzy wśród przedsiębiorców w tym zakresie, z drugiej zaś z braku narzędzi oraz środków, przy pomocy których GIODO mógłby egzekwować przestrzeganie przepisów – wyjaśnia Piotr Zgierski, prawnik Payback Polska.
RODO ten stan rzeczy diametralnie zmienia, dając Urzędowi Ochrony Danych Osobowych, czyli organowi kontrolnemu, który ma zastąpić GIODO, prawo nakładania wysokich kar finansowych – do 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa lub 20 mln euro. Natomiast osoby, których prawa zastały w związku z przetwarzaniem danych naruszone, mogą składać powództwa na drodze cywilnej.
– Aby ze spokojem kontynuować działalność po 25 maja 2018 r., przygotowania należy zacząć od skrupulatnej inwentaryzacji procesów przetwarzania danych osobowych. Jej efektem końcowym będzie rejestr czynności przetwarzania zawierający wszystkie skatalogowane i opisane procesy istniejące w firmie obejmujące dane osobowe. Kolejnym krokiem jest ich analiza pod kątem zgodności z wymogami RODO, w szczególności weryfikacja czy mamy odpowiednią podstawę prawną by te dane przetwarzać – wylicza prawnik.
W przypadku programów lojalnościowych podstawą taką może być zarówno wykonanie umowy jaką jest regulamin programu, usprawiedliwiony prawnie cel administratora, jak i najczęściej stosowana – zgoda uczestnika programu. Wielu administratorów zastanawia się zapewne, czy będą mogli przetwarzać dane na podstawie dotychczas zebranych zgód.
– Niestety, samo RODO niewiele wyjaśnia, a liczne pojawiające się w tym temacie interpretacje również nie dają jednoznacznej odpowiedzi. Wydaje się jednak, że o ile zebrana zgoda spełnia ogólne warunki określone dla niej przez RODO, czyli jest dobrowolna, konkretna, świadoma i jednoznaczna, to w dalszym ciągu będzie można się na niej opierać – spekuluje Piotr Zgierski.
Paradoksalnie, małym i średnim przedsiębiorcom powinno być łatwiej przejść przez te przygotowania, ponieważ liczba procesów do skatalogowania, analizy i ewentualnego dostosowania będzie proporcjonalnie mniejsza, niż w przypadku bardziej rozbudowanych struktur organizacyjnych. Oczywiście, takie podmioty z reguły dysponują także skromniejszymi niż korporacje środkami, które mogłyby przeznaczyć na zewnętrzne doradztwo.
– Warto również podkreślić, że administratorzy danych nie są pozostawieni sami sobie z tą, budzącą mimo wszystko wiele wątpliwości interpretacyjnych, regulacją. Grupa Robocza Artykułu 29 regularnie publikuje wytyczne dotyczące kluczowych zagadnień związanych z RODO, m.in. profilowania czy oceny skutków przetwarzania. Z pomocą przychodzą także krajowe organy nadzorcze opracowujące we własnym zakresie wskazówki dla administratorów, a nawet podobnie jak w Niemczech, gdzie zapowiedziano udostępnienie wzorów umów powierzenia przetwarzania danych osobowych, wzory niezbędnych dokumentów – kontynuuje prawnik firmy Payback Polska.
– Na chwilę obecną trudno w pełni przewidzieć skutki jakie RODO wywoła na rynku programów lojalnościowych. Można jednak oczekiwać, że wzrośnie zarówno jakość oferowanych usług, jak i świadomość samych użytkowników. Znikną podmioty dotychczas traktujące dane osobowe klientów wyłącznie jak towar. Natomiast klienci, dzięki nowej instytucji przenoszalności danych osobowych, będą mogli na ich wniosek przenosić wszystkie uprzednio udostępnione informacje na swój temat do wskazanego przez siebie administratora. Fakt, iż informacje te powinny być przenoszone w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu przez komputer sprawi, że klienci będą mogli świadomie i bez większych przeszkód decydować o zmianie programu – podsumowuje ekspert.
