Dołącz do czytelników
Brak wyników

Prawo i administracja w dietetyce

20 grudnia 2021

NR 6 (Grudzień 2021)

Programy lojalnościowe zgodne z RODO

0 63

W branży spożywczej, zwłaszcza w zakresie segmentu FMCG (dóbr szybkozbywalnych, ang. fast-moving consumer goods), przedsiębiorcy są często zainteresowani podjęciem działań w celu budowania i utrzymania wysokiego poziomu lojalności klientów oraz ich przywiązania do danej marki i produktów, jakie są pod nią oferowane. Jednym z popularnych narzędzi wykorzystywanych w tym celu są programy lojalnościowe. 
Programy lojalnościowe to długoterminowe akcje promocyjne nakierowane na budowanie lojalności wobec marki poprzez nagrody, rabaty i promocje adresowane do uczestników tych programów. Możliwa jest cała gama takich programów o różnym stopniu skomplikowania. Te bardziej złożone wykorzystują często elementy takie jak dedykowane karty klienta, serwisy internetowe czy aplikacje mobilne. Niektóre programy lojalnościowe mogą więc stanowić bardzo złożone ekosystemy. Dlatego też uruchomienie i implementacja takich programów wymaga starannego przygotowania, w tym analizy pod kątem szeregu przepisów prawa, w szczególności z zakresu ochrony danych osobowych, regulacji konsumenckich, a czasem także przepisów o grach hazardowych. W tym artykule skupię się jedynie na kwestiach z zakresu ochrony danych, w tym w szczególności na wymogach wynikających wprost z RODO [1]. 

Uruchomienie programów lojalnościowych powinno być poprzedzone etapem starannego planowania. W pierwszej kolejności część biznesowa danej organizacji powinna się zastanowić, jakie konkretnie cele biznesowe ma realizować program, do jakiej grupy docelowej jest adresowany i jakie narzędzia/środki chce wykorzystać. Innymi słowy, powinien zostać określony zakres programu. W ramach tej analizy należy w szczególności ustalić, czy program lojalnościowy jest celem samym w sobie, czy też jedynie pewnym środkiem do realizacji dalszych celów, takich jak analityka, statystyka i profilowanie, mających służyć do lepszego poznania klientów i ich preferencji, a w dalszej kolejności także do wzmocnienia przekazu marketingowego. 

Po ustaleniu biznesowego zakresu programu lojalnościowego należy przeprowadzić ocenę „privacy by design” (ochrona danych w fazie projektowania), aby ocenić założenia tego programu z punktu widzenia ochrony danych osobowych. Pierwszą rzeczą, jaką należy rozstrzygnąć, jest to, jakie konkretnie procesy przetwarzania mają być realizowane, wyodrębniając je na bazie powiązanych z nimi celów, oraz jakie zakresy danych mają być przetwarzane w ramach każdego z tych procesów. Tutaj należy dbać o to, by nie przetwarzać większej ilości danych niż jest to niezbędne dla osiągnięcia zamierzonych celów (zasada minimalizacji). Niedopuszczalne jest bowiem zbieranie danych nadmiarowych, niejako „na zapas”. 

Następnie należy się zastanowić nad podstawą prawną przetwarzania. Dobór odpowiedniej podstawy będzie zależał od przyjętej konstrukcji prawnej programu lojalnościowego, jak również zakresu przetwarzanych danych, w tym od tego, czy przetwarzane będą dane zwykłe czy dane wrażliwe. [2] Jeśli przetwarzanie ograniczy się do danych zwykłych, a to powinno być regułą w przypadku zdecydowanej większości programów lojalnościowych, wówczas – mówiąc w dużym uproszczeniu – będziemy mogli wykorzystać następujące podstawy prawne:

  • dla danych niezbędnych do wzięcia udziału w programie podstawą będzie umowa o udział w tym programie (jeśli opieramy organizację programu o umowę – uczestnik przystępuje do programu, akceptując jego regulamin i z tą chwilą dochodzi do zawarcia umowy) bądź uzasadniony interes administratora (jeśli opieramy organizację programu o formę jednostronnej deklaracji organizatora, będącej przyrzeczeniem publicznym),
  • dla danych niezbędnych do wykonania obowiązków prawnych związanych z organizacją programu (np. w celach rozliczeniowo-podatkowych) – podstawą będzie odpowiedni przepis prawa,
  • dla dochodzenia roszczeń związanych z uczestnictwem w programie bądź obrony przed takimi roszczeniami oraz w przypadkach uzasadnionych ważnymi potrzebami biznesowymi (np. zapewnienie bezpieczeństwa serwisu internetowego czy aplikacji mobilnej, badania statystyczne) – podstawą będzie uzasadniony interes administratora,
  • w pozostałych przypadkach – w tym zwłaszcza jeśli organizator programu zamierza zbierać szerszy katalog danych niż jest to niezbędne w powyższych przypadkach lub wykorzystywać dane do niektórych, bardziej inwazyjnych form marketingu własnego bądź do marketingu osób trzecich – podstawą będzie zgoda uczestnika programu.


Co istotne, w przypadku gdyby w ramach programu lojalnościowego miały być wykorzystane dane wrażliwe, np. w postaci danych biometrycznych wykorzystywanych do identyfikacji uczestników programu, podstawą ich przetwarzania może być w praktyce wyłącznie zgoda. 

Kolejną rzeczą, którą należy rozważyć, jest zidentyfikowanie podmiotów zaangażowanych w uruchomienie i funkcjonowanie programu, a także ustalenie statusu tych podmiotów na gruncie przepisów o ochronie danych osobowych (tj. ustalenie, czy będą to administratorzy bądź współadministratorzy danych czy też podmioty przetwarzające – procesorzy). Może być tak, że przy realizacji programu lojalnościowego mamy tylko jednego administratora – bezpośredniego organizatora tego programu. Może być jednak też tak, że program organizuje wspólnie kilka podmiotów (czy to kilka spółek z tej samej grupy kapitałowej, czy firmy współpracujące na różnych szczeblach łańcucha dystrybucyjnego). Wreszcie może być też tak, że program organizuje podmiot specjalizujący się w tym zakresie na zlecenie firmy, która jest tym zainteresowana, będącej bezpośrednim beneficjentem efektów tego programu, kiedy to oba te podmioty będą niezależnymi od siebie administratorami danych. Dodatkowo w każdym z ww. wariantów administratorzy mogą posługiwać się w celu realizacji programu procesorami, a więc podmiotami świadczącymi na rzecz tych administratorów pewne usługi związane z przetwarzaniem danych (np. usługi hostingu serwisu internetowego, usługi IT w zakresie wsparcia funkcjonowania aplikacji mobilnej, usługi call center itp.), co jeszcze komplikuje obraz sytuacji. Mówiąc o procesorach, należy wskazać, że organizator programu lojalnościowego powinien zawczasu rozważyć, jakimi podmiotami zamierza się posłużyć. Odpowiednie umowy powierzenia powinny bowiem być zawarte jeszcze przed uruchomieniem programu, a przed ich podpisaniem należy przeprowadzić stosowną weryfikację wybranych podmiotów, aby zapewnić, że dają one należyte gwarancje zachowania odpowiednich standardów bezpieczeństwa danych. Jeśli korzystamy z zagranicznych rozwiązań, należy pamiętać o tym, że dane osobowe powinny być przetwarzane co do zasady na terenie Europejskiego Obszaru Gospodarczego lub w krajach zapewniających adekwatny poziom ochrony potwierd...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • Roczną prenumeratę dwumiesięcznika Food Forum w wersji papierowej lub cyfrowej,
  • Nielimitowany dostęp do pełnego archiwum czasopisma,
  • Możliwość udziału w cyklicznych Konsultacjach Dietetycznych Online,
  • Specjalne dodatki do czasopisma: Food Forum CASEBOOK...
  • ...i wiele więcej!
Sprawdź

Przypisy