Szybki przepływ informacji, nowe formy aktywności marketingowej firm, rosnąca świadomość klientów z jednej strony i obowiązujące przepisy prawa z drugiej sprawiają, że zagadnienia związane z ochroną danych osobowych są jednymi z ważniejszych obecnie obszarów zainteresowania wielu podmiotów. Organizacje prowadzące programy lojalnościowe również zobowiązane są do przestrzegania regulacji w zakresie ochrony danych o uczestnikach.

Processor a administrator

Mówiąc o ochronie danych osobowych w programach wsparcia sprzedaży należy wyróżnić i wyjaśnić dwa kluczowe pojęcia. Pierwszym jest administrator danych osobowych, którym jest podmiot decydujący o celach i środkach przetwarzania danych osobowych (z reguły organizator programu wsparcia sprzedaży). Ponosi on pełną odpowiedzialność za administrowanie informacjami zgodnie z ustawą o ochronie danych osobowych, w tym za ich odpowiednie zabezpieczenie. Drugim pojęciem jest processor, czyli podmiot zewnętrzny przetwarzający dane osobowe na zlecenie organizatora, jedynie w zakresie i celu przez niego określonym. Najczęściej processorami są podmioty, które w ramach oferowanych usług realizują na zasadzie outsourcingu część lub całość obsługi programu wsparcia sprzedaży. Zwykle pełnią one funkcję koordynatora takiego programu i również są zobowiązane do odpowiedniego zabezpieczenia danych osobowych uczestników, jednak tylko na zlecenie organizatora. W przypadku outsourcingu prowadzenia programu (np.: przez agencję czy wyspecjalizowaną w tym zakresie firmę), panuje przekonanie, że to właśnie po stronie koordynatora leży obowiązek dopełnienia wszelkich formalności dotyczących ochrony danych osobowych. W przeważającej większości przypadków cel prowadzenia akcji wsparcia sprzedaży oraz jej budżet, a w konsekwencji również cele i środki przetwarzania danych osobowych określa organizator. W tym modelu firma zewnętrzna (np.: agencja) pełni jedynie rolę podmiotu wykonującego zlecenie klienta. Dlatego z reguły to sam organizator powinien zadbać o poprawną politykę i ochronę danych osobowych, ale może także skorzystać z pomocy procesora, który obsługując liczne akcje wspierające sprzedaż, ma już zazwyczaj doświadczenie w tym zakresie i może odpowiednio pokierować działaniami administratora.

Regulamin

W regulaminie, który przygotowuje organizator powinny zostać podane zarówno zasady akcji jak i dane dotyczące organizatora, a także zapis informacyjny przewidziany przez ustawę o ochronie danych osobowych. Przyjmuje się bowiem, że organizator nie musi uzyskiwać od uczestnika programu lojalnościowego zgody na przetwarzanie jego danych osobowych, o ile będzie przetwarzał je jedynie na potrzeby prowadzenia tego programu.

GIODO

Jeśli dane osobowe uczestników akcji wsparcia sprzedaży zbierane są jedynie na potrzeby prowadzenia konkretnej akcji, administrator nie musi uzyskiwać zgody na ich przetwarzanie i zgłaszać takiego zbioru danych do GIODO. W takiej sytuacji przyjmuje się bowiem, że przetwarzanie tych danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora (o ile nie narusza to praw i wolności osoby, której dane dotyczą), a za takie uznaje się marketing bezpośredni własnych produktów lub usług administratora danych. Taki zbiór jest traktowany jako tzw. doraźny zbiór danych osobowych, który musi być jedynie odpowiednio zabezpieczony. Uznanie danego zbioru za doraźny wymaga jednak jego niezwłocznego usunięcia lub poddania anonimizacji danych osobowych zawartych w tym zbiorze po zakończeniu akcji. W przypadku doraźnego zbioru administrator (czyli zwykle organizator) musi wykonać wobec uczestników obowiązek informacyjny, tj. poinformować ich o adresie swojej siedziby i pełnej nazwie (lub miejscu zamieszkania oraz imieniu i nazwisku, jeśli administratorem jest osoba fizyczna), celu zbierania danych, prawie dostępu do treści przekazanych danych i możliwości ich poprawiania oraz o dobrowolności ich podania. Jeśli po zakończeniu konkretnej akcji promocyjnej administrator chce dalej przetwarzać zebrane dane, posiadany przez niego zbiór nie jest już uznawany za doraźny i w konsekwencji baza taka podlega zgłoszeniu do GIODO, a od osób, których dane zawarte są w takim zbiorze, konieczne będzie uzyskanie zgody na przetwarzanie danych osobowych.

Bezpieczni w sieci

Przeważająca część realizowanych aktualnie programów lojalnościowych prowadzona jest przy użyciu platform dostępnych online, które umożliwiają kompleksowe zarządzanie całym projektem. Ich wykorzystanie niesie jednak ze sobą dodatkową odpowiedzialność organizatora, który musi zapewnić ochronę danych osobowych zarejestrowanych uczestników. Spoczywa na nim zatem obowiązek odpowiedniego ich zabezpieczenia, tak by nie wydostały się poza wykorzystywany system. Uczestnikowi przysługuje prawo do kontroli zakresu przetwarzania jego danych osobowych. Jeśli więc nie jest pewny czy jego dane są odpowiednio chronione lub też organizator dopuścił się jakichkolwiek uchybień, może zgłosić odpowiedni wniosek do administratora danych (np. żądając od niego informacji o celu, zakresie i sposobie przetwarzania danych osobowych). Jeśli w ciągu 30 dni zgłaszający nie otrzyma odpowiedzi, może zwrócić się do GIODO, z wnioskiem o nakazanie dopełnienia określonych obowiązków.

Lojalność buduje się na zaufaniu, a to w przypadku programów wsparcia sprzedaży związane jest z odpowiednią i zgodną z obowiązującymi przepisami prawa ochroną danych osobowych. Uczestnik akcji motywacyjnej czy lojalnościowej musi mieć pewność, że przekazane przez niego organizatorowi dane są chronione i wykorzystywane tylko dla celów przeprowadzenia akcji, do której przystąpił, i której regulamin zaakceptował. Jakiekolwiek zaniedbanie w tym zakresie, w szczególności przetwarzanie danych osobowych uczestnika w innym celu lub po zakończeniu konkretnej akcji – bez uzyskania w tym zakresie stosownej zgody uczestnika, może wpłynąć na postrzeganie firmy jako nierzetelnej. Warto zatem planując program lojalnościowy przemyśleć kwestię doradztwa zewnętrznego oraz wsparcia doświadczonego partnera w tym zakresie, który krok po kroku pomoże przejść przez wszystkie procedury.