Ochrona danych w programach lojalnościowych

Ochrona danych w programach lojalnościowych


Apteki bardzo często, w celu podtrzymywania kontaktów ze swymi klientami, proponują im udział w programach lojalnościowych. Wiąże się to z szeregiem obowiązków, m.in. wynikających z ustawy o ochronie danych osobowych.

By móc uczestniczyć w programie lojalnościowym, z reguły należy wypełnić formularz, w którym podaje się określone dane osobowe (np. imię, nazwisko, adres, e-mail). Dochodzi zatem do ich przetwarzania, ponieważ zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: UODO), przez pojęcie to należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Fakt uczestnictwa w programie lojalnościowym bardzo często wiąże się z tym, że klient otrzymuje np. kartę magnetyczną, która może zawierać zakodowane dane osobowe, odczytywane następnie poprzez system informatyczny apteki. Należy jednak podkreślić, że czynności, o których mowa powyżej, nie muszą być wykonywane w systemie, by doszło do przetwarzania danych osobowych.

Pierwsze kroki
Jakie konsekwencje – z punktu widzenia ochrony danych osobowych – może mieć wprowadzenie programu lojalnościowego przez aptekę? Z dużą dozą pewności można stwierdzić, że zebrane w ten sposób informacje o osobach fizycznych stanowić będą zbiór danych, a więc posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. Zanim jednak przeanalizujemy, jakie ma to znaczenie dla apteki, warto poruszyć jeszcze kilka kwestii związanych z momentem przystąpienia do programu lojalnościowego.
Aby apteka, jako tzw. administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych, mogła legalnie pozyskać dane osobowe (czyli rozpocząć ich przetwarzanie), musi uzyskać zgodę od osoby, której dane dotyczą. Oczywiście, niezbędne jest również takie zbieranie danych osobowych, by nie została naruszona tzw. zasada adekwatności, w myśl której zbierane informacje powinny być adekwatne (niezbędne) do zrealizowania określonego celu. Trzeba również pamiętać, że zebrane dane zobowiązują administratora do ich wykorzystania wyłącznie w celu, dla którego zostały zgromadzone (tzw. zasada celowości).
Ponadto, formularz przystąpienia do programu lojalnościowego powinien zawierać tzw. obowiązek informacyjny, o którym mowa w art. 24 ust. 1 UODO. Oznacza to, że administrator danych ma obowiązek poinformować osobę fizyczną, której dane pozyskuje, o swej nazwie i siedzibie, wskazać cel, dla którego pozyskuje dane (uczestnictwo w programie lojalnościowym), pouczyć o prawie dostępu do danych oraz możliwości ich poprawiania, a także wskazać, czy podanie danych ma charakter dobrowolny, czy też istnieje jakiś prawny obowiązek ich podania (konkretny przepis, z którego to wynika).

Powierzenie przetwarzania danych
Jeżeli obsługą programu lojalnościowego ma zajmować się podmiot zewnętrzny w stosunku do apteki, należy zapoznać się z wymogiem wskazanym w art. 31 UODO. Przepis ten precyzuje, w jaki sposób administrator danych może współpracować przy ich przetwarzaniu z firmą trzecią. A zatem, jeśli decydujemy się na outsourcing, niezbędne jest zawarcie tzw. umowy powierzenia przetwarzania danych, która określa cel powierzenia, jego zakres, a także zobowiązuje firmę trzecią do podjęcia środków mających na celu zabezpieczenie powierzonych danych osobowych. Zabezpieczenia, o których tu mowa, wynikają z rozdz. 5 UODO oraz z przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Warto w tym miejscu dodać, że środki mające na celu zabezpieczenie danych osobowych musi podjąć również administrator danych.

Zgłoszenie zbioru danych
Wszystkie działania, które musi podjąć apteka jako administrator danych, powinny być poprzedzone dokonaniem zgłoszenia zbioru do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ten wynika wprost z art. 40 UODO. Istnieje jednak kilka wyjątków, wskazanych w art. 43 ust. 1 UODO. Szczególnie jeden z nich może wydawać się atrakcyjny dla apteki, mówi on bowiem o tym, że z obowiązku rejestracji zbioru zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych (art. 43 ust. 1 pkt 5 UODO). Zastanówmy się jednak, czy w omawianym wypadku wyjątek ten w ogóle mógłby być brany pod uwagę.

Zgodnie z tym, co wskazują w swym komentarzu do UODO Paweł Barta i Paweł Litwiński, wyłączenie obowiązku rejestracyjnego w interesującym nas wyjątku dotyczy wolnych zawodów (w przepisie jest też dalej mowa o obsłudze notarialnej, adwokackiej, doradcy podatkowego i innych – patrz art. 43 ust. 1 pkt 5 UODO). Chodzi tu więc o dane osobowe osób korzystających ze specjalistycznych usług świadczonych przez przedstawicieli wolnych zawodów, którzy pełnią jednocześnie rolę administratorów danych. Jak wiadomo, program lojalnościowy ma przede wszystkim charakter marketingowy, trudno zatem uznać, że uczestnictwo w nim wiązać się może z korzystaniem z usług farmaceuty (właściciela apteki). Tym samym zaś dochodzimy do wniosku, że omawiany wyjątek nie będzie miał tu zastosowania. Inne wyjątki również nie dadzą nam podstaw, by apteka jako organizator programu lojalnościowego mogła skorzystać z któregoś z wyłączeń obowiązku rejestracyjnego wskazanego w art. 43 ust. 1 UODO.

Konkludując – program lojalnościowy prowadzony w aptece wiąże się z koniecznością gruntownego zapoznania się z UODO i dopełnienia zawartych tam wymogów, z obowiązkiem zgłoszenia zbioru do GIODO na czele.

4.4/5 - (332 votes)

Nikt nie pyta Cię o zdanie, weź udział w Teście Zaufania!

To 5 najczęściej kupowanych leków na grypę i przeziębienie. Pokazujemy je w kolejności alfabetycznej.

ASPIRIN C/BAYER | FERVEX | GRIPEX | IBUPROM | THERAFLU

Do którego z nich masz zaufanie? Prosimy, oceń wszystkie.
Dziękujemy za Twoją opinię.

Leave a Comment

POLECANE DLA CIEBIE

START TYPING AND PRESS ENTER TO SEARCH