Zarządzanie programem lojalnościowym w świetle wymogów RODO
Podstawa przetwarzania danych uczestnika programu lojalnościowego
Najważniejszym aspektem wprowadzenia w życie RODO jest konieczność posiadania właściwej podstawy prawnej na przetwarzanie danych uczestnika, stanowiącej przejaw legalności przetwarzania. Co więcej, podstawa ta musi zostać zawarta w obowiązku informacyjnym wykonywanym przez administratora danych. Zatem by w ogóle móc korzystać z danych osobowych klienta, nawet w zakresie niezbędnym do realizacji zasad programu lojalnościowego, musisz we właściwy sposób sformułować cel przetwarzania i dopasować do niego adekwatną podstawę prawną.Co ważne, organizator programu lojalnościowego musi upewnić się, że uczestnik rozumie, w jaki sposób będą przetwarzane jego dane. Używanie skomplikowanego języka prawniczego w regulaminach i zgodach jest wykluczone – mówi ekspert z serwisu RODO RADAR, którego twórcy specjalizują się m.in. w kwestiach związanych z ochroną danych osobowych oraz audytami zgodności z RODO.
Zakres przetwarzania danych pozyskanych w programie lojalnościowym
RODO chroni klientów w bardzo szerokim zakresie. Musisz pamiętać o tym już na etapie projektowania programu lojalnościowego. Od maja 2018 należy informować także o wykonywaniu profilowania, wobec którego uczestnik może zgłosić sprzeciw.O czym jeszcze musisz poinformować klienta?
Klient przystępujący do programu lojalnościowego musi otrzymać od organizatora zestaw wyczerpujących, jasno sformułowanych informacji. Wśród nich muszą znaleźć się wiadomości o tym w jakim celu i przez kogo dane będą przetwarzane. Twoim obowiązkiem jest również poinformowanie uczestnika programu o wszystkich przysługujących mu prawach, w tym prawie do usunięcia podanych danych osobowych, a nawet złożenia do organu nadzorczego (PUODO) skargi na sposób przetwarzania danych.Bezpieczeństwo danych uczestników programu lojalnościowego
Zarządzanie programem lojalnościowym zgodne z RODO wymaga też od organizatora zadbania o odpowiednie bezpieczeństwo przetwarzanych przez niego informacji. Treść rozporządzenia nie wskazuje na konkretne rozwiązania w tym zakresie, ale zakłada, że zabezpieczenia muszą być adekwatne do ryzyka, jakie wiąże się z ewentualnością naruszenia bezpieczeństwa danych, np. ich wycieku. Stosowane zabezpieczenia muszą też uwzględniać aktualny stan wiedzy technicznej, a zatem na przestrzeni czasu muszą być weryfikowane i doskonalone.Dziękujemy za ocenę artykułu
Błąd - akcja została wstrzymana