Zaprojektowanie dobrego programu lojalnościowego jest trudne pod względem jego atrakcyjności dla klientów oraz ze względu na przetwarzanie danych osobowych zgodnie z zasadami ustawy RODO. Dobry program lojalnościowy potrafi skutecznie zachęcić klienta do stałego korzystania z ofert firmy. Jednak należy postawić duży nacisk na jego konstrukcję, a konkretnie przetwarzanie danych. W relacji program lojalnościowy a RODO należy zauważyć, że jeśli dojdzie do naruszenia danych, to klienci odejdą, a firma straci reputację. Jak temu zapobiec?
Program lojalnościowy a RODO – ocena ryzyka
Już na etapie projektowania programu lojalnościowego, należy ocenić ryzyko związane z przetwarzaniem i pozyskiwaniem danych osobowych. Trudność polega na tym, że w program lojalnościowy zaangażowanych jest kilka podmiotów i wiele osób, a także zewnętrznych partnerów i podwykonawców. Z tego powodu wdrożone zabezpieczenia procesu przetwarzania danych w tego rodzaju programach muszą być regularnie i obiektywnie oceniane pod względem skuteczności stosowanych procedur, kultury organizacyjnej i stosowania odpowiednich narzędzi. Takiej obiektywnej oceny mogą dokonać niezależni eksperci zajmujący się prowadzeniem specjalistycznego audytu. To doskonała metoda na ustalenie, czy program lojalnościowy działa zgodnie z wymaganiami RODO.
W relacji program lojalnościowy a RODO najważniejsza ze względu na sens ustawy jest udzielenie wyraźnej zgody konsumenta na przetwarzanie jego danych osobowych. W trakcie przeprowadzania audytu zostanie ocenione, czy zgody są skonstruowane w jasny i zrozumiały sposób dla uczestnika programu lojalnościowego i czy zostały wyrażone w jednoznaczny sposób, np. klient zaznaczył okienko „akceptuję”. Zgodnie z art. 13 RODO, jeśli podmiot zbiera dane osobowe od klientów, to musi ich dokładnie poinformować o tym, kto i w jakim celu i jak długo będzie przetwarzał ich dane.
Przechowywanie danych przez program lojalnościowy a RODO
Administrator danych musi uzasadnić, dlaczego zastosował konkretne środki bezpieczeństwa. Jeśli wprowadzi jakiekolwiek zmiany, to powinien ponowić audyt oceny ryzyka. Powinien także wdrożyć procesy zarządzania ryzykiem np. pod kątem privacy by design i privacy by default już na etapie projektowania programu lojalnościowego.
Przechowywanie danych przez program lojalnościowy a RODO to dość niesprecyzowane zagadnienie, ponieważ ustawa RODO nakazuje przechowywanie lub gromadzenie danych w taki sposób, by w nie dostały się w niepowołane ręce i nikt nie mógł za ich pomocą zadziałać na szkodę osoby, której dane dotyczą. Zatem najważniejsze jest, aby dostęp do danych miały tylko upoważnione osoby. Dane mogą być zaszyfrowane w sposób uniemożliwiający identyfikację konsumenta przez osobę nieposiadającą klucza do odszyfrowania.
W przypadku pracowników muszą oni zachować poufność – nie wolno im np. opowiadać, kto uczestniczy w programie i podawać danych umożliwiających identyfikację. Muszą być świadomi, tego, jak ważna jest ochrona danych, a więc jak mają przechowywać hasła dostępu i co mają zrobić w sytuacji naruszenia danych (jak zgłosić incydent). Co więcej, administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania i pozostałych procedur zabezpieczenia np. instrukcji kultury organizacyjnej oraz musi stosować zabezpieczenia techniczne – teleinformatyczne, fizyczne i środowiskowe.