Jau gadu desmitiem komersanti piedāvā saviem klientiem lojalitātes jeb klienta kartes, dodot iespēju gan iegūt papildu atlaides, gan veidot uzkrājumus. Ja kādreiz klienta karšu iegūšanai savi personas dati bija jāsniedz reti, tad šobrīd apmaiņā pret “izdevīgajiem piedāvājumiem” cilvēkam bieži vien ir jāuzrāda adrese, telefona numurs, personas kods u.c. Lai gan varētu šķist, ka klienta kartes ir tikai “smagums” mūsu makos, tomēr ir jāsaprot, ka katram veikalam vai pakalpojuma sniedzējam esam devuši savus datus.
Vai komersants (datu pārzinis), izsniedzot lojalitātes karti un īstenojot lojalitātes programmu, var pieprasīt saviem klientiem (datu subjektiem) jebkādus personas datus un kā viņiem jāinformē klienti par šo datu apstrādi, stāstīsim šajā #DVIskaidro.
Komersanta lojalitāšu programmām, kuru ietvaros tiek apstrādāti dati, ir piemērojami Datu regulas [1] nosacījumi. Tie ir:
- skaidra datu apstrādes mērķa noteikšana;
- atbilstoša likumiskā pamata piemērošana;
- pienācīga klientu informēšana par plānoto vai esošo datu apstrādi;
- Datu regulas principos noteikto nosacījumu ievērošana [2].
Lai noteiktu datu apstrādes mērķi, komersantam ir jāatbild uz vienu jautājumu- kāpēc šī apstrāde ir vajadzīga? Šī atbilde visbiežāk ir rodama organizācijas procesos, kas saistīti ar komercdarbību, un ārējā normatīvajā regulējumā.
Tiesiskā pamata piemērošana ir cieši saistīta ar datu apstrādes mērķa noteikšanu. Šie ir procesi, kur precizitāte spēlē svarīgu lomu, – jo skaidrāk nodefinēts mērķis, jo pārzinim būs vieglāk piemērot tiesisko pamatu. Datu apstrāde lojalitātes programmās parasti tiek pamatota ar klienta piekrišanu [3], taču Datu regulā ir arī citi tiesiskie pamati, kurus var izmantot, piemēram, kad par kartes izsniegšanu tiek slēgts līgums.
Datu apstrāde pamatota ar piekrišanu
Piekrišanas pamatprincipi ir:
- tā ir viegli sniedzama un tikpat viegli atsaucama;
- ir brīvprātīga;
- tās atsaukšana neradīs negatīvas sekas klientam un neietekmēs esošas līgumiskās attiecības.
Klienta piekrišana noteikti ir vajadzīga, lai komersants, izmantojot automatizētus līdzekļus, varētu analizēt pirkumu vēsturi un izveidot īpašos piedāvājumus nākamajām iepirkšanās reizēm. Tāpat - lai saņemtu komerciālus paziņojumus par citiem uzņēmuma pakalpojumiem un reklāmām [4].
Piemērs: Lai iegūtu SIA “Lojalitātes lielveikals” klienta karti, ir jāaizpilda anketa, kurā persona var izvēlēties- saņemt savā e- pastā paziņojumus par jaunu preču ievietošanu veikala sortimentā vai nē, kas ir balstīta uz iepriekš veiktajiem pirkumiem. Saņemot šādu vēstuli, klientam ir dota iespēja no šādiem jaunumiem atrakstīties.
Datu apstrāde, pamatojoties uz līgumu
Dažos gadījumos personas datu apstrāde var notikt, pamatojoties uz abpusēju līgumu. Ir svarīgi atcerēties, ka šāda apstrāde ietver tikai tos datus, kas ir nepieciešami līguma noslēgšanai. Tādējādi līgumā var noteikt, ka komersants izsniedz klientam virtuālo vai taustāmo lojalitātes karti, kas sniedz papildu bonusus. [5]
Piemērs: SIA “Lojalitātes lielveikals” piedāvā saviem klientiem noslēgt līgumu par lojalitātes kartes iegādāšanos; tās cena- 1 eiro. Noskenējot karti pie veikala kases, klients iegūst nemainīgu 5% atlaidi kopējam pirkumam. [6].
Jāņem vērā, ka, piemērojot šo tiesisko pamatu, komersants nevar iegūt un apstrādāt tādus personas datus, kuru iegūšanai un apstrādei saskaņā ar Datu regulu ir cits tiesiskais pamats.
Datu apstrāde, pamatojoties uz leģitīmām interesēm
Noteiktos gadījumos personas datu apstrāde var notikt, pamatojoties uz komersanta leģitīmajām interesēm. Ir svarīgi atcerēties, ka, piemērojot šo tiesisko pamatu, komersantam ir jālīdzsvaro savas un klientu intereses, ar to saprotot plānotās datu apstrādes efektivitātes un tiesību uz privātumu izvērtēšana.
Piemērs: Starp klientu un SIA “Lojalitātes lielveikals” rodas civiltiesisks strīds par iepriekš veiktajiem pirkumiem un veidoto uzkrājumu lojalitātes kartē. Šajā gadījumā komersantam, pamatojoties uz savām leģitīmajām interesēm, ir likumīgs pamats veikt klientu datu apstrādi.
Jāņem vērā, ka leģitīmās intereses ir likumīgas, kamēr komersants tās īsteno veidā, kas atbilst datu aizsardzības un citiem tiesību aktiem.
Tāpat jāatceras, ja lojalitātes programma ir sasaistīta, piemēram, ar internetveikalā izveidotu profilu vai aplikāciju, kur vienlaikus tiek reģistrēta arī visa pirkumu vēsture, tai skaitā pieejami rēķini, tad arī, atsaucot savu piekrišanu vai pārtraucot līgumattiecības par turpmāku dalību lojalitātes programmā, komersantam ir tiesības apstrādāt klienta personas datus, ja tam ir cits tiesisks pamats. Piemēram, likumā noteikts pienākums glabāt maksājuma dokumentus.
Apstrādājamo datu apjoms
SVARĪGI! Komersantam vienmēr ir jāņem vērā, ka personas datus apstrādā tikai tādā apjomā, kāds nepieciešams konkrētā mērķa sasniegšanai [7].
Gadījumos, kad normatīvie akti nenosaka precīzu apstrādājamo datu apjomu vai kategoriju, komersantam jāsaprot, kādi dati nepieciešami mērķa sasniegšanai un jāspēj pamatot to nepieciešamību. Būtiski ir arī nodalīt gadījumus, kur vieni un tie paši personas dati nepieciešami vairākiem mērķiem (katram datu apstrādes mērķim var būt arī cits tiesisks pamats).
Komersantam ir jāinformē cilvēki, ka, piedaloties lojalitātes programmā, viņu dati tiks apstrādāti. Tāpat ir jāpaskaidro, kamdēļ tos apstrādās, likumisko pamatu un datu vai to kategoriju uzskaiti, būtiski arī informēt klientu par viņa, Datu regulā noteiktām, tiesībām. Klients ir jāinformē brīdī, kad viņš elektroniski vai taustāmā formātā ir nonācis pie lojalitātes kartes anketas aizpildīšanas[8]. Vairāk par privātuma politiku lasiet ŠEIT.
