Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) 2018 m. rugpjūčio 16 d., siekdama nustatyti ar, įsigaliojus Bendrajam duomenų apsaugos reglamentui – BDAR (toliau – Reglamentas), bendrovės tinkamai tvarko asmens duomenis lojalumo programų ir tiesioginės rinkodaros tikslais ir ar nėra renkama perteklinių asmens duomenų, dvylikai didžiųjų maisto, namų apyvokos prekių parduotuvių ir vaistinių tinklų išsiuntė tikrinimo klausimynus. Planuojama, kad VDAI apibendrintus patikrinimų rezultatus paskelbs rugsėjo mėnesį, tačiau į ką jau reikėjo atkreipti dėmesį įmonėms nuo š. m. gegužės 25 dienos, vykdančioms lojalumo programas ir tiesioginę rinkodarą, įžvalgomis dalijasi advokatų profesinės bendrijos „JurisConsultus“ asocijuotoji teisininkė Asta Kederytė.
Vykdydamos lojalumo programas bendrovės, pastebima, kad ne visada detaliai įvertina šių programų turinį ir aiškiai nustato, kokie klientų ar vartotojų asmens duomenys yra būtini siekiant sėkmingai jas įgyvendinti. Asmens duomenų, kurie nėra reikalingi lojalumo programos sėkmingam vykdymui, tvarkymas yra perteklinis ir neatitinkantis Reglamento reikalavimų. Reglamente įtvirtintas duomenų kiekio mažinimo principas aiškiai nurodo, kad duomenų valdytojai gali tvarkyti tik adekvačius, tinkamus ir tokius asmens duomenis, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Jei bendrovė, vykdanti lojalumo programą, atlieka lojalumo programos dalyvių stebėseną ir seka jų pirkimo įpročius, kurių pagrindu vėliau dalyviams siūlo specialius pasiūlymus ir nuolaidas atitinkamoms prekėms ir paslaugoms, ji privalo sau užduoti bent šiuos klausimus:
- Kokių lojalumo programos dalyvio asmens duomenų reikia, siekiant atlikti jo pirkimo įpročių analizę ir jos pagrindu jam pritaikyti tinkamiausius pasiūlymus ir nuolaidas?
- Ar asmeniniai vartotojo asmens duomenys, tokie kaip vardas, pavardė, gyvenamosios vietos adresas, asmens kodas ir kiti, yra būtini siekiant nustatyti lojalumo programos dalyvio pirkimo įpročius ir suteikti jam nuolaidas atitinkamoms prekėms ir paslaugoms įsigyti bei pateikti kitus specialius pasiūlymus?
- Ar specialių pasiūlymų ir nuolaidų lojalumo programos dalyviui individualizavimui užtenka tvarkyti pseudonimus, tokius kaip lojalumo kortelės numeris, paskyros naudotojo pavadinimas ir kiti?
Atsakydamos į aukščiau pateiktus klausimus, bendrovės dažnu atveju susiduria su problema, kad iš pažiūros jų lojalumo programos sėkmingai veiklai vykdyti renkami pirkėjų duomenys vis dėlto tampa pertekliniais ir tampa sudėtinga pagrįsti kiekvienos ir/ar tam tikros renkamos asmens duomenų kategorijos tvarkymo tikslą. Praktikoje pastebima, kad analogiška situacija dėl perteklinių asmens duomenų naudojimo bendrovių viduje susijusi ir su jų vykdoma tiesiogine rinkodara, kai klientams ar vartotojams siunčiami naujienlaiškiai ar kita informacija apie siūlomas prekes, paslaugas, nuolaidas ar specialius pasiūlymus. Tiek vienu, tiek kitu atveju, bendrovėms siūloma pakartotinai įsivertinti valdomus ir tvarkomus pirkėjų asmens duomenis, nurodyti jų tikslus lojalumo programų bei tiesioginės rinkodaros vykdymui ir atitinkamai pagal tai parengti reikalingą vidinę dokumentaciją iš teisinės reglamentavimo pusės, bei įsivertinti technologines galimybes duomenų administravimui.
Prekybos centrai bei įmonių grupės taip pat turėtų atkreipti dėmesį į vykdomas bendras lojalumo programas, kurių pagrindu išduodamos lojalumo kortelės, skirtos klientų apsipirkimui ir nuolaidų gavimui keliose skirtingose paslaugų ar prekių tiekėjų vietose. Šiuo atveju bendrovėms, kartu vykdančioms lojalumo programas, svarbu įvertinti bei tarpusavio sutartyse įsivardinti, kurios kartu vykdančios programas bendrovės yra bendri duomenų valdytojai, kurios duomenų tvarkytojai, o kurios duomenų gavėjai, siekiant atriboti bendrovėms kylančią atsakomybę už netinkamą asmens duomenų tvarkymą ir apsaugą bei tinkamai informuoti į lojalumo programas besiregistruojančius klientus ar vartotojus apie tai, kas valdo jų pateikiamus asmens duomenis, kam jie yra perduodami ir kitą privalomą pateikti informaciją nurodomą Reglamente. Su asmens duomenų tvarkymo informacija lojalumo kortelių turėtojai turėtų būti supažindinti individualiai, o įmonės turėtų galėti įrodyti, kad informavimo pareigą įvykdė tinkamai.
Grįžtant prie tiesioginės rinkodaros vykdymo, bendrovėms neretai iškyla dilema ir dėl asmens duomenų tvarkymo pastaruoju tikslu teisėtumo pagrindo, kuris įtvirtintas ne pačiame Reglamente, o nacionalinėje teisėje. Lietuvos Respublikos elektroninių ryšių įstatyme yra nustatytas reikalavimas gauti išankstinį duomenų subjekto sutikimą norint naudoti elektroninių ryšių paslaugas, įskaitant elektroninio pašto ir telefono pranešimų siuntimą, tiesioginės rinkodaros tikslais. Nors reikalavimą gauti sutikimą, siekiant vykdyti tiesioginę rinkodarą, nustato nacionalinė teisė, sutikimo formos ir turinio reikalavimų reikia ieškoti ne kur kitur, o Reglamente. Reglamentas numato, kad sutikimas turėtų būti duodamas aiškiu aktu, suteikiamas laisva valia, konkretus, informacija pagrįstas, vienareikšmis nurodymas, išreiškiantis fizinio asmens sutikimą su jo asmens duomenų tvarkymu. Reglamente taip pat pažymima, kad iš anksto pažymėti langeliai ar neveikimas nėra laikomi tinkamai išreikštu sutikimu. Būtina paminėti, kad kiekvienam asmeniui davusiam sutikimą turėtų būti suteikiama galimybė jį taip pat lengvai ir atšaukti.
Įmonės, kurios iki šiol nėra sudarę Reglamento reikalavimus atitinkančių sutikimų su naujais klientais arba nėra atnaujinę Reglamento reikalavimų neatitinkančių sutikimų su esamais klientais, neturi teisėto pagrindo tvarkyti asmens duomenis tiesioginės rinkodaros tikslais. Vis dėlto kreipimasis į esamus klientus dėl jų turimų sutikimų atnaujinimo elektroninių ryšių paslaugomis, įskaitant elektroninio pašto ar telefono pranešimų siuntimą, yra laikomas pažeidimu, todėl bendrovės, norinčios atnaujinti savo esamų klientų sutikimus, turėtų tai daryti atsargiai.
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija.