Programy lojalnościowe w aptekach a ochrona danych
2011-04-07 12:47
Przeczytaj także: Przetwarzanie a ochrona danych osobowych
By móc brać udział w programie lojalnościowym, z reguły niezbędne jest wypełnienie jakiegoś formularza, w którym podaje się określone dane osobowe (np. imię, nazwisko, adres, e-mail). Dochodzi zatem do ich przetwarzania, ponieważ zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO), przez pojęcie to należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Fakt uczestnictwa w programie lojalnościowym bardzo często oznacza, że klient otrzymuje np. kartę magnetyczną, która może zawierać w sobie zakodowane dane osobowe, odczytywane następnie poprzez system informatyczny apteki. Należy jednak podkreślić, że czynności o których mowa w powyższej definicji, nie muszą być wykonywane w systemie, by doszło do przetwarzania danych osobowych.Jakie konsekwencje może mieć wprowadzenie programu lojalnościowego przez aptekę z punktu widzenia ochrony danych osobowych? Z dużą dozą pewności stwierdzić można, że zebrane w ten sposób informacje o osobach fizycznych stanowić będą zbiór danych, a więc posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zanim jednak przeanalizujemy jakie ma to znaczenie dla apteki, na początek warto na chwilę powrócić jeszcze do momentu przystąpienia do programu lojalnościowego.
Żeby apteka jako tzw. administrator danych, w więc podmiot decydujący o celach i środkach przetwarzania danych, mogła legalnie pozyskać dane osobowe, powinna wykazać się jedną z przesłanek zawartych w art. 23 UODO. Szybki ich przegląd pozwoli stwierdzić, że w zasadzie jedyną możliwą do zastosowania podstawą będzie uzyskanie zgody od osoby, której dane dotyczą. Będzie to zatem warunek konieczny, by apteka, w sposób zgodny z prawem, weszła w posiadanie (rozpoczęła przetwarzanie) danych osobowych. Oczywiście niezbędne jest również takie zbieranie danych osobowych, by nie została naruszona tzw. zasada adekwatności, w myśl której zbierane dane powinny być adekwatne (niezbędne) do zrealizowania określonego celu. Pamiętajmy również o tym, ze dane zebrane w określonym celu wiążą poprzez ten cel administratora danych (zasada celowości, zgodnie z którą jesteśmy związani celem dla którego dane zostały zebrane).
Formularz przystąpienia do programu lojalnościowego powinien ponadto zawierać tzw. obowiązek informacyjny, o którym mowa w art. 24 ust. 1 UODO. Oznacza to, że administrator danych ma obowiązek poinformować osobę fizyczną, której dane pozyskuje, o swej nazwie i siedzibie, wskazać cel dla którego pozyskuje dane (uczestnictwo w programie lojalnościowym), pouczyć o prawie dostępu do danych oraz możliwości ich poprawiania, a także wskazać czy podanie danych ma charakter dobrowolny czy też istnieje jakiś prawny obowiązek (konkretny przepis z którego to wynika) ich podania.
oprac. : Michał Sztąberek / iSecure
Przeczytaj także
-
Adresy e-mail jako dane osobowe
-
Rosną obawy o bezpieczeństwo danych osobowych
-
Czy zdrowotne aplikacje mobilne dbają o nasze dane?
-
Retencja danych osobowych pracowników - jak ją prowadzić?
-
Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu?
-
Kary za naruszanie przepisów RODO są wysokie
-
Facebook ukarany grzywną w wysokości 1,2 miliarda euro
-
Sharenting, czyli jak narażasz swoje dziecko na kradzież tożsamości
-
Wysyłka firmowych kartek świątecznych. Co na to RODO?
Najnowsze w dziale Prawo
-
Startup a ochrona własności intelektualnej. O czym pamiętać?
-
Ustawa o odpadach i recyklingu. Co jest odpadem, a co nie jest w świetle prawa?
-
Sygnaliści w firmach - jak stworzyć skuteczny system zgłaszania nieprawidłowości?
-
Dlaczego linie lotnicze odmawiają wypłaty odszkodowania za opóźniony lub odwołany lot?