Câteva idei utile în implementarea unui program de fidelizare, conform cu GDPR, în supermarketuri

Transparența reprezintă fundamentul oricărui program de fidelizare conform cu GDPR. Supermarketurile trebuie să informeze clar clienții despre datele pe care le colectează, scopul utilizării acestora și celelalte puncte menționate de articolele 13 sau 14 ale GDPR.

Cum, de regulă, printre datele prelucrate se regăsesc obiceiurile de cumpărare, frecvența vizitelor, utilizarea ofertelor și altele, va fi importantă menționarea lor într-o formă cât mai simplu de înțeles. În plus, pentru că trăim în epoca AI-ului, iar companiile vor simți o nevoie presantă de a prelucra aceste date folosind soluții AI, e de menționat și nevoia de-a explica aceste prelucrări cât mai în detaliu, pentru o mai bună respectare a legii.

Chiar și prelucrări care, inițial, nu par a fi de domeniul GDPR, pot deveni problematice atunci când nu se analizează corect contextul realizării lor. Omiterea unor categorii de date colectate sau utilizarea lor în scopuri neanunțate poate duce la încălcări grave ale GDPR.

Respectarea dreptului de acces la date este un alt aspect crucial. Supermarketurile trebuie să fie pregătite să furnizeze rapid și complet toate datele prelucrate, la cerere. Acest lucru nu se limitează doar la istoricul tranzacțiilor, ci include și profilul de cumpărător și orice alte informații derivate.

Este important de reținut că accesul la aceste date nu ar trebui condiționat de upgrade-uri ale programului de fidelizare sau de alte cerințe suplimentare, așa cum se întâmplă uneori. Mai mult, revenind la ”mantra AI”, va rămâne mereu o problemă soluția prin care datele generate de AI pe baza profilării (spre exemplu) a unor date personale ale clienților pot fi oferite persoanelor vizate, la cererea acestora.

În ceea ce privește partajarea datelor cu terțe entități, transparența este, din nou, esențială. Aici, un caz interesant este CJEU - C-154/21 - RW v Österreichische Post. Cazul își are originea în Austria, unde o persoană a solicitat Poștei Austriece (operatorul de date) informații despre datele sale personale prelucrate și despre destinatarii acestor date. Răspunsul primit a fost considerat insuficient, operatorul oferind doar informații generale despre categoriile de destinatari, fără a specifica identitățile concrete ale acestora.

Instanțele austriece inferioare au interpretat articolul 15 din GDPR ca permițând operatorului să aleagă între a furniza informații despre "destinatari" sau "categorii de destinatari". Curtea Supremă din Austria, în fața acestei dileme de interpretare, a decis să solicite clarificări CJUE.

Esența întrebării trimise de Curtea Supremă din Austria spre clarificare este dacă articolul 15 alineatul (1) litera (c) din GDPR trebuie interpretat astfel încât să oblige operatorul să furnizeze informații despre destinatarii specifici ai datelor, atunci când acestea au fost deja divulgate, sau dacă este suficient să se ofere doar informații despre categoriile de destinatari.

CJUE a stabilit că persoanele vizate au dreptul de a cunoaște identitatea specifică a destinatarilor datelor lor personale, nu doar categoriile de destinatari. Curtea a subliniat că articolul 15 GDPR oferă un drept efectiv de acces, nu doar un drept la informare, spre deosebire de articolele 13 și 14 GDPR. Decizia se bazează pe principiul transparenței prevăzut în articolul 5 alineatul (1) litera (a) GDPR. 

În concluzie, Curtea a stabilit faptul că un operator va trebui să furnizeze persoanei vizate identitatea efectivă a destinatarilor, cu excepția cazului în care este imposibilă identificarea acestor destinatari sau operatorul demonstrează caracterul vădit nefondat sau excelsiv al cererile de acces ale persoanei vizate.

Consimțământul pentru partajarea datelor cu terți trebuie obținut în mod explicit și separat. Este crucial ca acest consimțământ să nu fie o condiție pentru participarea la programul de bază de fidelizare.

Supermarketurile ar trebui să evite condiționarea beneficiilor de bază ale programului de acordul pentru partajarea datelor cu terți sau de alte forme de acord ce vizează, spre exemplu, trimiterea de comunicări comerciale.

Securitatea datelor nu trebuie neglijată. Implementarea unor măsuri tehnice și organizatorice adecvate pentru protejarea datelor clienților împotriva accesului neautorizat sau a pierderii este esențială. Utilizarea de sisteme învechite sau neglijarea securității datelor poate duce la breșe de securitate costisitoare și dăunătoare reputației.

În plus, principiile limitării scopului și minimizării datelor trebuie să ghideze colectarea și prelucrarea informațiilor în cadrul programelor de fidelizare. Supermarketurile ar trebui să se asigure că colectează și prelucrează doar datele necesare pentru scopurile declarate ale programului, evitând colectarea excesivă sau utilizarea datelor în scopuri nerelevante.

Important

Ideea materialului a pornit de la o știre privind implicarea noyb (ONG finanțat din donații cu sediul în Viena, Austria, care lucrează pentru a pune în aplicare legile privind protecția datelor, în special GDPR și Directiva privind confidențialitatea electronică) în cazul Alfa Vita din Grecia. Lanțul grecesc de supermarketuri Alfa Vita (AB) derulează un program de card de fidelitate, care permite colectarea datelor personale ale cumpărătorilor. Cu toate acestea, compania nici măcar nu poate respecta drepturile de bază GDPR. Când reclamanta a solicitat acces la datele sale, AB a omis majoritatea datelor cu caracter personal pe care le-a prelucrat. noyb a depus o plângere la Autoritatea pentru Protecția Datelor din Grecia.