Turpinām par Datiņu ģimeni! Jānis Datiņš veiksmīgi aizsācis savu trenažieru zāles biznesu, kuram jau ir pievienojies krietns klientu pulciņš. Paplašinot savu biznesa ideju, lai piedāvātu klientiem vēl vairāk labumus, Jānis nolēmis izveidot lojalitātes programmas, kas iekļauj dažāda veida bonusus no sadarbību partneriem.
Jānis, paplašinoties biznesam ir piesaistījis pats savu datu aizsardzības speciālistu, ar kura palīdzību tiek nodrošināts, ka visi klienta dati tiek apstrādāti atbilstoši datu regulai. Lai sniegtu atbalstu arī citiem uzņēmējiem Jānis, kopā ar savu datu aizsardzības speciālistu ir sagatavojuši padomus par to, kas komersantiem jāņem vērā, veidojot lojalitātes programmu ar klienta kartes izsniegšanu.
Sākotnēji Jānis vērš uzmanību, ka lojalitātes programma ir kā papildus pakalpojums un sākotnējais tiesiskais pamats, kas ir līguma izpilde starp Jāni un trenažieru zāles klientu nav piemērojams.
Likumīgais pamats vienmēr tiek sasaistīts kopā mērķi, kādam personas datu apstrāde ir nepieciešama. Katrā personas datu apstrādes posmā (iegūšana, apstrāde, nodošana) ir jābūt noteiktam datu apstrādes likumīgam pamatojumam, kas datu apstrādes dzīvescikla laikā var mainīties.
Visos gadījumos, kad datu apstrādes ietvaros to plānots veikt kopā ar citiem sadarbības partneriem, kuri arī iesaistās lēmuma, par nepieciešamo datu apjomu un apstrādi, ietvaros – jāpievērš uzmanība un jānosaka kāda ir katra iesaistītā uzņēmēja loma. Ja lēmumu par personas datu apstrādes veidu un tās nepieciešamību kopīgi pieņem vairākas personas, tad tie būs kopīgie pārziņi. Šajā gadījumā pārredzamā veidā jānosaka un jāvienojas par katras iesaistītās personas attiecīgo atbildību attiecībā uz Datu regulā noteikto pienākumu izpildi.
Kāds tiesiskais pamats piemērojams, veidojot lojalitātes programmas klientam?
Klientam ir jādod piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem. Tas nozīmē, ja uzņēmējs plāno, ka lojalitātes programmas ietvaros, klienta dati tiks nodoti arī citiem sadarbības partneriem, tad par to ir ne tikai jāinformē klients, bet arī jāsaņem viņa piekrišana.
Ņem vērā, ka uz klientu nedrīkst būt izdarīts tiešs vai netiešs spiediens. Klientam ir jābūt informētam par to kam viņš piekrīt un to, ka nepiekrišanas gadījumā nebūs negatīvas sekas. Jāņem vērā, ka piekrišanu vienmēr ir iespējams atsaukt tikpat vienkāršā un ērtā veidā, kāda tā ir sniegta.
Piekrišana ir likumīga un spēkā esoša, ja tā atbilst visām norādītajām piekrišanas pazīmēm:
- aktīvi sniegta;
- informēta un apzināta;
- konkrēta;
- brīva;
- atsaucama;
- pierādāma.
Uzņēmējs nedrīkst kā papildus nosacījumu līguma izpildei pieprasīt datu sniegšanu ar līgumu nesaistīta nolūka sasniegšanai balstoties uz piekrišanu.
Tiesības tikt aizmirstam
Uzņēmējam arī jāņem vērā, ka klientam ir tiesības atsaukt savu piekrišanu apstrādei un prasīt, lai tiktu dzēsti visi personas dati, kuru apstrādes pamats ir klienta piekrišana, kā arī visus klienta personas datus, kas vairs nav nepieciešami līguma izpildei, vai arī turpmākai datu apstrāde nepastāv cits tiesiskais pamats, tādējādi īstenojot tiesības "tikt aizmirstam".
Piemēram, uzņēmējam nav jāveic tādu datu dzēšanu, kuru apstrāde ir nepieciešama, lai izpildītu likumā noteiktu pienākumu, kas konkrētajā gadījumā varētu izrietēt cita starpā, piemēram, no likuma Par grāmatvedību, kurā paredzēts konkrēts glabāšanas termiņš noteiktiem dokumentu veidiem.
Atbilstoša privātuma politika
Skaidra un saprotama privātuma politika ir viens no atslēgas dokumentiem, lai klients uzticētos uzņēmējam. Privātuma politikā informācija sniedzama kodolīgā, pārredzamā, un klientam saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Pasniegtajai informācijai ir jābūt skaidri strukturētai, viegli pārredzamai un viegli pieejamai, piemēram, lai tīmekļa vietnē nebūtu jāpavada pārlieku ilgs laiks tās atrašanai.
Kāda informācija uzņēmējam jāsniedz personai saistībā ar lojalitātes programmu
- Uzņēmuma nosaukums un kontaktinformācija
Piemēram, SIA "Saulīte", e-pasts: pasts@saulite.lv;
- Kādu nolūku sasniegšanai tiek pieprasīti personas dati un kāds ir šīs informācijas iegūšanas tiesiskais pamats atbilstoši Datu regulai.
Piemēram, saistībā ar lojalitātes programmu uzņēmums iegūst informāciju par klienta dzimšanas dienas datumu, lai šajā dienā piedāvātu bezmaksas trenažieru zāles apmeklējumu un atlaides sadarbības partneru veikalos. Kā arī, norāda tiesisko pamata šādai datu apstrādei – klienta piekrišana.
- Ja norīkots – kā sazināties ar organizācijas datu aizsardzības speciālistu un tā kontaktinformāciju.
- Ja apstrāde tiek pamatota ar organizācijas likumīgajām interesēm, tad šo interešu izklāstu.
- Personas datu saņēmējiem vai to kategorijām, ja tādi ir.
Piemēram, ja uzņēmējs plāno informāciju par klientiem nodot sadarbības partneriem, tad ir jāuzskaita iesaistītie sadarbības partneri un jānorāda kādi dati tiks nodoti attiecīgās personas datu apstrādes ietvaros.
- Ja plānots personīgo informāciju nosūtīt uz trešo valsti vai starptautisku organizāciju, atsauci uz to, kā personīgā informācija tiks aizsargāta.
Minētā informācija ir pamatinformācija, kas būtu jāsniedz. Tomēr cilvēkam ir jābūt iespējai iepazīties arī ar šādu papildu informāciju:
- laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kā šis laikposms tiks noteikts;
- par tiesībām un kārtību, kādā pats cilvēks var piekļūt saviem datiem, tos labot vai dzēst, lūgt ierobežot datu apstrādi vai iebilst pret datu apstrādi, kā arī noteiktajos gadījumos lūgt pārnest viņa datus;
Piemēram, privātuma politikā būtu iekļaujams apraksts kā persona var īstenot savas tiesības, tai skaitā kam un kādus kanālus izmantojot šāda veida iesniegumi iesniedzami – tālruņa numurs vai e-pasts, uz kuru persona var zvanīt vai rakstīt, sadaļa platformā, kuru var aizpildīt u.tt.
- Ņemot vērā, ka šajā gadījumā apstrāde pamatojas uz personas piekrišanu – norādīts, ka klientam ir tiesības jebkurā brīdī to atsaukt.
- informācija par iespēju klientam iesniegt sūdzību Datu valsts inspekcijā, ja viņš/viņa uzskata, ka personas dati tiek apstrādāti neatbilstoši Datu regulai.
- vai personas datu iegūšanu paredz likums vai tā ir vajadzīga, lai noslēgtu līgumu un saņemtu pakalpojumu. Tāpat būtu jānorāda vai informācijas sniegšana ir obligāta vai nē, un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti.
- ja pastāv automatizēta lēmumu pieņemšana un profilēšana, informācija par priekšnosacījumiem un loģiku šādu automatizētu lēmumu pieņemšanai un paredzamajām sekām attiecībā uz personu.
Jo uzmanīgāk un atbildīgāk organizācijas izturēsies pret lietotāju personas datiem, jo lielāku uzticību tas radīs klienta un komersanta attiecībās. Tāpat, regulāri pārskatot personas datu apstrādes, datu drošības politikas un personas datu reģistrus, pastāvēs mazāka iespēja dažādiem starpgadījumiem, piemēram, datu noplūdēm vai klientu sūdzībām.
Noderīgi raksti:
Valdis Datiņš: Personas datu nodošana trešajām personām – tikai ar likumīgu pamatu https://www.dvi.gov.lv/lv/jaunums/valdis-datins-personas-datu-nodosana-tresajam-personam-tikai-ar-likumigu-pamatu
Iepazīšanās ar Datiņu ģimeni: noderīgi padomi uzņēmējiem privātuma politikas izstrādē https://www.dvi.gov.lv/lv/jaunums/iepazisanas-ar-datinu-gimeni-noderigi-padomi-uznemejiem-privatuma-politikas-izstrade
#DVIskaidro "Vai personas piekrišana ir universāls tiesiskais pamats datu apstrādei?" https://www.dvi.gov.lv/lv/jaunums/dviskaidro-09122022
#DVIskaidro "Kā noteikt savu lomu personas datu apstrādes procesā?" https://www.dvi.gov.lv/lv/jaunums/dviskaidro-parzinis-kopparzinis-apstradatajs