Līdz ar jaunās datu aizsardzības regulas ieviešanu, izmaiņas arī tirgotāju lojalitātes programmās

Kā pavēstīja mazumtirdzniecības veikalu tīkla SIA "Rimi Latvia" pārstāvji, atbilstoši jaunajai regulai uzņēmumiem noteikti stingrāki nosacījumi ES pilsoņu personas datu apstrādei. Regula paredz, ka uzņēmumam skaidri jādefinē un jākomunicē personas datu apstrādes mērķi, procesi un tehnoloģiju pielietojums.

"Rimi Latvia" veicis izmaiņas "Mans Rimi" lojalitātes programmā un sācis pircēju personas datu atjaunošanu. Turpmāk, reģistrējoties programmā, pircējiem vairs nebūs jānorāda uzvārds, kā arī vajadzība pēc citiem datiem būs atkarīga no pircēju vēlmes saņemt dažādas "Rimi" lojalitātes kartes priekšrocības. Attiecīgi pircējs varēs norādīt tikai tos datus, kas būs nepieciešami paša izvēlētajai dalībai kādā no veikala tīkla programmām. Datu atjaunošanu pircējiem iespējams veikt jebkurā "Rimi" kioskā vai interneta vietnē "mansrimi.lv", pārbaudot un vajadzības gadījumā labojot vai papildinot iepriekš norādītos datus.

"Rimi Latvia" pārstāve Dace Preisa skaidroja, ka atbilstoši jaunajai "Rimi" lojalitātes programmas reģistrācijas formai, klientam, reģistrējot karti, obligāti ir jānorāda vārds, mobilā telefona numurs, e-pasta adrese, dzimšanas dati, dzimums, pilsēta un pasta indekss. Piemēram, informācija par pilsētu un pasta indeksu nepieciešama, jo minētie dati "Rimi" lojalitātes programmā tiek izmantoti personalizēto piedāvājumu izveidošanai, kā arī anonīmā veidā tiek izmantoti statistikas un tirgus pētījumiem. Savukārt pilnu dzīvesvietas adresi jānorāda, ja klients, piemēram, vēlas saņemt "Rimi" aktuālos piedāvājumus pa pastu, atzīmēja Preisa.

Vienlaikus dzimšanas dati klientiem jānorāda, lai izveidotu personalizētos piedāvājumus un piedāvātu vecuma grupai atbilstošas preces, kā arī, lai sasaistītu personu ar "Mans Rimi" karti, ja persona sazinās ar "Rimi" un lūdz veikt kādas darbības, piemēram, bloķēt karti. Tādam pašam mērķim, kā arī gadījumos, ja nepieciešama steidzama saziņa, klients tiktu informēts par "Mans Rimi" lojalitātes programmu un viņam tiktu nodrošināta pieeja "Mans Rimi" profilam "Rimi" mājaslapā, klientam jānorāda kontaktinformācija.

Preisa norādīja, ka uzņēmumam ir svarīgi, lai katrs pircējs justos droši, izpaužot personīgos datus "Mans Rimi" lojalitātes programmas ietvaros, un to apstrāde noritētu atbilstoši likumdošanai. "Tāpēc, lai arī jaunā regula ir izaicinājums ikvienam tirdzniecības uzņēmumam, skatām to drīzāk kā iespēju kļūt vēl caurskatāmākiem mūsu pircēju personas datu apstrādē," sacīja "Rimi Latvia" pārstāve.

Mazumtirdzniecības veikalu tīkla SIA "Maxima Latvija" pārstāve Liene Dupate-Ugale aģentūrai LETA pauda, ka patlaban Latvijā personas datu aizsardzību regulē Fizisko personu datu aizsardzības likums. Tas nosaka fizisko personu pamattiesības un brīvības, kas saistītas ar personas datiem. Kaut arī drīz to aizvietos ES Vispārīgās datu aizsardzības regula, daudzi no tās noteikumiem Latvijā darbojas jau vairākus gadus, jo ir ietverti arī esošajā Fizisko personu datu aizsardzības likumā, skaidroja Dupate-Ugale.

Viņa sacīja, ka regula palīdzēs drošāk kontrolēt datu pārraudzību un izmantošanu īpaši pēdējos gados strauji izaugušajā digitālajā vidē, kurā būtiski palielinājusies arī personas datu aprites plūsma. Līdzīgi palielināsies arī uzņēmumu ieguldītie laika un finanšu resursi esošo personas datu apstrādes sistēmu pārskatīšanai un uzlabošanai. Pēc "Maxima Latvija" pārstāves teiktā, apzinoties, ka regula ieviesīs minētos izaicinājumus, uzņēmums jau pagājušajā gadā izveidoja speciālu darba grupu, kuras uzdevums ir izvērtēt uzņēmuma procesus, dokumentus un sistēmas un atbilstoši pielāgot tos jaunajai regulai.

"Darāmā ir daudz, taču būsim gatavi jaunajam regulējumam. Apjomīgākais jautājums, ar ko darba grupa sāka savu darbību, bija tieši klientu datu apstrāde, jo mūsu veikalu apmeklētājiem piedāvājam dalību "Paldies" kartes lojalitātes programmā, kuras ietvaros mums ir jārūpējas par ļoti ievērojamu personas datu apjomu," skaidroja Dupate-Ugale.

Viņa norādīja, ka līdz ar jaunās regulas ieviešanu, "Maxima Latvija" turpinās piedāvāt lojalitātes kartes "Paldies" priekšrocības, kuras būs pieejamas atkarībā no pircēju sniegtajām atļaujām. Kā piemēru "Maxima Latvija" pārstāve minēja dalību preču un pakalpojumu loterijās "Maxima" veikalu tīklā - ja klients būs devis piekrišanu tikt tām automātiski reģistrētam, tad viņam minētā priekšrocība būs pieejama. Savukārt, ja atļauja nebūs dota, tad klients netiks reģistrēts loterijai, kaut arī būs iegādājies attiecīgo produktu.

Vienlaikus Dupate-Ugale atzīmēja, ka "Paldies" kartes klientiem obligāti aizpildāmie lauki būs dzimšanas datums, dzimums, adrese, tālruņa numurs un/vai e-pasta adrese. Savukārt turpmāk viņiem nevajadzēs reģistrēt ģimenes locekļu skaitu, dzīvokļa numuru, kā arī pasta indeksu. "Vārda un uzvārda norādīšana vairs nebūs obligāta, tomēr, ja klients vēlas piedalīties loterijās, tad šī informācija ir obligāta," sacīja "Maxima Latvija".

Savukārt mazumtirdzniecības veikalu tīkla SIA "Elvi Latvija" komercdirektore Laila Vārtukapteine aģentūrai LETA sacīja, ka "Elvi" klientu lojalitātes programma ir veidota tā, ka nekādi papildus dati no klientiem ievākti netiek. "Esošās klientu kartes pircēji var iegādāties un līdz ar to lojalitātes programmas priekšrocības izmantot bez atsevišķu anketu pildīšanas un papildu informācijas sniegšanas, tāpēc šobrīd "Elvi" neveic klientu datu ievākšanu un glabāšanu," uzsvēra Vārtukapteine

Vienlaikus viņa norādīja, ka veikalu tīkla attīstības plānos tiek domāts par pakāpenisku pāreju uz jauna tipa lojalitātes programmu un klientu kartēm, kas ietvertu arī katra klienta personalizēto informāciju. "Protams, izstrādājot jauno sistēmu, jau proaktīvi domāsim par datu drošību, taču šī brīža lojalitātes programmai pēc ES regulas prasībām nav nepieciešamas nekādas izmaiņas," atzīmēja "Elvi Latvija" komercdirektore.

Datu valsts inspekcijā (DVI) aģentūru LETA informēja, ka viena no ES Vispārīgās datu aizsardzības regulas normām nosaka, ka personai nav atkārtoti jāsniedz piekrišana personisko datu apstrādei, ja veids, kādā tā sniegta atbilst regulas nosacījumiem, kas ļauj datu pārzinim turpināt iegūto personas datu apstrādi pēc tam, kad sākta regulas tieša piemērošana.

DVI vērsa uzmanību, ka minētais nosacījums piemērojams tikai gadījumos, kad personas piekrišana dota ar skaidri apstiprinošu darbību jeb brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi, piekrītot ar viņu saistīto datu apstrādei. Gadījumā, ja pirms regulas tiešas piemērošanas uzsākšanas iegūtā piekrišana neatbildīs minētajiem kritērijiem, pastāv risks, ka pārziņa veiktā personas datu apstrāde varētu tikt atzīta par likumam neatbilstošu, tādējādi datu ieguvējiem būtu jāvērtē, vai saņemtās piekrišanas atbilst normatīvos noteiktajiem kritērijiem, lai izslēgtu risku, ka tās varētu tikt atzītas par likumam neatbilstošām.

Vienlaikus DVI atzīmēja, ka regulas ieviešana nemainīs personas datu apstrādes organizācijas pamatprincipus – datu apstrādei arī pēc tās stāšanās spēkā būs jāatbilst personas datu apstrādes principiem, nodrošinot tikai tādu personas datu apstrādi, kas nepieciešama katram konkrētajām apstrādes nolūkam noteikto laika posmu.

Ņemot vērā minēto, inspekcijā pauda aicinājumu datu ieguvējiem izvērtēt, vai ievāktie dati nepārsniedz apstrādes nolūkam nepieciešamo apjomu, piemēram, vai pārzinim nepieciešama informācija par personas ģimenes locekļu skaitu, adresi, tālruni, elektroniskā pasta adresi u.c. DVI uzsvēra, ka datu ieguvējs ir atbildīgs par visu uz to attiecināmo regulas prasību izpildi, kā arī tam ir pienākums to uzskatāmi demonstrēt. Tomēr, ņemot vērā, ka datu pārzinis atbilstoši regulai īsteno tehniskos un organizatoriskos pasākumus atbilstoša personas datu drošības līmeņa nodrošināšanai, noteikto personas datu apstrādes mērķu un līdzekļu noteikšana ietilpst pārziņa kompetencē.

Vienlaikus inspekcijā atzina, ka attiecībā uz personu informēšanu par veikalu tīklu piedāvājumiem, pastāv risks, ka personas, kuras nav izvēlējušās tos saņemt, nebūs informētas par izmaiņām datu ieguvēja veiktajā personas datu apstrādē, līdz ar to nebūs iespējams uzskatīt, ka pārzinis ir izpildījis regulas noteiktās prasības. DVI uzsvēra, ka datu ieguvējiem būtu jāmeklē risinājumi, lai informācija sasniegtu visus klientus, piemēram, par izmaiņām datu apstrādē un kur tā atrodama, to izceļot vai iekļaujot pirkuma čekā gadījumos, ja sazināšanās ar datu sniedzējiem nav iespējama kādā no to norādītājiem vēlamajiem saziņas veidiem vai rada datu pārziņiem nesamērīgu administratīvo slogu.

Jau vēstīts, ka ES Vispārīgā datu aizsardzības regula stājās spēkā 2016.gada 24.maijā un tiks piemērota no šī gada 25.maija.

Regula paredz stingrākas prasības piekrišanai kā personas datu apstrādes pamatam. Līdz ar to izmaiņas būs jāveic dažādās iesniegumu formās, piemēram, anketās, kuras tiek izmantotas klienta kartes iegūšanai, anketās, ar kurām persona izsaka piekrišanu piedalīties klientu pētījumā vai saņemt reklāmu.

Lai izpildītu regulas prasības, būs nepieciešams mainīt arī līgumus, kuri tiek slēgti ar ārpakalpojumu sniedzējiem, ja šie pakalpojumi ietver personas datu apstrādi, jo regula nosaka, kādam ir jābūt šī līguma saturam. Piemēram, ja tiek izmantoti cita uzņēmuma servera pakalpojumi, cits uzņēmums veic uzņēmuma darbinieku algu aprēķinu, sagatavo un izsūta klientiem rēķinus vai veic uzņēmuma dokumentu iznīcināšanu, tad šie līgumi būs jāpapildina ar regulā noteikto saturu.

Regula paredz, ka tehniski un organizatoriski datu aizsardzības pasākumi un procedūras ir jāievieš atbilstoši iespējamajiem riskiem fizisko personu tiesībām un brīvībām, un to pakāpei. Līdz ar to pēc datu plūsmas apzināšanas vajadzētu novērtēt riskus, ko rada datu apstrāde. Īpaša vērība jāpievērš nejauši vai nelikumīgi nosūtītu, uzglabātu vai citādi apstrādātu personas datu iznīcināšanai, nozaudēšanai, pārveidošanai, neatļautai izpaušanai vai piekļuvei tiem. Ir jāapzina riska iestāšanās iespējamība, negatīvo seku veidi un apmēri, un jānodrošina to pārvaldība.