Ne želimo ovim člankom samo najaviti tekst o drastičnoj kazni od 2 milijuna EUR u Austriji jednoj tvrtki koja je vodila tzv. Loyalty program, već želimo i skrenuti pozornost na što vrijedi usmjeriti pozornost prilikom usklađivanja s GDPR obvezama, prenoseći iskustva iz naših projekata u kojima smo radili takva kompleksna usklađivanja Loyalty programa.
Istina je da se nakon plaćanja bankovnom karticom, umjesto gotovine, stvaraju tragovi o tome tko je kupio što, međutim, moramo znati da su podaci o kupcu razdvojeni od sadržaja kupnje i izravno se šalju kartičarskoj ili bankovnoj ustanovi.
Pravo praćenje sadržaja i učestalosti kupnje i povezivanje s konkretnom osobom zbiva se putem druge vrste kartica - kartica lojalnosti, kakve izdaje svaki veći trgovački lanac, i tu je naša privatnost na velikoj kušnji.
Kartice lojalnosti koriste mnogi od nas i za njihovo korištenje dobivamo i neke benefite koji nas vesele.
No, pri tom rijetko tko od nas pročita sva sitna slova uvjeta korištenja i uvjeta privatnosti, koji nam otkrivaju kako se i koji naši osobni podaci tijekom mjeseci i godina prikupljaju, naši afiniteti, naši iznosi potrošnje i s njima povezana kupovna moć i kretanje osobnih i obiteljskih financija tijekom vremena, vrste artikala koje kupujemo koji oslikavaju našu duboku privatnost, možda i prehrambene ili alkoholne navike, kvalitetu ishrane, potencijalne zdravstvene probleme, preferirane proizvođače ili trgovačke marke, lokacije kupnji i njihovu udaljenost od mjesta našeg stanovanja, koje artikle kupujemo u kojoj trgovini i niz ostalih detalja.
Ovo su temeljni koraci:
1. POSLOVNI CILJ
Svaka trgovina koja pokreće loyalty program s ciljem boljeg povezivanja i bolje ponude svojim kupcima i radi privlačenja kupaca drugih trgovina. Legitimno.
No jel nam to zaista jedini cilj?
2. TRAŽENJE ISTINE
Svaka je trgovina svjesna da ima priliku prikupljati ogromne količine osobnih podataka o svojim kupcima koji bi koristili loyalty program i pripadajuću loyalty karticu, ali je ključan moment određivanja što ćemo s tolikim osobnim podacima, hoćemo li ih koristiti za dobrobit kupaca i unaprjeđenje asortimana ili trgovina ili nagrađivanja ili unaprjeđenja odnosa s kupcima ili ćemo ih prodati na nezakonit način.
3. JESMO LI SVJESNI DA SU KORISNICI SVE EDUCIRANIJI
Kako se vremenom odmičemo od početka pune primjene GDPR-a kupci su sve osvješteniji i svakim danom raste broj pojedinaca koji žele znati kako se s njihovim osobnim podacima postupa ili znaju nekog stručnog tko im u tome može pomoći. Vremena kad se moglo kupcima pristupiti samo sitnim slovima sve su više iza nas.
4. POZNAJEMO LI GDPR OBVEZE
Za sam početak ključno je jasno utvrđivanje koji osobni podaci kupaca su nužni, ponavljamo, nužni uopće radi ulaska u program lojalnosti i bez kojih se nije moguće upisati u osnovni paket benefita, pa čak i da kupac ne koristi karticu.
Nakon toga preostaju nam svi ostali osobni podaci kupaca koje dobivamo izravno od kupaca ili s blagajni trgovina ili partnera u mreži trgovina ili pak izradom profila naših kupaca uporabom posebnih algoritama i tehnika radi analize ili predviđanja osobnih sklonosti, ponašanja i potreba kupaca.
Tu spada i praćenje lokacije putem mobilnog telefona na kojem je instalirana aplikacija našeg loyalty programa. Na trgovini je da se zapita trebaju li joj kontinuirani podaci o kretanju kupca ili samo podatak o udaljenosti do najbliže trgovine kad to kupac zatraži. U svakom slučaju, kupac može na to pristati i ne mora pristati, bez posljedica za njega.
Izrada profila kupaca ili donošenje automatiziranih odluka koje se odnose na njih iziskuje izričitu prethodnu privolu kupca uz jasne i lako dostupne informacije o tome.
Ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To se pravo kupcu mora izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.
Kako se povečava količina prikupljenih osobnih podataka kupaca tako se povečavaju i rizici za same kupce, na njihova prava i slobode, posebice ako bi se njihovi podaci koristili nezakonito i neetičan način ili ako bi došlo do njihovog kompromitiranja, curenja, javne objave, zlouporabe ili preprodaje.
Da ne spominjemo da se posebna šteta pojedincima može nanijeti izradom pogrešnog ili neispravnog profila i njegovim otkrivanjem trećima, a koji ukazuje da kupac ima velike izglede za oboljenjem u budućnosti, kakva informacija može jako interesirati osiguravajuća društva, ili da kupac nije dovoljno platežno sposoban otplaćivati kredit, što bi bankama izuzetno koristilio u osiguranju kvalitetnih kreditnih plasmana.
Stoga je tu obveza provođenja i dokumentiranja DPIA (Data Protection Impact Assessment) Procjene učinka na zaštitu podataka i dovođenje svih rizika za kupce na nisku ili prihvatljivu razinu.
5. TRANSPARENTNOST STVARA POVJERENJE KORISNIKA
Kao što vidimo, na prvom mjestu je transparentnost i osiguravanje pune, jednostavne i lake informiranosti kupaca i potencijalnih kupaca.
Kada se prikupljaju osobni podaci od kupaca, mora ga se obavijestiti o tome je li obvezan pružiti određene osobne podatke te o posljedicama ako takve podatke ne pruži.
Trgovina mora korisniku programa lojalnosti pružiti sve informacije neophodne za osiguravanje poštene i transparentne obrade kao i o postupku izrade njegovog profila i posljedicama takve izrade profila, kao i o algoritmu profiliranja i načinu kako on može utjecati na ispravljanje pogrešnih ili krivih odluka.
U konačnici, skrivanje informacija o obradama osobnih podataka, prisiljavanje kupca da mora dugo skrolati ne bi li došao do konkretnih informacija, prisiljavanje kupca da prihvati uvjete loyalty programa davanjem privole za obradu svih nenužnih osobnih podataka, nečitljiv ili teško razumljiv tekst pun pravnih izraza, sve su to pokazatelji da trgovina želi nešto sakriti od kupca i želi čim prije započeti s nezakonitiom prikupljanjem niza njegovih osobnih podataka u svrhu ostvarivanja ciljeva iz točke 1. ovog teksta.
U konkretnom slučaju iz Austrije radilo se očigledno o nizu namjernih propusta iz prethodno navedenih ključnih koraka od strane poznate grupacije koja je prisutna i u Hrvatskoj.
Više o austrijskom slučaju:
https://www.technadu.com/austrian-data-protection-authority-fines-unser-o-bonus-club-gmbh-e2000000/293478/
Photo by Andrea Piacquadio from Pexels
