S posebnom pozornošću smo analizirali slučaj koji donosimo, s obzirom da naš tim ima iskustva u pripremi nekoliko programa tzv. Loyalty kartica.
 
Pri tom smo u svim slučajevima davali jasnu uputu da tvrtka mora:
 
A. Imenovati Službenika za zaštitu podataka zbog obveze iz članka 37. stavka 1. GDPR-a, ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka:
 
- obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri
 
- opsežne obrade posebnih kategorija podataka i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima;
 
 
B. Provesti postupak Procjene učinka na zaštitu podataka (DPIA) zbog obveze iz članka 35. stavka 3. GDPR-a i odluke AZOP-a iz prosinca 2018.:
 
https://azop.hr/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podlijezu-zahtjevu-za-procjenu-ucinka-na-zastitu-podataka/
 
pri čemu posebno treba obratiti pozornost na točke:
 
1) Obrada osobnih podataka radi sustavnog i opsežnog profiliranja ili automatiziranog odlučivanja kako bi se donijeli zaključci koji u značajnoj mjeri utječu ili mogu utjecati na pojedinca i/ili više osoba ili koji služe kao pomoć u donošenju odluka o nečijem pristupu nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada osobnih podataka odnosnih na ekonomski ili financijski status, zdravlje, osobne preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.)
 
4) Obrada osobnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga fizičkim osobama
 
7) Uporaba novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba
 
 
Sad donosimo zanimljiv slučaj u kojem je nadzorno tijelo Luksemburga odlučilo da pružatelj Loyalty programa u konkretnom slučaju nije obvezan imenovati Službenika za zaštitu podataka, iako je jasno utvrđeno da je temeljna djelatnost tvrtke definitivno opsežna obrada osobnih podataka korisnika Loyalty kartice.
 
Ono što je tvrtku "spasilo" od obveze imenovanja Službenika za zaštitu podataka i kazne za taj propust u iznosu od čak 80.000 EUR, jest činjenica da tijekom pružanja Loyalty programa tvrtka nije redovito i sustavno pratila svoje korisnike, odnosno, nije pratila njihove kupnje, njihovo ponašanje, učestalost i volumen kupnji niti sadržaje kupnji, već je samo nudila posebne popuste kupcima.
 
Moramo priznati da su ovakvi slučajevi zaista iznimke i da je jasno da praktički sve tvrtke koje nude Loyalty programe sigurno i detaljno prate potrošačke navike svojih vjernih kupaca i da moraju imenovati Službenika za zaštitu podataka i provesti Procjenu učinka na zaštitu podataka.
 
Više o slučaju:
 
https://gdprhub.eu/index.php?title=CNPD_(Luxembourg)_-_D%C3%A9lib%C3%A9ration_n%C2%B0_42FR/2021&mtc=today
 
 
 
 
Photo by RODNAE Productions from Pexels