Naruszenia w obszarze przetwarzania danych osobowych wiążą się nie tylko z ryzykiem operacyjnym i prawnym, ale również z ryzykiem compliance. Compliance, jako funkcja prewencyjna ma za zadanie odpowiednio szybko zidentyfikować potencjalne ryzyko, przed jego zmaterializowaniem się, będącego skutkiem nieprzestrzegania prawa (działań umyślnych lub nieumyślnych). Po wejściu w życie RODO, obszar danych osobowych ze względu na poziom ryzyka (prawdopodobieństwo wystąpienia zdarzenia vs. wysokość potencjalnej kary), można określić jako obszar podwyższonego lub wysokiego ryzyka.

Przykłady testów compliance w obszarze danych osobowych

• klient z wniesionym sprzeciwem marketingowym – po zalogowaniu się do swojego panelu klienta/na swoje konto w panelu klienta, nie może on otrzymywać żadnych komunikatów reklamowych, nawet tych związanych z marketingiem własnym firmy. Sprawdź, czy w Twojej firmie stosowane są prawidłowe rozwiązania.
• badanie satysfakcji klienta – zgodnie ze stanowiskiem GIODO (poprzednik UODO) badanie satysfakcji klienta z wykonanej usługi jest działalnością marketingową, więc nie można badać jakości usług w stosunku do klienta, który wniósł sprzeciw na przetwarzanie jego danych osobowych w celach marketingowych, w tym produktów własnych. Możesz przetestować, czy w Twojej organizacji jest to respektowane.
• kupując bazę danych odpowiadasz za jej jakość na równi z podmiotem, który tę bazę sprzedaje. Przetestuj skargi i reklamacje wiążące się z kupioną bazą danych. Upewnij się, że masz prawo przetwarzać dane z zakupionej bazy, zweryfikuj zapisy umowy z jej dostawcą, czy znajdują się w niej zapisy chroniące interes Twojej firmy przed odpowiedzialnością wynikającą z braku podstawy prawnej przetwarzania zakupionych danych.
•  „dzwonię do Pani, bo system wygenerował mi numer” – za takie działania, z godnie z art. 172  prawa telekomunikacyjnego przewidziana jest surowa kara do 3% rocznych przychodów firmy. Chcąc przedstawić klientowi ofertę firmy, zanim do niego zadzwonimy, musimy mieć jego uprzednią zgodę na kontakt telefoniczny w celu przedstawienia mu oferty handlowej.
  Zweryfikuj, w jaki sposób opiekunowie klienta wyszukują numery telefonów i tworzą bazy danych.
• sprzeciwy na przetwarzanie danych klientów powinny być przyjmowane bezzwłocznie, niezależnie od kanału komunikacji, w którym zostały wniesione. Jeżeli obdzwanianie bazy danych wykonuje dla nas firma zewnętrzna ważne jest, żeby zapewnić aby jej pracownicy korzystali z aktualnych rekordów. Aktualizowanie bazy danych co dwa tygodnie jest niezgodne z prawem. Przetestuj czas, w jakim Twoja firma jest w stanie spełnić żądanie klienta. Sprawdź, ile reklamacji wniesiono przez brak uwzględnienia żądania klienta, lub uwzględnienia sprzeciwu po terminie. Zrewiduj czas, w jakim zewnętrzne call centre otrzymuje aktualizację bazy danych.

Ryzyko compliance związane z przetwarzaniem danych osobowych jest szczególnie wrażliwe w obszarze relacji z konsumentami, w tym w procesie oferowania produktów i usług, marketingu i reklamy oraz obsługi posprzedażowej. Oprócz RODO oraz przepisów okołowdrożeniowych, przy świadczeniu usług nie należy zapominać o innych aktach prawnych, które regulują zasady i techniczne aspekty przetwarzania danych: ustawie o świadczeniu usług drogą elektroniczną oraz ustawie prawo telekomunikacyjne.

Joanna Grynfelder