Testy compliance

 

Naruszenia w obszarze przetwarzania danych osobowych wiążą się nie tylko z ryzykiem operacyjnym i prawnym, ale również z ryzykiem compliance. Compliance, jako funkcja prewencyjna ma za zadanie odpowiednio szybko zidentyfikować potencjalne ryzyko, przed jego zmaterializowaniem się, jako skutek nieprzestrzegania prawa (umyślnego lub nieumyślnego). Obszar danych osobowych już niedługo, ze względu na poziom ryzyka, może okazać się tym, który warto przetestować w obszarze braku zgodności, z tego względu, że kary za naruszenia w obszarze danych mogą wynosić nawet do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa. 

 

Pomysły na  testy compliance w obszarze danych osobowych

  • klient z wniesionym sprzeciwem marketingowym, po zalogowaniu się do swojego panelu klienta/na swoje konto w panelu klienta – nie może otrzymywać żadnych komunikatów reklamowych, nawet tych związanych z marketingiem własnym firmy – sprawdź, czy w Twojej firmie stosowane są prawidłowe rozwiązania.
  • badanie satysfakcji klienta – zgodnie ze stanowiskiem GIODO badanie satysfakcji klienta z wykonanej usługi jest działalnością marketingową, więc nie można badać jakości usług w stosunku do klienta, który wniósł sprzeciw na przetwarzanie jego danych osobowych w celach marketingowych, w tym produktów własnych. Możesz przetestować, czy w Twojej organizacji jest to respektowane.
  • kupując bazę danych odpowiadasz za jej jakość na równi z podmiotem, który tę bazę sprzedaje. Przetestuj skargi i reklamacje wiążące się z kupioną bazą danych.
  •  „dzwonię do Pani, bo system wygenerował mi numer” – już nie przejdzie. Za takie działania, z godnie z art. 172  prawa telekomunikacyjnego przewidziana jest surowa kara do 3% rocznych przychodów firmy. Chcąc przedstawić klientowi ofertę firmy, zanim do niego zadzwonimy, musimy mieć jego uprzednią zgodę na kontakt telefoniczny.
    Zweryfikuj, w jaki sposób opiekunowie klienta wyszukują numery telefonów i tworzą bazy danych. Uważaj! Wyniki tego testu mogą przyprawić Cię o migrenę. 
  • sprzeciwy na przetwarzanie danych klientów powinny być przyjmowane bezzwłocznie, niezależnie od kanału komunikacji, w którym zostały wniesione. Jeżeli obdzwanianie bazy danych wykonuje dla nas firma zewnętrzna ważne jest, żeby zapewnić aby jej pracownicy korzystali z aktualnych rekordów. Aktualizowanie bazy danych co dwa tygodnie jest niezgodne z prawem. Przetestuj czas, w jakim Twoja firma jest w stanie spełnić żądanie klienta. Sprawdź, ile reklamacji wniesiono przez brak uwzględnienia żądania klienta, lub uwzględnienia sprzeciwu po terminie. Zrewiduj czas, w jakim zewnętrzne call centre otrzymuje aktualizację bazy danych.

Ryzyko compliance związane z przetwarzaniem danych osobowych jest szczególnie wrażliwe w obszarze relacji z konsumentami, w tym w procesie oferowania produktów i usług, marketingu i reklamy oraz obsługi posprzedażowej. Oprócz ustawy o ochronie danych osobowych (dalej UOODO), przy świadczeniu usług nie należy zapominać o innych aktach prawnych: ustawie o świadczeniu usług drogą elektroniczną oraz o ustawie prawo telekomunikacyjne. Aby móc w pełni zgodnie z prawem kontaktować się z klientem za pośrednictwem telefonu lub e-maila potrzebujemy aż trzech odrębnych (i niedorozumianych ani nie łączonych z innymi oświadczeniami woli) zgód klienta: pierwszej na przetwarzanie jego danych w celu marketingowym, drugiej na możliwość wysłania mu smsa i trzeciej, umożliwiającej wysłanie klientowi e-maila z informacją handlową.