Naruszenia w obszarze przetwarzania danych osobowych wiążą się nie tylko z ryzykiem operacyjnym, ale również z ryzykiem compliance. Compliance, jako funkcja prewencyjna ma za zadanie odpowiednio szybko zidentyfikować potencjalne ryzyko, przed jego zmaterializowaniem się, jako skutek nieprzestrzegania prawa (umyślniego lub nieumyślnego). Według rozporządzenia unijnego, które wejdzie w życie w 2018 roku i zastąpi obecną ustawę o ochronie danych osobowych, za nieprzestrzeganie regulacji Administrator Danych Osobowych będzie narażony na karę w wysokości nawet do 4% rocznych przychodów.
Ryzyko compliance związane z przetwarzaniem danych osobowych jest szczególnie wrażliwe w obszarze relacji z konsumentami, w tym w procesie oferowania produktów i usług, marketingu i reklamy oraz obsługi posprzedażowej. Oprócz ustawy o ochronie danych osobowych (dalej UOODO), przy świadczeniu usług nie należy zapominać o innych aktach prawnych: ustawie o świadczeniu usług drogą elektroniczną oraz o ustawie prawo telekomunikacyjne. Wiele wysiłku kosztuje udzielenie sensownej odpowiedzi na pytania zagranicznych kontrahentów, dlaczego w Polsce, aby móc zgodnie z prawem kontaktować się z klientem za pośrednictwem telefonu lub e-maila potrzebujemy aż trzech odrębnych (i niedorozumianych ani nie łączonych z innymi oświadczeniami woli) zgód klienta: pierwszej na przetwarzanie jego danych w celu marketingowym, drugiej na możliwość wysłania mu smsa i trzeciej, umożliwiającej wysłanie klientowi e-maila z informacją handlową. Dodając do tego zgodę klienta na przekazanie jego danych partnerom handlowym lub spółkom z grupy kapitałowej oraz obowiązkową klauzule informacyjną o tym, kto jest administratorem danych klienta, robi się z tego nieczytelny, prawniczy bełkot, który nie ma nic wspólnego z uświadamianiem konsumenta, lub dbaniem o jego prawa. W przypadku, kiedy odejdziemy od zawierania umów w formie elektronicznej z powodu zakazu kopiowania dokumentów tożsamości okaże się, że do umowy i dziesiątek stron regulaminów dojdą dwie strony oświadczeń związanych z przetwarzaniem danych osobowych.
Kilka kwestii w przepisach nie zostało dotąd uregulowanych, np. w jaki sposób spełnić wymóg ustawowy, taki jak obowiązek informacyjny wobec beneficjentów rzeczywistych, który nie został wyłączony z UOODO.
Poniżej kilka cennych uwag i wskazówek użytecznych np. do przeprowadzania testów compliance:
- klient z wniesionym sprzeciwem marketingowym, po zalogowaniu się do swojego panelu klienta/na swoje konto w bankow – nie może otrzymywać żadnych komunikatów reklamowych, nawet tych związanych z marketingiem własnym firmy badanie satysfakcji klienta z wykonanej usługi jest działalnością marketingową
- Kupując bazę danych odpowiadasz za jej jakość na równi z podmiotem, który tę bazę sprzedaje.
- omijanie prawa w stylu „dzwonię do Pani, bo system wygenerował mi numer” już nie przejdzie. Za takie działania, z godnie z art. 172 prawa telekomunikacyjnego przewidziana jest surowa kara do 3% rocznych przychodów firmy. Chcąc przedstawić klientowi naszą ofertę, zanim do niego zadzwonimy, musimy mieć jego uprzednią zgodę
- sprzeciwy na przetwarzanie danych klientów powinny być przyjmowane bezzwłocznie, niezależnie od kanału komunikacji, w którym zostały wniesione. Jeżeli obdzwanianie bazy danych wykonuje dla nas firma zewnętrzna ważne jest, żeby zapewnić aby jej pracownicy korzystali z aktualnych rekordów. Aktualizowanie bazy danych co dwa tygodnie to zdecydowanie nie jest zgodne z prawem. Dane klienta, które Administator Danych Osobowych odznaczył w swoim systemie jako nieprzetwarzane w celach marketingowych nie mają prawa być przetwarzane w tym celu po przyjęciu takiego sprzeciwu od klienta.
Joanna Grynfelder
