rebecca-aldama-660180-unsplash

Lojalumo programos pateko po BDAR padidinamuoju stiklu

Lietuvos Valstybinė duomenų apsaugos inspekcija neseniai baigė tyrimą dėl tinkamo asmens duomenų tvarkymo tiesioginės rinkodaros tikslais. Buvo tikrinami didžiausi maisto ir buities prekių parduotuvių ir vaistinių tinklai, siūlantys lojalumo programas.

Tyrimo metu dėmesys buvo kreipiamas į:

  • asmens duomenų tvarkymo teisėtumą;
  • tvarkomų asmens duomenų apimtį;
  • duomenų subjektams teikiamą informaciją;
  • duomenų subjekto draudimą tvarkyti asmens duomenis tiesioginės rinkodaros tikslais draudimo vykdymą;
  • asmens duomenų saugojimo sąlygas.

Iš 12-kos tirtų atvejų, 11-koje buvo nustatyti asmens duomenų tvarkymo pažeidimai. Įmonėms pateiktos vartotojų duomenų tvarkymo lojalumo programoms  rekomendacijos. Tikimasi, kad tai  padės suprasti, kaip išvengti klaidų tvarkant asmens duomenis pagal BDAR.

Teisėti įmonės interesai nėra tiesioginės rinkodaros pagrindas

Dalis tirtų įmonių, tvarkydamos asmens duomenis tiesioginės rinkodaros / profiliavimo tikslais, nepagrįstai rėmėsi įmonės teisėtais interesais. Ti negai būti laikoma tinkamu duomenų tvarkymo pagrintu, kadangi šiuo atveju duomenų subjekto (vartotojo) interesai yra svarbesni už duomenų vadytojo interesus ir duomenys tiesioginei rinkodarai ar profiliavimui gai būti tvarkomi tik gavus sutikimą.

Per didelio duomenų kiekio rinkimas

Tyrimo metu nustatyta, kad beveik 40% įmonių surenka pernelyg didelį duomenų kiekį, pvz., reikalauja, kad klientai, pildydami anketą lojalumo kortelei gauti, nurodytų savo tikslią gimimo datą. Inspektoriai mano, kad anketose pakaktų nurodyti tik gimimo metus arba amžių.

Kai kuriais atvejais vartotojų prašoma pateikti individualios veiklos pažymos. Buvo nurodyta, kad tokių dokumentų surinkimas yra nepakankama ir neproporcinga priemonė tikslams pasiekti (lojalumo programa). VDAI teigimu, tokių dokumentų rinkimas yra neadekvati ir nereikalinga priemonė tikslams pasiekti (lojalumo programa). Tam pakaktų nurodyti, pavyzdžiui, verslo pažymos numerį.

Asmens duomenų perdavimas trečiosioms šalims

Daugiau nei pusėje atvejų, įmonės nenurodo konkrečių trečiųjų šalių (partnerių), kurioms gali būti teikiami kliento duomenys. Todėl klientas gauna klaidinančią ar netikslią informaciją apie jų duomenų tvarkymą.

Reklama be galimybės jos atsisakyti

Asmens duomenų subjektams, gaunantiems  rinkodaros pasiūlymus, turi būti suteikta reklamos atsisakymo galimybė (opt-out). Tačiau kai kurios tiriamos įmonės nesuteikia aiškių, nemokamų ir papratų būdų atsisakyti gaunamų pasiūlymų trumpaisiais pranešimais (SMS).

Asmens duomenų saugojimo terminai

Daugiau nei 60% tiriamųjų susidūrė su problema dėl asmens duomenų tvarkymo sąlygų. Kai kuriose kompanijose nėra nustatytų konkrečių asmens duomenų saugojimo sąlygų ir terminų –  šie terminai yra nepagrįstai ilgi arba nėra nustatytas joks duomenų saugojimo laikotarpis.

Apibendrinus tyrimo duomenis pateikus išvadas, Valstybinė duomenų apsaugos inspekcija nurodė įmonėms pašalinti nustatytus pažeidimus.

Skaitykite daugiau apie baudas, skiriamas nesilaikant BDAR nurodymų.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų. Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....