Programy lojalnościowe w aptekach a ochrona danych

Przeczytaj także: Przetwarzanie a ochrona danych osobowych

Jeżeli obsługą programu lojalnościowego ma zająć się jakiś podmiot zewnętrzny w stosunku do apteki, należy zapoznać się również z wymogiem wskazanym w art. 31 UODO. Przepis ten precyzuje w jaki sposób administrator danych może współpracować przy przetwarzaniu danych z firmą trzecią. A zatem – gdyby taka sytuacja miała miejsce, niezbędne jest zawarcie tzw. umowy powierzenia przetwarzania danych, która określa cel powierzenia, jego zakres, a także zobowiązuje firmę trzecią do podjęcia środków mających na celu zabezpieczenie powierzonych danych osobowych. Zabezpieczenia, o których tu mowa wynikają z rozdziału 5 UODO oraz z przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Warto w tym miejscu dodać, że środki mające na celu zabezpieczenie danych osobowych musi podjąć również administrator danych.

Wszystkie działania, które powinna podjąć apteka jako administrator danych, powinny być jednak poprzedzone dokonaniem zgłoszenia zbioru do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ten wynika wprost z art. 40 UODO, chyba że istnieje możliwość skorzystania z jednego z wyjątków wskazanych w art. 43 ust. 1 UODO. Spośród opisanych tam wyjątków szczególnie jeden może prezentować się atrakcyjnie dla apteki, a mianowicie ten, który mówi o tym, że z obowiązku rejestracji zbioru zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych (art. 43 ust. 1 pkt. 5 UODO).

Zastanówmy się jednak czy w omawianym wypadku wyjątek ten w ogóle mógłby być brany pod uwagę. Zgodnie z tym, co wskazują w swym komentarzu do UODO autorzy Paweł Barta i Paweł Litwiński, wyłączenie obowiązku rejestracyjnego w interesującym nas wyjątku dotyczy wolnych zawodów (w przepisie jest też dalej mowa o obsłudze notarialnej, adwokackiej, doradcy podatkowego i innych – patrz art. 43 ust. 1 pkt. 5 UODO). Chodzi tu więc o dane osobowe osób korzystających ze specjalistycznych usług świadczonych przez przedstawicieli wolnych zawodów, którzy pełnią jednocześnie rolę administratorów danych.

Jak pamiętamy, program lojalnościowy, ma przede wszystkim charakter marketingowy, trudno zatem uznać, że w jakikolwiek sposób uczestnictwo w nim wiązać się może z korzystaniem z usług farmaceuty (właściciela apteki). Tym samym zaś dochodzimy do wniosku, że omawiany wyjątek nie będzie miał tu zastosowania. Inne wyjątki również nie dadzą nam podstaw, by apteka jako organizator programu lojalnościowego mogła skorzystać z któregoś z wyłączeń obowiązku rejestracyjnego wskazanego w art. 43 ust. 1 UODO.

A zatem, konkludując – program lojalnościowy prowadzony w ramach apteki – oprócz niewątpliwych walorów marketingowych – wiąże się jednak z koniecznością gruntownego zapoznania się z UODO i dopełnienia zawartych tam obowiązków, z koniecznością zgłoszenia zbioru do GIODO na czele.