Newsletter a ochrona danych osobowych – słów kilka o obowiązku rejestracji list mailingowych w rejestrze GIODO

[ 4 min czytania]

Przetwarzanie danych osobowych klientów, to dla przedsiębiorców (szczególnie tych prowadzących działalność on-line) temat  wciąż mało znany i kłopotliwy. Choć świadomość prawna w tym zakresie wzrasta, wciąż wiele pytań i wątpliwości budzi tematyka konieczności rejestrowania zbiorów danych osobowych w rejestrze Generalnego Inspektora Ochrony Danych Osobowych. W niniejszym artykule przedstawię kilka aspektów związanych z ochroną danych osobowych w zakresie e-mail marketingu.

Newsletter a ochrona danych osobowych – słów kilka o obowiązku rejestracji list mailingowych w rejestrze GIODO

I. Trochę teorii, czyli czym są dane osobowe.

Za dane osobowe uważa się wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Tak brzmi sztywna definicja, ale co ona oznacza? Otóż dane osobowe pozwalające na identyfikację osoby fizycznej to przykładowo jej imię, nazwisko, PESEL, adres. Co istotne, zwłaszcza w kontekście e-mail marketingu, za dane osobowe uważa się także adres e-mail, o ile z jego treści da się zidentyfikować osobę fizyczną. (np. Nowak@poczta.com lub zosia.kowalska@poczta.pl). Zatem jeżeli w zbiorze adresów e-mail znajdzie się choć jeden zawierający imię lub nazwisko, taki zbiór będzie podlegał rejestracji.

Powiązane: Kompedium wiedzy o zakładaniu działalności gospodarczej w Polsce – 3 kluczowe kroki do uruchomienia biznesu

Przedsiębiorcy, którzy decydują się na uruchomienie kampanii marketingowych za pośrednictwem newslettera, tworzą listy mailingowe, które w rozumieniu ustawy o ochronie danych osobowych stanowią zbiór danych osobowych. Zbiór danych osobowych podlega rejestracji Generalnemu Inspektorowi. Obowiązek ten spoczywa na administratorze danych osobowych (art. 40 ustawy), czyli najczęściej na podmiocie, który podejmuje działania w celu pozyskania adresów e-mail, a następnie je wykorzystuje, przesyłając newsletter.

Ustawa (a dokładnie art. 43 ust. 1 i 1a) przewiduje pewne wyjątki od obowiązku rejestracji zbioru danych, jednak wyłączenia te nie znajdą zastosowania w przypadku zbioru adresów e-mail, wykorzystywanych w celu przesyłania newsletterów czy informacji handlowych. W tym zakresie bardzo jasno wypowiedział się Generalny Inspektor Ochrony Danych Osobowych, który wyjaśnił, iż zbiór danych zawierający adresy e-mail osób, które chcą otrzymywać newsletter, należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) do rejestracji.

II. Tworzenie listy mailingowej zgodnie z prawem.

Wraz z tworzeniem listy mailingowej, powinniśmy przede wszystkim zwrócić uwagę na dwa istotne aspekty:

1. Uzyskanie od użytkownika świadomej zgody na przetwarzanie jego danych osobowych,
2. Zgoda na przetwarzanie danych musi określać cel, na jaki została wyrażona.

Przetwarzanie danych to nic innego jak jakiekolwiek operacje wykonywane na danych osobowych (np. zbieranie, wykorzystywanie, przechowywanie), a zwłaszcza te działania, które wykonuje się w systemach informatycznych. Zasadą jest, iż osoba udostępniająca swoje dane osobowe (np. subskrybent) składa administratorowi danych oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych. Co istotne, zgoda ta nie może być domniemana lub dorozumiana. Zatem osoba zapisująca się na newsletter, musi świadomie wyrazić swoją zgodę na przetwarzanie danych osobowych. Jak taką zgodę uzyskać? Najwygodniejszym rozwiązaniem jest stworzenie w formularzu zapisu newslettera stosownego checkboxu do zaznaczania, który zawiera informację, iż subskrybent wyraża zgodę na przetwarzanie jego danych osobowych.

I tutaj przechodzimy do drugiego dość istotnego aspektu prawnego, mającego znaczenie dla e-mail marketingu – cel przetwarzania danych osobowych. Dlaczego cel przetwarzania ma znaczenie? Ponieważ zgłoszenie zbioru danych do rejestracji, powinno zawierać cel przetwarzania danych.

Już na samym początku, przy projektowaniu newslettera musimy się zastanowić, w jakim celu go tworzymy, a w dalszej perspektywie, jak będziemy wykorzystywać listę mailingową. Jeśli tworzymy newsletter, aby informować subskrybenta o nowych treściach na blogu, w takiej sytuacji wystarczy uzyskanie samej zgody na przesyłanie tego rodzaju wiadomości.

Powiązane: Kilka sekretów dotyczących formy prawnej firmy, kiedy chcesz być wolna finansowo

Natomiast jeśli tworzymy listę mailingową, aby następnie przesyłać do subskrybentów również treści o charakterze marketingowym oraz oferty produktów i usług (informacja handlowa), to w takiej sytuacji musimy uzyskać od subskrybenta osobne zgody na przetwarzanie danych w celach marketingowych oraz w celach przesyłania informacji handlowych. Wiąże się to z zaprojektowaniem osobnych checkbox’ów w formularzu zapisu newslettera.

III. Rejestracja listy mailingowej.

Zarejestrowanie zbioru danych osobowych, który stanowi nasza lista mailingowa, można dokonać na dwa sposoby – składając do GIODO wniosek elektronicznie lub wysyłając wniosek pocztą tradycyjną.

A co takie zgłoszenie powinno zawierać? Szczegółowe wyliczenie zawarte jest w art. 41 ust 1 ustawy. Poniżej omówię tylko część informacji, które już na samym początku wypełniania wniosku budzą wątpliwości.

Wypełniając wniosek, przede wszystkim musimy określić dokładnie administratora danych i adres jego siedziby. Zatem jeśli zbieramy dane w celu ich przetwarzania to my jesteśmy administratorami tych danych, zatem musimy podać swoje dane, adres. Powinniśmy również wskazać podstawę prawną upoważniającą do prowadzenia zbioru. Najczęściej będzie to zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących.

Powiązane: Jak znaleźć klientów? Mini- przewodnik dla początkujących freelancerów

W przypadku, gdy wysyłamy newsletter korzystając z usług dostawcy systemu mailingowego, faktycznie dokonujemy tzw. powierzenia przetwarzania danych innemu podmiotowi. Ustawa o ochronie danych osobowych przewiduje (art. 31), że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Musimy zatem zadbać, aby mieć pisemną umowę z dostawcą w zakresie powierzenia mu przetwarzania danych. W samym wniosku do GIODO musimy podać nazwę i siedzibę podmiotu, któremu powierzyliśmy przetwarzanie danych osobowych.

Kolejną informacją, jaką musimy zawrzeć we wniosku, jest cel przetwarzania danych. Zatem jeśli jest to cel marketingowy, trzeba go będzie wskazać i opisać w kilku zdaniach. Co zrobić w przypadku, gdy zbiór danych będziemy przetwarzać w różnych celach (np. wysyłanie treści marketingowych oraz newslettera)? W takim przypadku będziemy musieli  dokonać dwóch zgłoszeń zbioru dla dwóch różnych celów. Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.