E-commerce, RODO

Newsletter a RODO

Jak wysyłać newsletter, aby był zgodny z RODO? Jeśli masz sklep internetowy albo działasz w innej sferze branży e-commerce (np. blog), z pewnością zastanawiasz się czy wysyłka Twojego newslettera jest zgodna z prawem. Okazuje się, że RODO wcale nie jest wcale jedynym przy okazji wysyłki newslettera.

W przypadku newslettera, trzeba spełnić wymogi trzech aktów prawnych:

– wspomnianego RODO,

– ustawy o świadczeniu usług drogą elektroniczną,

– ustawy Prawo telekomunikacyjne.

RODO to najpierw wybór odpowiedniej podstawy prawnej przetwarzania danych osobowych. Oczywiście mowa o danych osobowych Twoich klientów, którym chcesz wysyłać newsletter. RODO nie daje pierwszeństwa żadnej z podstaw prawnych przetwarzania wskazanych w art. 6. W przypadku newslettera można zastanowić się nad wyborem trzech podstaw:

– zgodą (art. 6 ust. 1 lit. a RODO)

– wykonaniem umowy (art. 6 ust. 1 lit. b RODO)

– uzasadnionym interesem administratora (art. 6 ust. 1 lit. f RODO).

Najczęściej w przypadku relacji marketingowych z klientami dochodzi do wyboru pomiędzy zgodą a uzasadnionym interesem. Pamiętaj o tym, że wysyłka newslettera zwykle ma charakter marketingu bezpośredniego (jeśli takiego by nie miała od razu należy zaznaczyć, że podstawa uzasadnionego interesu administratora odpada). Zgodnie z motywem 47 preambuły RODO „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Dlatego – zakładając, że newsletter ma charakter marketingowy – zdecydowanie można skorzystać z przesłanki uzasadnionego interesu administratora z art. 6 ust. 1 lit. f RODO. Skutkiem tego jest brak konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych na potrzeby wysyłki newslettera. Wadą tej opcji jest jednak konieczność wykonania tzw. testu równowagi celem sprawdzenia czy przypadkiem prawa i wolności podmiotów danych nie przeważają nad interesem administratora – gdyby test równowagi wypadł negatywnie dla administratora, nie można skorzystać z podstawy uzasadnionego interesu.

Więcej o podstawie uzasadnionego interesu we wpisie „Uzasadniony interes: pułapka czy zbawienie?„.

Zgoda to druga opcja, która jednak jest najsłabszą podstawą przetwarzania. Podmiot danych (czyli odbiorca Twojego newslettera) nawet jeśli udzielił zgody, może ją w każdej chwili cofnąć, co będzie oznaczało nie tylko brak możliwości dalszej wysyłki newslettera, ale też usunięcie danych osobowych tego klienta pozyskanych w celu dokonywania wysyłki. W przypadku wspomnianego wyżej uzasadnionego interesu, klient również ma prawo „wyeliminować” Twoją wysyłkę poprzez zgłoszenie tzw. sprzeciwu co do przetwarzania danych osobowych – skutek jest taki sam jak w przypadku cofnięcia zgody. Statystycznie jednak podmioty danych częściej wycofują udzielone wcześniej zgody niż korzystają z prawa do sprzeciwu.

Więcej o zgodzie piszemy we wpisie „Co powinna zawierać zgoda na przetwarzanie danych?„.

W tym miejscu dochodzimy do wykonania umowy. Na pierwszy rzut oka takie zakwalifikowanie wysyłki newslettera może dziwić, bo w końcu o jaką umowę chodzi? Otóż wysyłkę newslettera również można potraktować jak umowę. Klient chce dostawać najświeższe informacje o Twoich produktach lub usługach, a Ty oferujesz usługę polegającą na przesyłaniu takich informacji. Być może część prawników nie akceptuje takiej koncepcji, jednak coraz częściej w praktyce wysyłkę newslettera traktuje się jak umowę. Taka koncepcja pozwoliłaby na zastosowanie art. 6 ust. 1 lit. b jako podstawy prawnej przetwarzania danych, co skutkowałoby uniknięciem konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych, a także uniknięciem zagrożenia wycofania zgody czy też wniesienia sprzeciwu (w przypadku przesłanki uzasadnionego interesu). Oparcie się na przesłance wykonania umowy nie może jednak nastąpić „samo przez się”. Wymaga zaprojektowania wysyłki w taki sposób, aby dla obu stron (wysyłającego i odbierającego newsletter) było jasne, ze dochodzi do zawarcia umowy. Dlatego konieczne byłoby wprowadzenie odpowiednich postanowień do polityki prywatności Twojej strony, a jeśli np. prowadzisz sklep internetowy i musisz posiadać na stronie sklepu odpowiedni regulamin, również i w jego treści należy zawrzeć fragment dotyczący usługi polegającej na wysyłce newslettera.

Przy okazji omawiania RODO dla newslettera, nie należy zapominać o kolejnych obowiązkach, które będą spoczywać na Tobie jako na administratorze danych osobowych a – jak zapewne już wiesz – jest ich sporo. Na pewno musisz zadbać o aktualizację Twojej polityki prywatności oraz klauzul informacyjnych. Wysyłka newslettera to odrębny cel przetwarzania danych osobowych, a zatem jeżeli już nawet posiadasz adres e-mail klienta, któremu chcesz przesyłać newsletter (ponieważ był on potrzebny np. do dokonania zakupów w Twoim sklepie internetowym) to i tak musisz wykonać odrębny obowiązek informacyjny albo zaktualizować dotychczas stosowane klauzule informacyjne.

Zadbaj również o zapewnienie wykonywania praw podmiotu danych. Jeżeli opierasz wysyłkę newslettera na zgodzie, musisz zapewnić swoim klientom taką procedurę, która umożliwi im wycofanie zgody tak łatwo, jak została udzielona. Nie możesz dla przykładu żądać od klienta wycofania zgody w formie listu czy kontaktu telefonicznego, jeżeli była ona wyrażona przez zaznaczenie odpowiedniego checkboxa. Podobnie, jeśli opierasz przetwarzanie danych w oparciu o uzasadniony interes, musisz zapewnić bezpieczny i sprawy kanał komunikacji w zakresie np. realizacji prawa sprzeciwu.

Konieczne będzie również uzupełnienie rejestru czynności przetwarzania, tabel retencyjnych oraz oczywiście wykonanie oceny ryzyka. W przypadku oceny ryzyka pamiętaj o odpowiednim zaprojektowaniu komunikacji przy uwzględnieniu zasady privacy by default. Wszelkie ustawienia prywatności muszą mieć charakter domyślny. Nie możesz zatem udostępniać potencjalnemu adresatowi newslettera checkboxa, który będzie domyślnie zaznaczony. To klient musi sam zaznaczyć pierwotnie pusty checkbox.

Dalsze wymogi wynikają z ustawy o świadczeniu usług drogą elektroniczną oraz z Prawa telekomunikacyjnego. Tutaj nie ominiesz uzyskania zgody od adresata newslettera. Gdybyś wysłał wiadomość bez uzyskania odpowiedniej zgody, stanowiłaby ona niezamówioną informację handlową czyli przysłowiowy spam, za co mogłaby Cię spotkać kara zarówno od Prezesa Urzędu Ochrony Danych Osobowych, jak i od Urzędu Komunikacji Elektronicznej oraz Urzędu Ochrony Konkurencji i Konsumentów.

Pamiętaj! Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną: „Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej„.

Z pomocą przychodzi art. 4 ustawy o świadczeniu usług drogą elektroniczną oraz art. 174 Prawa telekomunikacyjnego. Do uzyskiwania zgód w oparciu o ustawę o świadczeniu drogą elektroniczną oraz o Prawo telekomunikacyjne stosuje się przepisy o ochronie danych osobowych, a zatem w szczególności RODO. Zgoda musi być zatem:

  • dobrowolna,
  • konkretna,
  • świadoma,
  • przekazana w formie oświadczenia lub wyraźnego działania potwierdzającego, że osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Osoba, która wyraża zgodę musi zatem mieć możliwość wyboru (a zatem np. możliwość zaznaczenia pustego checkboxa). Konkretność zgody przejawia się przez wskazanie, w jakim celu jest ona wyrażana i jakie dane są przekazywane. Świadomość dotyczy tego, że osoba udzielająca zgody musi wiedzieć komu jej udziela i po co. Zgoda nie musi jednocześnie stanowić każdorazowo oświadczenia osoby, gdyż również samo działanie potwierdzające stanowi zgodę np. wykonanie odpowiedniego ruchu kursorem, tabletem, zaznaczenie okienka. Za działanie potwierdzające nie może być jednak uznane np. samo przewijanie ekranu, gdyż w takim przypadku nietrudno o przypadkowość.

Obie zgody (jedna wynikająca z ustawy o świadczeniu usług drogą elektroniczną, a druga z Prawa telekomunikacyjnego) dotyczą bardzo zbliżonych kwestii i jedynie niedbałość ustawodawcy powoduje to, że zostały one uregulowane w odrębnych aktach prawnych. W zasadzie należałoby uznać, że masz obowiązek odbierać dwie odrębne zgody na podstawie każdej z tych ustaw, jednak zdecydowanie nie odpowiadałoby to praktyce rynkowej. Dlatego za dopuszczalne należy uznać połączenie tych dwóch zgód w formie jednego oświadczenia. Taką możliwość dopuszcza np. Ministerstwo Cyfryzacji w poradniku „RODO. Poradnik dla sektora FinTech”. Nie powinieneś jednocześnie, pobierając tych zgód, stosować cytatów z przepisów prawa, które przeciętnemu użytkownikowi niewiele powiedzą (jak choćby tajemnicze pojęcie „telekomunikacyjnych urządzeń końcowych”) – takie rozwiązanie byłoby nieczytelne i niejasne. Zamiast tego powinieneś zadbać o jak najklarowniejszy sposób odebrania zgody.

Łącząc obie zgody często praktykuje się rozwiązanie polegające na umożliwieniu osobie wpisania w przeznaczonym do tego okienku adresu e-mail oraz zaznaczenie checkboxa z informacją o chęci otrzymywania newslettera od sprzedawcy. Wydaje się to spełniać wymogi obu ustaw, choć pojawiają się również poglądy, że takie rozwiązanie nie do końca przystaje do wymogów zgody stawianej odpowiednio przez RODO. Można zatem rozważyć umieszczenie dodatkowo, obok okienka, w którym wpisuje się adres e-mail, checkboxa, pod którym znajdzie się informacja o wyrażeniu zgody na przesyłanie newslettera. W praktyce, oprócz odebrania zgody w formie checkboxa, zaleca się dodatkowo uzyskanie potwierdzenia jej udzielenia przez kliknięcie w link, który zostanie wysłany na podany adres mailowy (tzw. double opt – in). Nie należy zapomnieć również o podaniu skróconej klauzuli informacyjnej, która będzie odsyłać do pełnej polityki prywatności.

W tym miejscu pojawia się inne zagadnienie: czy jeśli opieram wysyłanie newslettera na zgodzie na przetwarzanie danych osobowych (nie chodzi o zgodę z ustawy o świadczeniu usług drogą elektroniczną ani o zgodę z Prawa telekomunikacyjnego), to czy mogę połączyć te trzy zgody w jednym checkboxie? Pojawiają się wprawdzie głosy, że byłoby to możliwe i zgodne z RODO, jednak skoro zgoda na przetwarzanie danych osobowych musi spełniać m.in. wymóg dobrowolności, to nie można uznać, ze oświadczenie łączące tę zgodę w pełni spełnia ten wymóg. Choć praktyka rynkowa wymagałaby uproszczenia, to z zdecydowanie zaleca się wyodrębnianie zgody na przetwarzanie danych osobowych od innych zgód – takie stanowisko prezentował GIODO jeszcze w oparciu o poprzedni stan prawny i powielały je sądy administracyjne.

Pamiętaj! Do zgody na podstawie ustawy o świadczeniu usług drogą elektroniczną i zgody wymaganej przez Prawo telekomunikacyjne stosuje się wymogi dla zgody przewidziane przez RODO.

Podsumowując: wysyłka newslettera nie jest niczym skomplikowanym pod kątem prawnym, ale trzeba ją odpowiednio zaplanować i zaprojektować. Jeśli nie spełnisz wymogów stawianych przez RODO, ustawę o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne, to możesz narazić się na odpowiedzialność administracyjną lub roszczenia odszkodowawcze ze strony swoich klientów.

1 myśl w temacie “Newsletter a RODO”

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s