Wyjaśnijmy, newsletter jest przesyłaniem informacji handlowych, zaś wysyłanie mailowo informacji handlowych jest przetwarzaniem danych osobowych klientów witryny, najczęściej ich imienia, nazwiska oraz adresu e-mail. Przetwarzanie to nie podlega jednak tylko przepisom ogólnego rozporządzenia RODO. Dodatkowe wymagania w tym zakresie zawiera również ustawa o świadczeniu usług drogą elektroniczną oraz ustawa, Prawo Telekomunikacyjne.
Zgodnie z art. 10 ust. 1-2 ustawy o świadczeniu usług drogą elektroniczną:
Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
Natomiast zgodnie z art. 172 ust. 1 Prawa Telekomunikacyjnego:
Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Aby więc móc przesyłać oferty lub inne informacje handlowe do subskrybentów, trzeba mieć na uwadze nie tylko RODO, ale też powyższe regulacje.
Podstawa przetwarzania
Co do zasady podstawę przetwarzania danych osobowych subskrybentów newslettera stanowi zgoda. **Zgoda nie może być dorozumiana, musi być dobrowolna, wyraźna, zaś osoba wyrażająca zgodę musi być świadoma tego na co się zgadza.**Kierowane do użytkowników informacje powinny być sformułowane w sposób jak najbardziej jasny i prosty. Zgoda niezrozumiała, niejednoznaczna będzie nieważna.
Ponadto, w ramach realizacji obowiązku informacyjnego wynikającego z RODO, należy naszego użytkownika poinformować o tym, kto będzie administratorem jego danych osobowych, o zakresie przetwarzanych danych, w jakim celu dane będą przetwarzane i na jakiej podstawie, przez jaki okres oraz jakie prawa użytkownik posiada względem przetwarzania swoich danych osobowych, tutaj kluczową rolę odgrywa prawo do wycofania w każdym czasie swojej zgody. Obowiązek informacyjny może zostać jednak zrealizowany w polityce prywatności znajdującej się na danej witrynie obejmującej również inne informacje dotyczące przetwarzania przez administratora danych osobowych użytkowników witryny. Wówczas, jeżeli nie chcemy zamieszczać tak długiego obowiązku informacyjnego pod checkboxem zapisu do newslettera, możemy umieścić tam link do polityki prywatności z odpowiednią adnotacją.
W motywach RODO wskazane zostało, że przetwarzanie danych osobowych dla celów marketingu bezpośredniego można uznać za działanie wykonywane w prawnie uzasadnionym interesie administratora, więc de facto jest to wystarczająca podstawa do przetwarzania danych dla ww. celu. Jednak po pierwsze mówimy tu jedynie o RODO! Trzeba wziąć pod uwagę również choćby przepisy ustawy o świadczeniu usług drogą elektroniczną. Po drugie zaś skorzystanie z tej przesłanki wymaga przeprowadzenia przez administratora dokładnej analizy, czy aby na pewno jest to właściwa podstawa. Można w tym przypadku przeprowadzić tzw. test równowagi (ang. balancing test), który zakłada położenie na szali i zważenie interesów administratora danych osobowych oraz osób, których te dane dotyczą. Wynik testu wskaże, czyj interes w danych przypadku przeważa i czy z przesłanki uzasadnionego interesu można korzystać.
Metody single opt-in lub double opt-in
Do budowy list mailingowej możemy wykorzystać metodę single opt-in lub double opt-in. Pierwsza zakłada, iż osoba chętna do zapisu do newslettera podaje swój adres e-mail i inne wskazane dane, po czym od razu zostaje dodany do listy. Druga metoda, double opt-in, zakłada dodatkową weryfikację, tzn. po zapisie do newslettera użytkownik otrzymuje link aktywacyjny, po którego kliknięciu następuje dodanie go do listy mailingowej. Jeżeli link nie zostanie aktywowany, nie dochodzi do zapisu do newslettera. Co prawda, ta metoda powoduje, że część użytkowników nie aktywuje swojej subskrypcji, pozwala jednak na wyeliminowanie sytuacji, w której przetwarzamy dane osoby nienależące do tej, która wypełniła formularz. Przy metodzie single opt-in może się bowiem zdarzyć, że osoba wypełniająca formularz wpisuje nie swoje dane. Metoda double opt-in pozwala też na wykazanie i dodatkowe potwierdzenie, że dany subskrybent wyraził zgodę na przesyłanie mu informacji handlowych.
Partnerzy biznesowi
Odrębną od powyższego kwestią jest przekazywanie danych osobowych użytkowników partnerom biznesowym. Tutaj również informowanie o możliwości przekazywania danych partnerom musi być jasne, konkretne oraz zawierać informacje o partnerach, którym dane mogą zostać przekazane. Nie będzie prawidłowe ogólne sformułowanie, że dane osobowe użytkownika witryny administrator danych osobowych może przekazywać swoim partnerom biznesowym. Użytkownik nie wie wówczas, komu jego dane zostaną przekazane, nie ma pewności, czy jego dane nie zostaną przekazane jeszcze kolejnym partnerom. Zostaje niejako pozbawiony możliwości realizacji swoich uprawnień względem własnych danych osobowych oraz kontroli ich przetwarzania.
Jeżeli chcemy przekazywać uzyskane przez nas dane osobowe użytkowników naszym partnerom, musimy tych partnerów wskazać. Mogą oni być wymienieni już w checkboxie pod zapisem do newslettera, można ich również wskazać, np. w polityce prywatności, do której pod możliwością zapisu znajdzie się odnośnik.
Najczęściej zadawane pytania
Czy można wysyłać newsletter bez zgody odbiorcy?
Nie, zakazane jest przesyłanie niezamówionej informacji handlowej pocztą elektroniczną. Informacja handlowa jest zamówiona tylko wtedy, gdy odbiorca wyraził na to zgodę.
Jakie informacje trzeba przekazać użytkownikowi przy zapisie do newslettera?
Należy poinformować, kto jest administratorem danych, jaki jest zakres i cel przetwarzania, przez jaki okres dane będą przetwarzane oraz jakie prawa przysługują użytkownikowi, zwłaszcza prawo do wycofania zgody. Informacje te można umieścić w polityce prywatności linkowanej pod formularzem.
Czym różni się single opt-in od double opt-in?
Single opt-in polega na dodaniu użytkownika do listy zaraz po podaniu adresu e-mail, a double opt-in wymaga dodatkowej weryfikacji przez kliknięcie linku aktywacyjnego. Double opt-in potwierdza wyraźną zgodę i ogranicza ryzyko przetwarzania danych osób, które się nie zapisały.
Czy można przekazywać dane użytkownika partnerom biznesowym?
Można, ale trzeba jasno poinformować użytkownika o takiej możliwości i wskazać, którym partnerom dane mogą zostać przekazane, aby zachował kontrolę nad przetwarzaniem.
Co jest podstawą przetwarzania danych dla newslettera?
Podstawą jest zgoda użytkownika, która musi być dobrowolna, wyraźna i świadoma. Zgoda nie może być dorozumiana ani niejasna.
Specjalizuje się w korporacyjnej obsłudze podmiotów gospodarczych oraz ochronie danych osobowych. Wspomaga klientów kancelarii w przygotowywaniu wszelkiej dokumentacji korporacyjnej, w tym w rejestracji spółek handlowych oraz w dalszej rejestracji zmian, a także udziela bieżącego i kompleksowego doradztwa w zakresie prowadzonej działalności. Zapewnia doradztwo w przeprowadzaniu procesów transformacyjnych spółek handlowych, w tym w procesach przekształceń i połączeń. Przygotowuje oraz opiniuje umowy, regulaminy i…
Zobacz profil →Prawnicy HWW udzielają konsultacji w Warszawie oraz online. Wybierz formę kontaktu.
Nie przegap kolejnej analizy
Najważniejsze zmiany w prawie i ich skutki dla biznesu, raz w miesiącu na Twój e-mail.
Zapisując się, akceptujesz politykę prywatności. Wypiszesz się jednym kliknięciem.
