Wyświetleń: 2722

Napisane przez:

Newsletter a RODO

Newsletter a RODO – czy potrzebna jest zgoda na przetwarzanie danych osobowych?

RODO, czyli cztery litery, które spędzają obecnie sen z powiek wielu przedsiębiorcom, prawnikom i pozostałym administratorom danych, to skrót od pełnej nazwy rozporządzenia, które znacznie zaostrza przepisy dotyczące ochrony danych osobowych. Jak się z nim oswoić? Jak dostosować mechanizmy ochrony danych osobowych obecnie używanych w biznesie do nowych standardów wyznaczanych przez RODO? Na te oraz inne pytania odpowiedzi znajdziecie w dzisiejszym wpisie. Zapraszam do lektury!

O wyrażaniu zgody na przetwarzanie danych osobowych pisaliśmy we wpisie RODO – zgoda na przetwarzanie danych, dziś natomiast chciałabym się skupić na zagadnieniu wyrażania zgód przez subskrybentów newslettera. Czy zawsze trzeba je uzyskiwać?

Bardzo wielu przedsiębiorców prowadzących swoje interesy za pomocą Internetu chce informować swoich klientów o nowościach oraz promocjach. W tym celu wykorzystuje między innymi newsletter, który jest formą marketingu i bliższego oraz bardziej „kameralnego” kontaktu z klientami. Jak jednak przetwarzać dane osobowe subskrybentów w sposób zgodny z RODO?

Należy pamiętać, o tym, że RODO wśród podstaw przetwarzania danych osobowych, w art. 6 poza zgodą wymienia również pięć innych podstaw, w tym wskazuje, że przetwarzanie jest zgodne z prawem zgodne z prawem jeśli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Motyw 47 RODO wskazuje, że za działanie w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Czym jest „marketing bezpośredni”? Na temat marketingu wypowiedział się GIODO i tak w decyzji z 11 maja 2012 r. wskazał, że: „Istotą marketingu są działania mające na celu kształtowanie popytu poprzez poszerzenie kręgu nabywców na usługi świadczone przez firmę, jak również poprawienie relacji pomiędzy firmą a klientem”. W decyzji tej organ dokonał uszczegółowienia swojego stanowiska dotyczącego definicji marketingu, wskazując, że „w ocenie organu działania polegające na wysyłaniu korespondencji do Skarżącego przypominającej o konieczności zapłaty za fakturę („płatność z góry”) w celu przedłużenia ważności umowy, bądź wysyłanie życzeń należy uznać za działania marketingowe” (decyzja GIODO z 11 maja 2012 r., DOLiS/DEC-412/12/29474, 29481).

Natomiast marketing bezpośredni polega na bezpośrednich komunikatach skierowanych do wybranych, pojedynczych osób, często w indywidualnym kontakcie, w celu uzyskania bezpośredniej reakcji (odpowiedzi).

Newsletter możemy w takim przypadku potraktować jako marketing bezpośredni, w związku z czym przetwarzanie danych osobowych będzie odbywało się na podstawie przesłanki wskazanej w art. 6 ust. 1 lit. f) RODO, a nie na podstawie zgody.

W tym miejscu warto podkreślić, że zgodnie z dotychczasowym stanowiskiem GIODO: „Jednym z podstawowych warunków zgodnego z prawem przetwarzania danych osobowych jest bowiem spełnienie tylko jednego z pięciu warunków określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Zatem, jeśli zgodnie z pkt 3 tego przepisu, wykorzystywanie danych uzasadnia konieczność realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, lub gdy jest to konieczne do podjęcia koniecznych działań przed zawarciem takiej umowy, to dodatkowe żądanie zgody na przetwarzanie danych w celu realizacji umowy, jest zbędne.”

W związku z powyższym, skoro przetwarzanie danych na potrzeby newslettera mieści się w jednej z przesłanek opisanych w art. 6 ust. 1 RODO, która nie jest zgodą, pozyskiwanie zgody jest zbędne. Nie należy tej zgody pozyskiwać również na wszelki, gdyż wówczas stwarzamy de facto fikcję możliwości cofnięcia takiej zgody.

Czy zawsze jednak tak będzie? Otóż nie. Jeśli newsletter dotyczy marketingu własnych usług administratora, uzyskanie zgody do przetwarzania danych nie jest konieczne. Inaczej będzie jeśli newsletter, będzie dotyczył marketingu innych podmiotów, na przykład firm z którymi współpracuje administrator – wtedy uzyskanie zgody może być konieczne.

Warto zwrócić uwagę, że chociaż, jak wyżej zostało wskazane, RODO umożliwia przetwarzanie danych osobowych do celów marketingu bezpośredniego bez uzyskiwania zgody na to przetwarzanie, to jednak przepisy ustawy prawo telekomunikacyjne oraz ustawy o świadczeniu usług drogą elektroniczną zobowiązują podmioty chcące wysyłać informacje handlowe np. w formie newslettera, za pośrednictwem maila lub smsa do uzyskania stosownych zgód. Z tym, że zgodnie z art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną, informację handlową uważa się za zamówioną, jeśli odbiorca wyraził zgodę na jej otrzymywania np. poprzez udostępnienie w tym celu adresu e-mail. W związku z powyższym należałoby przyjąć, że w sytuacji, w której formuła nad miejscem do wpisania maila brzmi np. tak „Jeśli chcesz otrzymywać informacje o nowościach i promocjach podaj swój adres email.”, niepotrzebny jest żaden dodatkowy checkbox dotyczący zgody, o której mowa w ustawy o świadczeniu usług drogą elektroniczną.  W tym kontekście bardzo ciekawym zagadnieniem jest to czy właściwszy jest model double opt in czy wystarczający jest single opt in. Nasze stanowisko w tym temacie już niedługo na blogu.

Na zakończenie należy zauważyć, iż czym innym jest uzyskiwanie zgody na przetwarzanie danych osobowych a czym innym obowiązek informacyjny z tym związany. RODO nakłada szereg wymogów w zakresie obowiązku informacyjnego, dlatego już w następnym wpisie postaram się przybliżyć tę tematykę.

Jako, że wprowadzenie przepisów RODO zbliża się nieubłaganie, warto zawczasu przyjrzeć się stosowanym przez nas mechanizmom przetwarzania danych osobowych związanych z pozyskiwaniem subskrybentów newslettera. Rygorystyczne przepisy RODO powinny być mądrze wdrażane do naszych biznesów, tak abyśmy uniknęli zarzutów ich naruszenia za co grożą wysokie kary pieniężne.

Tekst przygotowany przy współpracy r.pr. Agnieszki Witońskiej-Pakulskiej

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *