fbpx

Serwis poruszający zagadnienia prawa internetowego

Dla marketingu | 4 listopada 2019

Mailing w świetle przepisów RODO

mailing a rodo

W związku z wprowadzeniem rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych – potocznie zwanym RODO (Rozporządzenie o Ochronie Danych Osobowych) – wśród przedsiębiorców pojawiło się wiele obaw dotyczących stosowania nowych przepisów. W niniejszym artykule zajmiemy się kwestiami związanymi z wysyłaniem mailingu jako metodą komunikacji i formą marketingu.

Mailing — wysyłanie informacji handlowej pocztą elektroniczną

Jeżeli stosujesz mailing, musisz go dostosować do nowych przepisów. Co do tego nie ma żadnych wątpliwości. Mówiąc najprościej: wszelkie działania zawodowe lub handlowe, przy których przetwarzane są dane osobowe, podlegają restrykcjom RODO. Jakie obowiązki spoczywają więc na administratorze danych osobowych? 

1. Uzyskaj zgodę podmiotu, którego dane dotyczą.

W pierwszej kolejności wskazać należy, że przetwarzanie danych osobowych w celu mailingu bez zgody osoby, której dane dotyczą, będzie traktowane jako naruszenie prawa. Jak zatem powinno wyglądać w praktyce uzyskanie zgody adresata mailingu? Punkt 32. preambuły RODO podpowiada nam jak zorganizować tę kwestię:

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Uzyskanie zgody przez podmiot wysyłający mailing będzie zatem koniecznym warunkiem legalności podejmowanych działań. Osoba wysyłająca mailing może skorzystać z gotowej bazy danych, powinna jednak upewnić się, że podmiot dysponujący taką bazą uzyskał wcześniej zgody na przetwarzanie danych osobowych wykorzystywanych do wysyłania wiadomości e-mail w celach marketingowych. Odpowiedzialność w tym przypadku spoczywa na osobie wysyłającej wiadomości e-mail. Innym rozwiązaniem jest zbudowanie własnej bazy danych w oparciu o zgody, które będziemy zdobywać od naszych klientów, kontrahentów lub użytkowników.

2. Informuj o przetwarzaniu danych.

Obowiązek informacyjny zawarty jest w art. 13 i 14 oraz punkcie 61. preambuły RODO. Zgodnie z nim, jeżeli przetwarzamy dane uzyskane bezpośrednio od osoby, której dotyczą – musimy poinformować ją o przetwarzaniu jej danych już w momencie ich pozyskiwania.

Jeśli przetwarzamy dane, których nie uzyskaliśmy od osoby, której dane dotyczą – musimy ją o tym fakcie niezwłocznie poinformować nie później niż w ciągu miesiąca. 

W przypadku zbierania danych od osoby, której dane dotyczą, powinniśmy wyjawić:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  4. jeżeli ma to zastosowanie – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  9. jeżeli ma to zastosowanie – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  10. informacje o prawie wniesienia skargi do organu nadzorczego;
  11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, powinniśmy wyjawić wyżej wymienione informacje z dodatkową wiadomością o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – o tym, czy pochodzą one ze źródeł publicznie dostępnych.

3. Zapewnij bezpieczeństwo danych.

Na potrzeby mailingu zwykle przechowujemy znaczne ilości danych osobowych. Narażenie bazy danych na niebezpieczeństwo wycieku to znaczne uchybienie. Należy pamiętać, że dotyczy to nie tylko ochrony danych przed dostępem z zewnątrz w wyniku włamania przez sieć do naszych komputerów, ale również zabezpieczenie nośników przed zwykłą kradzieżą. Posiadacz bazy danych powinien zadbać, aby była ona bezpieczna. Wyciek danych osobowych grozi nie tylko odpowiedzialnością prawną, ale również utratą zaufania klientów czy użytkowników oraz katastrofą wizerunkową.

4. Udostępnij łatwą możliwość wycofania zgody.

Zgoda na przetwarzanie danych osobowych nie może zostać w pełni uznana za dobrowolną, jeśli nie idzie w parze z możliwością jej wycofania w każdej chwili i bez żadnych konsekwencji. Powinniśmy taką możliwość zawrzeć już w pierwszej wysłanej wiadomości, przekazując jasną i przejrzystą informację. Można to zrealizować przykładowo w postaci linku w wiadomości e-mail, którego kliknięcie spowoduje cofnięcie zgody na przetwarzanie danych osobowych.

Sankcje karne

Pilnowaniem przestrzegania zasad wynikających z rozporządzenia zajmuje się w Polsce Prezes Urzędu Ochrony Danych Osobowych, a kary, które może nałożyć za naruszenia rozporządzenia są dotkliwe.

Organ ten nałożył już kary w związku ze złamaniem zasad wynikających z przepisów RODO, jak chociażby ta w wysokości 943 tys. zł za naruszenia obowiązków informacyjnych. Kara została nałożona na jedną ze spółek w wyniku kontroli UODO, która ujawniła nieprawidłowości dotyczące obowiązku informacyjnego wobec podmiotów, których dane były przetwarzane. Jak wyjaśnił decyzję Dyrektor Zespołu Analiz i Strategii w UODO: Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób.  Spośród około 90 tys. osób, które spółka poinformowała o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO.(źródło:https://uodo.gov.pl)

Kary zawarte w rozporządzeniu RODO zależą od rodzaju przewinienia i przewidują dwie możliwości:

  • kara pieniężna do 10 000 000 euro lub do 2% rocznego obrotu — przy czym stosuje się kwotę większą (art. 29, art. 30, art. 31, art. 32);
  • kara pieniężna do 20 000 000 euro lub do 4% rocznego obrotu — przy czym stosuje się kwotę większą (art. 5, art. 7, art. 15, art. 16).

Co z danymi firm?

Według motywu 14 preambuły RODO: Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Obowiązki wynikające z przepisów RODO dotyczą przetwarzania danych osób fizycznych, jednak musimy pamiętać, że wiele danych obecnych w bazach mailingowych może dotyczyć przykładowo pracowników firm, do których wysyłamy informację handlową. W takim przypadku dane będą dotyczyć już osoby fizycznej i wiązać się z wypełnieniem obowiązków wynikających z przepisów RODO.

Podsumowanie

Osoby zainteresowane taką formą marketingu, jaką jest wysyłanie wiadomości e-mail z informacjami handlowymi, muszą pamiętać, że mailing z ofertą handlową regulowany jest nie tylko przepisami Rozporządzenia RODO, ale również innymi aktami powszechnie obowiązującego prawa jak chociażby art. 10, 18 i 19 ustawy o świadczeniu usług drogą elektroniczną. Według tej ustawy:

Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej
Więcej na temat aspektów prawnych wysyłania mailingu w oparciu o ustawę o świadczeniu usług drogą elektroniczną znajdziesz w artykule Mailing w świetle prawa.

Polecane artykuły

spór internetowy

o E-commerce

Alternatywne metody rozwiązywania sporów w Internecie – Platforma ODR

Rozwój e-przedsiębiorczości ułatwił codzienne funkcjonowania ale spotkał się także z problemami, które dotychczas były obce dla prowadzących działalność gospodarczą. Jednym z takich problemów jest sposób rozwiązywania sporów na tle wykonanej e-usługi lub sprzedanego towaru. Klienci dokonujący zakupów czy korzystający z usług w sposób tradycyjny najczęściej zlokalizowani są w najbliższym sąsiedztwie. Zatem gdy powstanie spór można […]

Wszelkie prawa zastrzeżone przez Prawo Internetu 2019