RODO | 4 listopada 2019

Mailing w świetle przepisów RODO

W związku z wprowadzeniem rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych – potocznie zwanym RODO (Rozporządzenie o Ochronie Danych Osobowych) – wśród przedsiębiorców pojawiło się wiele obaw dotyczących stosowania nowych przepisów. W niniejszym artykule zajmiemy się kwestiami związanymi z wysyłaniem mailingu jako metodą komunikacji i formą marketingu.

Jeśli jesteś zainteresowany pomocą prawną i bezpłatną wyceną skontaktuj się z nami. Kancelaria prawna Kraków.

Mailing — wysyłanie informacji handlowej pocztą elektroniczną

Jeżeli stosujesz mailing, musisz go dostosować do nowych przepisów. Co do tego nie ma żadnych wątpliwości. Mówiąc najprościej: wszelkie działania zawodowe lub handlowe, przy których przetwarzane są dane osobowe, podlegają restrykcjom RODO. Jakie obowiązki spoczywają więc na administratorze danych osobowych?

1. Uzyskaj zgodę podmiotu, którego dane dotyczą.

W pierwszej kolejności wskazać należy, że przetwarzanie danych osobowych w celu mailingu bez zgody osoby, której dane dotyczą, będzie traktowane jako naruszenie prawa. Jak zatem powinno wyglądać w praktyce uzyskanie zgody adresata mailingu? Punkt 32. preambuły RODO podpowiada nam jak zorganizować tę kwestię:

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Uzyskanie zgody przez podmiot wysyłający mailing będzie zatem koniecznym warunkiem legalności podejmowanych działań. Osoba wysyłająca mailing może skorzystać z gotowej bazy danych, powinna jednak upewnić się, że podmiot dysponujący taką bazą uzyskał wcześniej zgody na przetwarzanie danych osobowych wykorzystywanych do wysyłania wiadomości e-mail w celach marketingowych. Odpowiedzialność w tym przypadku spoczywa na osobie wysyłającej wiadomości e-mail. Innym rozwiązaniem jest zbudowanie własnej bazy danych w oparciu o zgody, które będziemy zdobywać od naszych klientów, kontrahentów lub użytkowników.

2. Informuj o przetwarzaniu danych.

Obowiązek informacyjny zawarty jest w art. 13 i 14 oraz punkcie 61. preambuły RODO. Zgodnie z nim, jeżeli przetwarzamy dane uzyskane bezpośrednio od osoby, której dotyczą – musimy poinformować ją o przetwarzaniu jej danych już w momencie ich pozyskiwania.

Jeśli przetwarzamy dane, których nie uzyskaliśmy od osoby, której dane dotyczą – musimy ją o tym fakcie niezwłocznie poinformować nie później niż w ciągu miesiąca.

W przypadku zbierania danych od osoby, której dane dotyczą, powinniśmy wyjawić:

swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
jeżeli ma to zastosowanie – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
jeżeli ma to zastosowanie – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
informacje o prawie wniesienia skargi do organu nadzorczego;
informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, powinniśmy wyjawić wyżej wymienione informacje z dodatkową wiadomością o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – o tym, czy pochodzą one ze źródeł publicznie dostępnych.

3. Zapewnij bezpieczeństwo danych.

Na potrzeby mailingu zwykle przechowujemy znaczne ilości danych osobowych. Narażenie bazy danych na niebezpieczeństwo wycieku to znaczne uchybienie. Należy pamiętać, że dotyczy to nie tylko ochrony danych przed dostępem z zewnątrz w wyniku włamania przez sieć do naszych komputerów, ale również zabezpieczenie nośników przed zwykłą kradzieżą. Posiadacz bazy danych powinien zadbać, aby była ona bezpieczna. Wyciek danych osobowych grozi nie tylko odpowiedzialnością prawną, ale również utratą zaufania klientów czy użytkowników oraz katastrofą wizerunkową.

4. Udostępnij łatwą możliwość wycofania zgody.

Zgoda na przetwarzanie danych osobowych nie może zostać w pełni uznana za dobrowolną, jeśli nie idzie w parze z możliwością jej wycofania w każdej chwili i bez żadnych konsekwencji. Powinniśmy taką możliwość zawrzeć już w pierwszej wysłanej wiadomości, przekazując jasną i przejrzystą informację. Można to zrealizować przykładowo w postaci linku w wiadomości e-mail, którego kliknięcie spowoduje cofnięcie zgody na przetwarzanie danych osobowych.

Sankcje karne

Pilnowaniem przestrzegania zasad wynikających z rozporządzenia zajmuje się w Polsce Prezes Urzędu Ochrony Danych Osobowych, a kary, które może nałożyć za naruszenia rozporządzenia są dotkliwe.

Organ ten nałożył już kary w związku ze złamaniem zasad wynikających z przepisów RODO, jak chociażby ta w wysokości 943 tys. zł za naruszenia obowiązków informacyjnych. Kara została nałożona na jedną ze spółek w wyniku kontroli UODO, która ujawniła nieprawidłowości dotyczące obowiązku informacyjnego wobec podmiotów, których dane były przetwarzane. Jak wyjaśnił decyzję Dyrektor Zespołu Analiz i Strategii w UODO: Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród około 90 tys. osób, które spółka poinformowała o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO.(źródło:https://uodo.gov.pl)

Kary zawarte w rozporządzeniu RODO zależą od rodzaju przewinienia i przewidują dwie możliwości:

kara pieniężna do 10 000 000 euro lub do 2% rocznego obrotu — przy czym stosuje się kwotę większą (art. 29, art. 30, art. 31, art. 32);
kara pieniężna do 20 000 000 euro lub do 4% rocznego obrotu — przy czym stosuje się kwotę większą (art. 5, art. 7, art. 15, art. 16).

Co z danymi firm?

Według motywu 14 preambuły RODO: Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Obowiązki wynikające z przepisów RODO dotyczą przetwarzania danych osób fizycznych, jednak musimy pamiętać, że wiele danych obecnych w bazach mailingowych może dotyczyć przykładowo pracowników firm, do których wysyłamy informację handlową. W takim przypadku dane będą dotyczyć już osoby fizycznej i wiązać się z wypełnieniem obowiązków wynikających z przepisów RODO.

Podsumowanie

Osoby zainteresowane taką formą marketingu, jaką jest wysyłanie wiadomości e-mail z informacjami handlowymi, muszą pamiętać, że mailing z ofertą handlową regulowany jest nie tylko przepisami Rozporządzenia RODO, ale również innymi aktami powszechnie obowiązującego prawa jak chociażby art. 10, 18 i 19 ustawy o świadczeniu usług drogą elektroniczną. Według tej ustawy:

Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej
Więcej na temat aspektów prawnych wysyłania mailingu w oparciu o ustawę o świadczeniu usług drogą elektroniczną znajdziesz w artykule Mailing w świetle prawa.

Jeśli jesteś zainteresowany pomocą prawną i bezpłatną wyceną skontaktuj się z nami. Radca prawny Kraków

Polecane artykuły

przeniesienie praw autorskich a licencja

Prawa autorskie

Przeniesienie praw czy licencja – co wybrać?

Osoba, która udostępnia swoją twórczość, czy jest to muzyk, plastyk, grafik czy programista, stoi przed decyzją w jaki sposób podzielić się swoim dziełem z innymi osobami. Również druga strona, która chce skorzystać z cudzej twórczości, rozważa w jakim zakresie nabyć prawa autorskie, aby to nabycie było najbardziej optymalne i spełniało swoją funkcję. Jeśli jesteś zainteresowany […]

Zadaj pytanie

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	Ustawiony przez wtyczkę GDPR Cookie Consent, ten plik cookie służy do rejestrowania zgody użytkownika na pliki cookie w kategorii "Reklama" .
cookielawinfo-checkbox-analytics	1 year	Ustawiony przez wtyczkę GDPR Cookie Consent, ten plik cookie służy do rejestrowania zgody użytkownika na pliki cookie w kategorii "Analytics" .
cookielawinfo-checkbox-functional	1 year	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent, aby zarejestrować zgodę użytkownika na pliki cookie w kategorii "Funkcjonalne".
cookielawinfo-checkbox-necessary	1 year	Ustawiony przez wtyczkę GDPR Cookie Consent, ten plik cookie służy do rejestrowania zgody użytkownika na pliki cookie w kategorii "Niezbędne" .
cookielawinfo-checkbox-non-necessary	1 year	Ustawiony przez wtyczkę GDPR Cookie Consent, ten plik cookie służy do rejestrowania zgody użytkownika na pliki cookie w kategorii "Niepotrzebne" .
cookielawinfo-checkbox-others	1 year	Ustawiony przez wtyczkę GDPR Cookie Consent, ten plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii "Inne".
cookielawinfo-checkbox-performance	1 year	Ustawiony przez wtyczkę GDPR Cookie Consent, ten plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii "Wydajność".
CookieLawInfoConsent	1 year	Zapisuje stan przycisku domyślnego dla danej kategorii i status CCPA. Działa tylko w koordynacji z głównym cookie.

Cookie	Duration	Description
_ga	2 years	Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych odwiedzających.
_gid	1 day	Instalowany przez Google Analytics, plik cookie _gid przechowuje informacje o tym, jak odwiedzający korzystają z witryny, tworząc jednocześnie raport analityczny dotyczący wydajności witryny. Niektóre z gromadzonych danych obejmują liczbę odwiedzających, ich źródło oraz strony, które odwiedzają anonimowo.
CONSENT	2 years	YouTube ustawia ten plik cookie za pośrednictwem osadzonych filmów youtube i rejestruje anonimowe dane statystyczne.

Cookie	Duration	Description
_fbp	3 months	Ten plik cookie jest ustawiany przez Facebooka w celu wyświetlania reklam po odwiedzeniu strony internetowej na Facebooku lub na platformie cyfrowej zasilanej reklamami Facebooka.
fr	3 months	Facebook ustawia ten plik cookie, aby pokazać odpowiednie reklamy użytkownikom poprzez śledzenie zachowania użytkownika w całej sieci, na stronach, które mają piksel Facebooka lub wtyczkę społecznościową Facebooka.
VISITOR_INFO1_LIVE	5 months 27 days	Plik cookie ustawiony przez YouTube w celu pomiaru przepustowości, który określa, czy użytkownik otrzymuje nowy czy stary interfejs odtwarzacza.
YSC	session	Plik cookie YSC jest ustawiany przez Youtube i służy do śledzenia wyświetleń osadzonych filmów na stronach Youtube.
yt-remote-connected-devices	never	YouTube ustawia ten plik cookie w celu przechowywania preferencji wideo użytkownika korzystającego z osadzonego wideo YouTube.
yt-remote-device-id	never	YouTube ustawia ten plik cookie w celu przechowywania preferencji wideo użytkownika korzystającego z osadzonego wideo YouTube.

Cookie	Duration	Description
ustat_gid	1 year	Brak opisu
ustat_rh8gsl4szneeX6iwrm2nqkwaca03cb	1 year	Brak opisu

Serwis poruszający zagadnienia prawa internetowego