Ochrona danych subskrybentów: jak stworzyć newsletter zgodny z RODO?

Wpis gościnny

Newsletter to nic innego jak wiadomości e-mail wykorzystywane do budowy relacji i stałej komunikacji z klientem. Przed skorzystaniem z tego narzędzia powinieneś uzyskać zgodę na jego wysłanie. Zarówno na gruncie poprzednich przepisów o ochronie danych osobowych jak i aktualnie obowiązujących, zgoda klienta jest podstawą do przetwarzania jego danych w tym celu. 

Jak przygotować newsletter zgodny z RODO?

Newsletter zgodny z RODO nie jest jednak, na szczęście, aż tak skomplikowany jak mogłoby się wydawać i w kilku punktach postaram się przybliżyć ci prawidłową konstrukcję pozyskania zgody.

Zgoda na przetwarzanie danych osobowych

Temat zgód marketingowych był już szeroko komentowany, więc zapewne masz świadomość, że takowe powinny zostać dołączone również w przypadku zapisywania się użytkownika do newslettera. 

Istotne jest, aby zgody:

  • Posiadały wyraźnie wskazany cel (w tym przypadku zapis na newsletter, zgoda na otrzymywanie wiadomości email).
  • Zawierały wskazanie danych, których zgoda dotyczy, czyli najczęściej adres email użytkownika.
  • Określały administratora danych, czyli podmiot zarządzający zbieranymi informacjami lub odsyłały do obowiązku informacyjnego w którym taka informacja będzie zamieszczona.
  • Informowały o możliwości wycofania zgody w dowolnym momencie oraz sposób, w jaki można to zrobić.

W tym miejscu koniecznie trzeba też wspomnieć o dwóch grzechach głównych marketerów, na które nie znajdziemy przyzwolenia w RODO. Jako błąd w świetle rozporządzenia traktowane jest stosowanie milczącej zgody, automatyczne zaznaczanie checkboxów oraz wskazywanie kilku celów przetwarzania w jednej zgodzie. Upewnij się, że zakładając swój newsletter unikniesz obu tych błędów.

Obowiązek informacyjny

Zgodnie z art. 13 i 14 RODO, jeśli zbierasz dane osobowe bezpośrednio lub pośrednio od osób, których one dotyczą, to musisz spełnić wobec nich obowiązek informacyjny. Polega to w uproszczeniu na konieczności poinformowania użytkownika, kto, w jaki dokładnie sposób i w jakim celu przetwarza jego dane osobowe.

W praktyce dokumentem, który spełnia te wymogi, jest zamieszczenie na stronie internetowej, w miejscu dostępnym dla użytkownika, odpowiedniej polityki prywatności lub obowiązku informacyjnego. W dokumencie tym stwierdza się dokładnie cel przetwarzania danych z serwisu czy aplikacji i określa administratora danych a także wskazuje sposób kontaktu z Inspektorem Ochrony Danych. 

Polityka prywatności może stanowić uzupełnienie i rozwiniecie obowiązku informacyjnego spełnianego przy newsletterze.

Double opt-in

Czy ktokolwiek mógłby się spodziewać, że stosowanie podwójnej weryfikacji maila będzie przydatne również w celach zapewnienia zgodności newslettera z RODO? A jednak!

Double opt-in, bo o tym mechanizmie mowa, wymusza na użytkowniku dodatkowe potwierdzenie chęci zapisania się na newsletter. Zazwyczaj ma on formę kolejnego maila po zapisie, w którym znajduje się stosowny link aktywacyjny. Dotychczas służył on marketerom do potwierdzenia i weryfikacji podanego przez użytkownika adresu email.

Okazuje się, że jest to także mechanizm przydatny z punktu widzenia RODO i UŚUDE, czyli ustawy o świadczeniu usług drogą elektroniczną. Stosując ten mechanizm możesz wskazać, że kontaktujesz się w oparciu o interes prawny administratora i nie ma wątpliwości, że użytkownik wyraził zgodę na zapis do twojego newslettera.

Odwołanie zgody

Jak już wspomniałam w części dotyczącej zgód marketingowych, użytkownik musi mieć możliwość cofnięcia wyrażonej zgody na przetwarzanie danych.

Oznacza to, że musisz poinformować użytkownika o takiej możliwości jeszcze przy zapisie, jak również udostępnić mechanizm, który umożliwi skuteczne wypisanie się z newslettera.

W praktyce jest to dość powszechnie stosowana metoda i wystarczy, że w stopce maila załączysz link, po kliknięciu w który użytkownik automatycznie wypisze się z danej listy mailingowej.

Przekazywanie danych do państwa trzeciego

Sprawa newslettera komplikuje się, jeśli do jego wysyłki korzystamy z zewnętrznych narzędzi, takich jak np. popularny wśród marketerów MailChimp, który swoją siedzibę ma w USA. 

Po zakwestionowaniu przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) porozumienia Privacy Shield, w tym konkretnym przypadku (wybierając np. MailChimp), przekazujemy dane do kraju trzeciego spoza Europejskiego Obszaru Gospodarczego. W tym przypadku warto sprawdzić, czy dostawca pozwala na zawarcie specjalnych reguł korporacyjnych, stosuje standardowe klauzule ochrony danych, posiada zatwierdzone kodeksy postępowania i mechanizmy certyfikacji. 

Drugą opcją jest wybranie systemu z obszaru EOG, tworzonego przez państwa Unii Europejskiej, Islandię, Liechtenstein i Norwegię. W tym przypadku w myśl RODO nie przekazujemy danych do państwa trzeciego i jedyne, co trzeba sprawdzić, to czy wybrane narzędzie również przetwarza dane zgodnie z rozporządzeniem.

Podsumowanie

Prowadzenie newslettera zgodnego z RODO nie musi być skomplikowane, jeśli zadbasz o takie elementy jak odpowiednie zgody, politykę prywatności czy wybór narzędzia, które również spełnia wymogi RODO.

Warto jednak stale obserwować aktualizacje w tym zakresie, aby uniknąć błędów związanych np. z nieprawidłowym przekazywaniem danych do państw trzecich, co może dotyczyć nie tylko USA, ale również Wielkiej Brytanii po Brexicie.

O autorze:

Katarzyna Ramotowska - adwokat w Legal Hut, specjalizuje się w prawie własności intelektualnej i prawie autorskim, w tym ochronie i obrocie prawami autorskimi oraz prawie dóbr osobistych i ochronie danych osobowych.