iSecure logo
  • pl
  • en
    • Blog

    Robimy newsletter – krok po kroku

    Michał Sztąberek
    Kategorie

    Newsletter to bardzo popularna forma budowania i podtrzymywania kontaktów tak z klientami jak i potencjalnymi klientami. Dzięki niemu możemy np. informować o nowościach, promocjach, istotnych dla nas wydarzeniach, itp. Wydaje się, że w dzisiejszych czasach ciężko sobie wyobrazić stworzenie sensownej strategii marketingowej bez sięgnięcia po tak istotne narzędzie jakim niewątpliwie jest newsletter. 

    W niniejszym wpisie, co oczywiste, nie skupię się na tym jak taki newsletter powinien wyglądać, jak często należy go wysyłać, itp., bo to zadanie dla marketingowca. Chciałbym natomiast opowiedzieć Czytelnikom naszego bloga jak poprawnie zabrać się za tworzenie bazy subskrybentów, by móc rozsyłać ważne dla firmy treści.

     

    Zbierać zgodę, czy nie zbierać? Oto jest pytanie

    Zacznę może nieco przewrotnie. Otóż, jeśli mówimy o RODO, to żadnej zgody nie potrzebujesz. Brzmi fantastycznie, prawda? No dobrze, to dlaczego inni mają (zbierają) zgody, a Ty mi mówisz, że nie trzeba tego robić. Tak powinien zareagować czujny marketingowiec i słusznie. Słowo klucz to zgoda RODO. Tej rzeczywiście nie musisz zbierać, bo spokojnie cel jaki chcesz osiągnąć – czyli tajemniczo brzmiący (póki co) marketing bezpośredni (swoich produktów / usług), osiągniesz opierając się na przyprawiającej o ból zębów przesłance, której brzmienie poraża nawet prawników. Chodzi mianowicie o prawnie uzasadniony interes realizowany przez administratora. W tymże RODO, w motywie nr 47 wskazano wprost, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Ok, ale co to jest ten marketing bezpośredni? Cóż, słynne rozporządzenie unijne nam tego nie definiuje, choć ten zwrot pojawia się co najmniej parę razy. Ale sięgnijmy do biblii marketingu, czyli książki P. Kotlera pt. „Marketing” i zobaczmy co tam napisano. Najkrótsza definicja interesującego nas pojęcia brzmi niezwykle prosto „zaspokajać potrzeby, osiągając zysk”. I chyba wszystko stało się jasne. Podsumujmy zatem – RODO pozwala nam przetwarzać (zbierać, wykorzystywać, używać) dane dla celów marketingu (bezpośredniego) bez konieczności uzyskiwania zgody, bo możemy powołać się na przesłankę „prawnie uzasadnionego interesu” (dla niedowiarków podaję dokładną podstawę prawną: art. 6 ust. 1 lit. f RODO). Czy to naprawdę takie proste? Prawie. Wiem, że czujesz się teraz rozczarowany, ale już wyjaśniam w czym rzecz. Ta przesłanka nie może być wykorzystana w sytuacjach, w których nadrzędny charakter wobec naszych (firmy) interesów (zaspokajanie potrzeb, osiąganie zysku poprzez działania stymulujące, czyli np. wysyłkę newslettera) mają interesy lub podstawowe prawa i wolności osoby (np. prawo do prywatności, ograniczona zdolność do podejmowania decyzji, czyli tzw. ograniczona zdolność do czynności prawnych), której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Innymi słowy – przy dzieciach ta przesłanka nie może być stosowana. Zresztą i ze zgodą w ich przypadku może być problem, ale o tym nieco później.

    A może inne przepisy wymagają zbierania zgód? Doskonałe pytanie mój drogi Watsonie! Niestety dokładnie tak jest, jak pytasz. Ku rozpaczy – tak mojej jak i wielu innych prawników, a nade wszystko marketingowców – mamy w Polsce taki akt prawa, który tego wymaga. Chodzi o ustawę o świadczeniu usług drogą elektroniczną. Dość szybko znajdziemy w niej przepis, którego istota sprowadza się do tego, że informację handlową (tu: newsletter tak jak zdefiniowałem go na początku, ale patrz też uwagi poniżej) uważa się za zamówioną, jeżeli odbiorca (np. Twój potencjalny klient) wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Jest i zgoda, chciałoby się wykrzyknąć. Zaraz do tego wrócimy, jednak najpierw dwa słowa o kolejnym pojęciu, które nam się tu pojawiło. Chodzi mianowicie o informację handlową. Została ona zdefiniowana w ten sposób, że jest to każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi. 

    Ok, ustaliliśmy zatem, że jednak jakaś zgoda jest potrzebna. Szybko patrzymy dalej na ustawę, o której teraz rozmawiamy i widzimy kolejny przepis, który mówi, że jeżeli ustawa (o świadczeniu usług drogą elektroniczną) wymaga uzyskania zgody, stosuje się przepisy o ochronie danych osobowych. Widzę Twój drwiący uśmieszek. Pewnie sobie myślisz, to po co cały ten wywód o prawnie uzasadnionym interesie? Spokojnie, ze swojej strony cały czas podtrzymuję to co napisałem wcześniej. Chodzi bowiem o to, że konstruując zgodę, którą potrzebujemy, by przesyłać informacje handlowe, musimy spełnić warunki dla zgody, o których mowa w RODO. Nie jest to tożsame z tym, że chodzi o przesłankę zgody z art. 6 ust. 1 RODO! Przyjrzyjmy się definicji zgody zawartej w unijnym rozporządzeniu. Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Czyli musimy zadbać o to, by nasza zgoda była:

    • dobrowolna,
    • konkretna,
    • świadoma,
    • jednoznaczna.

    Ponadto można ją wyrazić poprzez checkbox pod stosowną formułką („Wyrażam zgody na…” – wrócimy do tego) stanowiącą nasze oświadczenie albo poprzez czynności jednoznacznie potwierdzające naszą intencję (wyraźne działanie, przyzwolenie na przetwarzanie danych), czyli… np. dopisanie swojego adresu e-mail do okienka newslettera.

    W takim razie podsumujmy kwestię zgody jeszcze raz, ale już kompleksowo. Przetwarzanie danych dla celów wysyłania newslettera opieramy co do zasady na prawnie uzasadnionym interesie administratora (marketing bezpośredni), przy czym pamiętaj o wyjątkach (np. dzieci), ale musimy uzyskać też zgodę, bo taki wymóg wynika z ustawy o świadczeniu usług drogą elektroniczną. Zgoda ta może mieć postać oświadczenia (Przykład: „Zgadzam się na otrzymywanie newslettera od XYZ Sp. z o.o. na podany przeze mnie adres e-mail. Przyjmuję do wiadomości, że zgodę mogę odwołać w dowolnym momencie”) albo czynności faktycznej, czyli podania adresu e-mail. Co do tego ostatniego jeszcze. Ustawa o świadczeniu usług drogą elektroniczną tego nie wymaga, jednak dobrą praktyką jest tu stosowanie tzw. double opt-in, czyli w kroku pierwszym wystarczy podanie adresu mailowego, natomiast w kroku 2 subskrybent potwierdza zapisanie się na newsletter – najczęściej poprzez kliknięcie linku aktywacyjnego, który otrzyma w odpowiedzi na dodanie e-maila. Wówczas mamy pewność, że przysłowiowy Kowalski rzeczywiście zapisał się na nasz biuletyn, a nie że ktoś zrobił mu głupi żart. W ten sposób spełnimy też zasadę rozliczalności (oczywiście o ile informacje te zostaną odpowiednio poddane archiwizacji i będziemy mogli je przedstawić podczas kontroli).

     

    Ale tak właściwie to od kogo dostaję tego newslettera?

    Jestem naprawdę pod wrażeniem trafności pytań. Tak, zdecydowanie musimy wskazać kto nam będzie tego newslettera wysyłał. Czyli – mówiąc językiem RODO – musimy dopełnić obowiązek informacyjny. To jest właśnie ten dłuuuugi tekst, na widok którego każdy marketingowiec od razu zadaje pytanie – „czy naprawdę to musi być takie… długie?”. Dobra wiadomość jest taka, że można ją trochę skrócić, bo za chwilę opowiem Ci o warstwowym dopełniania tego obowiązku. Ale najpierw chyba warto wiedzieć o co generalnie chodzi z tym informowaniem.

    Zgodnie z art. 13 RODO zanim zaczniemy gromadzić dane, musimy poinformować zainteresowanego o:

    • tożsamości administratora (nazwa, siedziba) i jego danych kontaktowych, a w przypadku powołania inspektora ochrony danych, także namiarów na niego (np. adres e-mail),
    • celu przetwarzania danych np. przesyłanie newslettera (pamiętaj, że ten cel nie powinien być rozszerzany, jeśli chcesz to zrobić, musisz w przyszłości o tym poinformować),
    • podstawie prawnej przetwarzania danych (tu będzie bardzo ciekawie, bo wskazujemy prawnie uzasadniony interes powiązany ze zgodą szczególną wynikającą z przepisów odrębnych),
    • zamiarze przekazania danych innemu podmiotowi – jeśli ma zastosowanie,
    • retencji danych, czyli jak długo będą one przechowywane,
    • informację o uprawnieniach, które przysługują zainteresowanemu, w szczególności: prawo wglądu do danych, zmiany danych lub ich usunięcia z bazy, wycofania zgody na przetwarzanie, które musi być tak samo proste, jak jej wyrażenie – np. link do anulowania newslettera w mailu, który rozsyłamy do subskrybentów, informację o prawie do przeniesienia danych, informację o prawie wniesienia skargi do GIODO.

    Trochę tego jest, nic więc dziwnego, że wrzucenie tego do subtelnego okienka newslettera wywołuje – i słusznie – panikę w działach marketingu. Na szczęście wszystkie te informacje możemy podzielić na dwie części, czyli na warstwy. W pierwszej warstwie muszą się znaleźć:

    • dane administratora,
    • cel przetwarzania,
    • istnienie praw podmiotu danych,
    • informacje o największym wpływie na osobę, np. prawnie uzasadniony interes administratora, dane kontaktowe ADO i IOD,
    • odwołanie do drugiej warstwy informacji.

    Wszystkie pozostałe i wymagane szczegóły „pakujemy” do drugiej warstwy. I tak, można zrobić to poprzez przycisk „rozwiń” albo „więcej” ☺ To „więcej” to może być też odesłanie do polityki prywatności, gdzie wrzucamy całość postanowień dot. ochrony danych, w tym obowiązek informacyjny.

     

    Z jakiego narzędzia korzystać do wysyłania newslettera?

    Na to pytanie musisz odpowiedzieć sobie samemu. Ja natomiast mogę dać Ci kilka wskazówek czym się kierować przy wyborze dostawcy usług / narzędzia. 

    Zacznijmy od tego pierwszego. Wybierz takiego dostawcę, z którym bez problemu podpiszesz tzw. umowę powierzenia przetwarzania danych, a jeśli zależy Ci na dostawcy z USA, musi to być taki partner, który akceptuje standardowe klauzule umowne. W tym miejscu nie będę dokładnie omawiał czym są owe umowy powierzenia / standardowe klauzule, bo to materiał na osobny artykuł. Wspomnę tylko, że taki dostawca będzie miał dostęp do Twoich danych. Będzie je przetwarzał w Twoim imieniu. A skoro tak, to szybka lektura art. 28 RODO pokazuje, że konieczne jest uregulowanie takiej współpracy, ponieważ dostawca będzie Twoim podmiotem przetwarzającym (procesorem). Gwarantuję Ci też, że taka umowa będzie konieczna do okazania podczas kontroli ze strony UODO.

    Drugą rzecz, na którą musisz zwrócić uwagę to zapewnienie zasady rozliczalności. Czyli musimy móc wykazać, że działamy zgodnie z RODO przy przetwarzaniu danych na potrzeby newslettera. W tym celu oczywiście musisz zadbać o podstawy przetwarzania (patrz: pierwsza część wpisu) oraz dopełnienie obowiązku informacyjnego (patrz: druga część wpisu). Ale to nie wszystko. System, przy pomocy którego będziesz przechowywał dane i wysyłał z niego swój newsletter musi też zapewnić Ci pewne funkcjonalności, które pozwolą wykazać choćby datę pozyskania danych, fakt dopisania się do newslettera (albo odklikania zgody), możliwość wycofania zgody, usunięcia danych, uwzględnienie sprzeciwu na przetwarzanie danych. Nie zapominaj też o bezpieczeństwie, bo i tu RODO jasno mówi, że musimy przestrzegać zasad integralności i poufności, czyli zapewnić ochronę danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem. Dlatego zanim podpiszesz umowę z dostawcą, poświęć trochę czasu na lekturę regulaminu świadczenia usług, umowy powierzenia, ale też zadaj dostawcy parę kontrolnych pytań w tym zakresie. 

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Przemysław Siarka

    Dokumentacja RODO a zasada rozliczalności. DODATEK: Pytania weryfikujące.

    W ubiegłym miesiącu przedstawiliśmy Wam artykuł o dokumentacji zgodnej z RODO. Nie tylko wymieniliśmy podstawowe dokumenty niezbędne przedsiębiorcy, ale dodatkowo opisaliśmy czego one dotyczą i co powinny zawierać. Jeżeli jeszcze nie czytaliście, gorąco zachęcamy.  W międzyczasie brytyjskie Biuro Komisarza ds. Informacji (ang. Information Commissioner’s Office – ICO) wydało wytyczne dotyczące zasady rozliczalności. Co prawda dokument […]

    Czytaj więcej
    Michał Sztąberek

    Obowiązek informacyjny w rekrutacji

    Czym jest obowiązek informacyjny? Uważni Czytelnicy bloga iSecure zdają sobie doskonale sprawę, że nie można (co do zasady) zbierać danych osobowych bez dopełnienia obowiązku informacyjnego. Ale zapewne znajdą się i tacy dla których ten wpis będzie ich pierwszym kontaktem z naszym blogiem. Dlatego na wstępie króciutko wyjaśnię czym jest cały ten „obowiązek informacyjny”. Generalna idea […]

    Czytaj więcej
    Awaria serwera
    Michał Sztąberek

    Papierowe wdrożenie RODO w obszarze IT

    Ze smutkiem obserwuję, że bardzo często wdrożenie RODO oznacza w praktyce wdrożenie procedur dotyczących ochrony danych osobowych i… na tym koniec. Nie od dziś wiadomo, że tak skomplikowany proces, jak dostosowanie organizacji do zgodności z przepisami RODO, to praca na wielu płaszczyznach. Aspekt organizacyjny jest oczywiście istotny, ale bez zaangażowania w obszar IT okaże się, […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki