Newslettery oraz e-mail marketing są dziś niezwykle popularnymi narzędziami do utrzymywania kontaktu i budowania relacji z klientami, w przypadku pierwszego, oraz do pozyskiwania nowych klientów i zachęcania do nabywania towarów, korzystania z oferowanych usług, czy przeprowadzania akcji promocyjnych, w przypadku drugiego. Oba te narzędzia wykorzystują pocztę elektroniczną do komunikowania się z odbiorcami i z oboma wiążą się pewne obostrzenia prawne. Zatem jak zgodnie z prawem przesyłać newsletter i prowadzić akcje mailingowe?
NARZĘDZIE – E-MAIL
Zarówno newslettery, a więc elektroniczna forma czasopisma, jak i mailing rozsyłane są za pomocą poczty elektronicznej. W pierwszej kolejności zatem organizacja, która zamierza przesyłać newlettery, bądź zorganizować akcje mailingową, musi oczywiście dysponować bazą odbiorców, a więc musi w jakiś sposób zgromadzić adresy mailowe osób, którą są zainteresowane otrzymywaniem takich informacji. Najpopularniejszym sposobem pozyskiwania adresów e-mailowych jest umożliwienie osobom odwiedzającym daną stronę internetową zapisanie się do newslettera lub wyrażenie zgody na otrzymywanie mailingu, poprzez dobrowolne podanie swojego adresu.
SPAM?
Dlaczego to tak istotne? Ponieważ zarówno w newsletterach, jak i mailingu, w przeważającej większości przypadków znajdują się informacje o charakterze handlowym. Natomiast zgodnie z art. 24 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną przesyłanie za pomocą środków komunikacji elektronicznej niezamówionych informacji handlowych to wykroczenie zagrożone karą grzywny. Zatem, aby uniknąć posądzenia o przesyłanie niezamówionych informacji handlowych, a więc popularnego spamu, musimy uzyskać uprzednia zgodę osoby, do której zamierzamy takie informacje przesłać. Ściganie tego wykroczenia następuje na wniosek pokrzywdzonego, a więc osoby, która nie zamówiła otrzymywania takich wiadomości.
UWAGA – OCHONA DANYCH OSOBOWYCH?
Zgodnie z interpretacją Generalnego Inspektora Ochrony Danych Osobowych adres e-mail może być daną osobową. Będzie tak w przypadku, gdy w sposób niewymagający nadmiernych środków jesteśmy w stanie zidentyfikować osobę, której adres dotyczy. Jeżeli obok adresów poczty elektronicznej zbieramy i przetwarzamy również inne dane odbiorców naszego newslettera lub mailingu takie jak imię, nazwisko, wiek, adres korespondencyjny itp., wątpliwość, czy mail będzie daną osobową schodzi na dalszy plan.
W związku z powyższym pojawia się nam kwestia związana właśnie z ochroną danych osobowych. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych narzuca na administratora danych, a więc w naszym przypadku organizatora mailingu, czy wysyłającego newsletter, szereg obowiązków. Począwszy od zapewnienia legalności przetwarzania danych osobowych, co w omawianym przypadku sprowadza się do uzyskania zgody osoby, której dane osobowe dotyczą, poprzez spełnienie obowiązku informacyjnego, wymagań związanych z bezpieczeństwem przetwarzania danych osobowych, a na rejestracji zbioru danych skończywszy.
Obowiązek informacyjny ciążący na administratorze danych polega na poinformowaniu osób, których przetwarzane dane dotyczą o adresie swojej siedziby i pełnej nazwie, celu zbierania danych, prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności podania danych. Informacje te powinny być udzielone w momencie uzyskiwania danych osobowych. W interesie administratora danych jest uzyskanie potwierdzenia zapoznania się z tymi informacjami przez osobę, która udostępnia swoje dane osobowe (np. adres e-mail). W tym samym momencie powinna zostać udzielona zgoda na przetwarzanie danych osobowych, np. poprzez zaznaczenie odpowiedniego pola na stronie internetowej.
Baza e-mailingowa stanowi zbiór danych osobowych, w rozumieniu ustawy o ochronie danych osobowych, zgodnie z którą zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Mając natomiast na uwadze cel, dla którego prowadzony jest taki zbiór, wskazać należy, że zgodnie z przepisami ustawy oraz interpretacją GIODO, taki zbiór wymaga rejestracji. Warto zwrócić uwagę, że brak zgłoszenia do rejestracji zbioru danych, w sytuacji, kiedy jest się do tego zobowiązanym, stanowi czyn zabroniony podlegający grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
NABYCIE BAZY DANYCH LEGALNE?
Na rynku funkcjonują firmy, które oferują gotowe bazy mailingowe. Czy działalność takich firm jest zgodna z prawem i czy można posłużyć się nabytą bazą mailingową?
Firmy takie najczęściej zbierają dane osobowe na własne potrzeby i uzyskują zgody osób, których te dane osobowe dotyczą. Tak jak pisałem wcześniej, osoba udzielająca zgody na przetwarzanie danych jej dotyczących udziela jej w określonym zakresie, mianowicie, do przetwarzania tych danych w określonym celu. W innym zakresie administrator danych nie jest uprawniony do korzystania z nich. Co więcej, zgodnie z ustawą o ochronie danych osobowych kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Zatem administrator danych nie może przekazać, czy też sprzedać np. bazy mailingowej nieupoważnionym podmiotom.
W praktyce jednak firmy, które zajmują się właśnie sprzedażą takich baz danych osobowych, zapewniają sobie taką możliwość poprzez uzyskanie odpowiednio szerokiej zgody od osób, których dane dotyczą. W treści zgody, której udziela osoba udostępniająca swoje dane osobowe znajduje się zgoda na udostępnianie danych np. „partnerom handlowym” administratora danych i otrzymywanie od nich informacji handlowych.
Jeśli rzeczywiście tak jest i firma oferująca do sprzedaży bazę mailingową posiada odpowiednie zgody, wszystko odbywa się legalnie. W innym przypadku firma, która nabywa taką bazę może zostać posądzona o przesyłanie spamu, o którym pisałem wyżej.
W każdym jednak przypadku nabywając taką bazę mailingową organizacja staje się administratorem danych osobowych zawartych w tej bazie, z czym wiążą się obowiązki wynikające z ustawy o ochronie danych osobowych. Warto zwrócić uwagę, na obowiązek informacyjny, który w tym przypadku jest poszerzony o wskazanie źródła pozyskania danych.
Witam!
Ciekawy artykuł i właściwie to do niego chciałbym się odnieść. Zastanawia mnie dlaczego skoro istnieje obowiązek informacyjny Użytkowników o tym co stanie się z ich mailem lub IP jeszcze przed zebraniem od nich tych danych (bo przecież e-mail może być w szczególnych przypadkach uznany za daną osobową), np w tym formularzu, który właśnie wypełniam i mam obowiązek podać maila jeżeli chcę skomentować, nie jestem informowany co się z nim dalej dzieje? Nie muszę zaznaczyć tutaj żadnego pola, że zapoznałem się np. z polityką prywatności strony. Ponadto powyżej widzę możliwość zapisania się do newslettera gdzie również nie widzę pola checkbox lub innego sposobu wymuszenia na Użytkowniku czy zapoznał się z tym co dzieje się z jego Danymi. Proszę mnie źle nie zrozumieć -ja akurat nie przejmuję się co się stanie z moim mailem, po prostu chciałbym wiedzieć czy Pana blog tak jak i moje strony www które również nie wymagają zaznaczania takiego pola oraz nie wymagają zapoznawania się z polityką prywatności są w pełni zgodne z tym co mówi GIODO… wynika, że nawet przed tym jak Użytkownik doda swój adres e-mail do newslettera, musi on zostać poinformowany o tym co stanie się z tym mailem 🙂 Nigdy nie spotkałem sie z tym, żeby gdziekolwiek trzeba było zaznaczać checkboxa przed dodaniem adresu do newslettera.. Jakie jest stanowisko Autora artykułu w tej sprawie?
Pozdrawiam serdecznie Dawid
Witaj,
Przede wszystkim dzięki za śledzenie bloga i aktywność 🙂
Odpowiadając natomiast na postawione pytanie – kiedy użytkownik pierwszy raz trafia na IP bloga jest informowany o obowiązującej polityce prywatności (a przynajmniej powinien być i kiedy to testowałem wszystko działało – porszę daj znać, jeśli nie pojawiła Ci się na górze ekranu taka informacja :)). To przede wszystkim realizacja wymogu związanego z ciasteczkami (głupi wymóg, ale jest – http://www.ipblog.pl/2013/04/ciasteczka-widze-ciasteczka-ciasteczka-widze/).
W polityce prywatnosci natomiast znajdują się również informacje o zbieraniu adresów e-mail i IP (czy to w przypadku komentarzy, czy nawiązania kontaktu) 🙂 Polityka prywatnosci jest dostępna w stopce bloga (być może mało widoczna?)
pozdrawiam
Jarek
Witam ponownie
Dzięki za tak szybką odpowiedź (większość osób dość rzadko moderuje swojego bloga) i na odpowiedź trzeba czekać w nieskończoność.
NW zasadzie taka odpowiedź mi wystarczy -po tym co przeczytałem w podlinkowanym PDFie i na Twoim blogu wystraszyłem się, że znowu trzeba będzie oszpecić trochę stronę jakimś kolejnym checkboxem, gdzie Użytkownik przed dodaniem maila do newslettera musi czytać regulamin serwisu 😉 A z tego co piszesz to wystarczy informacja o ciasteczkach, którą i tak trzeba wyświetlać a w niej jest przecież info również o polityce prywatności.
Jeśli chodzi o Twój blog to sprawdziłem teraz na szybko pod 5 przeglądarkami ale nie pojawiła się informacja o ciasteczkach na górze strony (najprawdopodobniej musiała pokazać się kiedy wszedłem pierwszy raz na Twojego bloga) i odruchowo ją wyłączyłem 🙂 Dzięki jeszcze raz za odpowiedź i pozdrawiam
Dawid
Witam,
Chciałbym zapytać, jak prawidłowo na swojej witrynie informować użytkowników o wyrażeniu przez nich zgód podczas rejestracji konta na: akceptację regulaminu, przetwarzaniu danych osobowych oraz przesyłaniu informacji handlowych.
Czy na wszystkie te 3 punkty, należy osobno robić do zaznaczenia „ptaszki”, czy też można umieścić informacje o przetwarzaniu danych osobowych oraz przesyłaniu informacji handlowych w ogólnym regulaminie serwisu i podczas rejestracji dać tylko jeden punkt do zaznaczenia „ptaszkiem” – oświadczenie zapoznania się oraz zaakceptowania warunków regulaminu.
Pozdrawiam!
Witam,
A ja mam pytanie dotyczące tego kto odpowiada za wysyłaną niezamówioną informację handlową? Pracodawca, który wydaje polecenie pracownikowi żeby wysłał maile czy pracownik, który fizycznie wciska przycisk?
Witaj,
Za popełnienie czynu nieuczciwej konkurencji i konsekwencje na gruncie prawa cywilnego odpowiadałby w takim wypadku pracodawca, natomiast konsekwencje prawnokarne (wysyłanie spamu to wykroczenie) może ponieść tylko konkretna osoba fizyczna, która jest nadawcą niezamówionej informacji handlowej, a tego rozumie się przez osobę, która miała wpływ na jej treść. Potencjalnie może to być pracownik, który opracował treść wiadomości i klikał „wyślij”, ale może to być również jego pracodawca/przełożony, który tylko stworzył treść i wydał polecenie wysyłki.
Witam. W związku ze zmiana przepisów w maju 2016 r. dane przedsiębiorstwa udostępniane w CEIDG, chociażby właśnie mail nie muszą być zgłaszane do GIODO. Co się dzieje w przypadku, gdy pokrywają się z danymi osobowymi przedsiębiorcy?