WithLaw Partners » Newsletter a RODO - 5 kroków do zgodności z prawem

W tym artykule znajdziesz wszystko, czego potrzebujesz aby uruchomić newsletter sprawnie i w zgodzie z przepisami, albo sprawdzić, czy obecnie działasz zgodnie z prawem.

Kiedy myślisz o marketingu i newsletterze, obstawiam, że pierwsze co przychodzi Ci na myśl to zgoda – „no bo RODO”.

Ta sprawa jest jednak bardziej złożona i dlatego zanim przejdziemy do konkretnych kroków i sposobów projektowania newslettera, chciałybyśmy wyjaśnić kilka wątków, które łącznie moglibyśmy nazwać „legalnym krajobrazem” newslettera.

Newsletter jako marketing bezpośredni usług własnych

Wbrew powszechnym pozorom, podstawą prawną, na jakiej zgodnie z RODO możesz oprzeć przetwarzanie danych w celu wysyłki newslettera, nie jest zgoda!

Jest to tak zwany prawnie uzasadniony interes, który przyświeca Ci jako przedsiębiorcy.

To, że interes ten jest prawnie uzasadniony, oznacza w pewnym uproszczeniu tyle, że musi on być zgodny z prawem, a więc – nie może naruszać przepisów prawa.

Słuszne wykorzystanie tej podstawy prawnej dla celów newslettera wynika natomiast jednoznacznie z motywu 47 RODO, zgodnie z którym „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.”

Jest to oczywiście pewne uproszczenie, bo są przypadki, w których już na tym etapie wymagana będzie wyraźna zgoda – np. w przypadku profilowania odbiorcy – ale to odrębna historia, na odrębny wpis 😊

W przeważającej części przypadków jednak, najprawdopodobniej newsletter który już prowadzisz, lub który zamierzasz wdrożyć, to nic innego jak właśnie marketing bezpośredni, który można oprzeć na prawnie uzasadnionym interesie.

Gdybyśmy mogli na tym zakończyć rozważania podstaw prawnych newslettera, byłoby wspaniale. Ten nasz legalny krajobraz jest jednak bardziej złożony.

Bo przy newsletterze RODO to nie wszystko!

Występują jeszcze dwie regulacje, które bierzemy pod uwagę przy newsletterze – Ustawa o świadczeniu usług drogą elektroniczną oraz Prawo telekomunikacyjne.

Oba te akty prawne, choć posługują się różnymi pojęciami, sprowadzają się do zasadniczego wymogu:

Wymóg odebrania zgody na przesyłanie informacji handlowej i komunikacji w celu marketingu bezpośredniego.

Przepisy tych ustaw bezsprzecznie odnoszą się właśnie do takich działań jak newsletter.

Wywodzimy to z zasadniczego celu newslettera, jakim zwiększenie sprzedaży Twojej firmy.

Cel ten możesz realizować na różne sposoby, od bezpośredniego oferowania produktów po mniej nachalne budowanie wizerunku marki, np. przez informowanie o nowościach z Twojej branży.

Efekt, jaki chcesz osiągnąć przez regularną wysyłkę treści jest jednak zawsze ten sam – działania mają się przełożyć na zwiększenie sprzedaży.

Jaki więc jest skutek tej skomplikowanej relacji RODO, ustawy o świadczeniu usług drogą elektroniczną i prawa telekomunikacyjnego?

Mówiąc najprościej jak się da: przy newsletterze, na podstawie RODO możesz co do zasady przetwarzać dane osobowe (np. imię, adres e-mail) bez zgody, ale sama czynność wysyłki informacji handlowych, wymaga już zgody na podstawie przepisów szczególnych – tj. dwóch wyżej wymienionych ustaw.

Powszechnym błędem wobec tego jest odbierane zgody na przetwarzanie danych osobowych w newsletterze – przepisy bowiem nas do tego nie zobowiązują, a w samej zgodzie, jaką powinniśmy odebrać, nie chodzi o przetwarzanie danych!

Ile zgód na newsletter potrzebujesz?

Mamy aż trzy regulacje (RODO i dwie ustawy), które stosujemy przy newsletterze, z czego dwie wprost wymagają zgody.

Zasadne może zatem być pytanie, ile zgód w takim razie jest potrzebne.

Niestety, mające zastosowanie przepisy ustaw monitorowane są przez dwa odrębne urzędy: Urząd Ochrony Konkurencji i Konsumentów (UOKIK) w zakresie ustawy o świadczeniu usług drogą elektroniczną i Urząd Komunikacji Elektronicznej (UKE) w zakresie prawa telekomunikacyjnego.

Nie mamy na obecną chwilę klarownego stanowiska co do tego, czy zgody można ze sobą łączyć.

Zastosowanie jednej zgody może odbywać się więc na pewnym ryzyku, jednak praktyka biznesowa pokazuje, że można to ryzyko zredukować do minimum – o sposobach prawidłowego projektowania zgody i mechanizmu double opt-in będzie poniżej.

Tymczasem, skoro podstawy mamy za sobą, aby jako tako zachować chronologię, przejdźmy do regulaminu newslettera. 😊

Legalny newsletter – KROK 1.

Regulamin newslettera – czy jest konieczny?

TAK, regulamin newslettera jest konieczny.

Wynika to z praw konsumenckich i nowelizacji przepisów z 1 stycznia 2023 r., w związku ze wdrożeniem przez ustawodawcę trzech dyrektyw unijnych, w tym słynnej dyrektywy Omnibus.

Najprościej mówiąc, newsletter jest usługą, za którą Twoi odbiorcy płacą za pomocą swoich danych osobowych i zgody na otrzymywanie informacji handlowych.

Jako usługa świadczona drogą elektroniczną, wymaga on regulaminu.

Przepisy nie określają natomiast, gdzie taki regulamin ma się znaleźć.

Dobra wiadomość jest zatem taka, że może on być osobny, ale może także być „wpleciony” w regulamin Twojej strony/portalu, jeśli już taki masz, np. w związku z prowadzeniem sprzedaży online. 😉

Legalny newsletter – KROK 2. Jak zbierać dane subskrybentów? Zgoda na newsletter

Wiemy już, że punktem wyjścia dla wysyłki newslettera jest zgoda odbiorcy. Jeszcze raz w telegraficznym skrócie – obowiązek odebrania zgody wynika stąd, że w świetle prawa treść newsletterowa to informacja handlowa.

Taka kwalifikacja prowadzi nas natomiast do wymogu pozyskania od odbiorcy zgody przed wysyłką treści.

Najczęściej spotykana zgoda na newsletter występuje w formie checkboxa lub odpowiednio opisanego przycisku, na przykład na wyskakującym pop-upie.

Co kluczowe przy checkboxie – jeżeli kwadracik dotyczący zgody stosujesz przy okazji innych formularzy i pól (przykładowo przy rejestracji w portalu, albo przy potwierdzaniu koszyka w sklepie internetowym), pamiętaj, by checkbox na newsletter nie był domyślnie zaznaczony.

Takie „podsunięcie” klientowi zaznaczonej już zgody sprawia, że jest ona nieważna.

Dzieje się tak, ponieważ zgodnie z przepisami, udzielana zgoda musi być jednocześnie: dobrowolna, konkretna, świadoma i jednoznaczna.

Zgoda dla swojej ważności musi być także odwoływalna – wynika to z cechy dobrowolności.

Pamiętaj więc o zapewnieniu możliwości wypisania się z listy mailingowej, najlepiej w każdym przesyłanym newsletterze.

Wymienione wymogi rzutują na treść komunikatu przy checkboxie albo przycisku, który może brzmieć na przykład tak:

Tak, chcę otrzymywać mailowe informacje o produktach, akcjach promocyjnych i nowościach marki Dunder Mifflin Paper Company, Inc. i akceptuję regulamin newslettera.

Uwaga! Wymóg zgody dotyczy tego konkretnego rodzaju mailingu, jakim jest newsletter.

O przypadkach, kiedy możesz puszczać do klientów maile bez uprzedniej zgody, napiszę niebawem w osobnym wpisie.

Czy stosować potwierdzenie zapisu na newsletter?

Rozwiązanie polegające na konieczności potwierdzenia przez odbiorcę z poziomu maila, że rzeczywiście chce otrzymywać newsletter to double opt-in.

Sam stosuję i zdecydowanie rekomenduję tę opcję, bo to dwie pieczenie na jednym ogniu.

Po pierwsze, mail potwierdzający zapis to dodatkowy etap na zrealizowanie obowiązku informacyjnego (o tym w kolejnej sekcji) i jednocześnie dodatkowe uwierzytelnienie Twojego odbiorcy, zabezpieczające także Ciebie.

Potwierdzenia zapisu na newsletter musi on bowiem dokonać już z poziomu swojego emaila, a tym samym, łatwiej będzie Ci w przypadku ewentualnego sporu wykazać legalność swoich działań.

Po drugie – i w zasadzie najważniejsze – rozwiązanie double opt-in pozwala wykluczyć błędy i tym samym zadbać o wyższą jakość bazy mailingowej.

Większość popularnych systemów mailingowych, o których słowo będzie poniżej, posiada tę opcję i zwykle od jej uruchomienia w panelu dzieli Cię kilka kliknięć 😉

Prawo do sprzeciwu – funkcja unsubscribe, odwołanie zgody na newsletter

Pamiętaj, że na dobrowolność udzielonej zgody składa się możliwość wycofania jej w każdym czasie.

Dlatego powinieneś zapewnić swojemu odbiorcy taką opcję, każdorazowo uwzględniając w przesyłanych komunikatach odpowiednie linki.

Co więcej, nie możesz utrudniać wypisu z newslettera – rekomendowana ścieżka wypisu z poziomu maila powinna obejmować nie więcej niż dwa kliknięcia.

Nie możesz także uzależniać wypisu od podania różnego rodzaju informacji, np. podania przyczyny wypisu.

Jeśli zależy Ci na pozykiwaniu takich informacji, możesz zapewnić wypisującemu się dobrowolną możliwość pozostawienia komentarza, czy oznaczenia przyczyny wypisu, już po potwierdzeniu tego wypisu. Tak, aby podanie informacji nie warunkowało skuteczności wypisu :)

Legalny newsletter – KROK 3. Obowiązek informacyjny i polityka prywatności

Kolejny kluczowy krok to wypełnienie obowiązku informacyjnego.

Prowadzenie bazy mailingowej i wysyłka newslettera to przetwarzanie danych osobowych, a Twoi subskrybenci muszą wiedzieć, co się z ich danymi dzieje.

Klauzule informacyjne bywają dość długie, więc pewnie nie byłoby mistrzostwem marketingowego taktu zamieszczanie jej pod checkboxem ze zgodą.

Na szczęście są inne opcje. Informacje o przetwarzaniu danych możesz zawrzeć w mailu potwierdzającym zapis na newsletter, albo w polityce prywatności zamieszczonej na swojej stronie.

W tym drugim przypadku, przy odbiorze zgody na newsletter, obowiązek informacyjny należy zrealizować „warstwowo”.

Warstwowa realizacja obowiązku informacyjnego polega na wskazaniu podstawowych, ograniczonych informacji dotyczących przetwarzania i odesłaniu do zewnętrznego źródła (polityki prywatności).

W praktyce, ten manewr wymaga wskazania:

kto jest administratorem
jakie są cele przetwarzania
jakie prawa przysługują osobie, której dane dotyczą
gdzie odbiorca znajdzie więcej informacji (link do polityki prywatności).

Legalny newsletter – KROK 4. Korzystanie z zewnętrznych systemów mailingowych

Zapewne około 99,9% z nas, przy zarządzaniu bazą mailingową i newsletterem, korzysta z gotowych narzędzi i systemów od zewnętrznych dostawców.

Mam tu na myśli takie systemy jak MailChimp, GetResponse, MailerLite i tak dalej.

Powinieneś wiedzieć, że jeśli przekazujesz dane do podmiotu trzeciego, lub zamieszczasz dane na jego zasobach, jako administrator danych musisz zadbać o to, by zarządzane przez Ciebie dane były w dobrych rękach i zabezpieczyć tę relację umową powierzenia przetwarzania danych osobowych.

Wymogi weryfikacji i dostawcy i zawarcia umowy powierzenia w kontekście newslettera nie są wyjątkiem i dotyczą analogicznie każdego innego przypadku korzystania z usług podmiotów zewnętrznych (usługi hostingowe, relacje z księgową, czy zewnętrzną obsługą IT).

Umowa powierzenia reguluje w głównej mierze środki bezpieczeństwa, które musi stosować Twój dostawca oraz to, w jakim zakresie może on przetwarzać dane osobowe, które mu powierzasz.

Wracając jednak na grunt newslettera, w praktyce duzi dostawcy są doskonale świadomi wymogów RODO i wychodzą klientom naprzeciw, zawierając postanowienia wymagane przepisami prawa w swoich regulaminach, które akceptujemy podczas rejestracji.

Niemniej, może nie dotyczyć to każdego przypadku, a jak wiemy, nieznajomość prawa szkodzi.

Na koniec dnia, to nikt inny jak administrator (czyli Ty 😉) będzie rozliczany za brak spełnienia obowiązków prawnych, jeśli dojdzie do naruszenia ochrony danych.

Legalny newsletter – KROK 5. Newsletter w rejestrze czynności przetwarzania i dokumentacja RODO

Jak już ustaliliśmy, prowadzenie newslettera to przetwarzanie danych.

W związku z tym, jako proces musi ono być skatalogowane w rejestrze czynności przetwarzania.

Ten rejestr to obowiązkowy dokument każdego administratora i jest on niczym innym jak mapą procesów przetwarzania danych w Twojej firmie.

Rejestr z założenia kompleksowo obejmuje wszystkie czynności przetwarzania, jakie odbywają się w organizacji.

Od rekrutacji, przez obsługę klienta i rzeczony newsletter, po księgowość i obronę przed roszczeniami (życzymy abyś nie musiał przetwarzać danych w tym ostatnim celu :))

Przy czym, życzę Ci, abyś w tym ostatnim celu nie musiał danych przetwarzać.

Dokumentacja RODO a newsletter – komu to potrzebne? a dlaczego?

Podejrzewam, że jeśli nie wdrożyłeś RODO w swojej firmie, już przy rejestrze czynności przetwarzania odczułeś, że odlatujemy w kierunku abstrakcji.

Zdaję sobie sprawę, że te kwestie mogą być nieintuicyjne, ale ochrona danych to coś więcej niż odbieranie zgód i klazule informacyjne.

Jako administrator danych, potrzebujesz także dokumentacji ochrony danych osobowych, która na poziomie wewnętrznym mówi jak Ty i Twoja firma realizujecie wymogi ochrony danych osobowych w praktyce.

Dokumentacja taka, w postaci polityk bezpieczeństwa danych osobowych, sprowadza się do określenia sposobów realizacji obowiązków administratora i instrukcji, jak postępować w określonych przypadkach – np. w przypadku naruszenia ochrony danych.

Przetwarzanie danych osobowych niesie za sobą określone ryzyka – jeśli nie przestrzegasz wymogów, ponosisz związane z tym ryzyko biznesowe i reputacyjne.

Jeśli z jakiegoś powodu to ryzyko się zmaterializuje (np. w wyniku skargi niezadowolonego klienta, czy życzliwej konkurencji) możesz w najlepszym przypadku ponieść koszty związane obsługą postępowania i najeść się stresu.

W zależności od rodzaju naruszenia, może też skończyć się gorzej – na finansowej karze administracyjnej lub zadośćuczynieniu.

W oczach organu prowadzącego postępowania kontrolne, dokumentacja ochrony danych jest czymś, co odzwierciedla świadomość Twojej firmy i sposób obchodzenia się z danymi.

Po prostu – gdybyś został poddany kontroli, te dokumenty będą Twoją tarczą.

Newsletter w zgodzie z RODO – podsumowanie

Podsumowując, żeby zapewnić legalność wysyłki newslettera i zredukować prawne ryzyka do minimum, musisz przejść przez 5 następujących kroków:

upewnij się, że masz odpowiadający przepisom regulamin newslettera
odbierz zgodę na wysyłkę newslettera i akceptację regulaminu newslettera
zrealizuj obowiązek informacyjny (w mailu potwierdzającym zapis, albo przez odesłanie do polityki prywatności)
sprawdź, czy korzystasz z legitnych, godnych zaufania dostawców i czy regulaminy ich usług nie wpakują Cię na niezgodność
zadbaj o wewnętrzną dokumentację ochrony danych, w tym rejestr czynności przetwarzania.

I pamiętaj! Ochrona danych osobowych to nie tylko formalności – to realne środki bezpieczeństwa, jak zabezpieczona baza danych i świadomy personel.

To twarde sposoby ochrony danych, z których dopiero później wynika dokumentacja papierowa, która pozwoli Ci wykazać, że jako administrator danych osobowych postępujesz właściwie.

Mam nadzieję, że artykuł rozjaśnił Ci nieco kwestię wymogów prawnych przy wdrażaniu newslettera.

Newsletter a RODO - 5 kroków do zgodności z prawem