Tworząc produkty online na pewno gromadzisz adresy e-mail do swojego newslettera. Czy robisz to zgodnie z prawem? Sprawdź to w moim artykule!
Współpracuję z twórcami internetowymi i wiem, że kluczową rolę w ich biznesie stanowi lista mailingowa. Niemal każdy twórca dąży do maksymalnego uproszczenia zapisu na newsletter, tak by konwersja zapisów była możliwie najwyższa. Jest to zrozumiałe i wcale nie stoi w zupełnej sprzeczności z obowiązującymi przepisami. Poniżej wyjaśniam, dlaczego nie wszystkie często stosowane rozwiązania są konieczne.
Pamiętaj jednak, że udostępniając możliwość zapisania się na newsletter stajesz się posiadaczem udostępnionych Ci danych i zgodnie z Rozporządzeniem nr 2016/679 – potocznie nazywanym przez wszystkich RODO – musisz spełniać określone wymogi, aby nie narazić się na odpowiedzialność finansową, a przede wszystkim być fair wobec ufających Ci przyszłych klientów.
Wymogów jest sporo, jednak na potrzeby listy mailowej opracowałem zbiór kilka zasad, których powinieneś przestrzegać prowadząc zapisy na newsletter. Sprawdź razem ze mną, w których obszarach jesteś w zgodzie z RODO, a które obszary potrzebują modyfikacji.
Oto pięć reguł, którymi powinieneś kierować się przy korzystaniu z zapisu na newsletter:
- zbieraj tylko te dane, które są niezbędne,
- informuj o celu gromadzenia danych,
- spełnij obowiązek informacyjny RODO,
- zapewniaj każdemu, kto zapisał się na newsletter, możliwość wypisania się z niego,
- gromadzone dane osobowe chroń przed dostępem osób nieupoważnionych.
Te pięć reguł postaram się teraz opisać w najbardziej praktyczny sposób, abyś wyniósł z artykułu możliwie dużo wartości.
Zbieraj tylko te dane, które są niezbędne
W swoim formularzu zapisu na newsletter powinieneś pobierać tylko dane niezbędne do realizacji celu, dla którego on powstał. Jeżeli z osobami zapisanymi na newsletter chcesz prowadzić komunikację za pośrednictwem wiadomości e-mail, to formularz ogranicz do pobierania adresu e-mail. Nie naruszysz RODO, jeżeli dodatkowo poprosisz o udostępnienie imienia i ewentualnie nazwiska.
Unikaj jednak zbierania danych kontaktowych na zapas lub na wszelki wypadek. Nie dodawaj więc okienka z numerem telefonu, jeżeli nie jest to potrzebne do realizacji wysyłki newslettera. Takie zachowanie będzie nielegalne. Co innego, jeżeli np. prowadzisz zapisy na webinar i wprowadzasz opcję przypomnienia SMS o zbliżającym się spotkaniu. Wówczas możesz pobrać od użytkowników numery telefonów dla tego konkretnego celu.
W jakim celu gromadzisz dane?
Użytkownik zapisujący się na newsletter musi przed zapisem wiedzieć, jaki jest cel, dla którego jego dane chcesz przetwarzać. Przykładowo: „na podany adres e-mail będę informować Cię o przygotowanych przeze mnie produktach i promocjach.”. Zapisujący wówczas wie, po co Ci jego dane i czego może się od Ciebie spodziewać. Każdy komunikat o danych osobowych w oczach RODO musi być prosty i zrozumiały dla adresata. Nie może prowadzić do sytuacji, w której adresat nie wie, po co udostępnia dane.
Obowiązek informacyjny RODO
Kolejną ze wspomnianych powyżej reguł jest konieczność spełnienia obowiązku informacyjnego RODO. O co w tym chodzi? Najprościej rzecz ujmując, przepisy wymagają, aby osobę, której dane przetwarzasz, poinformować o tym, kto wszedł w posiadanie jej danych oraz o jej prawach z tym związanych. Zapisujący się musi wiedzieć, co może zrobić ze swoimi danymi, które Ci udostępnił.
Kiedy obowiązek informacyjny powinien być spełniony? W jaki sposób to zrobić? Najprościej poprzez odesłanie do polityki prywatności. Wystarczy podlinkować pod treścią formularza zapisu na newsletter politykę prywatności. Możesz użyć następującego zwrotu: „O przetwarzaniu danych osobowych przeczytać możesz w polityce prywatności”.
Powinieneś w niej zawrzeć klauzulę informacyjną RODO oraz informację o wykorzystywaniu plików cookies.
Możesz też zastosować metodę Double Opt-in, czyli podwójną weryfikację adresu mailowego. Wówczas obowiązek informacyjny można spełnić poprzez wskazanie potrzebnych informacji w pierwszej wiadomości wysyłanej do osoby zainteresowanej subskrypcją. Więcej na ten temat przeczytasz w poniższym artykule:
Czy musisz używać checkboxa?
Możesz, ale wcale nie musisz stosować checkboxa. Wedle RODO zgoda może być wyrażona poprzez wyraźne działanie potwierdzające. Takim działaniem niewątpliwie jest wprowadzenie adresu e-mail i kliknięcie przycisku „subskrybuję” lub podobnego, jeżeli wyraźnie zaznaczysz, że chodzi o zapisanie się na newsletter.
Jeśli nie masz jeszcze przygotowanej polityki prywatności lub pozostałych dokumentów wdrożeniowych RODO, zapraszam Cię do skorzystania z przygotowanego przeze mnie pakietu RODO, w ramach którego znajdziesz wzór klauzuli informacyjnej RODO do wykorzystania również na potrzeby newslettera.
Pozwól wypisać się z listy
Zapisanie do listy odbiorców newslettera stanowi formę wyrażenia zgody na przetwarzanie danych. Jednym z głównych postulatów RODO, w sytuacji przetwarzania danych osobowych na podstawie zgody, jest zapewnienie możliwości wycofania zgody w dowolnym czasie, bez dodatkowych warunków. Prowadząc bazę danych osób zapisanych na newsletter pamiętaj, aby Twój system zapewniał w każdej chwili możliwość trwałego usunięcia adresu e-mail („unsubscribe”), co do którego wycofano zgodę.
W praktyce spotykam się najczęściej z linkiem zamieszczonym na samym dole każdej wiadomości e-mail otrzymywanej przez zapisanego w ramach newslettera, po kliknięciu którego następuje wypis z newslettera. Takie rozwiązanie jest jak najbardziej prawidłowe.
Bezpieczeństwo informatyczne priorytetem
Kolejnym obowiązkiem jest dbanie o bezpieczeństwo informatyczne udostępnionych Ci danych. RODO nie daje konkretnej odpowiedzi, jak powinieneś to zrobić. Tym samym masz pełną swobodę jakie środki ochrony podejmiesz. Osobiście twórcom kursów online doradzam, aby systemy informatyczne z usług, których korzystają i które przechowują bazę danych, zapewniały pseudonimizację. Co to oznacza?
W skrócie: osoby zewnętrzne, w tym te odpowiedzialne za serwis i monitoring działania systemu informatycznego, nie posiadają prawa wglądu do treści danych zgromadzonych w ramach systemu. Widzą jedynie zaszyfrowane pliki.
Wymogów dla zapewnienia bezpieczeństwa jest znacznie więcej. Wdrożenia RODO w tym zakresie użytkownik nie widzi, niemniej jednak powinieneś dokonać wdrożenia zasad w swojej działalności, nawet jeżeli jest jednoosobowa.
W tym celu możesz skorzystać z wypracowanych przeze mnie rozwiązań zebranych w PAKIECIE RODO dostępnym w Sklepie.
Podsumowanie
I tym sposobem dotarliśmy do końca. Jak widzisz, wystarczy:
- pobierać tylko niezbędne dane,
- informować swoich czytelników o tym, do czego wykorzystasz ich dane,
- być transparentnym,
- dać możliwość wypisania się z listy,
- zadbać o bezpieczeństwo danych.
Oczywiście to podstawy dbania o dane osobowe użytkowników, ale zdarza się twórcom zapominać nawet o nich.
Na zakończenie przekazuję Ci propozycję gotowego rozwiązania dotyczącego wdrożenia RODO. Zapraszam Cię do skorzystania z przygotowanego przeze mnie całego Pakietu RODO, dzięki któremu po uzupełnieniu kilku informacji charakterystycznych dla Twojej strony internetowej, spełnisz wymagania wynikające z RODO. Pakiet dostępny jest tutaj.
Jeśli potrzebujesz indywidualnej pomocy we wdrożeniu RODO skontaktuj się korzystając z danych zamieszczonych w zakładce Kontakt.
***
Artykuł był dla Ciebie przydatny? Podziel się z nim ze znajomymi lub go udostępnij!
O autorze
Autorem artykułu jest radca prawny Arkadiusz Taras.
Specjalista z zakresu ochrony danych osobowych, inspektor ochrony danych osobowych.
Więcej o autorach bloga przeczytasz w zakładce “Kto za tym stoi“.