Poradnik Przedsiębiorcy

E-korespondencja a ochrona danych adresatów przy masowej wysyłce

Korzystanie z masowej korespondencji mailowej podczas prowadzenia działalności gospodarczej stało się dzisiaj już normą. E-korespondencja pozwala nam na porozumiewanie się z naszymi kontrahentami i klientami, przedstawianie ofert współpracy czy uzgadnianie warunków umów. Niejednokrotnie zdarza się więc, że informacje, którymi się posługujemy w czasie korespondencji, są poufne i nie mogą zostać ujawnione osobom trzecim.  

Czym jest e-korespondencja?

E-korespondencja może mieć postać korespondencji masowej. Polega ona na tworzeniu tzw. list mailingowych w celu wysłania jednej wiadomości (najczęściej oferty) wielu adresatom. Sytuacja komplikuje się dodatkowo, kiedy na liście odbiorców znajdują się adresy osób fizycznych – również osób prowadzących jednoosobową działalność gospodarczą wpisanych do CEIDG. Wymienione grupy odbiorców chroni Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r., dalej jako RODO.

E-korespondencja nie budzi żadnych wątpliwości, w przypadku między przedsiębiorcą a pojedynczym kontrahentem lub klientem. Należy wówczas dochować należytej staranności, aby poufne i wrażliwe dane znajdujące się w korespondencji nie zostały ujawnione osobom trzecim. Jednakże w sytuacji masowej korespondencji jedną wiadomość wysyłamy do wielu adresatów, a co za tym idzie wiadomość ta jest uniwersalna i ogólnikowa. Nie zawiera danych personalnych żadnego z adresatów czy wrażliwych informacji dotyczących ich życia. Jedyną informacją, która może zostać ujawniona osobom trzecim, jest adres e-mail każdego z adresatów masowej korespondencji. Zgodnie z przepisami RODO w niektórych sytuacjach adres e-mail może niestety zostać uznany za dane osobowe i podlegać ochronie zgodnie z postanowieniami rozporządzenia.

Kiedy adres poczty e-mail jest daną osobową?

RODO nie wprowadziło zamkniętego katalogu danych osobowych. Art. 4 ust. 1 rozporządzenia wskazuje, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Oznacza to, że katalog ten jest otwarty i należy zachować ostrożność w posługiwaniu się danymi wiązanymi z innymi podmiotami.  

Mimo że rozporządzenie nie wyszczególniło adresu e-mail jako danej osobowej, to należy mieć na uwadze opinię Generalnego Inspektora Danych Osobowych. Stwierdzono w niej, że adres e-mail to dana osobowa, o ile umożliwia nam zidentyfikowanie konkretnej osoby. Oczywistym przykładem adresu e-mail będącego daną osobową będzie adres, w którego nazwie znajduje się imię i nazwisko właściciela. E-korespondencja masowa nie może zostać używana w momencie kiedy e-mail jest daną osobową.

Co jeżeli adres email nie posiada w nazwie imienia i nazwiska? Tutaj z pomocą przychodzi nam utrwalona zasada, iż daną osobową będzie taki adres, na którego podstawie jesteśmy w stanie zidentyfikować konkretną osobę fizyczną. Chodzi tu także o możliwość identyfikacji pośredniej. Mając to na uwadze, daną osobową nie będzie adres e-mail, który zawiera np. pseudonim właściciela. Oczywiście wykwalifikowane jednostki byłyby w stanie stwierdzić tożsamość właściciela adresu, np. po numerze IP, jednakże nie jest to wiedza ogólnodostępna i niewymagająca specjalistycznych umiejętności. Inna sytuacja będzie miała miejsce natomiast w przypadku, kiedy adres posiada nazwy, dzięki którym jesteśmy w stanie w łatwy sposób sprawdzić, kto jest właścicielem adresu, przykładowo adres firmowy, który w początkowej części zawiera nazwę stanowiska, zaś w dalszej wpisana jest domena konkretnego przedsiębiorstwa. W takiej sytuacji wystarczy wejść na stronę internetową owej firmy i sprawdzić, kto pracuje na wskazanym w adresie e-mail stanowisku. Cały proces jest dosyć prosty i szybki, dlatego też wskazany adres mailowy należy uznać za daną osobową w rozumieniu RODO.

Kiedy mamy prawo do korespondencji masowej?

Wiemy już, kiedy adresy e-mailowe stanowią dane osobowe. Teraz należy zadać sobie pytanie, w jakich sytuacjach możemy użyć (przetwarzać) posiadane adresy.

Zasadą jest, że e-korespondencja nie może wykorzystywać adresów e-mail będących pod ochroną RODO potrzebne nam są zgody właścicieli. Korzystając z sieci, wielokrotnie jesteśmy proszeni o podanie swojego adresu e-mail – czy to w trakcie rejestracji na stronie, wysyłania zapytania, czy też  pobierania plików. Wielu z przedsiębiorców, otrzymując wspomniane adresy, automatycznie włącza je do swojej listy mailingowej, uważając, że podanie na stronie adresu e-mail jest równoznaczne z wyrażeniem zgody na wysyłanie newslettera lub ofert handlowych, tj. na korespondencję masową. RODO zabroniło takich praktyk. Zgody składane przez odwiedzających strony internetowe muszą być wyrażane dobrowolnie, świadomie i w sposób jednoznacznie wskazujący, na co się oni godzą. Co ważne, muszą być one podawane w sposób prosty i zrozumiały dla każdego.

Ważne!
Dane zebrane w sposób legalny przed 25 maja 2018 roku zachowają swoją ważność. Nie ma obowiązku ponownego zbierania zgód na ich przetwarzanie.

Obowiązek informacyjny

Podmiot proszący osobę fizyczną o podanie swojego adresu e-mail jest obowiązany poinformować ją o celu, zakresie i czasie przetwarzania podanych danych osobowych. Dodatkowo każda zgoda powinna posiadać również zbiór praw przysługujących osobom, których dane są przetwarzane.

Zgoda powinna posiadać więc takie informacje, jak:

  1. dane kontaktowe administratora danych;

  2. cel przetwarzania danych;

  3. podstawę prawną do przetwarzania danych;

  4. czas przechowywania danych;

  5. prawo do wglądu do danych, zmiany, przeniesienia lub usunięcia danych; wycofania zgody na przetwarzanie; wniesienia skargi do właściwego organu ochrony danych osobowych.

Rejestr listy mailingowej

RODO uchyliło obowiązek rejestracji poszczególnych zbiorów baz danych u Generalnego Inspektora Baz Danych Osobowych. W to miejsce rozporządzenie zobligowało administratorów danych do sporządzenia rejestru czynności przetwarzanych i stałego go ewidencjonowania. Oznacza to tyle, że każdy podmiot korzystający z list mailingowych w celu masowej korespondencji musi w rzeczonym rejestrze wskazać taką bazę danych, zakres przetwarzanych danych, cel przetwarzania, kategorię odbiorców oraz planowany termin usunięcia tych danych (art. 30 RODO).  

Na co zwracać uwagę przy przetwarzaniu adresów mailowych w celu masowej korespondencji?

Niejednokrotnie zdarza się, że administratorzy danych pomimo prawidłowego wdrożenia procedur RODO oraz legalnego pozyskania zgód na przesyłanie newsletterów lub ofert handlowych, popełniają, wydawać by się mogło, błahe błędy, które mogą skutkować poważnymi konsekwencjami. Jakie są najczęstsze błędy popełniane podczas procesu przetwarzania cudzych danych osobowych?

Rozsyłanie wiadomości bez BCC/UDW

Częstym naruszeniem danych osobowych w korespondencji elektronicznej jest nieukrywanie poszczególnych adresów e-mail odbiorców wiadomości. E-korespondencja masowa nie pozwala na udostępnianie danych osobowych (w tym adresów e-mail) ich innym adresatom. Listy mailingowe, pomimo wyrażenia zgód przez poszczególnych odbiorców, podlegają ochronie RODO.

Zgodnie z rozporządzeniem administrator danych ma obowiązek chronić dane osobowe, które przetwarza i nie dopuścić do ich ujawnienia osobom nieupoważnionym. Jeżeli e-korespondencja wysyłana jest do większej liczby odbiorców należy zadbać o to, aby poszczególne osoby, do których skierowana jest tego typu korespondencja, nie miały możliwości zapoznania się z danymi pozostałych adresatów. Do tego właśnie służy opcja BCC/UDW (Ukryte Do Wiadomości) znajdująca się w polu adresatów większości programów do obsługi poczty elektronicznej.  

Niezabezpieczone listy mailingowe

E-korespondencja może być często naruszana w firmach małych i mniej zaawansowanych technologicznie. Wciąż wielu z przedsiębiorców korzysta z prostych edytorów tekstowych i tam też przechowuje swoje listy mailingowe z danymi osobowymi swoich klientów lub kontrahentów. Co więcej wielu z nich nie zabezpiecza hasłem zarówno pliku z listą mailingową oraz komputera, na których rzeczony plik się znajduje. Takie działania przy ewentualnej kontroli mogą skutkować negatywnymi konsekwencjami w postaci kar finansowych.

Wynoszenie danych z firmy bez ochrony nośników

Wielu przedsiębiorców lub pracowników firm odpowiedzialnych za przetwarzanie danych pracuje zdalnie. Wiąże się to z zabieraniem z firmy sprzętu elektronicznego i innych nośników danych. W takim wypadku należy zadbać, aby owe urządzenia były prawidłowo zabezpieczone, gdyż w przypadku zgubienia lub kradzieży, wszelkie zgromadzone na nich dane będą bardzo łatwo dostępne dla niepowołanych osób.

Podsumowanie

Chcąc w dalszym ciągu korzystać z masowej e-korespondencji w celu przedstawiania szerszemu gronu odbiorców swojej oferty i jednocześnie działając zgodnie z przepisami RODO, najlepiej uznać, że wszystkie adresy e-mail stanowią dane osobowe w rozumieniu rozporządzenia. Następnie tworząc listę mailingową, trzeba zdobyć potrzebne zgody od przyszłych adresatów na przetwarzanie ich danych. Co więcej, zgody te muszą być wyrażane dobrowolnie, świadomie i w sposób jednoznaczny. Dodatkowo do zgód należy dołączyć informację o celu, zakresie i czasie przetwarzania danych osobowych. Kiedy uda nam się już zebrać interesujące nas dane do korespondencji, nasz zbiór należy dołączyć do rejestru czynności przetwarzanych.