Newsletter w sklepie może stanowić jedno z podstawowych narzędzi służących reklamowaniu własnych usług i produktów. Jak wykorzystywać go zgodnie z RODO? Sprawdź w poniższym artykule!
Newsletter jako marketing bezpośredni usług własnych
Zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.
Zgodnie z RODO taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład, gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Wysyłkę newslettera zawierającego wyłącznie treści stanowiące marketing usług własnych można zakwalifikować jako marketing bezpośredni w rozumieniu RODO. W takim wypadku nie będzie konieczne zbieranie zgody na wysyłkę newslettera. Podstawą przetwarzania danych będzie w tym wypadku uzasadniony interes.
Trzeba mieć jednak na uwadze przepisy ustawy o świadczeniu usług drogą elektroniczną. Zgodnie z nimi zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
Informację handlową uważa się jednak za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
Wysyłkę newslettera będzie można zatem oprzeć o uzasadniony interes w postaci marketingu bezpośredniego, jeżeli pozyskanie adresu elektronicznego do wysyłki nastąpiło zgodnie z ww. zasadami właściwymi dla wysyłki informacji handlowej.
Warto także mieć na uwadze, że uzasadniony interes nie może stanowić przesłanki dla wysyłki newslettera do osób, które nie mogą się spodziewać, że właśnie do tego celu wykorzystamy ich dane kontaktowe.
Wszędzie tam, gdzie nie można zastosować jako podstawy do wysyłki newslettera uzasadnionego interesu administratora, konieczne będzie odebranie od adresata zgody.
Zgodnie z motywem 32 RODO zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.
Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na nie wszystkie. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, musi być ono jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Prawo do sprzeciwu – funkcja unsubscribe
Zgodnie z motywem 7 RODO, jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.
Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
Przykład 1.
W mailu z newsletterem w widocznym miejscu powinien być każdorazowo zawarty link umożliwiający sprzeciw wobec dalszego otrzymywania newslettera.
Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie do sprzeciwu, a informacje te przedstawia się jasno i odrębnie od wszelkich innych informacji.
W przypadkach, gdy podstawą do wysyłki newslettera jest zgoda za pomocą funkcji unsubscribe, adresat będzie mógł realizować prawo do jej odwołania.
Obowiązek informacyjny w związku z zapisem na newsletter
Niezależnie od tego, czy podstawą do przetwarzania danych na potrzeby wysyłki newslettera będzie zgoda, czy też uzasadniony interes – warunkiem legalności przetwarzania danych będzie przekazanie adresatowi klauzuli informacyjnej.
Klauzula może być udostępniona na wiele sposobów. W miejscu zapisu na newsletter może zostać udostępniona tzw. skrócona klauzula z odesłaniem w linku do pełnej klauzuli lub do polityki prywatności.
Jeżeli dane osobowe osoby, której one dotyczą, zbierane są od tej niej, administrator podczas ich pozyskiwania podaje jej wszystkie następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
- jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
Poza powyższymi informacjami podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
- informacje o prawie wniesienia skargi do organu nadzorczego,
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.