Poradnik Przedsiębiorcy

Newsletter zgodny z prawem po wprowadzeniu przepisów RODO

Marketing internetowy, w tym m.in. newsletter, jest obecnie filarem reklamy przedsiębiorstw. Legalna wysyłka newslettera wymaga jednak spełnienia wymogów wielu aktów prawnych, w tym z zakresu świadczenia usług drogą elektroniczną, prawa telekomunikacyjnego, ale przede wszystkim z zakresu prawa ochrony danych osobowych. W jaki sposób przedsiębiorca może wysyłać do swoich subskrybentów newsletter zgodny z prawem, nie narażając się na kary wynikające z RODO?

Zgoda na gruncie RODO – czy konieczna?

Na gruncie zasad obowiązujących przed wejściem w życie RODO niemal zawsze uznawano za konieczne uzyskanie zgody na przetwarzanie danych osobowych w związku z wysyłką newslettera. RODO wbrew pozorom wprowadza liberalizację uprzednio obowiązujących reguł.

Nie można założyć, że w żadnym z przypadków wysyłki newslettera nie będzie konieczności uzyskania zgody odbiorcy. RODO wskazuje jednak, że zgoda powinna być narzędziem legalizującym przetwarzanie danych jedynie w przypadku, gdy inne podstawy nie mogą mieć zastosowania (oczywiście poza tymi sytuacjami, gdy wprost wymaga się uzyskania zgody od osoby, której dane dotyczą).Zgodnie z RODO zgoda jako podstawa przetwarzania danych ma charakter subsydiarny, czyli wchodzi w grę, gdy inne podstawy nie mogą znaleźć zastosowania.Zgodnie z komentarzem do ogólnego rozporządzenia o ochronie danych pod red. M. Sakowskiej-Baryły:

„[…] należy podkreślić, że zgoda na gruncie […] RODO nie powinna być traktowana w sposób uprzywilejowany w stosunku do pozostałych podstaw […] w szczególności nie posiada nadrzędnego charakteru […]. W praktyce administratorowi w konkretnych okolicznościach przysługiwać może więcej niż jedna przesłanka legalizacyjna. Najczęściej chodzi o pozyskaną zgodę w sytuacji, gdy administrator już dysponuje inną podstawą przetwarzania, np. służy mu prawnie uzasadniony interes bądź zawarta umowa. Zbieranie zgód »na wszelki wypadek« nie powinno mieć miejsca z uwagi na wywołanie u podmiotu danych iluzorycznego przekonania o skuteczności odwołania zgody, choć administrator oprze proces przetwarzania na innej przesłance, którą dysponuje”.

Mając na uwadze powyższą tezę, trzeba zatem rozważyć możliwość zastosowania pozostałych podstaw legalizujących przetwarzanie wynikających z RODO.

Wysyłka newslettera na podstawie uzasadnionego interesu

Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.

Zgodnie z motywem 47 RODO za działanie wykonywane w prawnie uzasadnionym interesie można uznać w szczególności przetwarzanie danych osobowych do celów marketingu bezpośredniego. Z kolei newsletter, choć odbywa się w internecie, jest klasycznym przykładem takiego właśnie marketingu.Przetwarzanie danych do celów marketingu bezpośredniego może odbywać się zgodnie z RODO na podstawie tzw. uzasadnionego interesu – a zatem zgoda nie jest konieczna.Przy tej podstawie przetwarzania należy mieć jednak na uwadze, że jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.

Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już do takich celów przetwarzać.

Newsletter jako usługa

W związku z konsekwencjami i ograniczeniami, jakie wiążą się z przetwarzaniem danych do celów marketingu bezpośredniego na podstawie uzasadnionego interesu, warto rozważyć inne możliwości jego legalizacji.

Mimo że adresat nie zawiera z odbiorcą pisemnej, sformalizowanej umowy w związku z wysyłką newslettera, to z prawnego punktu widzenia dochodzi w tym przypadku do zawarcia umowy o świadczenie usług.

Zgodnie z RODO przetwarzanie jest natomiast zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia przed zawarciem umowy działań na żądanie takiej osoby.Wysyłka newslettera to w istocie wykonanie umowy łączącej adresata i nadawcę, a zatem możliwe jest przetwarzanie danych związanych z nią zgodnie z RODO na podstawie niezbędności do wykonania umowy.W tym przypadku należy jednak mieć na uwadze, że zakres przetwarzanych danych powinien być, zgodnie z ogólnymi zasadami przetwarzania danych, dostosowany do podstawy przetwarzania. Nie można zatem w związku z wysyłką newslettera przetwarzać na omawianej w tym punkcie podstawie danych innych niż konieczne do wysyłki maila do adresata.

Newsletter a profilowanie

Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Zasada ta nie ma zastosowania, jeżeli decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Kiedy zatem mamy do czynienia z profilowaniem połączonym z automatycznym podejmowaniem decyzji, konieczne będzie uzyskanie zgody. Taka sytuacja jednak w przypadku wysyłki newslettera zdarzać się będzie bardzo rzadko.Newsletter zgodny z prawem będzie wymagał zgody, gdy przetwarzamy dane i je profilujemy, a profilowanie to połączone jest z automatycznym podejmowaniem decyzji. Nie jest to jednak częste zjawisko w przypadku wysyłki newslettera.Newsletter związany z profilowaniem (czyli np. newsletter obejmujący ofertę specjalnie dostosowanych do odbiorcy produktów na podstawie analizy zachowań tego odbiorcy jako kupującego) nie będzie nadal wiązał się z koniecznością uzyskania zgody, gdyż nie jest połączony z automatycznym podejmowaniem decyzji.

Powyższa zasada nie obowiązuje jednak bezwzględnie. Należy mieć zawsze na uwadze konieczność zbadania równowagi pomiędzy uzasadnioną ingerencją w prawa i wolności osób, jaka może być oczekiwana i spodziewana w związku z okolicznościami a przekroczeniem granic tej ingerencji.

Newsletter zgodny z prawem a dane wrażliwe

Zgodnie z RODO zabronione jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Zakaz nie znajduje jednak zastosowania, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym celu lub kilku konkretnych.

Newsletter będzie wiązał się z przetwarzaniem danych wrażliwych, np. wtedy gdy oferta handlowa jest związana ze zdrowiem. Gdy poleca adresatowi np. dotychczas stosowane zabiegi lecznicze w nowej promocyjnej cenie – przetwarza i wykorzystuje dane wrażliwe tego adresata. W takim wypadku newsletter zgodny z prawem zawsze koniecznie musi posiadać wyraźną zgodę.Gdyby zdarzyło się tak, że w związku z wysyłką newslettera przetwarzane są dane wrażliwe – konieczna będzie zgoda z RODO.

Dodatkowe obowiązki w związku z RODO

Niezależnie od tego, czy w konkretnym przypadku konieczne jest uzyskanie zgody, czy też wystarczy oparcie się na innej podstawie legalizującej przetwarzanie danych osobowych – należy pamiętać o pozostałych zasadach prawidłowego przetwarzania danych i obowiązkach wynikających z RODO, w tym o obowiązku informacyjnym, konieczności odpowiedniego zabezpieczenia danych czy minimalizacji zakresu przetwarzanych danych.