Newslettery oraz e-mail marketing są dziś niezwykle popularnymi narzędziami do utrzymywania kontaktu i budowania relacji z klientami, w przypadku pierwszegooraz do pozyskiwania nowych klientów i zachęcania do nabywania towarów, korzystania z oferowanych usług czy przeprowadzania akcji promocyjnych, w przypadku drugiego. Oba te narzędzia wykorzystują pocztę elektroniczną do komunikowania się z odbiorcami i z oboma wiążą się pewne obostrzenia prawne. Pisałem o tym już wcześniej na blogu, ale myślę, że warto wrócić do tematu.
NARZĘDZIE – E-MAIL
Zarówno newslettery, a więc elektroniczna forma czasopisma, jak i mailing rozsyłane są za pomocą poczty elektronicznej. W pierwszej kolejności zatem organizacja, która zamierza przesyłać newlettery bądź zorganizować akcje mailingową, musi oczywiście dysponować bazą odbiorców, a więc musi w jakiś sposób zgromadzić adresy mailowe osób, którą są zainteresowane otrzymywaniem takich informacji. Najpopularniejszym sposobem pozyskiwania adresów e-mailowych jest umożliwienie osobom odwiedzającym daną stronę internetową zapisanie się do newslettera lub wyrażenie zgody na otrzymywanie mailingu poprzez dobrowolne podanie swojego adresu.
SPAM?
Dlaczego to tak istotne? Ponieważ zarówno w newsletterach, jak i mailingu, w przeważającej większości przypadków znajdują się informacje o charakterze handlowym. Natomiast zgodnie z art. 24 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną przesyłanie za pomocą środków komunikacji elektronicznej niezamówionych informacji handlowych to wykroczenie zagrożone karą grzywny. Zatem, aby uniknąć posądzenia o przesyłanie niezamówionych informacji handlowych, a więc popularnego spamu, musimy uzyskać uprzednia zgodę osoby, do której zamierzamy takie informacje przesłać. Ściganie tego wykroczenia następuje na wniosek pokrzywdzonego, a więc osoby, która nie zamówiła otrzymywania takich wiadomości.
UWAGA – OCHONA DANYCH OSOBOWYCH?
Zgodnie z interpretacją Generalnego Inspektora Ochrony Danych Osobowych adres e-mail może być daną osobową. Będzie tak w przypadku, gdy w sposób niewymagający nadmiernych środków jesteśmy w stanie zidentyfikować osobę, której adres dotyczy. Jeżeli obok adresów poczty elektronicznej zbieramy i przetwarzamy również inne dane odbiorców naszego newslettera lub mailingu takie jak imię, nazwisko, wiek, adres korespondencyjny itp., wątpliwość, czy mail będzie daną osobową, schodzi na dalszy plan.
W związku z powyższym pojawia się kwestia związana właśnie z ochroną danych osobowych. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych narzuca na administratora danych, a więc w naszym przypadku organizatora mailingu czy wysyłającego newsletter, szereg obowiązków. Począwszy od zapewnienia legalności przetwarzania danych osobowych, co w omawianym przypadku sprowadza się do uzyskania zgody osoby, której dane osobowe dotyczą, poprzez spełnienie obowiązku informacyjnego, wymagań związanych z bezpieczeństwem przetwarzania danych osobowych, a na rejestracji zbioru danych skończywszy.
Obowiązek informacyjny ciążący na administratorze danych polega na poinformowaniu osób, których przetwarzane dane dotyczą o adresie swojej siedziby i pełnej nazwie, celu zbierania danych, prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności podania danych. Informacje te powinny być udzielone w momencie uzyskiwania danych osobowych. W interesie administratora danych jest uzyskanie potwierdzenia zapoznania się z tymi informacjami przez osobę, która udostępnia swoje dane osobowe (np. adres e-mail). W tym samym momencie powinna zostać udzielona zgoda na przetwarzanie danych osobowych, np. poprzez zaznaczenie odpowiedniego pola na stronie internetowej.
Baza e-mailingowa stanowi zbiór danych osobowych, w rozumieniu ustawy o ochronie danych osobowych, zgodnie z którą zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Mając natomiast na uwadze cel, dla którego prowadzony jest taki zbiór, wskazać należy, że zgodnie z przepisami ustawy oraz interpretacją GIODO, taki zbiór wymaga rejestracji. Warto zwrócić uwagę, że brak zgłoszenia do rejestracji zbioru danych, w sytuacji, kiedy jest się do tego zobowiązanym, stanowi czyn zabroniony podlegający grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
NABYCIE BAZY DANYCH LEGALNE?
Na rynku funkcjonują firmy, które oferują gotowe bazy mailingowe. Czy działalność takich firm jest zgodna z prawem i czy można posłużyć się nabytą bazą mailingową?
Firmy takie najczęściej zbierają dane osobowe na własne potrzeby i uzyskują zgody osób, których te dane osobowe dotyczą. Tak jak pisałem wcześniej, osoba udzielająca zgody na przetwarzanie danych jej dotyczących udziela jej w określonym zakresie, mianowicie, do przetwarzania tych danych w określonym celu. W innym zakresie administrator danych nie jest uprawniony do korzystania z nich. Co więcej, zgodnie z ustawą o ochronie danych osobowych "kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2". Zatem administrator danych nie może przekazać czy też sprzedać np. bazy mailingowej nieupoważnionym podmiotom.
W praktyce jednak firmy, które zajmują się właśnie sprzedażą takich baz danych osobowych, zapewniają sobie taką możliwość poprzez uzyskanie odpowiednio szerokiej zgody od osób, których dane dotyczą. W treści zgody, której udziela osoba udostępniająca swoje dane osobowe, znajduje się zgoda na udostępnianie danych np. „partnerom handlowym” administratora danych i otrzymywanie od nich informacji handlowych.
Jeśli rzeczywiście tak jest i firma oferująca do sprzedaży bazę mailingową posiada odpowiednie zgody, wszystko odbywa się legalnie. W innym przypadku firma, która nabywa taką bazę, może zostać posądzona o przesyłanie spamu, o którym pisałem wyżej.
W każdym jednak przypadku nabywając taką bazę mailingową organizacja staje się administratorem danych osobowych zawartych w tej bazie, z czym wiążą się obowiązki wynikające z ustawy o ochronie danych osobowych. Warto zwrócić uwagę na obowiązek informacyjny, który w tym przypadku jest poszerzony o wskazanie źródła pozyskania danych.