fbpx

Wszystko, co musisz wiedzieć zakładając newsletter zgodny z RODO znajdziesz w tym artykule. To kompendium wiedzy poruszające aspekty organizacyjno – prawne prowadzenia własnego newslettera. Wskazówki te pomogą Ci natychmiast uruchomić newsletter lub sprawdzić, czy działasz zgodnie z prawem. Podaję także przykłady z popularnego systemu do mailingu, który przy niewielkiej liczbie subskrybentów jest bezpłatny.

W tym artykule dowiesz się:

  • Kto może założyć newsletter i zbierać adresy e-mail w celach marketingowych.
  • Co jest potrzebne, aby założyć newsletter zgodny z RODO.
  • Ile i jakiej treści zgody RODO są wymagane.
  • Czy certyfikat SSL jest standardem na stronie z newsletterem.
  • O czym i kiedy informować w polityce prywatności Twojego newslettera.
  • Jak ustawić double opt-in w popularnym systemie do mailingu.
  • Czy subskrybent zawsze może odwołać zgodę.
  • Na co zwrócić uwagę pod kątem zgodności z RODO wybierając system do newslettera.
  • Jak zgody na newsletter pobierać w sposób tradycyjny.

Już dziś załóż newsletter zgodny z RODO.

Jeśli budujesz lub dopiero zamierzasz budować własną bazę subskrybentów na pewno zastanawiasz się nad tym, co jest Ci potrzebne, aby działać zgodnie z RODO. Co ważne, nie musisz wcale prowadzić działalności gospodarczej, aby założyć własny newsletter.

Osoba, która gromadzi adresy e-mail w celu wysyłki newslettera będzie administratorem tych danych.

Warto jednak wiedzieć, że osoba, która gromadzi adresy e-mail w celu wysyłki newslettera będzie administratorem tych danych. RODO dotyczy bowiem każdego przetwarzania, które odbywa się na cele zawodowe, zarobkowe lub statutowe. Zatem, nawet jeśli nie prowadzisz działalności gospodarczej, ale chcesz założyć własny newsletter, musisz liczyć się z tym, że musi on spełniać wszystkie warunki RODO. A to oznacza także prowadzenie odpowiedniej dokumentacji oraz właściwe zabezpieczenie danych. Więcej o RODO w działalności nierejestrowanej znajdziesz na moim blogu.

Na początek jednak przekażę Ci wiedzę niezbędną do tego, aby Twój newsletter w ogóle zaczął działać i spełniał wszystkie wymogi RODO. Nie musisz posiadać nawet własnej strony www, aby zacząć gromadzić dane osobowe Twoich subskrybentów. Możesz wybrać narzędzie do mailingu, które zautomatyzuje cały proces pozyskiwania danych i zapewni odpowiedni poziom bezpieczeństwa danych. System do automatyzacji pozwoli Ci na utrzymanie bazy, wysyłkę maili, śledzenie statystyk otwierania maili, etc. Ułatwi Ci także obsługę subskrybenta pod kątem RODO, np. zbieranie i odwoływanie zgody. O tym, na co zwrócić uwagę przy wyborze takiego systemu pod kątem RODO, piszę w dalszej części tego artykułu. 

Zgoda na newsletter.

Musisz posiadać zgodę osoby na wysłanie newslettera.

Aby działać zgodnie z prawem musisz posiadać zgodę osoby na wysłanie newslettera. Jeśli prowadzisz zapis na newsletter w formie elektronicznej to zgodę również możesz odebrać w tej formie. Teoretycznie, wydaje się to proste, ale w praktyce etap pozyskiwania zgód, ich ilości i treści na formularzu zapisu sprawiają najwięcej problemów. Pokażę Ci kilka wariantów zgód, które możesz wykorzystać przy tworzeniu własnego newslettera. Łączy je jedna wspólna cecha, którą uważam za kluczową i niezbędną. 

Jest nią metoda double opt-in. To metoda zapisu na newsletter, która polega na tym, że osoba zapisująca się musi potwierdzić swój zapis poprzez kliknięcie linku, który otrzyma w mailu zwrotnym, zanim jej adres trafi do Twojej bazy. Dzięki temu, jako administrator danych masz 100% potwierdzenie, że osoba wyraziła zgodę. Zgodnie bowiem z RODO, zgoda musi być dobrowolnym działaniem stwierdzającym wolę osoby. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Przy zastosowaniu double opt – in nie będzie wątpliwości, że osoba zapisała się z własnej woli, gdyż tylko właściciel adresu może zalogować się do skrzynki i potwierdzić chęć otrzymywania od Ciebie newslettera.

Drugą, nadal prawnie dozwoloną opcją jest zapis za pomocą metody opt-in. Jest to metoda, która nie zakłada potwierdzenia adresu e-mail przez jego użytkownika. Polega na tym, że osoba zapisująca się podaje swój e-mail na formularzu zapisu i najczęściej zaznacza checkbox ze zgodą (jeden lub kilka). Moim zdaniem jednak ta metoda zapisu nie daje wyraźnego potwierdzenia wyrażenia zgody. Mogę przecież podać adres dowolnej osoby i zapisać ją na setki newsletterów bez jej wiedzy. W mojej opinii nie mają znaczenia także checkboxy, które wówczas są umieszczane pod takim formularzem zapisu. Przecież ich zaznaczenia i wyrażenia zgody także mogą dokonać w cudzym imieniu postronne osoby, podając przypadkowe maile. Zwolennicy metody opt-in twierdzą jednak, że taka metoda daje lepsze rezultaty, ponieważ więcej osób ostatecznie trafi do Twojej bazy. Zapis na newsletter, niestety, nie wszyscy potwierdzają. Czasami zapominają o tym, nie zauważą Twojego maila z linkiem do potwierdzenia, etc. Jednak taki odsetek niepotwierdzonych na prawdę jest niewielki w stosunku do korzyści, jakie możesz odnieść dzięki subskrypcji z potwierdzeniem.

Wątpliwości na temat ilości zgód biorą się z tego, że w Polsce mamy obecnie trzy różne przepisy prawa, które dotyczą otrzymywania wiadomości handlowych i marketingowych. A takie treści zwykle przekazuje się w newsletterze. Nawet, jeśli wydaje Ci się, że na początku nie będziesz prowadzić sprzedaży, to i tak informując chociażby o nowych wpisach blogowych przetwarzasz dane właśnie w celach marketingowych. Budowa Twojego wizerunku jako eksperta to także cel marketingowy.

Jakie przepisy prawa należy wziąć pod uwagę przy tworzeniu newslettera?

Pierwszy przepis to art. 6 ust. 1 lit. a) RODO, czyli przetwarzanie danych jest możliwe, jeśli osoba wyraziła na to zgodę w konkretnym celu. Zgodnie z art. 7 RODO, może to być np. dobrowolne  działanie potwierdzające. Ważne będzie zatem konkretne działanie osoby, które jednoznacznie wskaże jej wolę. Takim przykładem zgody może być, np. podanie i potwierdzenie adresu e-mail.

Kolejny, ważny przepis, to art. 10 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Wskazuje on wymóg pozyskiwania zgody na przesłanie informacji handlowej do osoby fizycznej. Informację handlową uważa się za zamówioną, jeśli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Ta forma zgody także mieści się w granicach dobrowolnego działania potwierdzającego. Jeśli więc odbiorca poda adres e-mail, a potem go potwierdzi, to znaczy, że chce otrzymywać Twój newsletter. 

Informację handlową uważa się za zamówioną, jeśli odbiorca wyraził zgodę na otrzymywanie takiej informacji.

I wreszcie, trzeci przepis to art. 172 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Zgodnie z nim, zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z tym, aby przesłać informację handlową przez e-mail czy SMS musisz mieć zgodę użytkownika tego urządzenia. Co ważne, dotyczy to nie tylko osób fizycznych, ale i prawnych.

Mamy zatem aż trzy przepisy regulujące otrzymywanie informacji w celu marketingowym na podany e-mail. Na dodatek, każdy z tych przepisów jest w Polsce monitorowany przez trzy odrębne urzędy, to jest: Urząd Ochrony Danych Osobowych (UODO) pod kątem RODO, Urząd Ochrony Konkurencji i Konsumentów (UOKiK) z zakresie świadczenia usług drogą elektroniczną, a także Urząd Komunikacji Elektronicznej (UKE) w realizacji prawa telekomunikacyjnego. I żaden z tych urzędów regulujących nie ustosunkował się jednoznacznie co do tego, czy i które zgody można ze sobą łączyć. Dlatego w praktyce możesz się spotkać z formularzami, pod którymi umieszczono aż trzy checkboxy ze zgodami, dwa, jeden lub wcale. Która opcja jest więc poprawna? Ile pozyskać zgód, aby newsletter był zgodny z RODO i zabezpieczony prawnie? 

W mojej ocenie, ważniejsze od ilości zgód jest zastosowanie metody double opt-in, czyli 100% pewnej metody zapisu, polegającej na potwierdzeniu maila przez jego użytkownika. Moim zdaniem, można umieścić dwa checkboxy, czyli dwie zgody. Jedna zgoda będzie dotyczyła przetwarzania danych na cele marketingowe, a druga wysyłania informacji handlowych wybranym kanałem komunikacji (e-mail lub SMS). Treść takich przykładowych zgód mogłaby wyglądać następująco:

  • Wyrażam zgodę na przetwarzanie danych osobowych przez (nazwa i adres Twojej firmy) w celu otrzymywania informacji handlowych i marketingowych.
  • Wyrażam zgodę na wysłanie informacji handlowej drogą elektroniczną na podany adres e-mail przez (nazwa i adres Twojej firmy).

Uważam, że zgoda wynikająca z ustawy o świadczeniu usług drogą elektroniczną oraz ta wynikająca z prawa telekomunikacyjnego może zostać sformułowana w jednolity sposób, tzn. jako zgoda na wysłanie wiadomości handlowej określonym kanałem komunikacji. Jeśli osoba wyraża zgodę na przesłanie informacji na podany e-mail, a następnie potwierdza go, to również oznacza, że wyraża zgodę na wysłanie jej na urządzenie, z którego korzystać będzie do odbierania poczty. 

Możesz spotkać się również z sytuacją, gdy pod newsletterem jest umieszona jedna zgoda na przetwarzanie danych lub nie mam jej wcale. Moim zdaniem taka opcja także będzie prawidłowa pod warunkiem ustawienia subskrypcji z potwierdzeniem (double opt-in) oraz jasnego określenia, na co osoba się godzi. Mam na myśli sytuację, w której zbierasz adresy e-mail na formularzu zapisu, z którego wynika wprost, np. zapisz się na newsletter aby otrzymywać bezpłatnego e-booka lub wziąć udział w darmowym webinarze, etc. Pamiętaj także, że zapis bez potwierdzenia (opt-in), nawet z trzema zgodami „nie uratuje” Cię w razie wątpliwości osoby lub organu nadzorczego, czy taka zgoda w ogóle była wyrażona.

Podsumowując: Zgoda musi być dobrowolna, a osoba zapisująca się powinna być świadoma na co się godzi i jaki będzie cel przetwarzania. Najlepszym rozwiązaniem jest zastosować metodę double opt-in oraz checkboxy, które wskażą Twoją tożsamość oraz cel pozyskania danych.

Dodatkowe wskazówki.
Pamiętaj, że checkboxy ze zgodami nie mogą być domyślnie zaznaczone. Osoba sama musi kliknąć, czyli wykonać świadome działanie potwierdzające. 

Czy certyfikat SSL jest standardem na stronie z newsletterem?

Certyfikat SSL to protokół, który zapewnia poufność i integralność transmisji danych.

Strona z formularzem zapisu powinna posiadać certyfikat SSL. Możesz to rozpoznać jako tzw. zieloną kłódkę przy adresie strony. To oznacza, że certyfikat SSL został prawidłowo zainstalowany. Co nam daje ten certyfikat? Certyfikat SSL to protokół, który zapewnia poufność i integralność transmisji danych, które są przesyłane za pośrednictwem formularza. Obowiązkowo powinien zostać zainstalowany na każdej stronie, na której działa sklep online, newsletter lub formularz kontaktowy. Moim zdaniem każda strona powinna taki certyfikat posiadać, nie tylko te, na których są podawane dane osobowe. Od jakiegoś czasu także przeglądarka Chrome indeksuje strony, które nie mają SSL i oznacza je jako potencjalnie niebezpieczne. Nie warto tracić potencjalnego klienta lub subskrybenta oszczędzając na SSL. Tym bardziej, że niektóre firmy hostingowe dają SSL gratis do domeny lub abonamentu. Wykupienie certyfikatu SSL kosztuje około 100 – 400 zł. Odnowienie certyfikatu następuje zwykle co rok, więc trzeba pamiętać o tym, aby ponownie zainstalować nowy certyfikat.

Podsumowując: Jeśli przy adresie Twojej witryny lub strony na której tworzysz formularz jest taka kłódka to oznacza, że strona, którą przeglądamy jest bezpieczna. Oprócz tego sam adres strony zmienia się z http//: na https//:. Po tym także możemy poznać, że certyfikat SSL został zainstalowany na stronie prawidłowo. Jeśli Twoja strona nie ma takiego certyfikatu, koniecznie się o to postaraj przed założeniem newslettera.

O czym i kiedy informować w polityce prywatności newslettera?

Zgodnie z art. 13 RODO, osoba, której dane pobierasz na formularzu zapisu przed podaniem swoich danych musi znać dokładną nazwę i adres siedziby administratora danych. W przypadku osób fizycznych nieprowadzących działalności gospodarczej, które decydują się na założenie newslettera, wymagane jest podanie imienia i nazwiska oraz adresu zamieszkania. Nie możesz tych informacji zataić –  obowiązkiem prawnym jest podanie danych administratora.

Osoba zapisująca się musi także posiadać informacje dotyczące:

  • celu zbierania danych, np. cel marketingowy, wysyłka newslettera,
  • danych kontaktowych administratora danych,
  • informacji o tym, czy jest obowiązek podania danych, a jeśli tak, to jaka jest podstawa prawna,
  • okresu przechowywania danych,
  • zamiarze przetwarzania danych na terenie państw trzecich,
  • prawach osoby, w tym prawie dostępu do danych, poprawiania danych, czy odwołania zgody w dowolnej chwili,
  • prawie do złożenia skargi do UODO, jeśli osoba uzna, że przetwarzanie jej danych jest niezgodne z aktualnie obowiązującymi przepisami ochrony danych.

Te informacje powinny zostać przekazane subskrybentowi na etapie zbierania danych, czyli jeszcze zanim je poda i potwierdzi. Dlatego przyjęło się je podawać w formie polityki prywatności. Może to być polityka prywatności samego newslettera, jeśli tylko on jest na stronie lub w formie kompleksowej polityki prywatności obejmującej także inne aspekty gromadzenia danych (np. dodatkowo dla formularza kontaktowego, sklepu online). Wbrew pozorom, nie zawsze treść polityki prywatności dla każdej strony będzie taka sama. Ta zależeć będzie od tego jakie są cele gromadzenia danych, ponieważ inne prawa mogą przysługiwać w zakresie RODO klientom sklepu online, a inne użytkownikom newslettera. Jeśli szukasz sprawdzonego wzoru polityki prywatności dla Twojego newslettera możesz sprawdzić mój produkt – “Polityka Prywatności na Twoją stronę www.“. Jest to polityka prywatności oraz polityka cookies przygotowana pod kątem newslettera, sklepu online oraz formularza kontaktowego. Natomiast, o tym, jak samodzielnie napisać politykę prywatności pisałam tutaj.

Jak poinformować o polityce prywatności newslettera?

Taka informacja może zostać przekazana w tzw. formie warstwowej. Jest to bardzo praktyczne rozwiązanie, zarówno dla subskrybenta, jak i dla Ciebie. A przy tym prawnie dozwolone. 

Polega to na tym, że pod formularzem zapisu można przekazać pierwszą, krótką warstwę z informacją o danych administratora oraz celu zbierania danych. A pozostałe informacje, które zajmą kilka dobrych linijek, należy umieścić w polityce prywatności, do której odeślesz subskrybenta przed zapisem. Taki zapis pierwszej warstwy pod formularzem może wyglądać następująco:

Administratorem danych subskrybentów jest [nazwa i adres Twojej firmy]. Dane będą przetwarzane w celu wysłania informacji handlowych (newsletter). Więcej informacji znajdziesz w polityce prywatności [wklej aktywny link do Twojej polityki prywatności].

Polityka prywatności Twojej strony lub newslettera, podobnie jak polityka cookies, powinna być łatwo dostępna dla osoby zapisującej się, czy też tylko odwiedzającej stronę. Link do niej powinien zostać umieszczony w stopce Twojej strony.

Jak ustawić double opt-in w popularnym systemie do mailingu?

Jak już wiesz istotą legalnego newslettera jest przede wszystkim ustawienie subskrypcji z potwierdzeniem. Jest to metoda zapisu metodą double opt – in. Poszukaj w swoim systemie możliwości ustawienia takiej opcji. Każdy system do mailingu powinien mieć taką możliwość. Wybór tej opcji da Ci 100% pewność, że subskrybent zapisuje się dobrowolnie i jest to jego właściwy adres e-mail, na który w przyszłości chce otrzymywać wiadomości od Ciebie. 

Popularnym systemem, który jest często polecany na grupach  biznesowych w mediach społecznościowych jest MailerLite.

Jest to narzędzie bezpłatne do 1 000 subskrybentów i nie więcej niż 12 000 wysłanych maili na miesiąc. Na jego przykładzie pokażę Ci niektóre ustawienia newslettera w kontekście RODO. Niezależnie od tego, czy korzystasz z tego narzędzia, czy wybierzesz inny system do mailingu – wszystkie poniższe kroki i wskazówki również bardzo Ci się przydadzą w praktyce. Większość informacji jest uniwersalna.

Zwróć uwagę na to, że system może wymagać ustawienia opcji double opt-in w kilku miejscach.

MailerLite wymaga ustawienia double opt-in na poziomie ustawienia integracji, np. jeśli  zdecydujesz się połączyć system mailingowy z własną stroną www lub sklepem online.  Opcję ustawienia subskrypcji z potwierdzeniem dla API i integracji znajdziesz w Moje konto -> Ustawienia subskrypcji. Double opt-in powinno mieć status włączone. Na tym etapie również pamiętaj o dodaniu treści maila potwierdzającego subskrypcję i strony z podziękowaniem za zapis, np. z linkiem do pobrania darmowego e-booka, który dajesz w zamian swoim subskrybentom. Treść przykładowego maila potwierdzającego subskrypcję znajdziesz w dalszej części.

Z kolei na poziomie budowania formularzy zapisu i landing page, za pomocą których będziesz zbierać e-maile, musisz dopilnować za każdym razem, aby opcja double opt-in miała także status włączony. Każdorazowo wprowadź treść maila potwierdzającego. Jeśli będziesz kopiować raz przygotowany landing page na inne cele to treść maila będzie także powielana. Warto jednak wcześniej sprawdzić, czy jest ona zgodna z tym, co chcesz przekazać nowym subskrybentom.

Zdjęcie 1. Ustawienie double opt-in na przykładzie MailerLite dla przyszłych integracji Twojego newslettera z innymi systemami, np. WordPressem lub WooCommerce.

Czy i jak subskrybent może odwołać zgodę?

Newsletter zgodny z RODO musi dopuszczać możliwość wypisania się w dowolnej chwili

Służy najczęściej temu stopka w wysyłanym mailu. Opcja wypisania się musi być zawsze dostępna. Systemy do mailingu, na szczęście, uniemożliwiają usunięcie opcji wypisania się. Jednak, wysyłając mailing bez systemu do automatyzacji newslettera musisz pamiętać o umożliwieniu subskrybentowi odwołania zgody, np. poprzez napisanie NIE w korespondencji zwrotnej na Twój e-mail. W każdym razie, używając narzędzi do automatyzacji mamy trochę uproszczone zadanie. Dla przykładu, w MailerLite można automatycznie wygenerować stopkę na podstawie informacji podanych podczas ustawiania konta (patrz: Moje konto -> Ustawienia konta -> Company profile) lub podać własną treść (patrz: Moje konto -> Ustawienia konta -> Default settings). Treść samej stopki można również edytować na etapie tworzenia nowego maila w kampanii. 

Możesz np. użyć następującej treści: Otrzymujesz tę wiadomość, ponieważ wyraziłeś zgodę na otrzymywanie newslettera od [tu wstaw nazwę i adres Twojej firmy lub imię i nazwisko oraz miejsce zamieszkania – jeśli jesteś osobą fizyczną]. Jeśli uznasz, że chcesz się wypisać to pamiętaj, że w każdej chwili możesz anulować subskrypcję. Jeśli chcesz się wypisać kliknij tutaj.

Co ważne opcje wypisania się – link do anulowania subskrypcji  – ustawiasz osobno. W MailerLite robisz to w Moje konto -> Ustawienia anulowania subskrypcji. Na tym etapie warto zwrócić uwagę na to, aby odwołanie zgody było tak samo łatwe, jak jej wyrażenie. PUODO już nakładał kary administracyjne za zbytnie komplikowanie procesu wypisu. Nie możesz utrudniać wypisania, czy też uzależniać anulowania od podania powodu wypisu. Możesz oczywiście zbierać statystycznie informacje o powodach wypisania się i każdy system do mailingu na to pozwala. Jednak, nie może to zależeć od anulowania newslettera. Testowałam pod tym kątem MailerLite i w momencie, gdy osoba klika wypisz się (unsubscribe) automatycznie jest wypisywana, a wyświetlająca się ankieta z powodami wypisania się jest już dobrowolna. Można bez problemu zamknąć stronę, wyjść i nie wysyłać informacji o powodach anulowania, a i tak e-mail zostanie wypisany z newslettera. Aby to osiągnąć pamiętaj o tym, aby ustawienia anulowania subskrypcji były nastepujące: wypisanie następowało od razu ze wszystkich grup subskrybentów, do których osoba się zapisała, a wypis następował natychmiast jak, tylko osoba otworzy stronę wypisania się. Poszukaj takich opcji w swoim systemie do mailingu. W MailerLite, w opcji anulowania subskrypcji powinny być zaznaczone dwa checkboxy (pierwszy i ostatni), jak na zdjęciu poniżej.

Zdjęcie 2: Ustawienia anulowania subskrypcji na przykładzie MailerLite.

Na co zwrócić uwagę pod kątem zgodności z RODO wybierając system do mailingu?

Wybierając system do mailingu należy zwrócić uwagę przede wszystkim na to, czy siedziba usługodawcy znajduje się na terenie państw trzecich. Przekazywanie danych pomiędzy państwami Europejskiego Obszaru Gospodarczego (EOG) jest dozwolone, o ile odbywa się na podstawie zasad zawartych w RODO. W skład EOG wchodzą nie tylko państwa członkowie Unii Europejskiej, ale także Islandia, Lichtenstein i Norwegia. Co do zasady więc, wszystkie systemy mailingowe, które są zlokalizowane na terenie EOG są dozwolone. I tu warto wiedzieć, że np. system MailerLite jest zlokalizowany na Litwie, co oznacza, że jako kraj EOG – jest dozwolony.

Natomiast, jeśli siedziba lub serwery danych firmy obsługującej wybrany przez Ciebie system do mailingu znajdują się poza EOG to oznacza, że przetwarzanie danych odbywa się na terenie państw trzecich. To, co prawda, jeszcze nie oznacza, że nie możesz go używać. W takiej sytuacji musisz sprawdzić, czy w stosunku do tego kraju lub usługodawcy zostały przez Komisję Europejską wydane pozytywne decyzje, co do możliwości przekazania danych.  Inny popularny system do mailingu, MailChimp, jest z kolei zlokalizowany na terenie Stanów Zjednoczonych Ameryki. W stosunku do firm z USA zostały wydane także wytyczne Komisji Europejskiej, co do bezpiecznego przekazywania danych. Tę kwestię reguluje specjalne porozumienie pomiędzy UE a USA. Jest to Tarcza Prywatności (Privacy Shield) z 2016 roku, której rezultatem jest lista dozwolonych importerów uczestniczących w programie. Listę tę nazywamy Privacy Shield List. Warto sprawdzić, czy wybrany usługodawca z USA znajduje się na tej liście. MailChimp akurat znajduje się na tej liście.

W przypadku systemów z innych państw trzecich sytuacja się nieco komplikuje. Aby mimo tego przekazywać dane, należałoby najpierw sprawdzić, czy są aktualne decyzje Komisji Europejskiej, pozwalające na to. Jeśli masz pytania o konkretny kraj trzeci, napisz do mnie, a pomogę Ci to zweryfikować.

Kolejny krok, to zawarcie umowy powierzenia przetwarzania danych. System, w którym będą przechowywane dane Twoich subskrybentów będzie te dane przetwarzał. Już sam fakt utrzymywania systemu i potencjalnego dostępu do danych tam zawartych jest przetwarzaniem.  

W takiej sytuacji dochodzi do powierzenia przetwarzania danych. Ty, jako administrator danych Twoich subskrybentów, musisz powierzyć przetwarzanie danych usługodawcy. Jest to Twój obowiązek, wynikający z art. 28 RODO. Umowa powierzenia danych jest wymagana niezależnie od tego, czy korzystasz z systemu do automatyzacji newslettera zlokalizowanego na terenie EOG, czy państwa trzeciego. Powierzenie danych musi zostać potwierdzone umową powierzenia zawartą w formie tradycyjnej lub elektronicznie. Usługodawcy zwykle posiadają własne wzory umowy powierzenia i najczęściej wystarczy się zwrócić do biura obsługi, aby uzyskać taką umowę. W przypadku MailerLite zawarcie umowy powierzenia następuje bezpośrednio na   stronie tego usługodawcy. Wystarczy wypełnić prosty formularz nazwą swojej działalności lub danymi osoby fizycznej, podać adres e-mail i wygenerować umowę w pdf.

Zdjęcie 3. Screen podczas generowania umowy powierzenia danych w MailerLite.

Jednak umowa powierzenia to nadal nie wszystkie kwestie, na które trzeba zwrócić uwagę, jeśli chcemy mieć newsletter zgodny z RODO. System powinen umożliwiać ustawienie opcji subskrypcji z potwierdzeniem, o której wspominałam wcześniej w tym artykule.

Ważne jest także ustawienie treści wiadomości wysyłanej po zapisie. To jest tak zwany mail potwierdzający. Możesz w jego treści użyć np. poniższego sformułowania.

„Cześć! Właśnie otrzymaliśmy Twój zapis na newsletter. Prosimy, potwierdź subskrypcję klikając w poniższy link/przycisk. Tylko potwierdzone adresy trafiają na naszą listę.”

Co do zasady, osoba zapisująca się, jak zapewne pamiętasz, powinna otrzymać informację o tym, kto będzie administratorem danych oraz celu przetwarzania jeszcze przed zapisem. Jednak nic nie stoi na przeszkodzie, aby te informacje dodać także w tym miejscu. Jest to już niejako po zapisie, ale często osoby przeglądające stronę, czy zapisujące się tak naprawdę nie zwracają uwagi na politykę prywatności. Dlatego, zawsze rekomenduję moim klientom, aby także w tym miejscu, np. pod przyciskiem potwierdzającym zapis umieścić jeszcze krótką adnotację na ten temat. Nie chodzi mi, rzecz jasna, o to, aby kopiować do tej wiadomości całą politykę prywatności. Możesz użyć np. takiego krótkiego przykładu:

Administratorem danych subskrybentów jest [nazwa i adres Twojej firmy]. Dane będą przetwarzane w celu wysłania informacji handlowych (newsletter). Więcej informacji znajdziesz w polityce prywatności [wklej aktywny link do Twojej polityki prywatności].

Prawo do bycia zapomnianym.

Jeśli osoba wypisuje się z newslettera, jej adres e-mail także powinien zostać usunięty z Twojego konta.

Jesteśmy już prawie na końcu, jeśli chodzi o punkty, które warto wziąć pod uwagę przy wyborze systemu mailingowego. Ostatni element, na który chciałabym zwrócić Twoją uwagę, to usuwanie danych osób, które nie potwierdziły subskrypcji lub wypisały się. Jest to związane z realizacją prawa do bycia zapomnianym. Zgodnie z nim, po zakończeniu przetwarzania danych, gdy ustaje już podstawa do przetwarzania danych, a taką jest w tym przypadku zgoda, należy dane usunąć trwale. Jeśli osoba wypisuje się z newslettera, jej adres e-mail także powinien zostać usunięty z Twojego konta. Systemy do mailingu nie zawsze robią to automatycznie, chociaż powinny. W MailerLite, niestety, co jakiś czas trzeba to robić ręcznie. Po wypisaniu się osoba nie będzie otrzymywała już maili od Ciebie, ale jej adres nadal będzie w Twojej bazie. Po wybraniu opcji Subskrybenci -> Wszyscy możesz filtrować osoby zapisane wg statusu – aktywni, wypisani, niepotwierdzeni. Wypisanych i tych, którzy nie potwierdzili swojej subskrypcji należy cyklicznie usuwać. Sprawdź, jak to działa w wybranym przez Ciebie systemie do mailingu.

Czy zgodę na newsletter można pobrać w formie papierowej?

Zgodny na newsletter możesz pobierać także od klientów, z którymi masz fizyczny kontakt. Mogą to być, np. klienci Twojego gabinetu kosmetycznego. Niezależnie od typu biznesu, który prowadzisz, możesz budować bazę klientów, którzy wyrazili zgodę na wysyłkę newslettera. Do tego celu możesz użyć tradycyjnego, papierowego formularza. Zgoda zostanie wtedy wyrażona na formularzu, który musisz przechowywać na cele dowodowe na wypadek kontroli UODO. Adresy pozyskane dobrowolnie na cele wysyłki newslettera możesz następnie wprowadzić do dowolnego narzędzia do automatyzacji.

Uważasz ten artykuł za przydatny? Miło mi będzie, jeśli podzielisz się nim z osobami, które mogą potrzebować takiej wiedzy do założenia własnego newslettera. Szczególnie w obecnym czasie, gdy wiele osób planuje przenieść swój biznes do świata online. Własny newsletter zgodny z RODO to pierwszy krok do utrzymania zaangażowania Twoich odbiorców i potencjalnych klientów. Życzę Ci powodzenia w rozwoju Twojego biznesu!

error: Treść strony jest chroniona!