Podstawowa kwestia jaką trzeba rozwiązać to, czy adresy e-mail należy traktować jako dane osobowe? Przeszukując Internet na pewno spotkałeś się z wieloma różnymi interpretacjami. Wiele osób twierdzi, że jeśli tylko w akcjach marketingowych zbiera się same adresy e-mail, to nie trzeba w ogóle przejmować się sprawami związanymi z ochroną danych osobowych.
Warto zwrócić jednak uwagę na szeroką definicję danych osobowych zawartą w ustawie o ochronie danych osobowych. Za takie dane uważa się:
„wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.”
Jeśli więc za pomocą adresu e-mail będziesz w stanie zidentyfikować konkretną osobę to należy uznać, że jest do dana osobowa. Prowadząc kampanie oparte o gromadzenie adresów e-mail na pewno spotkasz się z adresami, gdzie będzie wprost wpisane imię i nazwisko oraz z takimi, gdzie ich nie będzie jak np. biuro@xyz.pl. Te drugie, nie muszą być danymi osobowymi, w szczególności, jeśli osoba je udostępniająca nie wprowadza dodatkowych danych jak np. imię. Jednak w przypadku danych osobowych zdecydowanie warto trzymać się szerokiego rozumienia ich definicji.
Co na to Generalny Inspektor Ochrony Danych Osobowych? Zgodnie z jego stanowiskiem osoby zainteresowane otrzymywaniem bezpłatnych treści redakcyjnych, na przykład w formie newslettera, z założenia podają swój adres e-mail dobrowolnie. W konsekwencji pozyskane w ten sposób adresy stanowią zbiór danych osobowych.
Organizator kampanii jako administrator danych osobowych.
Zbieranie danych osobowych dla organizatora kampanii e-mail marketingowej ma daleko idące konsekwencje. Od momentu jej rozpoczęcia staje się on również administratorem danych osobowych – jest nim każdy podmiot, który przetwarza dane osobowe. Zgodnie z definicją ustawową poprzez przetwarzanie danych osobowych:
„rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.”
Jakie więc obowiązki ciążą na organizatorze kampanii marketingowej, będącym administratorem danych osobowych?
Zgoda odbiorcy na użycie jego adresu email
Najważniejszym obowiązkiem jest uzyskanie przez organizatora zgody od odbiorcy kampanii na użycie jego adresu e-mail w celach marketingowych. Jest to podstawowy cel prowadzenia działań e-mail marketingowych. Jeśli zaś w przyszłości przewidujesz wysyłanie ofert handlowych należy uzyskać w tym celu oddzielną zgodę. Najprostszym rozwiązaniem jest zastosowanie w formularzu rejestracyjnym odpowiednich pól zgód (checkboxy).
Uzyskanie powyższych zgód powinno być stałym elementem każdej kampanii opartej o gromadzenie adresów e-mail. Zgodnie z regulacjami prawnymi w tym zakresie:
„przetwarzanie danych jest dopuszczalne (…) gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.”
Obowiązek informacyjny, czyli o czym powinien informować administrator danych osobowych
Administrator danych osobowych zobowiązany jest poinformować osoby, które udostępniają swoje dane o:
adresie swojej siedziby i pełnej nazwie,
celu zbierania danych osobowych,
prawie dostępu do swoich danych,
dobrowolności albo obowiązku podania danych.
Najprostszym sposobem wypełnienia tego obowiązku jest umieszczenie na stronie kampanii polityki prywatności.
Rejestracja zbiorów danych osobowych
Kolejnym niezwykle ważnym obowiązkiem organizatora kampanii jest zgłoszenie zbioru danych, w którym gromadzone będą adresy e-mail, do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Całą procedurę można przeprowadzić za pośrednictwem Internetu. Bardzo często administratorzy danych zapominają, że zgłoszenie zbiorów powinno odbyć się jeszcze przed rozpoczęciem przetwarzania danych. Oznacza to, że organizator kampanii marketingowej powinien dopilnować tego obowiązku już na etapie planowania działań, najpóźniej w momencie startu kampanii.
Przygotowanie i wdrożenie procedur
Administrator danych osobowych zobowiązany jest również stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Zgodnie z prawem takie dane należy zabezpieczyć przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz przed zmianą, utratą, uszkodzeniem lub zniszczeniem.
W nawiązaniu do powyższego obowiązku organizator kampanii powinien mieć przygotowaną w formie pisemnej i wdrożoną politykę bezpieczeństwa danych osobowych oraz instrukcję zarządzania systemem informatycznym.
Umowy powierzenia przetwarzania danych osobowych
W większości przypadków podczas prowadzenia kampanii e-mail marketingowych, jej organizator będzie korzystał z programów podmiotów trzecich. Najczęstszym rozwiązaniem jest posługiwanie się programami do wysyłki newsletterów, co oznacza, że organizator powierza przetwarzane przez siebie dane osobowe podmiotowi trzeciemu. Wobec tego należy pamiętać, że zgodnie z ustawą o ochronie danych osobowych:
„administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.”
Korzystanie z programów zewnętrznych dostawców wymaga więc zawarcia z nimi pisemnej umowy przetwarzania danych. Warto jednak pamiętać, że administrator danych w dalszym ciągu odpowiedzialny jest za prawidłowe przetwarzanie danych, nawet po ich powierzeniu podmiotowi trzeciemu.
Ochrona danych osobowych jest skomplikowana i wieloetapowa. Niestety kwestia ta nie jest zazwyczaj przedmiotem uwagi, nie tylko podczas przeprowadzania kampanii e-mail marketingowych. Wielu działań koniecznych z punktu widzenia prawa nie da się wykonać w ciągu jednego dnia. Warto więc wykonanie obowiązków wymienionych w artykule wpisać na stałe w plan przygotowywania wszystkich działań marketingowych.