Co daje newsletter nie będę tłumaczyć. Lepiej o tym poczytać u specjalistów od strategii marketingowych, którzy mają większą wiedzę w tym zakresie. Ale na pewno warto go mieć. To świetne narzędzie do budowania relacji z naszą grupą docelową i społecznością. Dziś będzie o tym, jak powinien wyglądać newsletter zgodny z RODO oraz z ustawą o świadczeniu usług elektronicznych.
Skąd te checkboxy, zgody i polityki prywatności?
To okropne Rodo… tyle tylko, że to nie Rodo wprowadziło obowiązek pozyskiwania zgód i informowania o prawach osoby, której dane chcemy przetwarzać. Taki obowiązek był już wcześniej w naszej krajowej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Rodo oczywiście wprowadziło wiele zmian, ale obowiązki jako administratorzy danych, to mieliśmy już wcześniej. A że niewielu przedsiębiorców je wypełniało, to już inna historia.
Rola danych osobowych w społeczeństwie informacyjnym, w jakim przyszło nam żyć i prowadzić biznesy, stale rośnie – a tym samym kluczowe jest bezpieczeństwo tych danych. Czasem własnie dane osobowe to największy zasób, jakim dysponują firmy… dlatego tak ważne jest, by ich przetwarzanie odbywało się zgodnie z prawem, które – jak widać na przykładzie RODO – powinno nadążać za rzeczywistością i odpowiadać na wyzwania życia codziennego.
Zgoda na przetwarzanie – tak czy nie?
Dlaczego zgoda? Zgoda to jedna z kilku podstaw prawnych przetwarzania danych. Podstawa prawna to takie przyzwolenie, czy upoważnienie do tego, byśmy mogli coś robić. To podobnie, gdy chcemy autem włączyć się do ruchu drogowego. Musimy mieć prawo jazdy, bo inaczej zrobimy to nielegalnie. Zatem, jeśli chcemy przetwarzać dane osobowe, to musimy mieć podstawę prawną. Rodo przewiduje ich kilka i są to:
- zgoda osoby, której dane dotyczą (a w przypadku danych dzieci ich opiekuna prawnego),
- umowa,
- obowiązek prawny administratora,
- ochrona żywotnych interesów osoby, której dane dotyczą,
- zadanie realizowane w interesie publicznym (lub w ramach sprawowania władzy publicznej powierzonej Administratorowi),
- prawnie uzasadnione interesy administratora lub osoby trzeciej.
W przypadku newslettera naszą podstawą prawną będzie zgoda osoby, której będziemy go przesyłać. Co prawda pojawiają się głosy, że przetwarzanie danych w celu wysyłki newslettera można oprzeć na prawnym interesie administratora. Ale to rozwiązanie może być nieco ryzykowne, dlatego lepiej trzymać się „zgody”. Bezpieczniej jest chociażby ze względu na możliwość cofnięcia takiej zgody przez tę osobę, która jej nam udzieliła. Takiego prawa osoba ta nie będzie miała przy prawnie uzasadnionym interesie administratora (ale nadal będzie miała pozostałe prawa związane z przetwarzaniem jej danych, o czym piszę poniżej). Wiele osób może się wkurzyć, nie mogąc swojej zgody cofnąć. A po co nam wkurzony przymusowy czytelnik, który nie dość, że nic od nas nie przeczyta, a tym bardziej nie kupi, a do tego, jeszcze nas obsmaruje, gdzie się da w Internecie?
Jedna czy dwie zgody i skąd to całe zamieszanie?
Wykwit checkboxów to zasługa m.in. ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. To krótka ustawa, ale wprowadziła dużo zamieszania. Regulacja ta nakłada obowiązek uzyskania zgody na otrzymywanie informacji handlowych drogą elektroniczną. Z kolei nieobowiązująca już Ustawa o ochronie danych osobowych z 1997 r. wymagała, by zgoda na przetwarzanie danych osobowych nie była domniemana lub dorozumiana z oświadczenia woli o innej treści, czyli np. właśnie zgody na otrzymywanie informacji handlowych. To, w tamtym czasie, tworzyło obowiązek pozyskania dwóch zgód.
RODO tę sytuację zmieniło. W art. 4 pkt 11 tego Rozporządzenia znajdziemy nową definicję zgody, z której jasno wynika, że zgoda może mieć formę oświadczenia lub wyraźnego działania potwierdzającego. A takim działaniem potwierdzającym może być zgoda wymagana Ustawą o świadczeniu usług drogą elektroniczną. A co to oznacza w codziennym newsletterowym życiu? Możesz zapytać o jedną zgodę i w swoim pytaniu zawszeć informacje, na co zgadza się osoba zainteresowana otrzymywaniem Twojego newslettera. Zawrzyj w pytaniu zakres tego, co zamierzasz przesyłać w swoich newsletterach. Jeśli czasem będziesz w nich zachęcać do zakupu czegoś u Ciebie, to uprzedź o tym swego nowego czytelnika czy czytelnika. Jeśli chcesz, to możesz też nadal stosować dwie zgody – oddzielną na przetwarzanie danych w celu wysyłki newslettera oraz na otrzymywanie informacji handlowych drogą elektroniczną.
Z checkboxami czy bez
Jeśli już wiesz, czy chcesz pytać o jedna zgodę, czy o dwie, to masz odpowiedź, czy potrzebne będą checkboxy. Jeśli będziesz pytać o dwie, to potrzebujesz dwóch checkboxów , przy których umieszczasz treść odpowiednich zgód. Pamiętaj, by zrobić to w sposób czytelny dla odbiorcy. To nie musi, a nawet nie jest wskazane, by było napisane językiem prawniczym. Osoba, która ma wyrazić zgodę, powinna wiedzieć od razu, na co się zgadza. I unikaj tutaj różnych „chwytów”, czy „tricków”. Więcej na nich stracisz niż zyskasz.
Jeśli się zdecydujesz prosić tylko o jedną zgodę, nie potrzebujesz chceckboxów. Wystarczy zdanie odpowiedniej treści w formularzu zapisu, a osoba która wyrazi zgodę, zrobi to, po prostu, naciskając przycisk „Zapisz” (Wyślij, Potwierdź, Subskrybuj, Dołącz, czy jeszcze inaczej zechcesz to sobie nazwać). A jeśli nie zechce tej zgody wyrazić, to się na newsletter nie zapisze.
Jeszcze jedna ważna rzecz w przypadku checkboxów. Nie mogą być one wymuszone ani domyślnie zaznaczone np. w formularzach zakupu produktów lub usług. Dlaczego? Bo osoba, która dokonuje zakupu, a chcesz, by wyraziła zgodę np. na newsletter, powinna mieć wybór – zapisuję się lub nie. Jeśli ktoś sam zaznaczy odpowiedni checkbox w zamówieniu, to super, ale to nie może to być warunkiem zawarcia umowy.
A o co chodzi z prezentem za zapis (lead magnet)?
To, że formularz zapisu na newsletter ma większą efektywność, gdy oferujemy w nim prezent za zapis, czyli lead magnet, nie będę nawet wspominać. To oczywiste. Wie to każdy, kto spróbował dwóch metod. Ale, czy ja ten prezent muszę dać, nawet wtedy, gdy ktoś nie wyrazi zgody na przetwarzanie danych? – spotkałam się z takimi pytaniami u siebie w grupie na facebooku (Legalnie na onlajnie). Krótko mówiąc, nie jest to prawda. Jeśli chcesz dawać prezenty na prawo i lewo, Twoje prawo. Nie musisz jednak dawać prezentów (lead magnetu), jeśli ktoś nie wyrazi zgody na otrzymywanie newslettera. Jeśli nie chce newslettera, to nie ma też lead magnetu. To idzie ze sobą w parze. I kropka.
Nie zapomnij o obowiązku informacyjnym
No dobra to zgodę już mamy, ale nie zapominaj o obowiązku informacyjnym. Co to takiego? Obowiązek ten wynika z art. 13 RODO. Znajduje się tam cała lista informacji, jakie powinniśmy przekazać osobie, której dane chcemy przetwarzać. Skoro chcemy przetwarzać czyjeś dane osobowe, to ta osoba powinna wiedzieć, kim jesteśmy oraz jak i gdzie te dane będą przetwarzane. Obowiązek informacyjny możemy umieścić w tzw. klauzuli informacyjnej lub w polityce prywatności. Klauzula informacyjna zazwyczaj jest umieszczana w samym formularzu np. zapisu na newsletter i przybiera postać całkiem długiej „formułki”, która raczej odstrasza od zapisu niż do niego zachęca. Polityka prywatności to bardziej przyjazne rozwiązanie, choć można zadać sobie pytanie, czy ktokolwiek ją czyta w całości. Niezależnie od formy realizacji obowiązku informacyjnego, należy poinformować o :
- tożsamości i danych kontaktowych administratora,
- danych kontaktowych inspektora ochrony danych, jeśli został powołany w Twojej firmie,
- celach przetwarzania oraz podstawie prawnej,
- jeśli podstawą prawną przetwarzania jest prawnie uzasadniony interes administratora, to należy wskazać, jaki jest to interes,
- o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (czyli np. komu powierzać będziemy dane),
- o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (jeśli Cię to dotyczy)
- okresie przetwarzania, a gdy nie jest możliwe wskazanie konkretnego terminu, podajemy kryteria ustalania tego okresu,
- PRAWACH, które mają osoby, których dane chcemy przetwarzać i są to: prawo do żądania dostępu do danych dot. osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania , prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych oraz prawo wniesienia skargi do organu nadzorczego,
- o prawie do cofnięcia zgody w dowolnym momencie , jeśli taka zgoda została wcześniej wyrażona,
- o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (jeśli jest stosowane)
Jeżeli jako administrator planujesz dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zebrałaś, przed takim dalszym przetwarzaniem poinformuj osobę, której dane dotyczą, o tym innym celu oraz udziel jej wszelkich innych stosownych informacji, które zostały wymienione powyżej.
Kiedy spełnić obowiązek informacyjny
Obowiązek informacyjny należy spełnić, zanim osoba wyrazi zgodę. A zgodę tę wyraża w chwili, gdy klika przycisk umożliwiający zapisanie się na naszą listę mailingową do newslettera. Zatem informację, kto, jak, jak długo i na jakich zasadach będzie przetwarzał dane osobowe oraz katalog praw, jakie przysługują osobie, która wyrazi zgodę, osoba ta powinna otrzymać, zanim kliknie. I tutaj mamy argument, by zarówno przy metodzie single opt-in, jak i double opt-in informację zamieścić już w formularzu zapisu, a nie dopiero w emailu z potwierdzeniem lub pytaniem o potwierdzenie zapisu.
Dlaczego? Bo jeśli mam zaakceptować jakieś warunki, to muszę wiedzieć, jakie to warunki. Rozwiązanie typu: najpierw się zgodzę a potem dowiem się, na co się zgodziłam – same przyznacie – jest „słabe”. A poza tym nie jest legalne, czyli jest niezgodne z RODO. I kropka.
Piszę o tym dlatego, bo można w Internecie trafić na formularze zapisu, gdzie nie ma żadnej informacji, ani kto, ani jak i na jakich zasadach przetwarzać chce moje dane. Dopiero, gdy się zapiszę, dostaję maila z prośbą o potwierdzenie zapisu i tam znajduje się klauzula informacyjna lub link do polityki prywatności. Takie rozwiązanie nie jest dobre. Jeszcze raz podkreślę, żeby móc przetwarzać czyjeś dane osobowe, muszę mieć podstawę prawną (w tym przypadku zgodę) oraz spełnić wcześniej obowiązek informacyjny. W opisanym wyżej rozwiązaniu ten ktoś przetwarza dane (np. imię i mój adres emaliowy), zanim spełni obowiązek informacyjny.
Dlaczego w takim razie double opt-in jest lepszy od single opt-in, skoro obowiązek informacyjny musimy spełnić w tym samym momencie? Jest lepszy z tego względu, że do naszej listy nie zostanie zapisany na przykład ktoś, komu inna osoba chce zrobić psikusa i użyje adresu email tej osoby. A drugim, jeszcze mocniejszym argumentem „za” niech będzie fakt, że jako nadawcy newslettera wysyłanego do dużej liczby osób, mamy mniejsze szanse być zakwalifikowani jako spamerzy. Jak to się dzieje?
Wiadomości ze spamem najczęściej nie otwieramy w ogóle, a już tym bardziej nie odpowiadamy na nie. Z kolei na maila z prośbą o potwierdzenie zapisu na newsletter, na który same się zapisałyśmy, chętnie odpowiemy (o ile nie zaplącze się on w czeluściach naszej skrzynki email), by potwierdzić chęć jego otrzymywania. I teraz te wszystkie sprytne programy i aplikacje, które odpowiadają za wyłapywanie spamu, adres, z którego przyszła wiadomość, a na którą ktoś odpowiedział, potraktują przyjaźniej, gdy przyjdzie kolejna wiadomość z tego samego adresu. Tak mówią na portalach, gdzie piszą o email marketingu i algorytmach, a ja przyjmuję, że wiedzą, co mówią. Tak jest teraz, ale może się to zmienić za jakiś czas. Te sprytne programy ciągle się uczą.
Klauzula informacyjna, czy polityka prywatności
Rodo nie powie Ci, którą formę wybrać. Ze względów prawnych nie ma to różnicy. Jeśli spełniasz obowiązek informacyjny, zanim ktoś wyrazi zgodę, to wszystko jest ok. Forma ma znaczenie, jeśli zaczniemy mówić o efektywności formularza zapisu i o marketingu. Nikt nie lubi tych wszystkich długich formułek w formularzach. Ja też. Dlatego, zamiast długiej klauzuli informacyjnej, lepszym rozwiązaniem będzie umieszczenie krótkiego zdania np.:
Zapisując się na newsletter, wyrażasz zgodę na przetwarzanie danych na zasadach określonych w polityce prywatności .
oraz podana linka do podstrony, gdzie masz umieszczoną politykę prywatności, a w niej wszystkie niezbędne elementy obowiązku informacyjnego.
Co zawrzeć w takiej polityce prywatności?
Polityka prywatności to bardzo przydatny dokument i bardzo praktyczny. W jednym miejscu masz wszelkie informacje dotyczące sposobu przetwarzania danych w Twojej firmie, a także kilka innych przydatnych informacji dla Twoich czytelników i klientów. Oprócz tego wszystkiego, o czym mówi mam art 13 (obowiązek informacyjny), dodatkowo możesz tam wrzucić wszystko to, co dotyczy ciasteczek na Twojej stronie internetowej, a także informacje o tym, że używasz narzędzi tj. Google Analytics, Facebook Pixel.
Taką politykę prywatności możesz napisać sama. Jest wiele przykładów w Internecie. Jedne lepsze, inne gorsze. A jeśli wolisz ten czas przeznaczyć na coś innego, to gotowy wzór polityki prywatności wraz z instrukcją, jak ją spersonalizować na swoje potrzeby, znajdziesz poniżej. Wzór sprawdzi się do bloga, do strony internetowej a także do sklepu internetowego.
Teraz mniej więcej wiesz już, jak wygląda newsletter zgodny z RODO. Zatem RODO w newsletterze ogarnięte. To jest dobra wiadomość. Zła jest taka, że to nie jest całe RODO, jakie powinniście wdrożyć u siebie. Ale to już jest opowieść na kolejny odcinek tej bajki, czyli artykuł na blogu i FB live. Do zobaczenia na lajwach w mojej grupie na FB (Legalnie na onlajnie).
Przeczytałaś cały artykuł? Super, mam dla Ciebie prezent. To kod rabatowy na wzór polityki prywatności. Wejdź na stronę produktu, wrzuć go do koszyka, wypełnij formularz zamówienia i wpisz kod rabatowy: czytam-i-wiem, który obniży cenę o 20%.
[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]
Czy trzeba rejestrować bazę emaili newslettera w GIODO?
Niektórzy twierdzą, ze tak ale tutaj nie ma takiej informacji.
Nie, nie rejestrujemy już baz nigdzie, a GIODO – ten organ przestał funkcjonować, gdy weszło w życie RODO. Teraz organem nadzorczym jest PUODO (Prezes Urzędu Ochrony Danych Osobowych).