RODO: Czy po wejściu rozporządzenia muszę skasować swoją bazę newsletter?

Czy przed 25 maja br. naprawdę muszę skasować wszystkie bazy swoich Klientów?

Zbliża się wielkimi krokami okres, od kiedy RODO będzie formalnie stosowane w całej Unii Europejskiej, a pośrednio wszędzie tam, gdzie adresatami usług są obywatele UE. Wokół RODO narosło wiele mitów, niektórzy zwietrzyli szansę na doskonały biznes tworząc asortyment “gotowy na RODO”, inni zaś chcą w panice usuwać wszystkie baz danych, w tym listy mailingowe do swoich Klientów, a nawet zamykać swój e-sklep. Wraz z adw. Marcinem Pilchem z kancelarii Pilch Piotrowski i Partnerzy, specjalistą w zakresie e-commerce oraz ochrony danych osobowych, spróbowaliśmy odpowiedzieć na wątpliwości.

Czy trzeba usuwać bazy klientów przed rozpoczęciem stosowania RODO?

Należy wszystkich uspokoić. RODO to nie jest rewolucja, a jedynie ewolucja pewnych rozwiązań w zakresie ochrony danych. Czytając ostatnie wytyczne Grupy Roboczej art. 29 (od 25 maja br.) dotyczących zgody z 16 kwietnia 2018, jak również stanowisko polskiego GIODO na temat aktualności zgód, nie można tracić z pola widzenia, że usunięcie baz danych powinno być ostatecznością, a nie przysłowiowym strzelaniem do wróbli z armat.

Jak zatem sprawdzić, czy dalej mogę przetwarzać dane swoich Klientów?

Po kolei. RODO w słynnym motywie nr 171 opisuje, iż: jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia.

Zwrócić tutaj należy uwagę, iż wskazana podstawa przetwarzania danych to zgoda, która jest zaledwie jedną z sześciu. Stanowisko GIODO też odnosi się do sprawdzenia tego, czy pierwotne warunki udzielania zgody dawały możliwość jej wyrażenia w sposób konkretny, świadomy, dobrowolny i jednoznaczny.

Sęk w tym, iż w warunkach e-commerce właściwą podstawą przetwarzania danych na potrzeby procesu sprzedaży, w tym obsługi posprzedażowej (np. reklamacja) jest wykonanie umowy, np. realizacji zamówienia sprzedaży sukienki. Tutaj zgoda nie jest potrzebna, a wręcz może wprowadzać w błąd!

Zgodę jako podstawę przetwarzania danych pobieramy wtedy, gdy chcemy podmiotowi danych oddać faktyczną kontrolę nad jego danymi, a nie jesteśmy w stanie przetwarzać jego danych na innej podstawie.

Ok, przetwarzać mogę na potrzeby sprzedaży, a co z wysyłką newslettera?

Tutaj zgoda jest z pewnością wiodącą podstawą przetwarzania danych, ale też nie jedyną. W praktyce pojawiają się maile, które są oparte na art. 23 ust. 1 pkt 5 jeszcze obowiązującej ustawy o ochronie danych osobowych (przetwarzanie danych następuje w celach prawnie usprawiedliwionych, realizowanych przez Administratora Danych), a po 25 maja br. zapewne na podstawie art. 6 ust. 1 lit. /f/ RODO, czyli przetwarzanie jest niezbędne do realizacji prawnie uzasadnionych celów. W tym drugim przypadku, ważne jest, aby np. odbiorca newslettera został poinformowany bezpośrednio w mailu o prawie do wniesienia sprzeciwu wobec przetwarzania danych, prawie dostępu do danych i ich poprawienia oraz tego, iż wniesienie sprzeciwu jest jednoznaczne z żądaniem zaprzestania przetwarzania danych np. w celu otrzymywanie informacji handlowych i marketingowych. Dobrą praktyką jest możliwość łatwego umożliwienia wyrażenia sprzeciwu.

W każdym przypadku jednak, za uprzednio wyrażoną zgoda lub bez, powinniśmy (możemy to zrobić teraz!) na poziomie polityki prywatności w sposób przejrzysty, user friendly, poinformować użytkownika o jego prawach wynikających z art. 13 i 14 RODO.

Jak sprawdzić, czy przetwarzam dane na podstawie zgody? Czy robię to dobrze?

Jeżeli przed udzieleniem zgody i udostępnieniem danych przez Twojego Klienta, poinformowałeś go, kto jest jego administratorem danych osobowych, w jakim celu potrzebujesz zgody na przetwarzanie jego danych, a także, iż przysługuje mu prawo do cofnięcia zgody, to powinieneś spać spokojnie. Jeżeli stosowałeś mechanizm double opt-in i masz politykę prywatności, to naprawdę jest świetnie.

Jeżeli jednak kupiłeś dane od brokera danych, które mogą być wątpliwego pochodzenia, albo w żaden sposób nie poinformowałeś Klienta o podstawie przetwarzania jego danych (nawet na poziomie regulaminu), a jedynie np. dałeś pusty formularz, to trzeba będzie zadbać, aby przetwarzanie było legalne.

Mam bardzo poważne wątpliwości co do legalności mojej bazy danych. Co mam zrobić?

Powinieneś podjąć działania zmierzające do przywrócenia tej bazy do stanu zgodności z prawem. Możesz to zrobić za pośrednictwem modala, pop-upa albo kampanii e-mail z odpowiednio zaprojektowaną treścią oraz przyciskiem CTA (Call To Action). Jeżeli mimo przeprowadzonej kampanii informacyjnej nie udało się zaktualizować bazy danych i nie masz możliwości przetwarzania danych na innej podstawie niż zgoda, powinieneś zaprzestać przetwarzania danych.

Podsumowując: W jakim wypadku mogę nadal wysyłać newsletter do zebranej wcześniej bazy?

Jeśli zbierałeś swoją bazę w taki sposób, że:

1. posiadasz zgodność z aktualną ustawą o ochronie danych osobowych tj. nie miałeś połączonych różnych zgód dla różnych celów w jednej klauzuli i nie miałeś domyślnie zaznaczonych checkboxów;
2. poinformowałeś, kto jest administratorem danych osobowych oraz o prawie do cofnięcia zgody lub posiadasz politykę prywatności, w której poinformujesz o ww.;
3. powiadomiłeś o tym, jak przetwarzasz dane osobowe oraz jakie są uprawnienia użytkowników,

to możesz nadal wysyłać swój newsletter, a ponadto powinieneś wysłać do Klientów wiadomość zawierającą informacje o aktualizacji Polityki Prywatności i Regulaminu usługi o przepisy RODO ze wskazaniem na możliwość łatwego cofnięcia zgody.

Zobaczmy, jak może wyglądać taki komunikat dla klientów:


Dzień Dobry,

w dniu 25 maja 2018 r. wchodzą w życie istotne zmiany przepisów dotyczących ochrony danych, które regulują m.in. warunki, opisujące to w jaki sposób możemy dalej komunikować się z naszymi Klientami.
Zależy nam na utrzymaniu kontaktu z naszymi lojalnymi Klientami i przekazywaniu im aktualnych informacji na temat naszych produktów oraz akcji promocyjnych.

Twoje dane będą wykorzystywane przez [Nazwa podmiotu administratora/ nazwa firmy] wyłącznie w celu wysyłania Ci newslettera. Oczywiście zawsze możesz w prosty sposób zrezygnować z subskrypcji naszego newslettera, korzystając z łącza do rezygnacji znajdującego się na końcu każdego e-maila z newsletterem lub po prostu wysyłając e-mail do naszego działu obsługi klienta.

Przygotowaliśmy również dla Ciebie niezbędne informacje dotyczące sposobu przetwarzania danych osobowych oraz tego, jakie masz z tym związane prawa. Informacje te znajdziesz w pliku załączonym do niniejszej wiadomości oraz pod poniższym linkiem:

Chcę zapoznać się z Polityką Prywatności [Nazwa firmy]

Bardzo dziękujemy za zaufanie i lojalność!

Jeśli nie spełniłeś warunków opisanych powyżej, a jednocześnie nie ma innej podstawy przetwarzania danych niż zgoda, to powinieneś swoją bazę zbierać od nowa.

Mamy nadzieję, że przedstawiona opinia pomoże Ci podjąć odpowiednią decyzję. Jesteśmy do Twojej dyspozycji, napisz do nas na hello (małpa) edrone.me

DARMOWY PORADNIK/MANUAL dotczący wdrożenia zmian związnaych z RODO/GDPR Kliknij tutaj!
Zobacz też wywiady z ekspertami z dziedziny RODO, gdzie usłyszycie masę cennych, porad dla każdego e-przedsiębiorcy.
Wywiad z Radcą Prawnym Tomaszem Palakiem. Zobacz film.
Wywiad z mec. Marcinem Pilchem z kancelarii Pilch Piotrowski i Partnerzy. Zobacz film.

Do usłyszenia!
Kancelaria Pilch Piotrowski i Partnerzy oraz zespół edrone.

Sławomir Malczyk

view all post

By Daniele Zedda • 18 February

← PREV POST

By Daniele Zedda • 18 February

NEXT POST → 34
Share on