Jak zbierać dane zgodnie z RODO

Opublikowane przez Angelika Jazgier (Gradzińska) w dniu

Uuuu bardzo obszerny temat sobie wybrałam dziś. Postaram się go przybliżyć w najprostszy (i najkrótszy :D) możliwy sposób. Zbierasz adresy e-mail, numery telefonów czy inne dane osobowe? Sprawdź czy robisz to poprawnie – zgodnie z RODO i innymi przepisami. W tym artykule dowiesz się, jakie zgody należy zebrać od zainteresowanego użytkownika i jak zbierać dane, aby przetwarzać je zgodnie z przepisami prawa. Ale zacznijmy od początku…

Lojalnie ostrzegam: artykuł jest długi i nafaszerowany konkretem. Zapraszam do czytania 🙂

Czy jesteś administratorem danych wg RODO?

  • Tak, nieważne czy masz/zbierasz bazę danych (czy to sam e-mail, czy numery telefonów, czy inne dane) jako osoba fizyczna czy jako firma. Pamiętaj jednak, że w LeadStar możesz promować kampanie na swojej bazie tylko wówczas, gdy posiadasz u nas konto jako firma (nie jako osoba fizyczna).
  • Tak, niezależnie od tego czy te dane zbierasz/przechowujesz na komputerze, na tablecie, w zeszycie, w kalendarzu, na kartce, w telefonie (w telefonach można znaleźć naprawdę masę danych osobowych… zajrzyj do swojego – masz tam zdjęcia, smsy, mmsy, zapisane kontakty, ostatnie połączenia – wszystko to dane osobowe, które przetwarzasz), na pendrive, w chmurze czy na jakichkolwiek innych nośnikach informacji.

Zasadnicze pytanie brzmi – czy te wszystkie dane, które posiadasz lub zbierasz, przetwarzasz w celach komercyjnych? Jeśli tak, to jesteś administratorem tych danych zgodnie z definicją zawartą w Rozporządzeniu.

Czy wiesz że…
samo zbieranie danych lub ich przechowywanie to już przetwarzanie danych wg RODO?
Tak. Na przykład jeśli masz jakieś numery telefonów w swoim telefonie i masz je, ale na razie nie wykorzystujesz, ale chcesz je wykorzystać w przyszłości.
Wystarczy mieć i chcieć te dane kiedykolwiek wykorzystać – na przykład za 100 lat 😉
Więcej o przetwarzaniu danych poczytasz w moim artykule: Zbieram dane, ale ich nie przetwarzam – na pewno?

Jesteś administratorem danych. Co dalej?

Ustaliliśmy, że jesteś administratorem danych, które posiadasz.

A teraz – czy jesteś administratorem danych, których jeszcze nie masz, ale chcesz je zebrać?

Na przykład poprzez zbieranie e-mail do swojej bazy w celu wysyłania do nich newslettera czy reklam?

No w sumie to jeszcze nie jesteś ich administratorem, bo ich jeszcze nie masz 🙂

Ale będziesz… jeśli je zbierzesz.

W takim razie warto jest zadbać o to, aby zebrać te dane zgodnie z prawem i przetwarzać je zgodnie z prawem, między innymi zgodnie z RODO (Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)). Między innymi – bo przecież mamy też inne akty prawne, które nas również obowiązują, nie tylko RODO.

Czy potrzebujesz pomocy prawnika?

To zależy (jakże to konkretna odpowiedź prawda? 🙂 ). To zależy od tego, czy już się wystraszyłeś tego, o czym napisałam powyżej, czy też jeszcze nie i uważasz, że sam sobie poradzisz 🙂 Ja uważam, że sobie poradzisz. Postaram się to wszystko rozpisać w jak najprostszy sposób.

Wysyłasz tylko newsletter czy również przedstawiasz oferty handlowe?

To kluczowe pytanie, które musisz sobie zadać już na samym początku projektowania zapisu do Twojej bazy danych. Kluczowe, ponieważ ono wyznacza Ci cele zbierania danych. I tym samym od odpowiedzi na to pytanie zależy, jakie zgody należy zebrać od użytkownika, który chce się zapisać do Twojej bazy.

Na różnych stronach możesz spotkać różne formy zapisów do newslettera i różne rodzaje (i ilości!) zgód. Wszystko zależy od tego, jak właściciel tej strony czy też jego prawnicy rozumieją przepisy prawne. Bowiem przepisy dotyczące ochrony danych osobowych i ich zbierania są sformułowane bardzo ogólnie i każdy z nas interpretuje je na swój własny sposób.

Na potrzeby tego artykułu i lepszego zrozumienia „internetów”, ustalmy najpierw, co rozumiemy przez słowo newsletter, a co przez oferty handlowe. Wielu z nas myli te pojęcia i to nagminnie. A są to inne działania reklamowe. I tym samym mają inne definicje.

Newsletter – to e-mail wysyłany do użytkowników naszej bazy danych z najświeższymi informacjami z prowadzonych przez nas działań online/offline. To zbiór informacji o tym, co robimy, co w ostatnim czasie zrobiliśmy, jakie odnieśliśmy sukcesy i porażki, czego nas nauczyły, co planujemy w przyszłości, itp.

Newsletter zawiera na przykład informację o tym, że pojawił się nowy wpis na naszym blogu lub że przygotowaliśmy nowy ebook czy kurs online. Może oczywiście zawierać linki do artykułów z innych blogów czy stron. Czy też reklamy produktów lub usług innych osób. Ale kluczowe informacje, jakie chcemy przekazać w newsletterze, to „co nowego u nas czy na świecie”.

Newsletter to nie reklama sponsorowana jednej usługi. To coś jak codzienne wiadomości w telewizji – ich przesłaniem nie jest reklama produktu czy usługi, a przekazanie informacji.

Oferty handlowe – to wszelkiego rodzaju reklamy produktów lub usług – naszych i osób trzecich.

  • Może to być e-mail z reklamą jakiegoś sklepu wysłany na zlecenie tego sklepu przez nas (do naszej bazy e-mail). Zwykle tego rodzaju e-maile mają w stopce zestaw informacji: „Wysłano na zlecenie … (nazwa i adres sklepu) przez … (nazwa właściciela bazy, do której jesteś zapisany). Administratorem Twoich danych jest … (nazwa właściciela bazy, do której jesteś zapisany). Jeśli chcesz się wypisać, kliknij w link.”
  • Może to być zbiór wielu ofert różnych firm (sklepów, banków, ubezpieczycieli, i wielu wielu innych) zebranych w jednym e-mailu reklamowym. Z takim samym zapisem w stopce jak ten podany powyżej.
  • Może to być przedstawienie oferty jakiegoś produktu czy usługi poprzez kontakt telefoniczny z potencjalnym klientem z naszej bazy danych (zalicza się tu wszelkiego rodzaju działania call center czy nawet zatelefonowanie do znajomego w stylu „wiesz, mam fajny produkt marki X, chciałbyś go ode mnie kupić?” – oczywiście jeśli robisz to cyklicznie i cyklicznie sprzedajesz produkty znajomym i nieznajomym).

Jakie zgody należy zebrać?

W Polsce obowiązuje nas nie tylko RODO. Mamy też inne akty prawne, które regulują to, jakie zgody od użytkownika należy pozyskać, aby móc przetwarzać jego dane.

Jeśli więc chcesz przetwarzać dane osoby w celach marketingowych – wysyłania jej newslettera i ofert handlowych (czy to emailem, smsem czy telefonicznie), należałoby na stronie z zapisem do Twojej bazy umieścić następujące zgody:

  1. Wyrażam zgodę na przetwarzanie podanych w celach marketingowych przez …(tu nazwa Twojej firmy lub Twoje dane, jeśli nie masz działalności gospodarczej).
  2. Wyrażam zgodę na przesyłanie na podany adres email/nr telefonu wiadomości zawierających informacje handlowe przez …(tu nazwa Twojej firmy lub Twoje dane, jeśli nie masz działalności gospodarczej) (w imieniu własnym i na zlecenie podmiotów współpracujących).
  3. Wyrażam zgodę na wykorzystanie przez …(tu nazwa Twojej firmy lub Twoje dane, jeśli nie masz działalności gospodarczej) telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego.

i dalej pod zgodami dodać również informację z linkiem do Polityki Prywatności naszej strony:
„zgodnie z polityką prywatności. Wiem, że zgodę tę mogę w każdej chwili cofnąć.”

Spójrz na przykład poniżej:

Przykład zapisu na newsletter z poprawnymi zgodami wg prawa
Przykład zapisu do bazy danych, do której chcemy wysyłać zarówno newsletter, jak i informacje handlowe (reklamy) na zlecenie innych podmiotów.

Dlaczego potrzeba aż tyle zgód?

Każda ze zgód podanych powyżej wynika z innego przepisu prawa. A mamy ich trzy:

  1. Art. 6 ust. 1 lit. a) RODO
    Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
    a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
  2. Art. 10 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
    Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
    Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
  3. Art. 172 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
    Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Każdy z tych przepisów kontroluje inny urząd w Polsce. I żaden z nich w żaden sposób nie potwierdził, aby można było te zgody w jakikolwiek sposób ze sobą łączyć. Więc… pozostaje nam zbierać wszystkie te zgody od tej samej osoby.

UWAGA!
Należy pamiętać, że wszystkie zgody użytkownik musi zaznaczyć SAM – dobrowolnie. Nie mogą one być domyślnie zaznaczone. Byłoby to niezgodne z prawem.

A niektórzy nie zbierają zgód przy zapisie do newslettera!

Tak, i to również jest uznawane za zgodne z prawem. Należy jednak pamiętać, że chodzi o zapis do newslettera (patrz definicja podana kilkanaście zdań wyżej). Czyli nie do bazy, z której chcemy wysyłać reklamy do użytkowników i promować różne produkty i usługi (oferty handlowe). A chodzi o newsletter, w którym będziemy informować użytkowników „Patrz, pojawił się nowy wpis na blogu. Zapraszam do przeczytania!”

W tym przypadku samo podanie przez użytkownika swojego adresu e-mail i imienia (lub samego e-maila) jest traktowane równoznaczne z tym, że ta osoba zgodziła się na przetwarzanie jej danych i wysyłanie jej newslettera. Jednocześnie oznacza to, że nie możesz nagle zacząć wysyłać jej niezamówionych informacji handlowych – bo ona ich nie zamówiła / ona ich nie chce (chce tylko newsletter).

Co więcej – w przypadku takiego zapisu do newslettera moim zdaniem wymagane jest już zastosowanie double opt-in. Double opt-in polega na tym, że jak ktoś poda adres e-mail podczas zapisu do newslettera, otrzyma po chwili wiadomość – na ten podany adres e-mail – z potwierdzeniem zapisu. Na pewno niejednokrotnie się z tym spotkaliście. Aby ta osoba została zapisana do naszej bazy, musi kliknąć w link potwierdzający. Jeśli tego nie zrobi, nie zostanie zapisana. Dla Was będzie to stanowić jednoznaczne potwierdzenie, że jednak nie chciała się zapisać lub… ktoś podał jej adres e-mail przez przypadek.

Zapamiętaj!
Double opt-in chroni nas przed sytuacjami, w których ktoś:
– specjalnie wpisuje różne adresy e-mail (nie swoje oczywiście)
– lub też omyłkowo poda nie swój adres e-mail (na przykład zrobi literówkę)
na naszej stronie z zapisem do newslettera/bazy, ponieważ dopóki nie potwierdzi zapisu przez kliknięcie w link, który otrzyma w e-mailu od nas, dopóty my nie będziemy przetwarzać jego danych i wysyłać mu (omyłkowo) niezamówionych informacji.
WNIOSEK: Wprowadź double opt-in podczas zbierania swojej bazy.

Zebrałem zgody, co dalej?

Należy to odpowiednio udokumentować. Nie wystarczy zebrać zgód. Trzeba jeszcze wykazać, kiedy zostały zebrane i czy nie zostały cofnięte. Na przykład, zgłasza się do Ciebie osoba z Twojej bazy e-mail i chce wiedzieć, na jakiej podstawie przetwarzasz jej dane. W tym celu powinieneś mieć dane:

  • którego dnia i o której godzinie zapisała się do Twoje bazy
  • jakie zgody zaznaczyła podczas tego zapisu
  • kiedy kliknęła w link potwierdzający zapis (jeśli stosujesz metodę double opt-in)
  • i oczywiście czy nie cofnęła zgód poprzez na pzykład kliknięcie w link do wypisu, który wysyłasz jej w stopce każdej wiadomości e-mail (i uprzedzam od razu: tak, jest konieczny, jeśli się zastanawiasz czy go dodać 😀 ).

Oznacza to, że musisz wybrać taki system do zbierania bazy i zarządzania nią (przetwarzania danych osobowych), abyś w każdej chwili mógł sięgnąć do tych wszystkich informacji podanych wyżej.

Co oprócz zgód należy posiadać?

O tym, w jaki sposób będziesz przetwarzał dane osoby, która zapisze się do Twojej bazy, informujesz w Polityce Prywatności. Oczywiście na stronie powinna znaleźć się również Polityka Cookies (można ją połączyć z polityką prywatności). Zajrzyj na przykład do polityki prywatności Programu Partnerskiego LeadStar: https://leadstar.pl/politykaprywatnosci .

Z ważnych dokumentów wewnętrznych, które powinieneś również przygotować (i nie pokazywać nikomu oprócz urzędnika-kontrolera z Urzędu Ochrony Danych Osobowych) jest Rejestr Czynności Przetwarzania. O tym, jak go przygotować, poszukaj proszę na innych stronach internetowych – najlepiej u blogerów-prawników, którzy mają RODO w jednym palcu 🙂 ja nie będę się tutaj rozpisywać na ten temat, bo i tak ten artykuł wyszedł mi bardzo długi (a miał dotyczyć tylko zbierania zgód) i jeśli dotarłeś aż do tego zdania, to podziwiam bardzo! I cieszę się Twoim zaangażowaniem 🙂

Wszystkie dane, które zbierasz i posiadasz musisz też odpowiednio zabezpieczyć – przed wszelkimi wyciekami. W tym celu należy się zaznajomić między innymi:

  • ze swoim dostawcą serwera – umową powierzenia, jaką z nim podpisałeś (co on gwarantuje, jakie środki wdrożył w celu ochrony, itp.),
  • systemem wysyłkowym, z którego korzystasz – tutaj też obowiązkowo podpisz umowę powierzenia i poczytaj co ta firma Ci gwarantuje w tej umowie,
  • i wszelkimi innymi firmami, z których usług korzystasz do przetwarzania tych danych (np. jeśli dane osobowe udostępniasz księgowemu z zewnętrznej firmy, to również z nim musisz podpisać umowę powierzenia).

Pamiętaj zatem o umowach powierzenia i upoważnieniach do przetwarzania danych (upoważnieniach na przykład dla Twoich pracowników, którzy mają do tych danych wgląd).

Oprócz tego, pozostałe informacje, jaka jeszcze dokumentacja będzie Ci potrzebna do wystartowania z przetwarzaniem danych osobowych, znajdziesz w Rozporządzeniu o ochronie danych lub tak jak wspomniałam wyżej – na blogach prawników specjalizujących się w RODO.

Trzymam kciuki!

Kategorie: Kącik porad
Tagi:

Angelika Jazgier (Gradzińska)

W marketingu od 2013 roku. Dlaczego marketing? Bo lubię zmiany i dynamikę - to, że ciągle coś się dzieje. Należę do osób, które im więcej mają obowiązków, tym lepiej potrafią zorganizować sobie czas i wykonać je… na czas :) Poza tym uwielbiam wszelkiego rodzaju tabelki, statystyki i analizy – wszystko, co można logicznie wytłumaczyć. A najlepiej – gdyby wszystkie te tabelki pokazywały jedynie wzrosty (te dobre wzrosty oczywiście :) ) oraz stale idące w górę zarobki (nie tylko moje ;) ).

Podobne wpisy

Kącik porad

Strona z kuponami rabatowymi? Tak!

Strony partnerskie z ofertami cieszą się w LeadStar dużym zainteresowaniem. Nic w tym dziwnego, skoro można taką stronę stworzyć zaledwie jednym kliknięciem! 🙂 Ale czy wiedziałeś, że możesz mieć własną stronę wyłącznie z kodami rabatowymi? Dowiedz się więcej…

Kącik porad

Majowe bonusy – co warto promować?

Chociaż Majówka już za nami, to wielu z Was z pewnością myśli już o długim weekendzie czerwcowym (przypominamy – jeśli weźmiecie urlop 9-tego czerwca, będziecie mieć aż 4 dni wolnego!) lub… o wakacjach. Aby jednak Dowiedz się więcej…

Kącik porad

Zaliczki na podatek od przychodów w LeadStar [od 2023]

W związku ze zmianami, jakie zostały wprowadzone wraz z pojawieniem się Polskiego Ładu, rok 2022 stał się ostatnim rokiem, w którym (z przychodów generowanych w programach partnerskich) rozliczysz się na zasadach ogólnych lub poprzez ryczałt Dowiedz się więcej…