Publicystyka - ngo.pl

Michał Kluska: – Trzeba zacząć od tego, że w polskim prawie nie ma definicji newslettera. Jest natomiast definicja informacji handlowej – którą newsletter może zawierać lub nie. Definicja ta zawarta jest w Ustawie o świadczeniu usług drogą elektroniczną. Według niej – w uproszczeniu – informacją handlową jest każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach (czyli np. lekarzy czy radców prawnych). W polskim prawie istnieje zakaz wysyłania tego rodzaju powiadomień bez zgody odbiorcy, a więc także newsletterów, które je zawierają.

M.K.: – Teoretycznie istnieje w prawie pewne wyłączenie. Przepisy stanowią bowiem, że nie jest informacją handlową informacja o towarach i usługach, jeżeli nie służy osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie.

Inaczej mówiąc, jeżeli organizacja prowadziłaby działalność gospodarczą w jednym obszarze, a wysyłała newsletter dotyczący innych zagadnień, to mogłaby się upierać, że nie wysyła informacji handlowych.

W praktyce jednak takie stanowisko byłoby trudne do obronienia – bo nawet, jeżeli newsletter nie służy promocji towarów czy usług, to pozostaje jeszcze promocja wizerunku.

M.K.: – Do nich stosujemy analogiczne zasady, jak te, o których wspomniałem wcześniej.

M.K.: – W przypadku pozostałych organizacji można by postawić dosyć odważną tezę, że rozsyłanych przez nie informacji nie obejmuje definicja informacji handlowej. Gdybym jednak miał wiążąco doradzać, zdecydowanie doradziłbym, żeby organizacje zawsze tę zgodę miały, szczególnie biorąc pod uwagę, jak mało uciążliwy jest to obowiązek.

Trzeba wziąć pod uwagę, że definicja informacji handlowej jest dość szeroka. Dodatkowo według polskiego prawa przedsiębiorcą jest nie tylko ten podmiot, który zarejestrował działalność, ale także taki, który faktycznie wykonuje działalność gospodarczą – czyli do grona przedsiębiorców można zaliczyć pewne podmioty, które nie zarejestrowały działalności.

Poza tym możemy wyobrazić sobie sytuację, w której organizacja w jednym roku zgromadzi dużą bazę adresów e-mail i zacznie wysyłać newsletter, a w drugim zarejestruje działalność. Wtedy dalsze wysyłanie newslettera bez zgody trudno już będzie obronić. To może oznaczać konieczność rozpoczęcia budowania bazy adresowej od nowa lub „dozbierania” tych zgód post factum.

M.K.: – Są dwa sposoby. Pierwszy to odebranie oświadczeń od potencjalnych adresatów wiadomości. Mogą być to oświadczenia składane drogą elektroniczna, papierową, a nawet ustnie. Drugi to umieszczenie na stronie internetowej specjalnego pola („box”), które użytkownik zaznacza, jeżeli chce otrzymywać newsletter.

M.K.: – Przepisy mówią, że musi być jednoznaczna i precyzyjna. Jest ona też odwołalna. Nie musi być natomiast sformułowana językiem prawnym. Wystarczy: „tak, chcę otrzymywać newsletter od …” lub „tak, chcę otrzymywać informacje …” , „zapisz się, aby otrzymywać informacje”.

M.K.: – W tym pytaniu chodzi zapewne o dane osobowe? Jeżeli zgoda dotyczyć ma tylko newslettera, nie potrzebujemy osobnego oświadczenia. Musimy jednak pamiętać, że z przetwarzaniem danych osobowych wiążą się pewne obowiązki – np. informacyjne. To oznacza, że użytkownikowi musimy później przesłać informację, kto jest administratorem danych, w jakim celu będzie przetwarzał dane osobowe oraz o tym, że użytkownik ma prawo do ich poprawiania. W sytuacjach, w których użytkownik wyraża zgodę na przetwarzanie danych, ta formuła przeważnie jest częścią oświadczenia o zgodzie.

M.K.: – Zgodnie z informacjami, które znajdują się na stronie Generalnego Inspektora Danych Osobowych, tak. Generalnie danymi osobowymi są informacje, które pozwalają na identyfikację osoby, której dotyczą. Adresy e-mail zawierają różne informacje – część z nich identyfikuje użytkownika (np. michał.kluska@everberg.pl), inne nie (np. kwiatuszek@gmail.com). Dla ułatwienia przyjmuje się jednak, że wszystkie maile są danymi osobowymi, bardzo trudno jest bowiem w praktyce, w bazie danych, oddzielić jedne od drugich.

M.K.: – Najpierw trzeba wyjaśnić, że przepisy wskazują, kiedy w ogóle można przetwarzać dane osobowe. Przetwarzać, więc także gromadzić. Przetwarzanie jest legalne wtedy, kiedy jest spełniona jedna z pięciu przesłanek wymienionych w ustawie o ochronie danych osobowych. Te przesłanki są równoważne – musi być spełniona tylko jedna z nich.

Jedną z przesłanek jest przesłanka prawnie usprawiedliwionego celu. Mówi ona, że możemy przetwarzać dane osobowe, jeżeli realizujemy prawnie usprawiedliwiony cel i nie naruszamy praw i wolności osoby, której dane dotyczą.

Wiele organizacji, czy przedsiębiorców, wysyłających newslettery, powołuje się właśnie na tę przesłankę. Zakładają, że prawnie usprawiedliwiony cel to marketing towarów i usług lub promocja wizerunku, a realizacja tych celów nie narusza praw i wolności osoby, której dane są przetwarzane. Nie narusza, ponieważ te osoby same im swoje adresy podały, znając ten cel. Jeżeli ktoś zapisuje się do mojego newslettera, to daje mi aktywną zgodę na wysyłanie mu informacji.

Drugą przesłanką wymienioną w ustawie jest przesłanka zgody. Jeżeli administrator decyduje się na to, żeby korzystać z przesłanki prawnie usprawiedliwionego celu, to nie potrzebuje zgody odbiorców na przetwarzanie danych osobowych.

Jeżeli natomiast ktoś zdecyduje się na to, żeby umieścić na swojej stronie internetowej zapytanie o zgodę na przetwarzanie danych, to to nie jest błąd. Ale są pewne konsekwencje.

M.K.: – W takim wypadku na stronie należy umieścić dwa odrębne „boxy” – pierwszy, w którym odbiorca wyraża zgodę na otrzymywanie newslettera, i drugi, w którym wyraża zgodę na przetwarzanie danych osobowych. Ważne jest to, że nie można tych dwóch zapytań połączyć, a obie zgody są konieczne dla wysyłki newslettera. Jeżeli użytkownik zakreśli tylko jeden „box”, to dalej nie możemy mu go wysłać.

M.K.: – Kilka. Pierwszy to obowiązek zarejestrowania bazy danych w GIODO, czyli w Urzędzie Generalnego Inspektora Danych Osobowych. Żeby to zrobić, należy wypełnić wniosek online, wydrukować, podpisać i wysyłać do urzędu w formie papierowej.

Drugi to obowiązek zabezpieczenia danych przed dostępem osób nieuprawnionych – czyli stosowanie takich zabezpieczeń na poziomie technologicznym i organizacyjnym, które zapewnią poufność tych informacji.

Trzeci obowiązek to dokumentacja. Każdy administrator danych musi opracować politykę bezpieczeństwa – czyli dokument, który mówi o tym, jak chroni dane osobowe. Dodatkowo w przypadku danych znajdujących się w systemie informatycznym należy utworzyć jeszcze drugi dokument – instrukcję zarządzania systemem informatycznym.

M.K.: – Stanowisko GIODO jest takie, że zgoda musi być wyrażona w taki sposób, żeby użytkownik miał pełną wiedzę na temat tego, kto, w jakim zakresie, w jakim celu będzie przetwarzał jego dane.

Dlatego zgoda musi wskazywać podmiot (kto jest administratorem danych), zakres (wyrażam zgodę na przetwarzanie moich danych osobowych, to jest adresu e-mail) i cel (dostarczanie newslettera). W orzecznictwie kwestionowane jest wymienianie kilku celów w jednym oświadczeniu (czyli np. wysyłka newslettera oraz świadczenie poradnictwa).

M.K.: – Urząd Ochrony Konsumenta i Urząd Komunikacji Elektronicznej na swojej stronie internetowej umieściły jakiś czas temu informację, że nie rekomendują takiego sposobu zbierania oświadczeń. To oznacza, że oba organy, które kontrolują te zagadnienia nie aprobują takiej praktyki.

Taki komunikat pojawił się zapewne w związku z tym, że ta forma działania była nadużywana. Jeżeli zapytam panią mailem, czy chce pani otrzymać ode mnie ofertę mojej szkoły językowej, w której prowadzę takie i takie kursy, w takich i takich godzinach, to nie jest to zapytanie o zgodę, tylko przesłanie informacji.

M.K.: – Możemy mówić o dwóch grupach sankcji. Pierwsza grupa to te, które wynikają z Ustawy o świadczeniu usług drogą elektroniczną, czyli za wysyłanie informacji handlowej bez zgody. Według tej ustawy taki czyn stanowi wykroczenie i może być ukarany grzywną do 5 tysięcy złotych za jeden rekord – czyli jeden adres e-mail.

W przypadku przedsiębiorców dochodzi jeszcze jedna możliwość pociągnięcia ich do odpowiedzialności. Wysyłanie niezamówionych informacji handlowych może bowiem zostać uznane za czyn nieuczciwej konkurencji. Jeżeli natomiast coś jest czynem nieuczciwej konkurencji, to na przedsiębiorcę można nałożyć karę w wysokości do 10% obrotu, jaki osiągnął w roku poprzednim. Czyli potencjalnie mogą być to bardzo wysokie kary. Do ukarania upoważniony jest Urząd Ochrony Konkurencji i Konsumentów.

Druga grupa sankcji to takie, które wynikają z Ustawy o ochronie danych osobowych. Za przetwarzanie danych osobowych niezgodnie z prawem grozi odpowiedzialność karna.

Sytuacja zmieni się za dwa lata, kiedy wejdzie w życie rozporządzenie unijne dotyczące danych osobowych: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zgodnie z nim członkowie zarządu nie będą odpowiadać karnie, ale za przetwarzanie danych osobowych bez zgody będą groziły bardzo wysokie kary finansowe – nawet do 20 milionów euro.


Michał Kluska – adwokat. Ma długoletnie doświadczenie w sektorze doradztwa prawnego dla branży IT/e-commerce. Obszary specjalizacji obejmują: ochrona danych osobowych, prawo ochrony konkurencji i konsumentów, spory (w tym domenowe), własność intelektualna oraz zamówienia publiczne. Konsultant merytoryczny w ramach procesów legislacyjnych i konsultacji społecznych rozwiązań prawnych w tych obszarach. Stały mediator w sprawach gospodarczych. Prelegent i wykładowca (InternetBeta, SECURE, E-Biznes Festiwal). Autor publikacji prasowych oraz książkowych - „Ochrona danych osobowych w działach kadr. Odpowiedzi na 370 najtrudniejszych pytań” oraz komentarza do ustawy o prawach konsumenta.

__________

Podstawa prawna:

• Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204)
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883)

Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.