Przeglądarka Internet Explorer, której używasz, uniemożliwia skorzystanie z większości funkcji portalu ngo.pl.
Aby mieć dostęp do wszystkich funkcji portalu ngo.pl, zmień przeglądarkę na inną (np. Chrome, Firefox, Safari, Opera, Edge).
ngo.pl używa plików cookies, żeby ułatwić Ci korzystanie z serwisuTen komunikat zniknie przy Twojej następnej wizycie.
Dowiedz się więcej o plikach cookies
Fundacje i stowarzyszenia coraz częściej korzystają z narzędzia informacyjnego, jakim jest newsletter, nie zawsze jednak wiedzą, jak wysłać newsletter zgodnie z prawem. O wymaganiach formalnych mówi Michał Kluska, adwokat z Kancelarii EVERBERG.
pixabay.com, CC0 Public Domain
Małgorzata Łojkowska: – Moje stowarzyszenie chciałoby zacząć wysyłać newsletter. Jak to zrobić zgodnie z prawem?
Michał Kluska: – Trzeba zacząć od tego, że w polskim prawie nie ma definicji newslettera. Jest natomiast definicja informacji handlowej – którą newsletter może zawierać lub nie. Definicja ta zawarta jest w Ustawie o świadczeniu usług drogą elektroniczną. Według niej – w uproszczeniu – informacją handlową jest każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach (czyli np. lekarzy czy radców prawnych). W polskim prawie istnieje zakaz wysyłania tego rodzaju powiadomień bez zgody odbiorcy, a więc także newsletterów, które je zawierają.
Reklama
Czy to oznacza, że organizacja, która prowadzi działalność gospodarczą, zawsze musi mieć zgodę odbiorców?
M.K.: – Teoretycznie istnieje w prawie pewne wyłączenie. Przepisy stanowią bowiem, że nie jest informacją handlową informacja o towarach i usługach, jeżeli nie służy osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie.
Inaczej mówiąc, jeżeli organizacja prowadziłaby działalność gospodarczą w jednym obszarze, a wysyłała newsletter dotyczący innych zagadnień, to mogłaby się upierać, że nie wysyła informacji handlowych.
W praktyce jednak takie stanowisko byłoby trudne do obronienia – bo nawet, jeżeli newsletter nie służy promocji towarów czy usług, to pozostaje jeszcze promocja wizerunku.
Co z organizacjami, które zatrudniają lekarzy lub radców prawnych? Czy obejmuje je ta definicja?
M.K.: – Do nich stosujemy analogiczne zasady, jak te, o których wspomniałem wcześniej.
Pozostałe organizacje mogą wysłać newsletter bez zgody odbiorców?
M.K.: – W przypadku pozostałych organizacji można by postawić dosyć odważną tezę, że rozsyłanych przez nie informacji nie obejmuje definicja informacji handlowej. Gdybym jednak miał wiążąco doradzać, zdecydowanie doradziłbym, żeby organizacje zawsze tę zgodę miały, szczególnie biorąc pod uwagę, jak mało uciążliwy jest to obowiązek.
Trzeba wziąć pod uwagę, że definicja informacji handlowej jest dość szeroka. Dodatkowo według polskiego prawa przedsiębiorcą jest nie tylko ten podmiot, który zarejestrował działalność, ale także taki, który faktycznie wykonuje działalność gospodarczą – czyli do grona przedsiębiorców można zaliczyć pewne podmioty, które nie zarejestrowały działalności.
Poza tym możemy wyobrazić sobie sytuację, w której organizacja w jednym roku zgromadzi dużą bazę adresów e-mail i zacznie wysyłać newsletter, a w drugim zarejestruje działalność. Wtedy dalsze wysyłanie newslettera bez zgody trudno już będzie obronić. To może oznaczać konieczność rozpoczęcia budowania bazy adresowej od nowa lub „dozbierania” tych zgód post factum.
Jak pozyskać zgodę na wysyłanie newslettera?
M.K.: – Są dwa sposoby. Pierwszy to odebranie oświadczeń od potencjalnych adresatów wiadomości. Mogą być to oświadczenia składane drogą elektroniczna, papierową, a nawet ustnie. Drugi to umieszczenie na stronie internetowej specjalnego pola („box”), które użytkownik zaznacza, jeżeli chce otrzymywać newsletter.
Jakie warunki muszą być spełnione, żeby zgoda była uzyskana zgodnie z prawem?
M.K.: – Przepisy mówią, że musi być jednoznaczna i precyzyjna. Jest ona też odwołalna. Nie musi być natomiast sformułowana językiem prawnym. Wystarczy: „tak, chcę otrzymywać newsletter od …” lub „tak, chcę otrzymywać informacje …” , „zapisz się, aby otrzymywać informacje”.
Wystarczy ta jedna zgoda?
M.K.: – W tym pytaniu chodzi zapewne o dane osobowe? Jeżeli zgoda dotyczyć ma tylko newslettera, nie potrzebujemy osobnego oświadczenia. Musimy jednak pamiętać, że z przetwarzaniem danych osobowych wiążą się pewne obowiązki – np. informacyjne. To oznacza, że użytkownikowi musimy później przesłać informację, kto jest administratorem danych, w jakim celu będzie przetwarzał dane osobowe oraz o tym, że użytkownik ma prawo do ich poprawiania. W sytuacjach, w których użytkownik wyraża zgodę na przetwarzanie danych, ta formuła przeważnie jest częścią oświadczenia o zgodzie.
Jeżeli zapisujemy się do newslettera, to najczęściej podajemy tylko e-mail. Czy maile są danymi osobowymi?
M.K.: – Zgodnie z informacjami, które znajdują się na stronie Generalnego Inspektora Danych Osobowych, tak. Generalnie danymi osobowymi są informacje, które pozwalają na identyfikację osoby, której dotyczą. Adresy e-mail zawierają różne informacje – część z nich identyfikuje użytkownika (np. michał.kluska@everberg.pl), inne nie (np. kwiatuszek@gmail.com). Dla ułatwienia przyjmuje się jednak, że wszystkie maile są danymi osobowymi, bardzo trudno jest bowiem w praktyce, w bazie danych, oddzielić jedne od drugich.
Dlaczego w takim razie nie potrzebujemy zgodny na przetwarzanie danych zebranych na potrzeby wysyłki newslettera?
M.K.: – Najpierw trzeba wyjaśnić, że przepisy wskazują, kiedy w ogóle można przetwarzać dane osobowe. Przetwarzać, więc także gromadzić. Przetwarzanie jest legalne wtedy, kiedy jest spełniona jedna z pięciu przesłanek wymienionych w ustawie o ochronie danych osobowych. Te przesłanki są równoważne – musi być spełniona tylko jedna z nich.
Jedną z przesłanek jest przesłanka prawnie usprawiedliwionego celu. Mówi ona, że możemy przetwarzać dane osobowe, jeżeli realizujemy prawnie usprawiedliwiony cel i nie naruszamy praw i wolności osoby, której dane dotyczą.
Wiele organizacji, czy przedsiębiorców, wysyłających newslettery, powołuje się właśnie na tę przesłankę. Zakładają, że prawnie usprawiedliwiony cel to marketing towarów i usług lub promocja wizerunku, a realizacja tych celów nie narusza praw i wolności osoby, której dane są przetwarzane. Nie narusza, ponieważ te osoby same im swoje adresy podały, znając ten cel. Jeżeli ktoś zapisuje się do mojego newslettera, to daje mi aktywną zgodę na wysyłanie mu informacji.
Drugą przesłanką wymienioną w ustawie jest przesłanka zgody. Jeżeli administrator decyduje się na to, żeby korzystać z przesłanki prawnie usprawiedliwionego celu, to nie potrzebuje zgody odbiorców na przetwarzanie danych osobowych.
Jeżeli natomiast ktoś zdecyduje się na to, żeby umieścić na swojej stronie internetowej zapytanie o zgodę na przetwarzanie danych, to to nie jest błąd. Ale są pewne konsekwencje.
Jakie?
M.K.: – W takim wypadku na stronie należy umieścić dwa odrębne „boxy” – pierwszy, w którym odbiorca wyraża zgodę na otrzymywanie newslettera, i drugi, w którym wyraża zgodę na przetwarzanie danych osobowych. Ważne jest to, że nie można tych dwóch zapytań połączyć, a obie zgody są konieczne dla wysyłki newslettera. Jeżeli użytkownik zakreśli tylko jeden „box”, to dalej nie możemy mu go wysłać.
Niezależnie od wybranej przesłanki, organizacja w efekcie zaczyna przetwarzać dane osobowe. Jakie inne obowiązki ma organizacja w związku w tym przetwarzaniem?
M.K.: – Kilka. Pierwszy to obowiązek zarejestrowania bazy danych w GIODO, czyli w Urzędzie Generalnego Inspektora Danych Osobowych. Żeby to zrobić, należy wypełnić wniosek online, wydrukować, podpisać i wysyłać do urzędu w formie papierowej.
Drugi to obowiązek zabezpieczenia danych przed dostępem osób nieuprawnionych – czyli stosowanie takich zabezpieczeń na poziomie technologicznym i organizacyjnym, które zapewnią poufność tych informacji.
Trzeci obowiązek to dokumentacja. Każdy administrator danych musi opracować politykę bezpieczeństwa – czyli dokument, który mówi o tym, jak chroni dane osobowe. Dodatkowo w przypadku danych znajdujących się w systemie informatycznym należy utworzyć jeszcze drugi dokument – instrukcję zarządzania systemem informatycznym.
Jak powinna wyglądać zgoda na przetwarzanie danych?
M.K.: – Stanowisko GIODO jest takie, że zgoda musi być wyrażona w taki sposób, żeby użytkownik miał pełną wiedzę na temat tego, kto, w jakim zakresie, w jakim celu będzie przetwarzał jego dane.
Dlatego zgoda musi wskazywać podmiot (kto jest administratorem danych), zakres (wyrażam zgodę na przetwarzanie moich danych osobowych, to jest adresu e-mail) i cel (dostarczanie newslettera). W orzecznictwie kwestionowane jest wymienianie kilku celów w jednym oświadczeniu (czyli np. wysyłka newslettera oraz świadczenie poradnictwa).
Czy organizacja, która ma listę adresów mailowych absolwentów swoich szkoleń, może wysłać do nich zapytanie, czy chcieliby otrzymywać jej newsletter?
M.K.: – Urząd Ochrony Konsumenta i Urząd Komunikacji Elektronicznej na swojej stronie internetowej umieściły jakiś czas temu informację, że nie rekomendują takiego sposobu zbierania oświadczeń. To oznacza, że oba organy, które kontrolują te zagadnienia nie aprobują takiej praktyki.
Taki komunikat pojawił się zapewne w związku z tym, że ta forma działania była nadużywana. Jeżeli zapytam panią mailem, czy chce pani otrzymać ode mnie ofertę mojej szkoły językowej, w której prowadzę takie i takie kursy, w takich i takich godzinach, to nie jest to zapytanie o zgodę, tylko przesłanie informacji.
Jakie sankcje grożą za wysyłanie newslettera niezgodne z prawem?
M.K.: – Możemy mówić o dwóch grupach sankcji. Pierwsza grupa to te, które wynikają z Ustawy o świadczeniu usług drogą elektroniczną, czyli za wysyłanie informacji handlowej bez zgody. Według tej ustawy taki czyn stanowi wykroczenie i może być ukarany grzywną do 5 tysięcy złotych za jeden rekord – czyli jeden adres e-mail.
W przypadku przedsiębiorców dochodzi jeszcze jedna możliwość pociągnięcia ich do odpowiedzialności. Wysyłanie niezamówionych informacji handlowych może bowiem zostać uznane za czyn nieuczciwej konkurencji. Jeżeli natomiast coś jest czynem nieuczciwej konkurencji, to na przedsiębiorcę można nałożyć karę w wysokości do 10% obrotu, jaki osiągnął w roku poprzednim. Czyli potencjalnie mogą być to bardzo wysokie kary. Do ukarania upoważniony jest Urząd Ochrony Konkurencji i Konsumentów.
Druga grupa sankcji to takie, które wynikają z Ustawy o ochronie danych osobowych. Za przetwarzanie danych osobowych niezgodnie z prawem grozi odpowiedzialność karna.
Sytuacja zmieni się za dwa lata, kiedy wejdzie w życie rozporządzenie unijne dotyczące danych osobowych: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zgodnie z nim członkowie zarządu nie będą odpowiadać karnie, ale za przetwarzanie danych osobowych bez zgody będą groziły bardzo wysokie kary finansowe – nawet do 20 milionów euro.
Michał Kluska – adwokat. Ma długoletnie doświadczenie w sektorze doradztwa prawnego dla branży IT/e-commerce. Obszary specjalizacji obejmują: ochrona danych osobowych, prawo ochrony konkurencji i konsumentów, spory (w tym domenowe), własność intelektualna oraz zamówienia publiczne. Konsultant merytoryczny w ramach procesów legislacyjnych i konsultacji społecznych rozwiązań prawnych w tych obszarach. Stały mediator w sprawach gospodarczych. Prelegent i wykładowca (InternetBeta, SECURE, E-Biznes Festiwal). Autor publikacji prasowych oraz książkowych - „Ochrona danych osobowych w działach kadr. Odpowiedzi na 370 najtrudniejszych pytań” oraz komentarza do ustawy o prawach konsumenta.
__________
Podstawa prawna:
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204)
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883)
Teksty opublikowane na portalu prezentują wyłącznie poglądy ich Autorów i Autorek i nie należy ich utożsamiać z poglądami redakcji. Podobnie opinie, komentarze wyrażane w publikowanych artykułach nie odzwierciedlają poglądów redakcji i wydawcy, a mają charakter informacyjny.