Legalny newsletter z MailChimp - najnowsze rozwiązanie

Gdy w ubiegłym roku upadł program Safe Harbour, wśród użytkowników MailChimpa świadomych problemu ochrony danych osobowych pojawił się niepokój.

Przyznam, że sam uległem wątpliwościom i zacząłem rozglądać się za innym rozwiązaniem. Dostępne alternatywy nie spełniły jednak moich oczekiwań.

Dlatego po raz kolejny przysiadłem to tematu i znalazłem rozwiązanie na legalny newsletter z MailChimp. Podzielę się nim z tobą dzisiaj.

Aktualizacja pod RODO

Ten artykuł przygotowany został na podstawie ustawy o ochronie danych osobowych obowiązującej do 25.05.2018 r. Na temat RODO przeczytasz natomiast tutaj: RODO dla blogerów, vlogerów i twórców internetowych.

Spis treści

Dla twojej wygody przygotowałem spis treści, który ułatwi ci poruszanie się po tej stronie.

W drodze do legalnego MailChimpa

Upadek programu Safe Harbour to problem dotyczący przekazywania danych do państwa trzeciego. Jego rozwiązanie zainspirowało mnie do napisania tego artykułu.

Dlatego rozwiązaniem tego problemu zajmę się w pierwszej kolejności. Na tym jednak ten artykuł się nie skończy. W dalszej kolejności, opowiem ci o:

checkboxach ze zgodami na przetwarzanie danych,
obowiązku informacyjnym,
dokumentacji ochrony danych osobowych,
zgłoszeniu zbioru do GIODO.

Zacznijmy jednak od przekazywania danych do państwa trzeciego.

Przekazywanie danych do państwa trzeciego

Dane osobowe subskrybentów twojego newslettera przechowywane są w Stanach Zjednoczonych. Tam znajdują się serwery MailChimp.

Stany Zjednoczone nie należą do Unii Europejskiej. To sprawia, że w myśl polskiej ustawy o ochronie danych osobowych są państwem trzecim.

Art. 7

Ilekroć w ustawie jest mowa o:

[…]

7) państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego.

Uznanie Stanów Zjednoczonych za państwo trzecie wiąże się z dodatkowymi obostrzeniami. Przepływ danych w obrębie Unii Europejskiej jest swobodny. Poza UE nie jest już tak kolorowo.

Przekazywanie danych osobowych do państwa trzeciego jest możliwe tylko, jeśli spełniony jest jeden z warunków, który na to pozwala.

Do chwili upadku programu Safe Harbour, przekazywanie danych do państwa trzeciego odbywało się na podstawie art. 47 ust. 1.

Program Safe Harbour polega bowiem na tym, że państwo do niego przystępujące gwarantuje odpowiedni poziom ochrony danych osobowych.

Art. 47

1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Zakwestionowanie programu Safe Harbour przez Trybunał Sprawiedliwości Unii Europejskiej sprawiło, że warunek zapewnienia odpowiedniego poziomu ochrony danych osobowych odpadł.

W konsekwencji, w Internecie zaczęło się wrzenie, że MailChimp nie jest już legalny. Sam uległem tym emocjom. Nie miałem czasu, by przyjrzeć się dokładnie sprawie i zupełnie zapomniałem o wytrychu, który pozwala nadal korzystać z MailChimp zgodnie z prawem.

Na szczęście, MailChimp sam zadbał o wszystko i dostarczył swoim użytkownikom gotowe rozwiązanie. W ramach swojej bazy wiedzy, opisał, co musi zrobić użytkownik z Unii Europejskiej, by pomimo upadku Safe Harbour mógł nadal legalnie korzystać z MailChimp.

Legalny MailChimp możliwy jest dzięki standardowym klauzulom umownym danych osobowych, zatwierdzonym przez Komisję Europejską.

Art. 48

1. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

2. Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub

2) prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez Generalnego Inspektora zgodnie z ust. 3-5.

Takie klauzule muszą znaleźć się w umowie zawieranej między administratorem danych osobowych a podmiotem z państwa trzeciego, do którego trafiają dane.

MailChimp umożliwia zawarcie odpowiedniej umowy z poziomu swojej strony.

Wystarczy, że wypełnisz krótki formularz i umowa przyjdzie na twój e-mail. Wydrukuj ją, podpisz i zachowaj w dokumentacji. Wprawdzie skan podpisu reprezentanta MailChimp nie spełnia wymogu formy pisemnej, ale lepiej mieć taką umowę niż żadną.

Dzięki posiadaniu takiej umowy masz załatwione dwie kwestie:

dysponujesz umową powierzenia przetwarzania danych, która jest wymagana przez GIODO,
możesz wykazać, że spełniłeś warunek pozwalający na przekazywanie danych do państwa trzeciego.

UWAGA: Na tę chwilę standardowe klauzule umowne pozwalają na przekazywanie danych do Stanów Zjednoczonych. Może się to jednak zmienić ze względu na to, że trwają konsultacje między UE a USA w sprawie tzw. tarczy prywatności i nic nie jest jeszcze przesądzone.

Checkboxy ze zgodami

Wiesz już, że na ten moment możesz legalnie korzystać z MailChimp, posiadając umowę ze standardowymi klauzulami umownymi ochrony danych osobowych.

To jednak nie koniec drogi do legalnego MailChimpa. Teraz przed nami temat zgód na przetwarzanie danych.

Gdy przeglądam blogi, widzę, że prawie nikt nie ma poprawnie zaprojektowanego procesu zbierania zgód na newsletter.

Ja sam dopiero jakieś dwa tygodnie temu zrobiłem wszystko tak, jak trzeba. Dotychczas trwałem przy liberalnym podejściu i zbierałem zgodę, korzystając z metody double opt-in.

W formularzu zapisu nie miałem żadnych checkboxów, a dopiero w treści maila potwierdzającego subskrypcję znajdowała się następująca klauzula zgody:

jeśli wyrażasz zgodę na przetwarzanie Twoich danych osobowych (imię oraz adres e-mail) przeze mnie w celu otrzymywania newslettera, kliknij w poniższy link.

Przyjęło się, że można w ten sposób zbierać zgodę, jeśli newsletter służy komunikacji niemarketingowej. Niemarketingowej w takim sensie, że nie rozsyłasz reklam w stylu „kup ode mnie nowy produkt”, ale np. wyłącznie powiadomienia o nowych wpisach na blogu.

Ja jednak zapragnąłem przesyłać czytelnikom również zachęty do zakupu moich blogowych produktów, takich jak wzory dokumentów, czy kursy on-line. Produktów tych wprawdzie nie mam w tej chwili za dużo, ale planuję rozwój w tym kierunku.

W tym celu muszę mieć zgodę czytelnika na przesyłanie mu informacji handlowej. Takiej zgody nie mogę już zbierać wyłącznie poprzez mechanizm double opt-in. Dlatego potrzebowałem checkboxów.

Tutaj zaczęły się największe schody. Próbowałem różnych rozwiązań, ale w końcu wykorzystałem w tym celu opcję grup z poziomu MailChimpa.

Utworzyłem dwie grupy:

zgoda na przetwarzanie danych w celu otrzymywania newslettera,
zgoda na otrzymywanie informacji handlowych.

Dzięki wtyczce EasyForms zaprojektowałem formularz do zapisu, który zawiera checkboxy odpowiadające nazwie grup. W zależności od tego, które checkboxy czytelnik zaznaczy, do tej grupy trafia.

W konsekwencji, mam na liście osoby, które wyraziły zgodę tylko na przetwarzanie danych w celach otrzymywania newslettera oraz takie, które zgodziły się również na informacje handlowe.

Bałem się, że taki formularz zniechęci czytelników do zapisu. Okazało się jednak, że wcale tak nie jest. Dostałem nawet informacje, że to dobry krok, bo teraz jest tak, jak na prawnika przystało. Super!

Jaki z tego wniosek? Możesz mieć formularz zapisu na newsletter zgodny z prawem, który jednocześnie nie sprawi, że konwersja pójdzie na dno.

W materiałach dodatkowych do tego artykułu znajdziesz przykładowe klauzule zgód, które możesz zastosować u siebie. Do materiałów dodatkowych możesz uzyskać dostęp na końcu artykułu.

→ Przeczytaj również: Czy można wysłać zapytanie o zgodę na przesłanie oferty?

Obowiązek informacyjny

Wiesz już, że potrzebujesz:

zawrzeć umowę z MailChimp zawierającą standardowe klauzule umowne ochrony danych osobowych,
stworzyć formularz z checkboxami zawierającymi odpowiednie zgody na przetwarzanie danych.

To nadal nie wszystko.

Jesteś administratorem danych osobowych subskrybentów twojego newslettera.

Na administratorze ciąży jeszcze jeden ważny obowiązek. Obowiązek informacyjny.

Art. 24

1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;

3) prawie dostępu do treści swoich danych oraz ich poprawiania;

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Dobra wiadomość jest taka, że obowiązek informacyjny możesz wypełnić już w treści maila wysyłanego do subskrybenta. Nie musisz tego robić w ramach formularz zapisu.

Najlepszą opcją jest wykorzystanie wiadomości z potwierdzeniem subskrypcji lub wiadomości powitalnej. Wystarczy w jej treści podać wymagane informacje i po sprawie.

W materiałach dodatkowych do tego artykułu, znajdziesz przykładowe klauzule, którymi możesz posłużyć się, chcąc wypełnić należycie obowiązek informacyjny. Do materiałów dodatkowych możesz uzyskać dostęp na końcu artykułu.

Dokumentacja ochrony danych

Wiesz już, że:

konieczna jest umowa z MailChimp z odpowiednimi klauzulami,
potrzebujesz formularza, który zawiera checkboxy,
musisz poinformować subskrybenta o określonych rzeczach.

Czy będziesz zaskoczony, jeśli powiem, że to nadal nie koniec?

Masz jeszcze obowiązek wdrożyć odpowiednie procedury ochrony danych oraz opisać je w wewnętrznej dokumentacji ochrony danych osobowych.

Na wewnętrzną dokumentację ochrony danych osobowych składają się:

polityka bezpieczeństwa przetwarzania danych osobowych,
instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Oprócz tego, są jeszcze upoważnienia do przetwarzania danych oraz ewidencja osób upoważnionych.

Brzmi groźnie, co? No nie jest to najprzyjemniejsza część posiadania newslettera, ale jeśli chcesz być w 100% zgodny z prawem, nie możesz jej odpuścić.

Dobra wiadomość jest taka, że dzisiaj nie będę cię męczył szczegółami dotyczącymi tej dokumentacji. Jeśli chcesz poznać więcej szczegółów, napisz do mnie. Zajmuję się zawodowo wdrożeniami ochrony danych osobowych.

Zgłoszenia do GIODO

Uff… mamy za sobą cztery kroki do legalnego MailChimpa:

umowa z odpowiednimi klauzulami,
checkboxy ze zgodami,
obowiązek informacyjny,
dokumentacja ochrony danych.

Czas na krok ostatni. Zgłoszenie do GIODO.

Zgłoszenie do GIODO to tak naprawdę czynność techniczna. Po prostu wypełniasz wniosek i przesyłasz do GIODO.

Wiem, że wypełnienie wniosku dla wielu osób nie jest łatwe. Trzeba wypełnić w nim wiele pól, które nie zawsze są jasne i oczywiste.

O wypełnieniu wniosku możesz przeczytać tutaj: Czy newsletter trzeba zgłosić do GIODO? Jak to zrobić?

Potrzebujesz indywidualnej pomocy?

Napisz do mnie na adres wojciech.wawrzak@prakreacja.pl.

Uwaga, na gruncie RODO obowiązek zgłaszania zbiorów do GIODO znika. Pojawiają się jednak inne zagadnienia. Możesz je opracować, korzystając z pakietu RODO.

Podsumowanie

Poniżej znajdziesz streszczenie artykułu w kilku punktach:

korzystanie z MailChimp jest w tej chwili legalne dzięki umowie ze standardowymi klauzulami umownymi,
zgody na przetwarzanie danych najlepiej zbierać poprzez checkboxy,
subskrybenci muszą być poinformowani o określonych rzeczach,
powinieneś wdrożyć odpowiednie procedury ochrony danych i opisać je w dokumentacji,
na koniec zostaje ci zgłoszenie zbioru danych do GIODO.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.