Nawigacja

Gdy w ubiegłym roku upadł program Safe Harbour, wśród użytkowników MailChimpa świadomych problemu ochrony danych osobowych pojawił się niepokój.

Przyznam, że sam uległem wątpliwościom i zacząłem rozglądać się za innym rozwiązaniem. Dostępne alternatywy nie spełniły jednak moich oczekiwań.

Dlatego po raz kolejny przysiadłem to tematu i znalazłem rozwiązanie na legalny newsletter z MailChimp. Podzielę się nim z tobą dzisiaj.

W drodze do legalnego MailChimpa

Upadek programu Safe Harbour to problem dotyczący przekazywania danych do państwa trzeciego. Jego rozwiązanie zainspirowało mnie do napisania tego artykułu.

Dlatego rozwiązaniem tego problemu zajmę się w pierwszej kolejności. Na tym jednak ten artykuł się nie skończy. W dalszej kolejności, opowiem ci o:

  • checkboxach ze zgodami na przetwarzanie danych,
  • obowiązku informacyjnym,
  • dokumentacji ochrony danych osobowych,
  • zgłoszeniu zbioru do GIODO.

Zacznijmy jednak od przekazywania danych do państwa trzeciego.

Przekazywanie danych do państwa trzeciego

Dane osobowe subskrybentów twojego newslettera przechowywane są w Stanach Zjednoczonych. Tam znajdują się serwery MailChimp.

Stany Zjednoczone nie należą do Unii Europejskiej. To sprawia, że w myśl polskiej ustawy o ochronie danych osobowych są państwem trzecim.

Art. 7

Ilekroć w ustawie jest mowa o:

[…]

7) państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego.

Uznanie Stanów Zjednoczonych za państwo trzecie wiąże się z dodatkowymi obostrzeniami. Przepływ danych w obrębie Unii Europejskiej jest swobodny. Poza UE nie jest już tak kolorowo.

Przekazywanie danych osobowych do państwa trzeciego jest możliwe tylko, jeśli spełniony jest jeden z warunków, który na to pozwala.

Do chwili upadku programu Safe Harbour, przekazywanie danych do państwa trzeciego odbywało się na podstawie art. 47 ust. 1.

Program Safe Harbour polega bowiem na tym, że państwo do niego przystępujące gwarantuje odpowiedni poziom ochrony danych osobowych.

Art. 47

1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Zakwestionowanie programu Safe Harbour przez Trybunał Sprawiedliwości Unii Europejskiej sprawiło, że warunek zapewnienia odpowiedniego poziomu ochrony danych osobowych odpadł.

W konsekwencji, w Internecie zaczęło się wrzenie, że MailChimp nie jest już legalny. Sam uległem tym emocjom. Nie miałem czasu, by przyjrzeć się dokładnie sprawie i zupełnie zapomniałem o wytrychu, który pozwala nadal korzystać z MailChimp zgodnie z prawem.

Na szczęście, MailChimp sam zadbał o wszystko i dostarczył swoim użytkownikom gotowe rozwiązanie. W ramach swojej bazy wiedzy, opisał, co musi zrobić użytkownik z Unii Europejskiej, by pomimo upadku Safe Harbour mógł nadal legalnie korzystać z MailChimp.

Legalny MailChimp możliwy jest dzięki standardowym klauzulom umownym danych osobowych, zatwierdzonym przez Komisję Europejską.

Art. 48

1. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

2. Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub

2) prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej “wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez Generalnego Inspektora zgodnie z ust. 3-5.

Takie klauzule muszą znaleźć się w umowie zawieranej między administratorem danych osobowych a podmiotem z państwa trzeciego, do którego trafiają dane.

MailChimp umożliwia zawarcie odpowiedniej umowy z poziomu swojej strony.

Wystarczy, że wypełnisz krótki formularz i umowa przyjdzie na twój e-mail. Wydrukuj ją, podpisz i zachowaj w dokumentacji. Wprawdzie skan podpisu reprezentanta MailChimp nie spełnia wymogu formy pisemnej, ale lepiej mieć taką umowę niż żadną.

Dzięki posiadaniu takiej umowy masz załatwione dwie kwestie:

  • dysponujesz umową powierzenia przetwarzania danych, która jest wymagana przez GIODO,
  • możesz wykazać, że spełniłeś warunek pozwalający na przekazywanie danych do państwa trzeciego.
UWAGA: Na tę chwilę standardowe klauzule umowne pozwalają na przekazywanie danych do Stanów Zjednoczonych. Może się to jednak zmienić ze względu na to, że trwają konsultacje między UE a USA w sprawie tzw. tarczy prywatności i nic nie jest jeszcze przesądzone. Więcej szczegółów tutaj.

Checkboxy ze zgodami

Wiesz już, że na ten moment możesz legalnie korzystać z MailChimp, posiadając umowę ze standardowymi klauzulami umownymi ochrony danych osobowych.

To jednak nie koniec drogi do legalnego MailChimpa. Teraz przed nami temat zgód na przetwarzanie danych.

Gdy przeglądam blogi, widzę, że prawie nikt nie ma poprawnie zaprojektowanego procesu zbierania zgód na newsletter.

Ja sam dopiero jakieś dwa tygodnie temu zrobiłem wszystko tak, jak trzeba. Dotychczas trwałem przy liberalnym podejściu i zbierałem zgodę, korzystając z metody double opt-in.

W formularzu zapisu nie miałem żadnych checkboxów, a dopiero w treści maila potwierdzającego subskrypcję znajdowała się następująca klauzula zgody:

jeśli wyrażasz zgodę na przetwarzanie Twoich danych osobowych (imię oraz adres e-mail) przeze mnie w celu otrzymywania newslettera, kliknij w poniższy link.

Przyjęło się, że można w ten sposób zbierać zgodę, jeśli newsletter służy komunikacji niemarketingowej. Niemarketingowej w takim sensie, że nie rozsyłasz reklam w stylu “kup ode mnie nowy produkt”, ale np. wyłącznie powiadomienia o nowych wpisach na blogu.

Ja jednak zapragnąłem przesyłać czytelnikom również zachęty do zakupu moich blogowych produktów, takich jak wzory dokumentów, czy kursy on-line. Produktów tych wprawdzie nie mam w tej chwili za dużo, ale planuję rozwój w tym kierunku.

W tym celu muszę mieć zgodę czytelnika na przesyłanie mu informacji handlowej. Takiej zgody nie mogę już zbierać wyłącznie poprzez mechanizm double opt-in. Dlatego potrzebowałem checkboxów.

Tutaj zaczęły się największe schody. Próbowałem różnych rozwiązań, ale w końcu wykorzystałem w tym celu opcję grup z poziomu MailChimpa.

Utworzyłem dwie grupy:

  • zgoda na przetwarzanie danych w celu otrzymywania newslettera,
  • zgoda na otrzymywanie informacji handlowych.

Dzięki wtyczce EasyForms zaprojektowałem formularz do zapisu, który zawiera checkboxy odpowiadające nazwie grup. W zależności od tego, które checkboxy czytelnik zaznaczy, do tej grupy trafia.

W konsekwencji, mam na liście osoby, które wyraziły zgodę tylko na przetwarzanie danych w celach otrzymywania newslettera oraz takie, które zgodziły się również na informacje handlowe.

Bałem się, że taki formularz zniechęci czytelników do zapisu. Okazało się jednak, że wcale tak nie jest. Dostałem nawet informacje, że to dobry krok, bo teraz jest tak, jak na prawnika przystało. Super!

Jaki z tego wniosek? Możesz mieć formularz zapisu na newsletter zgodny z prawem, który jednocześnie nie sprawi, że konwersja pójdzie na dno.

W materiałach dodatkowych do tego artykułu znajdziesz przykładowe klauzule zgód, które możesz zastosować u siebie. Do materiałów dodatkowych możesz uzyskać dostęp na końcu artykułu.

→ Przeczytaj również: Czy można wysłać zapytanie o zgodę na przesłanie oferty?

Obowiązek informacyjny

Wiesz już, że potrzebujesz:

  • zawrzeć umowę z MailChimp zawierającą standardowe klauzule umowne ochrony danych osobowych,
  • stworzyć formularz z checkboxami zawierającymi odpowiednie zgody na przetwarzanie danych.

To nadal nie wszystko.

Jesteś administratorem danych osobowych subskrybentów twojego newslettera.

Na administratorze ciąży jeszcze jeden ważny obowiązek. Obowiązek informacyjny.

Art. 24

1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;

3) prawie dostępu do treści swoich danych oraz ich poprawiania;

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Dobra wiadomość jest taka, że obowiązek informacyjny możesz wypełnić już w treści maila wysyłanego do subskrybenta. Nie musisz tego robić w ramach formularz zapisu.

Najlepszą opcją jest wykorzystanie wiadomości z potwierdzeniem subskrypcji lub wiadomości powitalnej. Wystarczy w jej treści podać wymagane informacje i po sprawie.

W materiałach dodatkowych do tego artykułu, znajdziesz przykładowe klauzule, którymi możesz posłużyć się, chcąc wypełnić należycie obowiązek informacyjny. Do materiałów dodatkowych możesz uzyskać dostęp na końcu artykułu.

Dokumentacja ochrony danych

Wiesz już, że:

  • konieczna jest umowa z MailChimp z odpowiednimi klauzulami,
  • potrzebujesz formularza, który zawiera checkboxy,
  • musisz poinformować subskrybenta o określonych rzeczach.

Czy będziesz zaskoczony, jeśli powiem, że to nadal nie koniec?

Masz jeszcze obowiązek wdrożyć odpowiednie procedury ochrony danych oraz opisać je w wewnętrznej dokumentacji ochrony danych osobowych.

Na wewnętrzną dokumentację ochrony danych osobowych składają się:

  • polityka bezpieczeństwa przetwarzania danych osobowych,
  • instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Oprócz tego, są jeszcze upoważnienia do przetwarzania danych oraz ewidencja osób upoważnionych.

Brzmi groźnie, co? No nie jest to najprzyjemniejsza część posiadania newslettera, ale jeśli chcesz być w 100% zgodny z prawem, nie możesz jej odpuścić.

Dobra wiadomość jest taka, że dzisiaj nie będę cię męczył szczegółami dotyczącymi tej dokumentacji. Jeśli chcesz poznać więcej szczegółów, napisz do mnie. Zajmuję się zawodowo wdrożeniami ochrony danych osobowych.

Zgłoszenia do GIODO

Uff… mamy za sobą cztery kroki do legalnego MailChimpa:

  • umowa z odpowiednimi klauzulami,
  • checkboxy ze zgodami,
  • obowiązek informacyjny,
  • dokumentacja ochrony danych.

Czas na krok ostatni. Zgłoszenie do GIODO.

Zgłoszenie do GIODO to tak naprawdę czynność techniczna. Po prostu wypełniasz wniosek i przesyłasz do GIODO.

Wiem, że wypełnienie wniosku dla wielu osób nie jest łatwe. Trzeba wypełnić w nim wiele pól, które nie zawsze są jasne i oczywiste.

O wypełnieniu wniosku możesz przeczytać tutaj: Czy newsletter trzeba zgłosić do GIODO? Jak to zrobić?

Potrzebujesz indywidualnej pomocy?

Napisz do mnie na  adres wojciech.wawrzak@prakreacja.pl.

Podsumowanie

Poniżej znajdziesz streszczenie artykułu w kilku punktach:

  • korzystanie z MailChimp jest w tej chwili legalne dzięki umowie ze standardowymi klauzulami umownymi,
  • zgody na przetwarzanie danych najlepiej zbierać poprzez checkboxy,
  • subskrybenci muszą być poinformowani o określonych rzeczach,
  • powinieneś wdrożyć odpowiednie procedury ochrony danych i opisać je w dokumentacji,
  • na koniec zostaje ci zgłoszenie zbioru danych do GIODO.

Przydał ci się ten artykuł? Pokaż go światu. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Materiały dodatkowe

Przygotowałem materiały dodatkowe do tego artykułu. Znajdziesz w nich:

  • przykładowe treści klauzul zgód na przetwarzanie danych i otrzymywanie informacji handlowych,
  • przykładową formułę, pozwalającą ci należycie wypełnić obowiązek informacyjny.

Do materiałów dodatkowych możesz uzyskać dostęp, zapisując się na newsletter. Po potwierdzeniu subskrypcji newslettera, otrzymasz wiadomość z linkiem do ściągnięcia pliku .pdf.

Zapisz się na newsletter i otrzymaj materiały dodatkowe.

Powyższych zgód udzielasz mi, czyli Wojciechowi Wawrzak, prowadzącemu działalność gospodarczą pod firmą “Usługi prawne i księgowe Wojciech Wawrzak” z siedzibą w Łodzi (93-279), ul. Tatrzańska 91/51.


Przydał ci się ten artykuł? Pokaż go światu. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

  • Wojtku, dziękuję, dziękuję, dziękuję! Ściskam Ciebie bardzo mocno w podziękowaniu za ten artykuł (mam nadzieję, że Twoja narzeczona mi to wybaczy 😉 ). Krótkie pytanie: czy osoby, które już były zapisane na Twój newsletter też dostaną materiały dodatkowe? 🙂

    • Tak, jeszcze dzisiaj prześlę je do dotychczasowych suskrybentów. Ale możesz sie zapisać z tej formy, dane powinny zostać uaktualnione i zostaniesz zapisana do grupy, a automatyzacja zrobi swoje i prześle materiały. ?

    • Biję się w pierś, bo zapomniałem na urlopie rozesłać newsletter do stałych czytelników. Dzisiaj wracam z Zakopanego i postaram się nadrobić zaległości!

  • newone

    str. 9-10 przykładowej umowy, “We have a documented “in case of nuclear attack on a data center” infrastructure continuity plan.” “The Art of Deception, by Kevin Mitnick, is required reading for all new employees. Fatal System Error, by Joseph Menn, is extra credit.”

  • Dzięki za kolejny super artykuł 🙂

    Mam pytanko: dlaczego, pomimo wstawienie check-boxa na formatce zapisu na stronie, nadal wymagane jest wysłania maila potwierdzającego zapis na listę (tzw. double opt-in)? Czy to nie jest dublowanie już raz udzielonej zgody?

    • Nie ma konieczności wdrażania mechanizmu double opt-in. To natomiast przydatne, by mieć pewność, że ktoś podaje adres, z którego rzeczywiście korzysta.

      • Dziękować 🙂 Tylko czy na dłuższą metę konwersja jednak nie spadnie. Każde dodatkowy button może powodować, że ktoś po prostu zapomni, żeby kliknąć – zwłaszcza jak dostanie np. 20 różnych maili naraz (w tym 16 reklam), jednocześnie ogląda YT, sprawdza FB, ogląda najnowsze X-files i robi kawe 😉 Może wystarczy na stronie info, że “przyjdzie mail potwierdzający”, w którym przy okazji będzie zawarta ta informacja o ochronie danych i tyle. Jak przyjdzie, znaczy się, że jest git.

        • Nie ma obowiązku double opt-in, gdy wcześniej są checkboxy. Ja stosuję choćby po to, by otrzymywać informacje o nowych subskrybentach na pocztę – MailChimp udostępnia tę opcję tylko przy double opt-in.

        • Jeśli pomogłem Ci tym artykułem, będę wdzięczny za głos w konkursie Blog Roku 2015, który pozwoli mi przejść do kolejnego etapu. Wystarczy SMS o treści E11116 na numer 7124.

          SMS kosztuje 1,23 zł brutto. Pieniążki zebrane podczas głosowania zostaną przekazane Fundacji Dziecięcej Fantazja.

  • Świetny artykuł, ale…jak dobrze, że mieszkasz w Łodzi 🙂 Będę z pewnością dobijać się do Ciebie na konsultację 🙂

    • Zapraszam, skonsultujemy po weekendzie wszystko, co potrzebujesz. ? Tymczasem mam prośbę o pomoc. Startuję w konkursie Blog Roku i potrzebuję wsparcia, by przejść do finałowego etapu. Wystarczy SMS o treści E11116 na numer 7124. Będę wdzięczny za pomoc!

      SMS kosztuje 1,23 zł brutto. Pieniążki zebrane podczas głosowania zostaną przekazane Fundacji Dziecięcej Fantazja.

  • Dzięki za ten artykuł. Powiedz proszę czy osoby, które nie prowadzą działalności gospodarczej związanej z blogiem, też muszą zadbać o te wszystkie formalności? Np. formularz zawarcia umowy z MailChimp’em wymaga podania nazwy firmy, więc zastanawiam się, które “kroki” mnie obowiązują 🙂

    • Cześć Monika! Administratorem danych osobowych może być również osoba fizyczna nieprowadząca działalności gospodarczej. Jest jednak wyłączenie, które pozwala uniknąć obowiązków nakładanych przez ustawę o ochronie danych osobowych. Polega ono na uznaniu, że dane są przetwarzane bez związku z działalnością zarobkową lub zawodową. Zatem jeśli blog służy wyłącznie celom prywatnym, hobbystycznym, nie zarabia się na nim – to ustawa o ochronie danych osobowych nie znajduje zastosowania.

      Mam nadzieję, że wyjaśniłem sprawę. Jeśli tak, będę wdzięczny za głos ma mój blog w konkursie Blog Roku 2015. Wystarczy SMS o treści E11116 na numer 7124.

      SMS kosztuje 1,23 zł brutto. Pieniążki zebrane podczas głosowania zostaną przekazane Fundacji Dziecięcej Fantazja.

      • Dzięki za odpowiedź, ale mam małą niejasność. Co w sytuacji jeżeli nie mam działalności gospodarczej, ale na blogu zarabiam? Wciąż nie mam co wpisać w okienku “nazwa firmy” itd. I co w takiej sytuacji ze zgłaszaniem listy do GIODO?

        Życzę powodzenia w konkursie 🙂

        • W okienku “nazwa firmy” wpisz po prostu swoje imię i nazwisko, bo jako osoba bez firmy jesteś administratorem danych pod swoim imieniem i nazwiskiem.

  • Bardzo ważny temat i bardzo trudny dla szarego człowieka. Tak, jak teraz o tym myślę, to chyba nigdy nie trafiłam na poprawnie skonstruowany zapis na newsletter. Powoli szykuję się do własnego i już wiem, że jeszcze sporo pracy przede mną 😀 Dzięki za ten wpis!!!

    • Jeśli będziesz potrzebowała pomocy przy konstruowaniu procesu zbierania zgód, pisz śmiało! A tymczasem proszę o wsparcie w konkursie Blog Roku – SMS o treści E11116 na numer 7124. 🙂

      • Dzięki 🙂 a smsik poszedł już w sobotę po Twoim pierwszym webinarze, tak w ramach nagrody i podziękowania 🙂

  • Kasia Fossa

    Jestem dziś pierwszy raz na blogu i chapeau bas!! Na pewno będę wracać! Najlepszych wiatrów!

  • Dzięki

    Trafiłem na stronę szukając info o GIODO. Mam taką sytuację: prowadzę stronę zarobkowo (blog z darmowymi artykułami, ale również sprzedaż własnych produktów) i zbieram zapisy na bazę emailową.

    Czytając Twoje artykuły widzę, że muszę to zarejestrować w GIODO. Mam kilka pytań…

    1) korzystam z amerykańskiego systemu Active Campaign: http://www.activecampaign.com. Czy jest jakiś sposób na zrobienie tego legalnie czy muszę zmienić na np. MailChimpa lub jakieś polskie rozwiązanie?

    2) czy muszę dawać check-boxy (jak u Ciebie) czy też mogę zrobić jeden check-box w stylu: “akceptuję regulamin strony”, a w regulaminie zaznaczyć, że zapisując się wyraża zgodę na przetwarzanie danych itp.

    3) Czy zamiast dawać jakiekolwiek check-boxy, mogę zrobić email potwierdzający (stosując double-opt in) i tam napisać, że klikając link zgadzasz się na przetwarzanie danych…

    4) ile kosztuje u Ciebie pomoc w przygotowaniu i zgłoszeniu do GIODO?

    Z góry dziękuję – świetny blog 🙂

    • Cześć! Jeśli chodzi o Active Campaign, to nie znam ich polityki. Jeśli udostępniają taką możliwość jak MailChimp zawarcia umowy ze standardowymi klauzulami umownymi, to będzie ok. Jeden checkbox zbiorczy niestety nie wystarczy – trzeba to porozbijać. Pozostałbym przy checkboxie, double opt-in dla projektów typowo niekomercyjnych. Ogarnięcie danych osobowych to 500 zł netto + VAT = 615 zł brutto.

  • Panie Wojtku, a z czego wynika możliwość spełnienia obowiązku informacyjnego dopiero na etapie maila potwierdzającego? Na trzeba tego zrobić przed ostatecznym zapisem?

    • Teoretycznie, powinno się zrobić to przed zapisem. W praktyce, mało kto jest aż tak hiper poprawny i lepiej poinformować w taki sposób niż w ogóle. Jeśli korzystamy z double-opt-in, to w ogóle problemu nie ma, bo możemy to zrobić w mailu potwierdzającym zapis.

  • Dzięki za art, bardzo przydatne informacje, aż podlinkowałem na LinkedIn 🙂

  • GENIALNE! Dziękuję. Kasia

  • Wojtku, czuję się poprowadzona za rękę! Dziękuję! Postanowiłam zacząć od początku i mam jedną wątpliwość. Gdy chcę zawrzeć umowę z Mailchimp, jestem proszona o podanie kraju, w którym działa mój biznes (What country does your business operate in?) i nie wiem, czy wpisać Polskę (bo to z Polski mam subskrybentów) czy Niemcy (bo tu planuję założyć formalnie firmę). Poradzisz coś?

    • Właściwym państwem będzie państwo, w którym masz miejsce zamieszkania. 😊

  • Bosko! dziękuję. Mam tylko 1 problem – w mailu powitalnym dostałam inny dodatek niż ten obiecamy tutaj… a zależy mi właśnie na tym 🙂

    • Przepraszam za problem! Wkradł się błąd techniczny, który został już wyeliminowany. Można zapisać się ponownie, dane zostaną zaktualizowane.

  • Krzysiek

    Witaj Wojtek, świetny artykuł – bardzo wiele mi rozjaśnił. Mam jedno pytanie – czy jeśli firma zarejestrowana jest jako spółka limited w Wielkiej Brytanii, sprzedaje produkty przez Internet, ale zasadniczo operujemy w Polsce, to jako kraj podajemy Polskę czy UK?

    Serdeczne dzięki za tekst!
    Krzysiek

  • Cześć Wojtku. Czy zgłoszenie do GIODO jest obwiązkowe w przypadku gdy nie mam działalności gospodarczej, na blogu pierwszy raz udało się coś zarobić, a chcę stworzyć newsltetter w oparciu o Mailchimp? Mój newsletter ma głównie informowac o wpisach (póki co) ale mam zamiar co jakis czas wysyłać bezpłatne gratisy (np.grafiki).

    • Jeśli nie prowadzisz działalności gospodarczej, nie zarabiasz regularnie na blogu, to można powiedzieć, że nie przetwarzasz danych w związku z działalnością zarobkową, zatem ustawa nie będzie do Ciebie znajdować zastosowania.

  • Michał

    Czy zgłoszenie do GIODO + umowa z Mailchimp to wszystko?
    A czy przy przekazaniu danych poza EOG nie potrzeba mieć czasem zgody/poinformowania o tym subskrybenta?

    PS. double opt-in zapewnia też, że nasza baza jest bardziej “zdrowa” i znajdują się w niej adresy osób, które otwierają nasze maile. Dodatkowo “uczy” filtry spamowe o tym, że wiad. od nas są oczekiwaną i akceptowaną treścią.

    • Dzień dobry! Nie, zgłoszenie go GIODO + umowa z MailChimp to nie wszystko. Należy jeszcze wdrożyć odpowiednie środki bezpieczeństwa oraz przygotować wewnętrzną dokumentację ochrony danych osobowych. Jeśli przekazywanie danych poza EOG odbywa się na podstawie standardowych klauzul umownych lub programu, który gwarantuje odpowiedni poziom bezpieczeństwa danych, to zgody od subskrybenta nie trzeba odbierać, ani nie trzeba go o tym informować. Zgadzam się z zaletami double opt-in, które wskazałeś.

  • Michał

    Jaka jest różnica pomiędzy przesyłką “wiadomości handlowych” a “wiadomości marketingowych”?

    • Michał

      I jeszcze jedno – co zrobić w przypadku zmiany siedziby firmy z PL na “poza PL” (poza EOG)? Czy poinformowanie o zmianie wystarczy? Czy należy ponownie zebrać zgody?

      • Pierwsze pytanie, czy w ogóle będzie wtedy znajdowała zastosowanie polska ustawa o ochronie danych osobowych. Jeśli będzie, to jaka będzie przesłanka legalizująca przekazywanie danych do państwa trzeciego.

        • Michał

          No właśnie. Czy tu czasem formalnie nie dojdzie nie tyle do zmiany siedziby firmy, co do powstania nowej firmy poza EOG. W jaki sposób wtedy “przekazać” kontakty do tego nowego podmiotu?

          • Jeśli będzie to nowy podmiot, to na przekazanie mu danych konieczna będzie zgoda osób znajdujących się na liście.

          • Michał

            W jakiej formie takie zapytanie i zgoda powinny być wystosowane/zbierane? Czy zapytanie o zgodę wysłane przez “stary” podmiot mailowo do listy jest ok? Czy “jeśli się nie zgadzasz na zmianę administratora, wypisz się z listy klikając TUTAJ” jest ok? Jak do tego najsprawniej podejść?

          • Stary administrator powinien uzyskać wyraźną zgodę na przekazanie danych do nowego administratora. Nie może się to odbywać na podstawie domniemania, tj. jeśli się nie sprzeciwiłeś, to znaczy, że się zgodziłeś. Zgoda musi być wyraźna. Tyle oczywiście teoria. W praktyce bardzo często takie transfery dokonywane są wbrew przepisom.

    • Dobre pytanie. Różnica jest mętna. Dla bezpieczeństwa lepiej przyjąć, że to się pokrywa i posiadać dwie zgody. Ale przykładowo, życzenia świąteczne będą wiadomości marketingową, lecz już nie handlową, bo nie będą zawierały oferty.

      • Michał

        Czy nie wystarczy jedna zgoda na przesyłanie informacji handlowej w takim razie? Która jest zbiorem szerszym jak rozumiem? Wolę mieć listę mailingową zgadzającą się na przesyłanie informacji handlowej niż kilka różnych list, do których trzeba dopasować treść mailingu. Przy dużych bazach i częstych mailach, automatyzacji, tzw. sequences, posiadanie kilku list (w przypadku Mailchimp) jest po prostu bezsensowne z biznesowego punktu widzenia.

        • Muszą być dwie zgody: na przetwarzanie danych w celach marketingowych oraz na przesyłanie informacji handlowych. Ponieważ jednak rzeczywiście często oddzielna lista newsletterowa i “handlowa” są bez sensu – np. newsletter sklepu internetowego – można zliberalizować wymóg oddzielnych zgód i pokusić się o jedną, łączoną, np. Chcę zapisać się na newsletter i otrzymywać informacje o nowościach, produktach i ofertach XYZ z siedzibą w Warszawie (01-253), ul. Łącka 124b.

  • MADAM agatka

    Hej! BARDZO wartościowy artykuł! Od kilku dni nie wychodzę z Twojej strony. Czytam, czytam, czytam.. Mam jedno pytanie. Co w przypadku osoby, która chce wysyłać przed świętami darmowego PDF, a w przyszłości chce prowadzić działalność zarobkową? Czy może zawrzeć umowę z Mailchimp jako osoba fizyczna, a później zmienić właściciela na podmiot gospodarczy? Lub w chwili obecnej, nie zawierać żadnych formalności prawnych, ponieważ jako osoba fizyczna nie będzie zarabiała na tym blogu, a dopiero w chwili wypuszczenia odpłatnego produktu na rynek uzupełnić formalności, zgłosić GIODO i zawrzeć dodatkową umowę z Mailchimp? 😉

    • MADAM agatka

      PS. A co w przypadku, gdybym zbudowała sobie sama taki system. W sensie nie korzystała z narzędzia gotowego jak np. Mailchimp tylko sama bym miała baze, która by wysyłała newslettery? Czy wtedy muszę zgłosić tylko swoją działalność do GIODO? Czy dopiero w momencie gdy zacznę sprzedawać pliki ? 🙂

  • Adrianna (A)

    Cześć,

    zależy mi na informacji czy adresy mailowe stanowią bazę? Przecież nie są to dane umożliwiające identyfikację osoby:

    Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Stosownie do ust. 3 powołanego przepisu, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań.

  • Maciej

    Czyli jeżeli zbieram same adresy email bez imion i nazwisk to już nie muszę robić zgłoszenia do GIOGO? Oczywiście na zebrane w ten sposób adresy email będę wysyłał informacje odnośnie mojej strony www.

    • Dzień dobry, Panie Macieju! Adres e-mail, jeżeli wskazuje na imię i nazwisko konkretnej osoby, zaliczany jest do katalogu danych osobowych. W związku z tym, że nie jesteśmy w stanie wykluczyć sytuacji, w której ktoś podaje adres e-mail z imieniem i nazwiskiem, również zbiór samych adresów e-mail podlega zgłoszeniu do GIODO.

  • Alicja

    Witaj, mam pytanie. Własnie otworzyłam firmę i chciałby wysyłać maile z ofertą do innych firm żeby poinformować ich o moich usługach (jestem fotografem reklamowym). Załóżmy że przygotuję wszystko tak jak opisałeś w tym tekście. Czy mogę wysłać maile do firm których adresy znalazłam w internecie z zapytaniem o wyrażenie zgody na przesłanie ofertowy handlowej? Czy mogłabym to zrobić za pomocą Mail Chimp?Moja strona jest moim portfolio i nie mam tam opcji do zapisana się na newsletter lub coś w tym stylu. Pozdrawiam 🙂

    • Cześć, Alicja! Dziękuję za komentarz. W ramach odpowiedzi na Twoje pytania pojawiają się dwa podejścia. Jedno z nich zakłada, że wysłanie takich wiadomości jest dopuszczalne. Drugie, bardziej restrykcyjne, zakłada, że takie zapytanie nie jest dopuszczalne, ponieważ samo przesłanie zapytania o zgodę jest już formą marketingu bezpośredniego, a na taki marketing trzeba mieć uprzednią zgodę. Ja jestem zwolennikiem drugiego podejścia. Myślę, że nie tylko z prawnego punktu widzenia takie podejście jest bardziej właściwe, ale również z punktu widzenia wizerunkowego. Lepiej zachęcić kogoś przez fajne i przydatne treści, by podał swój adres e-mail, a potem kierować do niego komunikatu marketingowe niż słać do nieznajomych wiadomości z zapytaniem o zgodę na przesłanie oferty. Mnie osobiście takie wiadomości po prostu denerwują.

      • Alicja

        Dziękuję Wojtku za odpowiedź 🙂