Nawigacja

Chcesz korzystać z MailChimp do wysyłki mailingu? Zastanawiasz się, czy możesz zrobić to zgodnie z polskim prawem, skoro za obsługę odpowiedzialna jest spółka z USA? Co na to GIODO i ustawa o ochronie danych osobowych? Zapraszam na rozwiązanie zagadki.

Pamiętaj o podstawach

Zanim opowiem o problemie z MailChimp, pozwól, że przypomnę ci, o co musisz zadbać, jeśli chcesz realizować mailing zgodnie z prawem:

  • uzyskaj zgodę na wysyłkę mailingu od użytkownika (np. poprzez checkbox),
  • wdroż stosowne procedury ochrony danych zbieranych od użytkowników,
  • zgłoś zbiór danych do GIODO.

To trzy podstawowe kroki ku legalnemu mailingowi. Nie omawiam ich szczegółowo, bo dzisiaj skupiam się na wątpliwości związanej z MailChimp.

Wątpliwość ta ujawnia się na etapie wdrożenia procedur ochrony danych. Mianowicie, ustawa o ochronie danych osobowych przewiduje obowiązek zawarcia umowy powierzenia przetwarzania danych, jeśli zbierane dane przetwarzane są przez inny podmiot niż ten, który je od użytkownika zbiera.

Art. 31 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Umowa powierzenia przetwarzania danych z MailChimp

Zbierając dane osobowe, stajesz się administratorem danych. Korzystając z MailChimp, powierzasz spółce przetwarzanie zebranych przez siebie danych osobowych. Dane te zapisywane są w bazach amerykańskiej spółki.

Dlatego, by być w zgodzie z przepisami polskiej ustawy o ochronie danych osobowych, musisz zawrzeć z MailChimp umowę powierzenia przetwarzania danych. Tutaj pojawia się kluczowe dla dzisiejszego wpisu pytanie – czy zawarcie takiej umowy z MailChimp w ogóle jest możliwe?

Odpowiedź brzmi, że tak – jest to możliwe. Mimo, że umowa z MailChimp zawierana jest w sposób zautomatyzowany poprzez rejestrację konta użytkownika i akceptację regulaminu, to spółka daje możliwość zawarcia dodatkowej umowy związanej z przetwarzaniem danych osobowych.

Wystarczy skontaktować się z obsługą i poprosić o ten dodatkowy dokument. Ja (sam korzystam z MailChimp) zrobiłem to za pomocą formularza kontaktowego dostępnego na stronie. W odpowiedzi otrzymałem plik .pdf ze zeskanowanym podpisem osoby reprezentującej spółkę i zostałem poproszony o wypełnienie dokumentu moimi danymi, podpisanie i odesłanie skanu. Na koniec, MailChimp potwierdził wymianę dokumentów.

W ten sposób zawarłem umowę powierzenia przetwarzania danych. Powstaje jednak pytanie, czy taka umowa jest wystarczająca z punktu widzenia polskiej ustawy? Przytoczony wcześniej art. 31 mówi o umowie zawartej na piśmie. W prawie polskim, dla zachowania formy pisemnej konieczne jest złożenie własnoręcznego podpisu lub podpisanie dokumentu przy użyciu certyfikatu kwalifikowanego. Zatem umowa ze zeskanowanym podpisem nie jest umową zawartą na piśmie.

Czy to oznacza, że umowa jest nieważna? Nie. W przepisie brak zastrzeżenia formy pisemnej pod rygorem nieważności, zatem należy przyjąć, że umowę można zawrzeć w dowolnej formie, a brak zachowania formy pisemnej wywołuje jedynie skutki w zakresie postępowania dowodowego.

Art. 73 Kodeksu cywilnego

§ 1. Jeżeli ustawa zastrzega dla czynności prawnej formę pisemną, czynność dokonana bez zachowania zastrzeżonej formy jest nieważna tylko wtedy, gdy ustawa przewiduje rygor nieważności.

Art. 74 Kodeksu cywilnego

§ 1. Zastrzeżenie formy pisemnej bez rygoru nieważności ma ten skutek, że w razie niezachowania zastrzeżonej formy nie jest w sporze dopuszczalny dowód ze świadków ani dowód z przesłuchania stron na fakt dokonania czynności. Przepisu tego nie stosuje się, gdy zachowanie formy pisemnej jest zastrzeżone jedynie dla wywołania określonych skutków czynności prawnej.

Zatem dobra wiadomość jest taka, że można w opisany powyżej sposób skutecznie zawrzeć umowę powierzenia danych osobowych z MailChimp.

Przekazywanie danych do państwa trzeciego?

Jest jeszcze jedna wątpliwość związana z MailChimp i polską ustawą o ochronie danych osobowych. Mianowicie, Stany Zjednoczone, jako kraj nienależący do Unii Europejskiej, stanowią państwo trzecie w rozumieniu art. 47 ustawy.

Art. 47 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Co więcej, Stany Zjednoczone zalicza się do jednego z państw trzecich nie dających gwarancji odpowiedniego zabezpieczenia danych osobowych. Pytanie, co teraz?

Szczęśliwie, MailChimp przystąpił do programu Safe Harbour. Mimo, że USA nie dają gwarancji odpowiedniego zabezpieczenia danych osobowych, to uczestnik programu Safe Harbour taką gwarancję daje. Oznacza to, że przekazywanie danych z Polski do MailChimp jest zgodne z prawem. Więcej wyjaśnień na stronie GIODO tutaj.

Jeśli potrzebujesz pomocy w zakresie ochrony danych osobowych, napisz do mnie na adres wojciech.wawrzak@prakreacja.pl.

Podsumowanie

Korzystanie z MailChimp jest legalne i zgodne z polskimi przepisami. Wystarczy zawrzeć umowę powierzenia przetwarzania danych poprzez wymianę zeskanowanych dokumentów, a następnie zaznaczyć fakt powierzenia i zawarcia umowy w zgłoszeniu rejestracyjnym zbioru kierowanym do GIODO.

Podobał ci się ten wpis? Pokaż go światu. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Tutaj dowiesz się wszystkiego o prawnych aspektach newslettera:

A tutaj dowiesz się, jak wysyłać legalne maile:

Więcej o ochronie danych osobowych przeczytasz tutaj:

>> Zdjęcie wykorzystane w nagłówku autorstwa Staffage z kaboompics.com.

Jeśli chcesz otrzymywać więcej porad z zakresu ochrony danych osobowych, zapisz się na mój newsletter. Zero SPAMu, wiadomość raz w tygodniu, tylko soczysty konkret.
Strona wykorzystuje pliki cookies w celu prawidłowego jej działania oraz korzystania z narzędzi analitycznych, reklamowych i społecznościowych. Szczegóły znajdują się w polityce prywatności. Możesz zarządzać ustawieniami plików cookies, klikając w przycisk "Ustawienia". Ustawienia Rozumiem i akceptuję