Nielegalny newsletter na blogu

Newsletter to narzędzie użyteczne i przydatne – nie ma co do tego wątpliwości. Informacje na portalach społecznościowych często giną w tłumie, przechodzą niezauważone. Newsletter pozwala na bezpośrednie informowanie czytelnika o nowych wpisach. Ale decydując się na taką formę kontaktu z odbiorcą, warto zapoznać się z aspektami prawnymi prowadzonych w ten sposób działań.

Aktualizacja pod RODO

Ten artykuł przygotowany został na podstawie ustawy o ochronie danych osobowych obowiązującej do 25.05.2018 r. Na temat RODO przeczytasz natomiast tutaj:

Adres e-mail jako dana osobowa

Zapisując się do newslettera, czytelnik podaje swój adres e-mail. I tutaj zaczynają się problemy.

Adres e-mail uznawany jest bowiem przez GIODO (Generalny Inspektor Ochrony Danych Osobowych) za daną osobową w rozumieniu ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Ustawa ta określa natomiast zasady postępowania przy przetwarzaniu danych osobowych i reguluje warunki jakie muszą być spełnione przez podmiot, który takie dane przetwarza.

Newsletter jako zbiór danych osobowych

Jeśli adres e-mail uznawany jest za daną osobową, to w konsekwencji:

wszystkie e-maile zapisane na listę subskrypcyjną stanowią zbiór danych osobowych w rozumieniu ustawy o ochronie danych osobowych.

Czy ustawa ma zastosowanie do blogera?

Zanim przejdę do omówienia obowiązków związanych z przetwarzaniem danych osobowych, chciałbym odpowiedzieć na pytanie, na które udzielenie odpowiedzi może czynić bezprzedmiotowym dalszą lekturę tekstu (choć mimo wszystko gorąco zachęcam do przeczytania całości).

Pytanie brzmi, czy każdy bloger korzystający na swoim blogu z newslettera zobowiązany jest spełniać warunki przewidziane przez ustawę o ochronie danych osobowych?

Odpowiedź brzmi, że nie każdy.

Ustawa bowiem znajduje zastosowanie wyłącznie do osób fizycznych, które przetwarzają dane osobowe w związku z działalnością zarobkową lub zawodową.

Taka regulacja wyłącza niewątpliwie z kręgu osób obowiązanych do stosowania przepisów ustawy, blogerów, którzy w związku z prowadzeniem bloga nie uzyskują żadnych dochodów. To pocieszająca wiadomość dla wszystkich tych, którzy nigdy na swój blog nie patrzyli przez pryzmat możliwych zarobków.

Niepocieszeni są natomiast ci, którzy na blogu coś tam zarabiają, ale robią to nieregularnie i nawet do głowy by im nie przyszło, że mogliby oprzeć na tym swoją działalność gospodarczą.

Problem formy organizacyjno-prawnej dla bloga, którego autor uzyskuje określone dochody to problem na zupełnie odrębny temat (czytaj: Freelancer pyta: czy muszę założyć działalność?), ale dzisiaj podkreślić chcę, że:

niezależnie od tego, czy autor prowadzi formalnie działalność gospodarczą, czy nie – fakt uzyskiwania z bloga dochodów przemawia za tym, by uznać, że ustawa o ochronie danych osobowych znajdzie do niego zastosowanie.

Obowiązki związane z przetwarzaniem danych osobowych

Jeśli wiemy już, kogo swoim zakresem ustawa obejmuje i że adres e-mail to dana osobowa, a lista subskrypcyjna to zbiór danych osobowych – przekonajmy się, jakie konsekwencje wiążą się z tym dla autora bloga.

Oto obowiązki nałożone na podmiot, który zbiera i przetwarza dane osobowe (w tym przypadku będzie to autor bloga):

obowiązek uzyskania zgody na przetwarzanie danych
obowiązek informacyjny związany z przetwarzaniem danych
obowiązek odpowiedniego zabezpieczenia przetwarzanych danych
obowiązek rejestracji zbioru danych

>> Zgoda na przetwarzanie danych

By przetwarzać dane na potrzeby newslettera, trzeba mieć na to zgodę osoby, która do takiego newslettera się zapisuje.

Najłatwiej rozwiązać to poprzez umieszczenie checkboxa potwierdzającej wyrażenie stosownej zgody.

Przykładowa treść checkboxa do zaznaczenia:

Wyrażam zgodę na przetwarzanie podanego adresu e-mail przez Wojciecha Wawrzak [adres zamieszkania] dla celów informacyjnych, marketingowych oraz komunikacji związanej z użytkowaniem bloga www.prakreacja.pl.

>> Obowiązek informacyjny

Drugi obowiązek, to obowiązek informacyjny. Zgodnie z przepisami ustawy o ochronie danych osobowych, autor bloga w przypadku zbierania adresów e-mail na potrzeby newslettera, ma obowiązek poinformować przy tej okazji czytelnika o:

swoim imieniu i nazwisku oraz adresie zamieszkania
celu i zakresie zbierania danych
prawie dostępu do treści podawanych danych oraz ich poprawiania
dobrowolności podania danych

Zapisujący się na subskrypcję, powinien mieć możliwość zapoznania się z tymi informacji jeszcze przed podjęciem decyzji o zapisaniu się. Jednak w przypadku newslettera, dopuszczalna jest praktyka poinformowania o tym już po zapisie w mailu powitalnym.

Przykładowa treść informacji:

Czytelniku! Adres e-mail, który podajesz, będzie wykorzystywany przeze mnie (Wojciech Wawrzak, [adres zamieszkania]) wyłącznie w celu informowania Cię o publikowanych na blogu www.prakreacja.pl wpisach. Swój adres e-mail podajesz dobrowolnie i w każdej chwili możesz go poprawić, bądź usunąć z bazy, korzystając z odpowiedniego formularza.

>> Obowiązek zabezpieczenia przetwarzanych danych

Obowiązek ten wyrażony jest w art. 36 ustawy o ochronie danych osobowych, który głosi, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności, powinien zabezpieczyć dane przed ich:

udostępnieniem osobom nieupoważniony
zabraniem przez osobę nieuprawnioną
przetwarzaniem z naruszeniem ustawy
zmianą, utratą, uszkodzeniem lub zniszczeniem.

W przypadku bloga, należy do przepisu podejść z rozsądkiem. Trudno bowiem oczekiwać od autora bloga, że będzie wdrażał na potrzeby newslettera jakieś szczególne procedury. Jestem przekonany, że w takim przypadku wystarczy po prostu zabezpieczenie komputera i dostępu do serwera z danymi hasłem – tak, by nikt poza autorem bloga nie miał do niego dostępu. Podstawową i naczelną zasadą przy zbieraniu i przetwarzaniu danych jest bowiem, by przetwarzający dane nie doprowadził do ich uzyskania przez osoby trzecie.

Ustawa przewiduje również obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki ochronne, o których mowa powyżej – tutaj również jestem przekonany, że na potrzeby bloga wystarczy przygotować krótki dokument, w którym wskaże się, w jakim celu i w jaki sposób adresy e-mail są zbierane i przetwarzane oraz jakie środki ochronne zostały zastosowane.

>> Obowiązek rejestracji zbioru danych

Ustawa przewiduje, że co do zasady administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Autor bloga powinien zatem zgłosić zbiór adresów e-mail newslettera do GIODO. Obecnie można to zrobić elektronicznie.

Przykre konsekwencje

Niedopełnienie omówionych obowiązków, obwarowane jest w ustawie karami – grzywny, ograniczenia wolności, pozbawienia wolności. Kary takie może jednak nałożyć wyłącznie sąd. GIODO może jedynie kierować do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

Sam w sobie może natomiast nakazać:

usunięcie uchybień,
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
zabezpieczenie danych lub przekazanie ich innym podmiotom,
usunięcie danych osobowych

W przypadku, gdyby wskazany podmiot nie wykonywał wydanej decyzji, GIODO może nałożyć grzywnę w celu przymuszenia (w stosunku do osoby fizycznej 0 maksymalnie 10 tys. złotych).

Czy to tylko czysta teoria?

Przepisy o ochronie danych osobowych stają się często przedmiotem drwin i negatywnych komentarzy ze strony osób działających w internecie. Należy jednak pamiętać, że prawo obowiązuje niezależnie od jego ocen. Tak jest również w tym przypadku.

Jeśli autor bloga korzysta z newslettera w sposób niezgodny z prawem, naraża się na ryzyko określonych konsekwencji prawnych i musi być tego świadomy. Do tej pory GIODO nie interesował się blogami, w szczególności osobistymi, ale to wcale nie oznacza, że taki stan musi się utrzymać.

Profesjonalizacja blogosfery sprawia, że coraz więcej instytucji państwowych zaczyna się nią interesować.

Urzędy Skarbowe nie przechodzą już obojętnie wobec zarabiających blogerów – być może kiedyś blogerami zainteresuje się również GIODO.

Jeśli potrzebujesz pomocy w zakresie ochrony danych osobowych, napisz do mnie na adres wojciech.wawrzak@prakreacja.pl.

Tutaj dowiesz się jak legalnie korzystać z MailChimp w Polsce:

MailChimp a GIODO, czy da się to zrobić legalnie?

O ochronie danych osobowych przeczytasz również tutaj:

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.