Czy muszę zgłosić newsletter do GIODO? Odpowiadam na to pytanie niemal codziennie. Jeśli ty również szukasz na nie odpowiedzi, właśnie ją znalazłeś. Tak, musisz zgłosić newsletter do GIODO. Chcesz wiedzieć więcej? Czytaj dalej.
Ten artykuł został przygotowany na gruncie ustawy o ochronie danych osobowych obowiązującej do 25.05.2018 r. Natomiast o RODO znajdziesz wszystkie ważne dla ciebie informacje tutaj: RODO dla blogerów, vlogerów i twórców internetowych.
Dlaczego musisz zgłosić newsletter do GIODO?
Musisz zgłosić newsletter do GIODO z trzech powodów.
Po pierwsze, adres e-mail zalicza się do danych osobowych. Oczywiście nie każdy, ale przecież nie jesteś w stanie sprawić, by subskrybenci nie podawali adresów z wykorzystaniem imienia i nazwiska, a wyłącznie fantazyjne. Szczególnie, gdy nie celujesz w gimbazę (mlodybog1998@buziaczek.pl), ale w ogarniętych życiowo ludzi (jan.kowalski@gmail.com).
Krótko mówiąc, choćby jeden adres e-mail składający się z imienia i nazwiska obecny na twojej liście powoduje, że masz do czynienia z chronionymi danymi osobowymi.
Art. 6 UODO
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Po drugie, to ty prowadzisz newsletter, więc jesteś administratorem danych osobowych jako osoba decydują o celach i środkach przetwarzania danych.
Wprawdzie technicznie newsletter obsługuje dostawca systemu mailingowego (np. MailChimp), ale administratorem zawsze jesteś ty. Z dostawcą powinieneś natomiast zawrzeć umowę powierzenia danych.
Art. 7 UODO
Ilekroć w ustawie jest mowa o:
4) administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych;
Po trzecie, baza adresów e-mail budowana w ramach wybranego systemu mailingowego stanowi zbiór danych osobowych. Natomiast każdy zbiór, za wyjątkiem tych wskazanych w art. 43 ustawy, podlega zgłoszeniu do GIODO.
Art. 7 UODO
Ilekroć w ustawie jest mowa o:
1) zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
Art. 40 UODO
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.
Nie mam firmy, więc nie muszę zgłaszać newsletteru do GIODO, prawda?
Podobno nie muszę zgłaszać newsletteru do GIODO, jeśli nie prowadzę działalności gospodarczej. Tak często mówią mi osoby, zadające pytanie o konieczność rejestracji.
Prawda jest jednak taka, że sam fakt prowadzenia albo nieprowadzenia działalności gospodarczej nie ma znaczenia. Ustawa o ochronie danych osobowych posługuje się innym kryterium – przetwarzania danych w związku z działalnością zarobkową lub zawodową.
Art. 3 UODO
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
[…]
Oznacza to, że nawet jeśli nie masz firmy, ale przetwarzasz dane w związku z działalnością zarobkową lub zawodową, to będziesz musiał zgłosić newsletter do GIODO.
W tym momencie nasuwa się pytanie, kiedy działalność jest zarobkowa lub zawodowa. Najczęściej pytają o to blogerzy, szukając szansy na uwolnienie się od GIODO. Biorąc jednak pod uwagę, że dzisiaj niemal każdy blog nastawiony jest na zarobek (mniejszy lub większy), to każdy bloger powinien zgłosić newsletter do GIODO.
W sprawie uznania danej działalności za zarobkową wypowiedział się swojego czasu Wojewódzki Sąd Administracyjny w Warszawie (wyrok z dnia 14 kwietnia 2010 r., II SA/Wa 2130/09).
Chodziło o przetwarzanie danych osobowych w związku z prowadzeniem forum internetowego zrzeszającego hodowców psów rasowych. Administrator forum nie prowadził wprawdzie działalności gospodarczej, ale miał swoją hodowlę terierów w celach zarobkowych.
WSA przyjął, że w takim wypadku dane osobowe użytkowników forum są przetwarzane w związku z działalnością zarobkową.
Wyrok ten jednak został uchylony przez Naczelny Sąd Administracyjny (wyrok z dnia 28 czerwca 2011 r., I OSK 1208/10).
W wyniku ponownego rozpoznania sprawy, WSA w Warszawie (wyrok z dnia 27 października 2011 t., II SA/Wa 1691/11) uznał jednak, że dane użytkowników forum nie były przetwarzane w związku z działalnością zarobkową, ponieważ administrator nie zarabiał w żaden sposób na prowadzeniu forum, a forum zawierało jedynie różnorodne opinie na temat hodowli psów.
Opisana powyżej sprawa pokazuje jak różne mogą być oceny, czy dane przetwarzane są w związku z działalnością zarobkową, czy nie. Zwróć uwagę, że oceny sądów były różne, a wszystko zabrało sporo czasu. Jeśli chcesz uniknąć podobnej sytuacji, dla własnego bezpieczeństwa przyjmij, że newsletter lepiej zarejestrować.
UWAGA: brak numeru REGON nie przeszkadza w rejestracji newsletteru w GIODO. Wniosek zgłoszeniowy można wysłać bez REGONu.
Cele osobiste i domowe
Szukając możliwości uwolnienia się od GIODO, możesz napotkać jeszcze dwie pokusy przyjęcia, że ciebie to nie dotyczy.
Po pierwsze, możesz stwierdzić, że przetwarzasz dane wyłącznie w celach osobistych lub domowych, co wyłącza zastosowanie ustawy.
Tłumaczenie, że newsletter ma charakter osobisty jest mocno naciągane. Musiałaby to być jakaś niewielka lista obejmująca wyłącznie rodzinę lub przyjaciół, znajomych.
Jeśli gromadzisz adresy e-mail bliżej nieznanych ci osób, o celu osobistym lub domowym nie może być umowy.
Art. 3a UODO
1. Ustawy nie stosuje się do:
2) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych;
Po drugie, możesz przekonywać świat, że przetwarzasz dane w drobnych bieżących sprawach życia codziennego, co powoduje, że nie musisz robić zgłoszenia.
Powiem krótko. Newsletter nie jest drobną bieżącą sprawą życia codziennego. Nie ma tutaj miejsca na dyskusję. GIODO nie pozostawia wątpliwości w swoim wyjaśnieniu na ten temat.
Art. 43 UODO
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
12) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
Siedziba lub miejsce zamieszkania za granicą
Oprócz wątku związanego z brakiem działalności gospodarczej i przetwarzaniem danych w celach osobistych, ludzie często pytają mnie jeszcze, jak będzie wyglądać ich sytuacja z GIODO, jeśli ich firma zarejestrowana jest za granicą lub sami mieszkają za granicą.
Odpowiedź na to pytanie przynosi cytowany już wcześniej art. 3 ust. 2 ustawy.
Art. 3 UODO
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
– które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Z tego przepisu wynika, że jeśli twoja firma ma siedzibę w Polsce lub ty mieszkasz w Polsce, to polska ustawa dotyczy cię zawsze.
Jeśli jednak twoja firma ma siedzibę poza Polską lub ty mieszkasz poza Polską, to ustawa nie będzie cię dotyczyć, ale tylko pod warunkiem, że będziesz przetwarzać dane przy wykorzystaniu środków znajdujących się również poza Polską.
Przykładowo, jeśli nie mieszkasz w Polsce i system mailingowy ma również serwer poza Polską, to polska ustawa nie będzie cię dotyczyć. Wtedy musisz sprawdzić jak wygląda ochrona danych osobowych w twoim miejscu zamieszkania.
Pamiętaj, że sam fakt zarejestrowania firmy za granicą, nie przesądza jeszcze o tym, że polska ustawa nie będzie znajdowała do ciebie zastosowania.
Przykładowo, może być tak, że masz wprawdzie spółkę Ltd w UK założoną w celu optymalizacji, ale administratorem danych na potrzeby newsletteru jesteś ty jako osoba fizyczna, która mieszka w Polsce. W takiej sytuacji polska ustawa znajdzie do ciebie zastosowanie, gdy chodzi o zbiór newsletterowy.
Administrator bezpieczeństwa informacji
Wiesz już, że od obowiązku rejestracji newsletteru w GIODO raczej się nie wymigasz. Przewrotnie powiem ci jednak teraz, że istnieje pewna furtka. Tą furtką jest administrator bezpieczeństwa informacji (ABI).
Art. 43 UODO
1a. Obowiązkowi rejestracji zbiorów danych osobowych […] nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji […].
ABI to osoba, która pilnuje ochrony danych osobowych w firmie. Tyle powinno ci na ten moment wystarczyć. Jeśli czytasz ten artykuł, to prawdopodobnie nie masz i nie będziesz mieć ABIego. Powoływany jest on głównie w większych strukturach organizacyjnych i większość „mniejszych” administratorów danych radzi sobie bez niego.
Jeśli by się jednak zdarzyło, że powołałeś administratora bezpieczeństwa informacji, a zastanawiasz się, czy powinieneś zgłosić newsletter do GIODO, to poważnie zastanów się, czy ten ABI ma odpowiednie kompetencje, by w dalszym ciągu ci pomagać.
Jak zgłosić newsletter do GIODO?
Skoro wiesz już, że w większości przypadków musisz zgłosić newsletter do GIODO, to opowiem ci jeszcze, jak takie zgłoszenie zrobić.
Zgłoszenie wymaga przesłania do GIODO wniosku. Ten wniosek możesz wypełnić elektronicznie na stronie GIODO.
Wypełnienie wniosku składa się z kilkunastu kroków. Kreator pokazuje ci odpowiednie pola, które musisz wypełnić.
Jeśli nie dysponujesz podpisem elektronicznym lub profilem ePUAP, po wysłaniu wniosku elektronicznie musisz go jeszcze wydrukować, podpisać własnoręcznie i wysłać pocztą na adres GIODO. Jeśli tego nie zrobisz, zbiór nie zostanie zarejestrowany.
Na rejestrację zbioru nie musisz czekać. Potrwa ona zapewne przynajmniej pół roku. Dane możesz legalnie przetwarzać już od chwili zgłoszenia, czyli od nadania przesyłki z wnioskiem na poczcie.
Na końcu artykułu znajdziesz ofertę, dzięki której będziesz mógł wypełnić wniosek z pomocą przygotowanego przeze mnie wideo krok po kroku.
Kiedy zrobić zgłoszenie?
Przepisy mówią, że zgłoszenia powinieneś dokonać przed rozpoczęciem zbierania danych. Czyli jeszcze zanim do twojej bazy trafi pierwszy adres e-mail, powinieneś wysłać wniosek.
W praktyce bardzo dużo osób zgłasza swoje zbiory po fakcie i nic złego się nie dzieje. Po prostu działa tutaj zasada-powiedzenie „lepiej późno niż wcale”.
Dlatego jeśli dotąd nie przejmowałeś się prawnymi aspektami newsletteru, to masz szansę jeszcze to nadrobić.
Interesują cię również inne współczesne techniki marketingowe? Nie przegap tego artykułu:
Mam dla ciebie również praktyczny przewodnik po RODO:
Zgłoszenie newsletteru do GIODO to nie wszystko
Wiesz już, że w większości przypadków twój newsletter podlega zgłoszeniu do GIODO. Uczulam cię jednak, że samo zgłoszenie to nie wszystko. Zgłoszenie to czynność kończąca cały proces wdrożenia danych osobowych, na który składają się następujące czynności:
- zaprojektowanie procesu zbierania zgód na przetwarzanie danych,
- wdrożenie wymaganych przez prawo środków ochrony danych,
- zawarcie umowy powierzenia danych osobowych,
- przygotowanie wewnętrznej dokumentacji ochrony danych osobowych,
- zgłoszenie zbioru do GIODO.
Samo zgłoszenie nie ratuje cię na wypadek kontroli GIODO, jeśli nie wykonasz pozostałych kroków. Oczywiście możesz powiedzieć mi teraz, że połowa twoich znajomych poprzestała na zgłoszeniu, a połowa nie zrobiła nawet tego i nic złego im się nie stało. Tak, to całkiem prawdopodobne. Póki co, kontroli GIODO jest niewiele i dotyczą głównie większych struktur organizacyjnych, korporacji, instytucji finansowych itp.
Nie oznacza to jednak, że tobie kontrola nie może się przydarzyć. Owszem, może. Nawet jeśli nie teraz, to w przyszłości. Tym bardziej, że w maju 2018 roku wchodzi w życie rozporządzenie unijne dotyczące ochrony danych osobowych i organy ochrony danych osobowych otrzymają uprawnienia do nakładania kar finansowych. Lepiej przygotować się do tego zawczasu.
Potrzebujesz indywidualnej pomocy w zakresie ochrony danych osobowych?
Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.
Podsumowanie
Newsletter wymaga zgłoszenia do GIODO. Możliwe są wyjątkowe sytuacje, gdy tak nie będzie, ale to naprawdę rzadkość. Jeśli chcesz mieć święty spokój, lepiej przyjmij, że zgłoszenie jest konieczne.
Pamiętaj jednak, że samo zgłoszenie to nie wszystko. Zgłoszenie jedynie wieńczy proces wdrożenia ochrony danych osobowych.