Nielegalny newsletter: pytania i odpowiedzi

Wpis poświęcony newsletterowi i wymogom prawnym związanym z jego funkcjonowaniem (Nielegalny newsletter na blogu) spotkał się z największym jak dotąd zainteresowaniem. Okazało się, że dotychczasowy brak aktywności GIODO w dziedzinie newsletterów wcale nie oznacza, że nie warto zaprzątać sobie nimi głowy w kontekście prawnym. Bardzo mnie to cieszy, bowiem takie właśnie przekonanie chciałem przekazać w tekście. O ochronę danych osobowych przy okazji newsletterów zapytało mnie kilka osób, z radością odpowiedziałem na wszelkie pytania (o to właśnie chodzi!) i postanowiłem fejsbukowe dyskusje zebrać w jedną całość. Poprzedni wpis stanowił swoiste kompendium wiedzy, dzisiaj zapraszam na praktyczny poradnik w stylu FAQ.

Prakreacja.pl
Aktualizacja pod RODO

Ten artykuł przygotowany został na podstawie ustawy o ochronie danych osobowych obowiązującej do 25.05.2018 r. Na temat RODO przeczytasz natomiast tutaj:

Czy zbiór wyłącznie adresów e-mail (bez jakichkolwiek dodatkowych danych) stanowi zbiór danych w rozumieniu ustawy?

Tak. GIODO uznał, że adres e-mail jest jedną z danych osobowych i zbieranie choćby tylko samych maili prowadzi do powstania zbioru danych osobowych.

Prowadzę bloga, nie zarabiam na nim, newsletter wykorzystuję do informowania czytelników o nowych wpisach. Czy muszę rejestrować bazę maili u GIODO?

Nie, w takim przypadku nie musisz rejestrować bazy adresów e-mail jako zbioru danych. Jeśli z bloga nie uzyskujesz żadnych dochodów, a newsletter służy Ci wyłącznie do informowania czytelników o nowych wpisach – można uznać, że przetwarzasz dane osobowe w postaci adresów e-mail wyłącznie w celach osobistych, co powoduje, że ustawa o ochronie danych osobowych nie znajduje w takim przypadku zastosowania.

Prowadzę bloga, zarabiam na nim i mam w tym zakresie zarejestrowaną działalność gospodarczą.

W takim przypadku, nawet newsletter wykorzystywany wyłącznie do informowania czytelników o nowych wpisach, podlega rejestracji jako zbiór danych. Przetwarzasz bowiem dane osobowe w związku z prowadzoną przez siebie działalnością zarobkową i ustawa znajduje do Ciebie zastosowanie.

Prowadzę bloga, zarabiam na nim, ale nie mam zarejestrowanej działalności gospodarczej.

To przypadek najbardziej problematyczny. Z przepisów ustawy wynika bowiem, że masz obowiązek zarejestrować zbiór danych (ponieważ przetwarzasz dane w związku z działalnością zarobkową, która niekoniecznie musi przybrać formę działalności gospodarczej), ale nie prowadząc działalności gospodarczej, nie posiadasz numeru REGON, który jest niezbędny by zbiór danych zarejestrować. Skoro faktycznie nie jesteś w stanie zarejestrować zbioru danych, po prostu tego nie zrobisz. Do tej pory nie zdarzyło się, by GIODO zajmował się osobami fizycznymi nie prowadzącymi działalności gospodarczej, więc regulację w zakresie nałożenia na osoby fizyczne nie prowadzące działalności gospodarczej obowiązku rejestracji zbioru danych należy uznać za martwą.

Wiem, że mój newsletter podlega rejestracji. Ale obsługiwany jest przez zagranicznego operatora, np. MailChimp. Czy wobec tego mogę / muszę go zarejestrować?

Tak, newsletter taki podlega rejestracji. Ustawa o ochronie danych osobowych jako podstawowe kryterium decydujące o stosowaniu ustawy, ustanawia miejsce zamieszkania / siedziby administratora danych. Administratorem danych jest podmiot decydujący o celach i środkach przetwarzania danych, czyli właściciel bloga / serwisu.  Fakt, że obsługa newslettera odbywa się z wykorzystaniem zagranicznego operatora, nie ma wpływu na obowiązek rejestracji. Jeśli właściciel bloga / serwisu ma miejsce zamieszkania / siedziby na terytorium Rzeczypospolitej Polskiej, newsletter podlega rejestracji.

Newsletter funkcjonuje na angielskim blogu. Ja, mieszkając w Polsce, zajmuję się jego obsługą. Czy muszę rejestrować go w GIODO?

Nie, nie musisz go rejestrować w GIODO. Administrator danych ma w tym wypadku miejsce zamieszkania w Anglii, więc kryterium podstawowe stosowania ustawy nie jest spełnione. Ustawa przewiduje wprawdzie drugie kryterium – ustawę stosuje się również w przypadku, gdy wprawdzie administrator ma miejsce zamieszkania / siedziby poza Rzeczpospolitą Polską, ale do przetwarzania danych wykorzystywane są środki techniczne znajdujące się na terenie RP. W tym przypadku, środki techniczne również znajdują się w Anglii, więc polska ustawa w ogóle nie znajduje tutaj zastosowania. Zresztą nawet gdyby znajdowała zastosowanie, obowiązek rejestracyjny ciąży na administratorze danych, nie na osobie, której administrator powierzył przetwarzanie danych.

Czy do GIODO muszę zgłaszać każdy nowy adres w bazie?

Nie, nie, nie i jeszcze raz nie. To byłby już absurd. Rejestracji podlega zbiór danych jako taki. Rejestrujesz go raz, a potem śpisz spokojnie.

Prowadzę bloga, zarabiam na nim, mam w tym zakresie zarejestrowaną działalność gospodarczą. Na blogu funkcjonuje system komentarzy, który wymaga każdorazowo podania adres e-mail. Czy zbiór tych adresów e-mail muszę rejestrować u GIODO?

Stosując literalną wykładnię przepisów ustawy o ochronie danych osobowych, zbiór adresów e-mail w komentarzach mógłby zostać uznany za zbiór danych podlegających rejestracji. Ale nie popadajmy w skrajności. Jeśli z e-maili w komentarzach nie tworzysz bazy, z której następnie korzystasz, by rozsyłać mailing – możesz spać spokojnie. Co innego, gdybyś stworzoną w ten sposób bazę postanowił następnie sprzedać… ale wierzę, że nie jesteś aż tak nierozsądny.

Czy lista imion i nazwisk jako fanów danego fanpejdża stanowi zbiór danych, który muszę rejestrować?

Kolejny absurd. Naprawdę w nieskończoność możemy mnożyć najdziwniejsze przykłady i dobrze (lub gorzej) się bawić. Nie, lista fanów na fejsie nie podlega rejestracji, a już na pewno nie przez administratora fanpejdża. Choćby dlatego, że taki administrator nie jest właścicielem swojej strony – właścicielem jest Facebook.

Czy warto w ogóle bawić się w tę całą rejestrację?

Oczywiście, że tak. GIODO nie interesował się do tej pory newsletterami, ale nie oznacza to, że interesować się nie zacznie. Świat donosem stoi – wystarczy jeden niezadowolony użytkownik, czy zwyczajny hejter, który uczepi się jak rzep psiego ogona i nie trudno o problem. Zdarzają się też sfrustrowani prawnicy, którzy w braku innych zajęć, wyszukują strony nierespektujące zasad dot. przetwarzania danych osobowych i proponują bardzo nieatrakcyjne finansowo rozwiązania sprawy. Strzeżonego Pan Bóg strzeże, ot co!

Prakreacja.pl
Gdybyś po­trze­bował in­dy­wi­du­alnej po­mocy prawnej w za­kresie ochrony danych osobowych, po­zo­staję do Twojej dys­po­zycji pod ad­resem wojciech.wawrzak@prakreacja.pl.

O ochronie danych osobowych przeczytasz również tutaj:

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.