.png)
Dobra baza newsletterowa jest istotną wartością dla każdego przedsiębiorcy. Pozwala na utrzymywanie kontaktu z klientami i zwiększa sprzedaż, jednak prawo rygorystycznie reguluje zasady wysyłania newsletterów. Dlatego tworząc bazę newsletterową można nieświadomie „zainfekować” ją ryzykiem prawnym.
W polskim porządku prawnym obowiązują zarówno przepisy odnoszące się do legalizowania przetwarzania danych osobowych (art. 6 ust. 1 RODO1), jak i dwa przepisy dotyczące wysyłki newslettera. Ważne jest, by pamiętać o relacji tych przepisów. O ile bowiem wśród podstaw przetwarzania danych osobowych znajdziemy m.in. zgodę, jak i prawnie uzasadniony interes administratora, o tyle w regulacjach dotyczących newslettera podstawą jest jedynie zgoda. Pamiętajmy więc, że zgodnie z art. 95 RODO przy wysyłce newslettera musimy spełnić wymogi z przepisów szczególnych, a więc art. 10 u.ś.u.d.e.2 i art. 172 p.t.3, a nie z art. 6 ust. 1 RODO. Warunki wysyłania newslettera są zatem węższe niż przetwarzania danych osobowych w ogóle.
Przyjrzyjmy się przepisom dotyczącym wysyłania newslettera. Zgodnie z art. 10 u.ś.u.d.e. zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Z kolei art. 172 p.t.4 stanowi, że zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu u.ś.u.d.e., chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Wiemy już więc, że warunkiem wysyłania zgodnego z prawem newslettera jest uprzednie uzyskanie zgody osób, które będą w naszej bazie newsletterowej. To jednak nie wszystko, gdyż zgoda musi spełniać wymogi RODO, a także musimy być w stanie udowodnić, że ją uzyskaliśmy.
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
2 Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344).
3 Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2022 r. poz. 1648 z późn. zm.).
4 Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2022 r. poz. 1 648 z późn. zm.).
Przedsiębiorca wysyłający newsletter będzie musiał wykazać, że robił to na podstawie zgody adresata wiadomości. Trzeba o tym pamiętać układając proces pozyskiwania zgody. Optymalnie jest móc wykazać nie tylko, że określony adres e-mail został dodany do naszej bazy na podstawie zgody, ale także, że to faktycznie dysponent tego adresu ją wyraził.
Pierwszą z metod pozyskiwania zgód jest opt-in. Polega ona na tym, że zapisujący się na newsletter wypełnia formularz i zaznacza odpowiedni checkbox ze zgodą na wysyłkę newslettera (ta metoda nie zakłada dodatkowych czynności weryfikacyjnych). Drugą metodą jest double opt-in, polegająca na tym, że zapisujący się na newsletter oprócz uzupełnienia odpowiedniego formularza i zaznaczenia odpowiedniego checkboxa ze zgodą, potwierdza swój zapis klikając w link aktywacyjny wysłany na adres mailowy podany w formularzu zapisu. Taki sposób pozwala przedsiębiorcy potwierdzić, że to dysponent danego adresu e-mail wyraził zgodę. Z perspektywy prawnej bezpieczniejsza jest więc metoda double opt-in.
Zgoda na newsletter musi spełniać wymogi RODO, a więc być świadomym, konkretnym, dobrowolnym i jednoznacznym oświadczeniem woli. Skupmy się na dobrowolności. Oznacza ona, że decyzja zapisującego się na newsletter musi być wolna od wszelkiego rodzaju przymusu lub presji. W szczególności pamiętajmy o tym, by nie uzależniać skorzystania z naszej usługi od wyrażenia zgody na newsletter. Przykładowo nie możemy warunkować wysłania do nas zapytania przez formularz kontaktowy od wyrażenia także zgody na newsletter. Zgoda ta byłaby nieważna, a więc wysyłanie w oparciu o nią wiadomości marketingowych naruszyłoby prawo.
Świadoma i konkretna zgoda wymaga realizacji wymogów informacyjnych przewidzianych w art. 13 ust. 1 i 2 RODO. Przed zebraniem zgody na newsletter musimy podać użytkownikowi informacje wskazane w tych przepisach. W szczególności wskazujemy dane administratora, cel przetwarzania danych osobowych, czas ich przetwarzania, podstawę prawną naszego działania oraz informujemy o prawach przysługujących użytkownikowi w związku z naszym działaniem, w tym o prawie do wycofania zgody w każdym czasie. Informacja ta może być umieszczona np. w formularzu służącym do zbierania zapisów na newsletter.
RODO wymaga, by podmiot danych miał w każdej chwili prawo wycofania. Wycofanie zgody musi być tak łatwe, jak jej udzielenie. Dlatego możliwość wypisania się z newslettera powinna być dostępna przynajmniej w każdej wiadomości wysyłanej do podmiotu danych w ramach newslettera.
Aktualnie orzecznictwo uznaje, że wiadomości e-mail z prośbą o wystawienie opinii lub wypełnienie ankiety (np. dotyczącej zakupionego towaru) stanowią informację handlową, a zatem na wysłanie tego rodzaju wiadomości również wymaga się uzyskania zgody5.
5 Wyrok WSA w Warszawie z 18.11.2022 r., II SA/Wa 715/22, LEX nr 3447470.
Aneta Frydrych-Romańska
Radczyni prawna w Lubasz i Wspólnicy – Kancelarii Radców Prawnych sp.k. Associate w specjalizacji prawa e-commerce tej kancelarii. Współautorka publikacji z zakresu ochrony danych osobowych.
Witold Chomiczewski
Radca prawny i wspólnik zarządzający w Lubasz i Wspólnicy – Kancelarii Radców Prawnych sp.k., w której kieruje specjalizacją prawa e-commerce. Pełnomocnik Izby Gospodarki Elektronicznej ds. Legislacji. Członek założyciel Stowarzyszenia Prawa Nowych Technologii. Redaktor, autor i współautor licznych publikacji z zakresu prawa handlu elektronicznego, ochrony danych osobowych i ochrony baz danych.
.png)
.png)
.png)
.png)
.png)
.png)