E-mail a RODO

E-mail a RODO – jakie obowiązki należy spełnić?

RODO wprowadziło wiele zmian, również w zakresie wysyłania e-maili.

Wydawać by się mogło, że przecież e-mail to nic takiego… Że jeśli ktoś kontaktuje się z nami, albo my z kimś to nie ma potrzeby informowania go o RODO. No właśnie, wydaje się…

E-mail – jakimi drogami można go otrzymać?

Oczywistą odpowiedzią jest, że e-mail przychodzi do nas po prostu e-mailem. Należy jednak wziąć pod uwagę różne systemy, a co za tym idzie konieczność transparentności w tym zakresie. Jak można go otrzymać?

  • Zwykły e-mail – podajesz swój adres e-mail i ktoś wysyła do Ciebie wiadomość elektroniczną prosto ze swojej skrzynki na Twoją, wpisując w pole nadawcy Twój adres e-mail,
  • Zwykły e-mail może też przywędrować do Ciebie niekoniecznie wtedy, gdy Ty podałeś go drugiej stronie. Mogła ona otrzymać e-mail od kogoś innego, polecić Cię, albo znaleźć go w Twoich miejscach w sieci (strona www, fanpage, grupa na Facebooku, Instagram, itd.),
  • Wiadomość wysłana poprzez formularz kontaktowy – tutaj ktoś wchodzi np. na Twoją stronę www i stamtąd, klikając w zakładkę “kontakt” wysyła bezpośrednio e-maila. Wpisuje imię, nazwisko, swój e-mail, czasami numer telefonu lub inne, wymagane przez Ciebie dane,
  • Ktoś wysyła Ci wiadomość odpowiadając na przesłany do niego newsletter.

Każda z powyższych sytuacji jest inna. Dlatego treść informacji zwrotnej też będzie się nieznacznie różnić.

Jakie są obowiązki związane z e-mailem i RODO?

Przede wszystkim obowiązek informacyjny.

Obowiązek informacyjny to informowanie drugiej osoby, której dane przetwarzasz o jej prawach, o Tobie i Twoich danych (lub Twojej firmy). Oraz o tym, co zrobisz z jej danymi, do kogo one jeszcze mogą trafić.

Na pewno już wielokrotnie widziałeś treść takiego obowiązku informacyjnego.

Wynika ona z art. 13 i 14 RODO. Po prostu, po kolei bierzesz punkty wymienione w tym artykule i sporządzasz swój własny obowiązek informacyjny.

A art. 13 brzmi tak [uwaga – to długi tekst;)]

Artykuł 13. Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą.


1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania
danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Gdzie umieścić obowiązek informacyjny – czyli jak go zakomunikować?

Możesz to zrobić w różny sposób. Podam Ci kilka możliwych. Wszystko zależy od tego, jak działasz i jaka jest Twoja strategia biznesowa, albo po prostu jak Ci jest najwygodniej i najskuteczniej. 

  1. W stopce e-maila – link do podstrony np. na Twojej www
  2. W stopce e-maila – pełna treść
  3. Jako załącznik do każdej wiadomości – w formie pdf
  4. W formie drukowanej – jeśli zawsze widzisz się z klientami na żywo
  5. Jako wiadomość potwierdzającą zapis na newsletter
  6. W automatycznym mailu zwrotnym 
  7. W pierwszym newsletterze

Jak się z tego rozliczyć? 

Jak pewnie już wiesz, zasada rozliczalności to jedna z najważniejszych zasad RODO. Ciągle budzi też wiele wątpliwości jak rozliczać się w sferze internetowej/online. Nie zawsze da się to udowodnić 1:1, a pieniaczy pojawia się coraz więcej. 

Rozliczalność wskazana jest w art. 5 ust. 2 RODO. Rozliczyć, czyli udowodnić trzeba to, że wykonało się wszelkie działania narzucone przez RODO. Ale faktem jest, że spełnienie obowiązku informacyjnego budzi największe kontrowersje (i kary – prawie milion złotych). 

Jakie mogą być sposoby na rozliczenie?
  • notyfikacje w systemie do wysyłki mailingu – tam zapisuje się wszystko: moment zapisania się, wypisania, otworzenia w każdą wiadomość, kliknięcia, itd. 
  • procedury w firmie – spisujesz jak działasz i że dołączasz do każdej wiadomości link z obowiązkiem informacyjnym
  • dowody w postaci samej konwersacji e-mailowej – wyraźnie widać, co zostało wysłane do drugiej strony

To tylko niektóre ze sposobów. Dopasuj je do swojej firmy i rozwiązań informatycznych zaproponowanych przez specjalistę IT. 

Mam nadzieję, że ten artykuł był dla Ciebie przydatny. Podziel się nim z innymi albo powiedz chociaż jednej osobie o tym blogu! 

Zadaj swoje pytanie w komentarzu lub rozpocznij dyskusję. 

A jeśli chcesz działać i co najważniejsze – sprzedawać legalnie w Internecie, social mediach, przez e-maila lub sklep internetowy – to koniecznie kliknij i zobacz mój nowy kurs online #Legalna Sprzedaż Online. Dzięki niemu będziesz też potrafić po prostu zacząć – od budowy listy mailingowej – LEGALNEJ! Sama praktyka, zero zbędnej teorii, której przecież nie chcesz się uczyć. [KLIKNIJ]>>>

A jeśli interesuje Cię sprzedaż online to zapraszam to przeczytania wpisu o 5 trikach prawnych dzięki, którym zaczniesz legalnie sprzedawać.

 

Wszystkiego Legalnego!

Ilona Przetacznik

 

Stan prawny na dzień 22.10.2019 r. 

Cześć! Nazywam się Ilona Przetacznik i jestem radcą prawnym. Pokazuję małym przedsiębiorcom na co zwrócić uwagę podpisując umowę oraz wskazuję legalną stronę biznesów online.