fbpx

Ochrona danych osobowych w e-mail marketingu

Wzrost aktywności przedsiębiorców w sferze internetu, zarówno w zakresie podstawowej działalności, jak i przede wszystkim działań reklamowych, wiąże się z problemem ochrony danych osobowych klientów. Bardzo często te problemy związane są właśnie z e-mail marketingiem…

Kwestie dotyczące danych osobowych, w tym zasady ich gromadzenia, przechowywania, przetwarzania i zabezpieczenia, regulują ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz wydane na jej podstawie akty wykonawcze – odpowiednie rozporządzenia Ministra Spraw Wewnętrznych i  Administracji.

Ustawa o ochronie danych osobowych skonkretyzowała konstytucyjnie zagwarantowane każdemu prawo do decydowania o tym, komu, w jakim zakresie i w jakim celu przekazywane są jego dane osobowe. Wynika z niej, że obowiązek ochrony danych osobowych dotyczy wszystkich podmiotów przetwarzających dane osobowe. Oznacza to, że dotyczy on zarówno organów państwowych i organów samorządu terytorialnego, jak i podmiotów niepublicznych realizujących zadania publiczne oraz osób fizycznych i prawnych, jeśli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Organem odpowiedzialnym za rejestrację zbiorów danych osobowych oraz ich ochronę jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Prowadzi on ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Należy pamiętać, że zgłoszenie zbioru danych do rejestru należy do administratora danych, który to obowiązek wynika z art. 40 ustawy o ochronie danych osobowych.
 

Jakie informacje możemy uznać za dane osobowe?

 
Dane osobowe to w dużym skrócie informacje, na podstawie których można zidentyfikować osobę bez konieczności ponoszenia nadmiernych kosztów czy też angażowania znacznej ilości czasu bądź działań. Informacjami zaliczającymi się do danych osobowych będą zatem niewątpliwie imię i nazwisko oraz numer PESEL. Oprócz nich za informacje umożliwiające identyfikację osoby uznaje się również inne numery identyfikacyjne, a także czynniki określające cechy fizyczne, fizjologiczne, ekonomiczne, umysłowe, społeczne i kulturowe danej osoby. Mogą to być np. informacje o stanie zdrowia, poglądach politycznych, orzeczenie o karalności, przynależności do partii czy życiu seksualnym.

Jednak w przypadku e-mail marketingu kluczowy jest adres e-mail, który zgodnie z aktualnym stanowiskiem GIODO oraz orzecznictwem sądów administracyjnych także uznaje się za dane osobowe, w szczególności gdy jego elementy umożliwiają – bez dodatkowych działań – ustalenie tożsamości danej osoby (np. elementami treści adresu poczty elektronicznej są imię i nazwisko jego właściciela).
 

Jak zarejestrować zbiór danych osobowych?

 
Zgłoszenie zbioru danych osobowych (tj. posiadającego określoną strukturę zestawu danych osobowych dostępnych według określonych kryteriów) do rejestracji może być dokonane poprzez przesłanie formularza zgłoszenia za pośrednictwem poczty, osobiście, jak również przy wykorzystaniu elektronicznej platformy komunikacji z GIODO: e-giodo, dostępnej na http://egiodo.giodo.gov.pl/index.dhtml.

Formularz zgłoszenia zbioru danych jest wówczas wypełniany przy użyciu zainstalowanego na stronie internetowej programu, który – poprzez system podpowiedzi i komunikatów o popełnionych błędach – minimalizuje możliwość niewłaściwego wypełnienia zgłoszenia przez wnioskodawcę. Taki sposób wypełnienia formularza jest dostępny zarówno dla podmiotów dysponujących bezpiecznym podpisem elektronicznym, jak i dla podmiotów, które takim podpisem nie dysponują – wówczas jednak konieczne jest dodatkowo dostarczenie wniosku w wersji papierowej z podpisem upoważnionej osoby.

Pisemne zgłoszenie danych osobowych powinno zawierać:

  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  • dane na temat podmiotu prowadzącego zbiór (tj. administratora danych),
  • cel oraz zakres przetwarzania danych,
  • sposób zbierania i udostępniania danych,
  • informacje o sposobie wypełniania warunków technicznych i organizacyjnych, określanych w przepisach ustawy o ochronie danych osobowych,
  • informację na temat ewentualnego przekazywania danych osobowych do państwa trzeciego,
  • informacje na temat podmiotów, którym powierzone zostało przetwarzanie danych osobowych (np. podmiotów organizujących kampanie e-mail marketingowe).

 

Ochrona danych osobowych

 
Kolejnym ważnym punktem, obok administrowania i przetwarzania danych osobowych, jest ich ochrona. Sposób ochrony danych osobowych również określa ustawa, a konkretnie art. 36 i n. ustawy o ochronie danych osobowych, które nakładają na administratora danych osobowych obowiązek ochrony przetwarzanych danych osobowych, w szczególności przed udostępnieniem ich osobom niepożądanym.

Sposób ochrony danych osobowych – prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne – powinny określać dwa dokumenty:

 

Polityka bezpieczeństwa

 
Należy zacząć od podstawowego dokumentu określającego zasady, reguły i prawa wyznaczające sposób ochrony danych osobowych w organizacji, zarządzania nimi i ich dystrybucji. Najważniejszym zadaniem tego dokumentu jest zapewnienie bezpieczeństwa przetwarzanych danych. Ważne jest, aby polityka bezpieczeństwa odnosiła się do przetwarzanych danych całościowo, co znaczy, że powinna obejmować zabezpieczenie danych przetwarzanych zarówno w sposób tradycyjny, jak i w systemach informatycznych.
 

A e-mail marketing?

 
Działania e-mail marketingowe można prowadzić na dwa sposoby. Stworzyć własne oprogramowanie oraz infrastrukturę serwerową lub powierzyć całość profesjonalnemu serwisowi świadczącemu usługi z zakresu e-mail marketingu. To drugie rozwiązanie pozwala przenieść znaczną część obowiązków związanych z ochroną danych
osobowych właśnie na platformę do e-mail marketingu. Warto jednocześnie pamiętać, że w przypadku e-mail marketingu za przetwarzanie danych uznaje się nie tylko ich zmianę, lecz także sam fakt hostowania bazy przez platformę do e-mail marketingu.

Zanim jednak powierzymy działania e-mail marketingowe oraz ochronę danych osobowych firmie zewnętrznej, warto upewnić się, że posiada ona infrastrukturę stworzoną zgodnie z wymaganiami GIODO, w przeciwnym razie można nie tylko narazić się na problemy, lecz także stracić budowane – czasami ciężko – zaufanie klientów lub subskrybentów. Poza tym należy pamiętać, że w e-mail marketingu kluczowe jest wyrażenie zgody przez odbiorcę nie tylko na przetwarzanie jego danych osobowych, lecz także na otrzymywanie komunikatów o charakterze marketingowym lub handlowym. Obecnie niemal każda profesjonalna platforma do e-mail marketingu umożliwia użytkownikom budowanie listy odbiorców za potwierdzeniem – osoba zapisująca się do listy mailingowej otrzymuje wiadomość na podany adres e-mail, w której proszona jest o potwierdzenie zgody, klikając odpowiedni link.

Należy także pamiętać, że ustawa o ochronie danych osobowych przewiduje utrwalanie zgody, którą wyraził odbiorca. Na szczęście w momencie gdy subskrybent kliknie link znajdujący się w wiadomości potwierdzającej, na serwerze zostaną zapisane data, godzina oraz numer IP komputera, z którego wykonano kliknięcie.

Poza tym z pomocą mogą przyjść również papierowe formularze zapisu, w których zawarte są zgody odbiorcy na przetwarzanie jego danych osobowych lub otrzymywanie informacji handlowych bądź komunikatów marketingowych. Trzeba jednak pamiętać, że zgody te muszą być później przechowywane. Ta metoda zbierania nowych subskrybentów powinna się w szczególności sprawdzić na targach, konferencjach oraz podobnych imprezach.

1 komentarz

  1. Seweryn 07-12-2013

Zostaw odpowiedź