Webinar „Jak prowadzić kampanie marketingowe w GetResponse w zgodzie z RODO” – pytania i odpowiedzi

6 września przeprowadziliśmy dla Was webinar o tym „Jak prowadzić kampanie marketingowe w GetResponse w zgodzie z RODO” – cieszył się on olbrzymim zainteresowaniem. Na webinarowym czacie zadanych zostało wiele pytań. Niestety, ze względu na ograniczenia czasowe, nie udało się nam na wszystkie odpowiedzieć. Zgodnie z obietnicą, nadrabiamy zaległości – nasz dział prawny oraz specjalista ds. bezpieczeństwa przygotowali dla Was szczegółowe odpowiedzi na wszystkie pytania. Zapraszamy do lektury!

Jeśli znajdę email nowego klienta w Internecie np. na jego stronie WWW, to czy mogę wysłać do niego wiadomość za pomocą GetResponse zamiast bezpośrednio ze swojej skrzynki mailowej?

Niestety nie.

Zgodnie z obowiązującymi przepisami prawa zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, chyba, że odbiorca wyraził zgodę na otrzymywanie takiej informacji, a w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Wymóg posiadania zgody odbiorcy na przesyłanie informacji handlowej obowiązuje niezależnie od zastosowanego sposobu wysyłki, tj. zarówno z poczty elektronicznej Klienta, jak i platformy takiej jak GetResponse. Dlatego, również z usługi GetResponse Klienci mogą korzystać wyłącznie w celu wysyłania emaili do tych odbiorców, którzy najpierw wyrazili zgodę na otrzymywanie informacji handlowych od Klienta, i zgody tej nie wycofali.

Dlatego znalezienie adresu email nowego klienta w Internecie nie jest równoznaczne z uzyskaniem zgody odbiorcy na przesyłanie mu informacji handlowej i nie można mu wysłać wiadomości za pomocą usługi GetResponse.

Czy wizytówka, którą otrzymałam na targach reklamy, może być dowodem wyrażenia zgody na otrzymywanie treści handlowych?

Informacja handlowa może być przesyłana odbiorcy, pod warunkiem, że została przez niego zamówiona, czyli przekazując swoje dane kontaktowe, wyraził on zgodę na otrzymywanie takich informacji.

Zgoda odbiorcy powinna mieć formę jego aktywnego działania. Oznacza to, że odbiorca powinien mieć świadomość, że takiej zgody udziela, oraz wiedzieć, na co zgodę wyraża.

Otrzymanie wizytówki, nawet na targach reklamy, nie jest równoznaczne z wyrażeniem zgody na otrzymywanie treści handlowych pod adresem danych kontaktowych wskazanych w tej wizytówce.

Wręczenie wizytówki może być równoznaczne ze zgodą na przesłanie informacji handlowej na wskazane w wizytówce dane kontaktowe przez tego, kto ją otrzymał, jedynie w przypadku, gdy osoba wskazana imiennie na takiej wizytówce, wręczając ją, jednoznacznie wyraziła swoją zgodę na otrzymywanie takich informacji od osoby, której wręczyła wizytówkę (np. poprzez wrzucenie wizytówki do pudełka zawierającego informację, że wrzucenie do niego wizytówki oznacza zgodę na otrzymywanie informacji handlowych od administratora danych). Należy pamiętać o udokumentowaniu faktu uzyskania zgody podmiotu danych w ten sposób.

Samo jednak wręczenie wizytówki (zgodnie z opisem w treści pytania, tzn. bez zadbania o odpowiednią realizację obowiązku informacyjnego o celach przetwarzania) nie jest dowodem wyrażenia zgody na otrzymywanie informacji handlowych.

Czy podniesienie ręki na zebraniu jest wyraźnym działaniem potwierdzającym zgodę?

Według RODO, zgoda powinna być udzielona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie.

Z całą pewnością podniesienie ręki na zebraniu (np. wspólnoty mieszkaniowej) może być sposobem wyrażenia zgody, natomiast osoba, która w ten sposób ją wyraża, powinna mieć świadomość, czego zgoda dotyczy. Dlatego wyrażenie zgody poprzez głosowanie na spotkaniu powinno być interpretowane łącznie z okolicznościami jej wyrażenia, w szczególności ze sposobem przeprowadzenia takiego zgromadzenia oraz porządkiem głosowania.

W przypadku wyrażenia zgody w takiej formie, należy zadbać o odpowiednie jej utrwalenie (w celu możliwości późniejszego wykazania posiadania zgody) np. poprzez podpisanie dodatkowego protokołu czy zachowanie nagrania z zebrania za zgodą jego uczestników.

Czy musimy publikować informacje, kto będzie administratorem danych?

Tak. Ponieważ nasi Klienci są administratorami danych osobowych swoich Kontaktów, powinni oni wykonać obowiązek informacyjny obejmujący powiadomienie ich, między innymi, że są administratorem ich danych osobowych.

Zgodnie z RODO, administrator danych osobowych podczas zbierania danych osobowych od osoby, której dotyczą, powinien wykonać wobec tej osoby obowiązek informacyjny, w tym podać swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela, cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania i inne informacje szczegółowo wskazane w Artykule 13 RODO.

Jeśli Klient usługi GetResponse wykonał już obowiązek informacyjny wobec swojego Kontaktu poza usługą GetResponse (np. przez zamieszczenie informacji na swojej stronie internetowej, za pośrednictwem której Kontakt zostawił dane), nic nie stoi na przeszkodzie, aby informacja o tym, kto jest administratorem danych osobowych, była publikowana przez Klienta również później, np. w treści newsletterów albo zaproszeniu na webinar rozsyłanych za pośrednictwem usługi GetResponse. Działanie takie zdecydowanie sprzyja realizacji zasady przejrzystości przetwarzania danych i uważane jest za dobrą praktykę.

Czy email „abc123@firma.pl” pozwala na identyfikację danej osoby? Czy jest to dana osobowa, a jeżeli tak to dlaczego?

Zgodnie z Artykułem 4 RODO, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy takiej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Na podstawie wskazanego powyżej adresu email, z uwagi na brak zawarcia w jego treści jakichkolwiek oznaczeń osoby fizycznej, nie jest możliwe zidentyfikowanie określonej osoby fizycznej w sposób bezpośredni (natychmiastowy) ani też pośrednio, tj. przy zastosowaniu dodatkowego nakładu kosztów, czasu lub działań. Dlatego tak sformułowany adres email nie stanowi danej osobowej w rozumieniu RODO.

Jednak w pewnych okolicznościach taki adres email również powinien być traktowany jako dana osobowa, a w szczególności:

  • gdy wiadomo, kto posługuje się takim adresem email,
  • po podaniu innych informacji umożliwiających identyfikację określonej osoby fizycznej, która się nim posługuje,
  • gdy administrator jest w posiadaniu innych informacji o danej osobie, które w połączeniu z powyższym adresem email pozwolą na identyfikację tej osoby fizycznej.

Czy jest obowiązek pobierania zgód z art. 172 Prawa Telekomunikacyjnego na wysyłanie informacji do osób prawnych?

Zgodnie z art. 172 ust. 1 Prawa telekomunikacyjnego (t.j. Dz.U. z 2017 r. poz. 1907), zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Wymóg określony w tym przepisie nie wprowadza rozróżnienia abonentów lub użytkowników końcowych na będących osobami fizycznymi, w tym konsumentami, oraz pozostałych, tj. będących osobami prawnymi lub jednostkami organizacyjnymi nieposiadającymi osobowości prawnej.

To oznacza, że w celu skorzystania z wyżej wymienionych form kontaktu dla celów marketingu bezpośredniego, również w stosunku do osób prawnych, wymagana jest zgoda takiego abonenta lub użytkownika końcowego. Co istotne, zgoda taka nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Czy jest możliwość ustawienia w formularzu, że zgoda jest wymagana lub niewymagana?

Tak, dodając w formularzu pole RODO (jedno lub więcej), Klient może dla każdego z nich wybrać, czy jego zaznaczenie przez Kontakt będzie wymagane czy nie. Oczywiście z odpowiednimi konsekwencjami takich ustawień w sferze przetwarzania danych osobowych (nie zaznaczenie pola oznacza zakaz przetwarzania danych w celu wskazanym w klauzuli zgody odnoszącej się do tego pola).

Czy informacja o administratorze ma być w pobliżu formularza?

Tzw. obowiązek informacyjny spoczywający na administratorze danych osobowych, w tym wskazanie tożsamości oraz danych kontaktowych administratora, powinien zostać wykonany w momencie zbierania danych.

Zgodnie z wyrażoną w RODO zasadą przejrzystości, wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe oraz sformułowane prostym i jasnym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania.

Administrator powinien również podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania.

Kompletna treść obowiązku informacyjnego wskazana jest w art. 13 i 14 RODO. Rozporządzenie nie określa jednak sztywnych wymagań co do tego, czy wszystkie informacje powinny znaleźć się już w „pierwszym widoku” (np. formularzu), czy też mogą zostać zamieszczone np. w Polityce Prywatności.

Rekomendowane jest stosowanie informacji podawanych warstwowo, tzn. podanie najważniejszych informacji w „pierwszym widoku” wraz z odesłaniem (poprzez link) do Polityki Prywatności administratora danych. W pierwszej warstwie powinny znaleźć się najważniejsze informacje, takie jak:

  • kto jest administratorem danych,
  • jakie dane są zbierane,
  • w jakim celu dane będą przetwarzane,
  • link do Polityki Prywatności zawierającej komplet informacji wymaganych przez RODO.

Powyższe informacje, w tym o tożsamości administratora, w przypadku zbierania danych poprzez formularz, powinny znajdować się w samym formularzu lub w jego bezpośrednim sąsiedztwie, tak aby osoba wypełniająca formularz w sposób „łatwo dostępny” mogła uzyskać informację o zasadach przetwarzania udostępnianych w formularzu danych.

A co, jeśli dana osoba ma na swojej stronie adres email z dopiskiem np. „oferty handlowe prosimy przesyłać na adres: XXX”?

Informację handlową można kierować do oznaczonego odbiorcy drogą elektroniczną tylko, jeżeli jest ona zamówiona, tzn. jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Zgoda odbiorcy musi być wyraźna, wyrażona przed wysłaniem mu wiadomości email, a ponadto konieczne jest zapewnienie łatwej formy rezygnacji z dalszego otrzymywania wiadomości.

Podanie adresu email wraz z opatrzeniem go instrukcją, że jest to adres właściwy do komunikacji marketingowej, można utożsamiać z wyrażeniem zgody na wykorzystywanie tego adresu w ten właśnie sposób. Zgoda odbiorcy powinna stanowić formę jego aktywnego działania, to znaczy, odbiorca powinien mieć świadomość, że takiej zgody udziela oraz wiedzieć, na co zgodę wyraża.

Dlatego więc, o ile upublicznienie samego adresu email na stronie internetowej nie może być uznane za wyrażenie zgody na przesyłanie komunikacji marketingowej, to udostępnienie go wraz z instrukcją, aby kierować na ten adres oferty handlowe, można utożsamić z taką zgodą. Wysłanie komunikacji emailowej na tak podany adres będzie zgodne z prawem, ponieważ będzie działaniem w celu, dla którego został on udostępniony.

Jednocześnie, należy pamiętać o umożliwieniu wycofania zgody w każdym czasie (np. poprzez link „wypisz mnie” w stopce emaila) oraz o odpowiednim udokumentowaniu posiadanej zgody (np. poprzez sporządzenie zrzutu ekranu z podanym adresem oraz zgodą na mailing, z którego wynikać będzie data sporządzenia zrzutu).

Jaka jest zasadność wymagania każdorazowo zgody na przetwarzanie danych osobowych?

Przede wszystkim, dla różnych celów przetwarzania wymagana jest osobna zgoda. Tym samym, jeżeli np. chcemy przetwarzać dane w celu wysyłania odbiorcom komunikacji marketingowej oraz przekazywania ich danych naszym partnerom biznesowym (również w celach marketingowych), potrzebujemy dwóch osobnych zgód.

Gdy już w odpowiedni sposób uzyskamy zgodę, nie musimy każdorazowo ponawiać próśb o jej wyrażenie, jeżeli czynności przetwarzania mieszczą się w zakresie uzyskanej zgody. To znaczy, że jeżeli uzyskamy zgodę na przesyłanie odbiorcy komunikacji marketingowej, nie musimy przed wysłaniem każdej wiadomości, uzyskiwać osobnej zgody.

Proszę jednak pamiętać, że zawsze należy zaprzestać przetwarzania danych, jeżeli nasz odbiorca wycofa swoją zgodę. Dobrą praktyką jest także cykliczny przegląd stosowanych przez nas zgód w kontekście ich zgodności z celami, w jakich przetwarzamy dane.

Czy GetResponse planuje dodatkowe zabezpieczenia przed eksportem bazy adresowej przez osoby nieuprawnione (np. poprzez dwustopniowe logowanie, pobranie danych za pomocą linka przesłanego na powiązany email i/lub hashowanie pobranej bazy .xls)?

Tak. Rozwój zabezpieczeń usługi i dostępnych funkcji jest częścią całego procesu wytwarzania oprogramowania, jaki stosujemy, jednak ich wprowadzenie podlega określonym warunkom.

Wszelkie zmiany w mechanizmach zabezpieczających, które dotyczą poszczególnych operacji związanych z zarządzaniem Kontem Użytkownika, wymaga od nas przeprowadzenia analizy użyteczności i badania opinii naszych Użytkowników.

Aktualnie proces eksportu danych Kontaktów w Koncie Klienta zabezpieczony jest przy pomocy uprawnień, które definiowane są odrębnie dla każdej zdefiniowanej roli w koncie Klienta (więcej informacji tu: https://www.getresponse.pl/pomoc/zarzadzanie-kontem/zarzadzanie-zespolem) oraz przez zabezpieczenie transmisji danych przy pomocy certyfikatu SSL. Dane wyeksportowane z pliku przez Użytkownika posiadającego odpowiednie uprawnienia przechowywane są na serwerze przez 7 dni, po czym są usuwane.

Uwagi związane z dodatkowym zabezpieczeniem operacji eksportu danych Kontaktów oraz zabezpieczeniem samego pliku wynikowego przekażemy do analizy.

Czy możemy ręcznie dodać zgody do kontaktu w GetResponse?

Zgód nie można dodać ręcznie do kontaktu. Zgoda może być wyrażona tylko przez subskrybenta i wówczas jest widoczna na karcie kontaktu.

Czy GetResponse pozwala na trwałe usunięcie danych osobowych?

Tak. Użytkownik konta ma możliwość trwałego usunięcia danych osobowych przypisanych do kontaktu w każdej chwili oraz usunięcia kontaktu, jednak proces ten podlega określonym warunkom.

Użytkownik konta z odpowiednimi uprawnieniami może usuwać pojedyncze Kontakty lub całe listy kontaktów. Ze względów technicznych i organizacyjnych oraz w związku z ewentualną obroną przed roszczeniami, proces usuwania kontaktów przebiega dwuetapowo.

W etapie pierwszym, po wykonaniu operacji usunięcia kontaktu, imię i adres email wraz z datą i opisem metody usunięcia kontaktu dostępne są przez 60 dni w wynikach wyszukiwania kontaktów (Filtr: Akcje kontaktu > Wypisany > Usunięty przez właściciela). Po 60 dniach informacje o usuniętych kontaktach są całkowicie usuwane z systemu platformy GetResponse. W przypadku usuwania listy kontaktów przez okres 30 dni od daty usunięcia, istnieje możliwość przywrócenia listy kontaktów. W tym celu należy skontaktować się z Działem Obsługi Klienta.

Użytkownik posiadający odpowiednie uprawnienia może edytować dane osobowe kontaktu zapisane jako pola dodatkowe przypisane do kontaktu, do momentu usunięcia kontaktu z konta Klienta. Więcej informacji na temat pól dodatkowych znajduje się tutaj: https://www.getresponse.pl/email-marketing/funkcjonalnosci/pola-dodatkowe.

Czy GetResponse zapewnia ochronę danych jako procesor i czy jako klient mogę przyjechać do Państwa i sprawdzić sposób ich zabezpieczenia?

Tak. GetResponse zapewnia właściwą ochronę danych osobowych jako Podmiot Przetwarzający (Procesor) i umożliwia Klientom, na określonych warunkach, przeprowadzenie Audytu związanego z przetwarzaniem powierzonych danych osobowych.

GetResponse, jako Podmiot Przetwarzający dane osobowe na polecenie Klienta, informuje o technicznych i organizacyjnych środkach ochrony danych osobowych, jakie są stosowane w celu zapewnienia poufności, dostępności, integralności powierzonych danych osobowych oraz ochrony praw podstawowych i wolności osób, których dane dotyczą w związku z powierzeniem przetwarzania danych osobowych. Informacje te znajdują się w Załączniku nr 2 (Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych) do Umowy Powierzenia Przetwarzania Danych Osobowych (https://www.getresponse.pl/email-marketing/informacje-prawne/umowa-powierzenia-przetwarzania-danych-osobowych).

Zgodnie z zasadami przetwarzania danych osobowych określonych w Ogólnym Rozporządzeniu o Ochronie Danych (RODO), GetResponse umożliwia Klientowi, jako Administratorowi Danych Osobowych, sprawowanie nadzoru nad procesem powierzenia przetwarzania danych osobowych. Kwestie związane z Audytem w tym zakresie zostały uregulowane §6 UPRAWNIENIA KONTROLNE KLIENTA w Umowie Powierzenia Przetwarzania Danych Osobowych (https://www.getresponse.pl/email-marketing/informacje-prawne/umowa-powierzenia-przetwarzania-danych-osobowych).

Prawo do Audytu podlega pewnym ustalonym warunkom i zgodnie z zapisami Umowy Powierzenia Przetwarzania Danych Osobowych:

  • może on dotyczyć wyłącznie powierzonych danych osobowych;
  • musi być ograniczony do siedziby GetResponse i urządzeń (systemów) służących do przetwarzania powierzonych danych osobowych oraz personelu zaangażowanego bezpośrednio w czynności przetwarzania danych osobowych;
  • musi być przeprowadzony sprawnie i szybko, nie dłużej niż dwa dni robocze;
  • może się odbywać nie częściej niż raz do roku, chyba że wymagają tego przepisy prawa lub organ nadzoru (Urząd Ochrony Danych Osobowych);
  • musi być wykonany w zwykłych godzinach pracy obowiązujących w GetResponse i nie może zakłócać prowadzenia przez GetResponse działalności;
  • musi się odbywać zgodnie z zasadami bezpieczeństwa obowiązującymi w GetResponse;
  • musi zostać uzgodniony termin audytu z wyprzedzeniem 14 dni roboczych.

Audyt nie może w żaden sposób naruszać tajemnicy przedsiębiorstwa GetResponse i innych prawnie chronionych informacji. Dodatkowo Klient zobowiązany jest do opracowania i przedstawienia Raportu z Audytu. Ze względów technicznych i organizacyjnych, zachęcamy naszych Klientów do prowadzenia Audytów w formie ankietowej.

 

Mamy nadzieję, że powyższe odpowiedzi są dla Was pomocne i rozwieją Wasze wątpliwości związane z korzystaniem z GetResponse w kontekście RODO. Raz jeszcze dziękujemy za udział w webinarze!

BĄDŹ NA BIEŻĄCO:

x

BĄDŹ NA BIEŻĄCO:

x