NA KRAWĘDZI to kategoria artykułów, które opisują różnego rodzaju działania przedsiębiorców, które moim zdaniem mogą zostać zaklasyfikowane jako niezgodne z RODO. W artykułach będę omawiał znalezione w sieci różne formy przetwarzania danych, które niekoniecznie są niezgodne z prawem, ale mogą budzić wątpliwości. Jednoznaczną decyzję czy są one legalne, czy nie podejmie Urząd Ochrony Danych Osobowych w czasie kontroli lub można to wnioskować na podstawie opinii regulatorów rynku, opinii organów nadzorczych dedykowanych ochronie danych osobowych całej Unii Europejskiej lub wyroki sądów. Ważne, aby prowadząc swoją firmę podejmować decyzje o pewnych zachowaniach świadomie.

W pierwszym artykule z tej serii spójrzmy na powszechny mechanizm, który w skrócie można określić „wartość za e-mail”. Przedsiębiorca oferuje jakiś dokument czy innego rodzaju produkt za darmo w zamian możliwość przetwarzania danych osobowych w celach marketingowych. Odbywa się on na przykład poprzez newsletter. Jest to jedna z tych czynności, co do której musimy pobrać jasną zgodę czytelnika.

Obowiązek informacyjny

Obowiązek informacyjny opisany jest w artykułach 12, 13 i 14 RODO. Pierwszy z nich mówi wprost, że komunikacja musi być prowadzona w sposób jasny i zrozumiały dla odbiorcy.

Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. (...)

RODO, art 12, pkt. 1 (fragment)

Oznacza to, że w momencie podawania swoich danych osobowych osoba ta musi być już w sposób jasny poinformowana choćby w jakim celu te dane są zbierane, co się stanie, gdy wypełni formularz i wciśnie przycisk Wyślij. Takie informacje zazwyczaj zawarte są w polityce prywatności. Ponieważ jest to zazwyczaj dokument długi, zawierający bardzo dużo informacji, to w wielu przypadkach może być niewystarczającym.

Plik na zachętę w zamian za newsletter

RODO dopuszcza, że możesz zachęcać osobę odwiedzającą Twoją stronę, aby zostawiła swoje dane osobowe w celach marketingowych. Wszyscy tego doświadczamy – operatorzy telefonii komórkowej czy telewizji kablowej oferują kilka złotych upustu ceny abonamentu w zamian za wyrażenie takiej zgody. Zazwyczaj jest ona konieczna zarówno do promowania usług własnych operatora, jak i firm trzecich. 

Podobną sytuację stworzysz, gdy zaoferujesz darmowy dokument, zestaw dokumentów czy inny produkt w zamian za zapisanie się na newsletter. Nie ma w tym nic złego, w końcu wszyscy jako przedsiębiorcy chcemy docierać do nowych potencjalnych klientów. Oto przykład z jednej z napotkanych stron takiej zachęty.

Osoba, która kliknie podany odnośnik zostaje przeniesiona do formularza, na którym proszona jest o podanie swoich danych. 

Wypełnienie i wysłanie formularza kończy pierwszy proces rejestracji użytkownika w liście mailowej właściciela serwisu.

Tylko czy osoba, która chciała pobrać e-booka, była świadoma tego, że musi dołączyć do newslettera?

Lepiej nie zakładaj, że ktoś wie jak to działa

Dla osób, które spędzają dużo czasu w sieci, lub wręcz ich biznes jest oparty o usługi czy produkty oferowane przez Internet, zapewne nie byłyby zaskoczone takim komunikatem po wypełnieniu formularza. Jako przedsiębiorca tworzący taką zachętę nie możesz jednak zakładać, że wiedzą o tym wszyscy, czy nawet większość osób, które będą chciały taki e-book pobrać. Pamiętaj, że większość wyłudzeń i innych przekrętów w Internecie bazuje na trzech słabościach – niewiedzy, zaufaniu i naiwności ofiary. Wielu czytelników Twojego portalu może w takiej sytuacji mieć do Ciebie pretensję, że nie dostali jasnej informacji, po co Tobie ich adres e-mail. Przecież oferowałeś e-booka, prawda?

Jak zatem interpretować informację umieszczoną pod przyciskiem „odbierz prezent”? Co można jej zarzucić? Na pewno lakoniczność i spore braki. Nie każdy użytkownik internetu wie czym jest SPAM i newsletter i potrafi powiązać to pojęcie z funkcjonalnością poczty elektronicznej. Zawsze gdy masz wątpliwości co do jasności zapisów na swojej stronie możesz przeprowadzić „test dziadków” – posadź swoich dziadków przed komputerem, poprowadź przez oferty Twoich materiałów, rejestracji i pobrania, a następnie spytaj, czy był on dla nich zrozumiały i czy rozumieją, co się teraz stanie. Ręczę Ci, że jeżeli zapytasz, czy wiedzą, że teraz będą otrzymywali od Ciebie e-maile z propozycjami Twoich usług, jest bardzo wysokie prawdopodobieństwo, że odpowiedź będzie negatywna. 

Co mogę zrobić lepiej?

Tradycyjne listy czy newsletter?

W tym konkretnym przykładzie poprawy wymaga drugi krok całego procesu, czyli moment zbierania danych osobowych w formularzu. Bardzo dobrze, że autor zaznaczył wymóg podania jedynie adresu poczty elektronicznej – żądanie podania także imienia prawdopodobnie zostałoby uznane za zbieranie danych nadmiarowych, nieadekwatnych względem celu przetwarzania. Imię nie jest niezbędne aby do odbiorcy dotarł e-mail z newslettera.

Rozbudowana powinna zostać sekcja informacyjna. Należałoby dodać czytelny opis, że oferujemy prezent, w zamian za możliwość wysyłania newslettera i oferowania swoich usług. Dobrze też już w tym miejscu zaznaczyć, że osoba ta, może w każdym momencie się z listy wypisać. Ponadto powinien w opisie znaleźć się odnośnik to polityki prywatności, w której dokładnie zostanie opisane czym jest newsletter i przedstawimy cel, czas i zakres przetwarzanych w tym celu danych osobowych. Umieszczenie w tym miejscu odnośnika jest szczególnie jeżeli nie znajduje się on w stopce strony lub odczytanie polityki wymagałoby przerwanie procesu rejestracji. Wielu świadomych czytelników, gdy przerwie podawanie swoich danych, by sprawdzić politykę prywatności może do procesu rejestracji już nie powrócić. Nie dlatego, że znajdzie w niej zapisy, które nie będą tej osobie pasować, lecz może uznać proces za skomplikowany i niewygodny. Podpięcie odnośnika do polityki prywatności należy uznać za dobrą praktykę spełniania obowiązku informacyjnego. Pamiętaj tylko, aby odnośnik domyślnie otwierał się w nowym oknie lub zakładce.

Gdybym miał zmodyfikować informacje zawarte pod formularzem rejestracji do newslettera w drugim kroku zarekomendowałbym następującą formę:

W zamian za pobranie mojego e-booka proszę Cię zapisz się do mojego newslettera podając swój adres e-mail. Nie wysyłam SPAM-u, moim celem jest dzielić się z Tobą wartościową wiedzą o tym, co znalazłem ciekawego w sieci oraz tym, co mam do zaoferowania. Jeżeli uznasz wysyłane informacje za nieprzydatne, to w każdej chwili możesz wypisać się z listy korzystając ze specjalnego odnośnika znajdującego się na końcu każdej wiadomości. Będę wysyłał Ci informacje tylko tak długo, jak będziesz chcieć je otrzymywać! Jeżeli chcesz dokładnie zapoznać się w jaki sposób będą przetwarzane powiązane z Tobą dane osobowe, w każdej chwili możesz wejść na stronę opisującą stosowaną przeze mnie politykę prywatności.

Tak sformułowana informacja jest jasna dla czytelnika i jednoznacznie informuje co się stanie z jego adresem e-mail w zamian za przygotowany dokument oraz odsyła go do polityki prywatności po bardziej szczegółowe informacje. Nie pozostawia ona pola do niedomówień i każdy, kto ją przeczyta będzie świadomy zapisania się na newsletter

RODO nie mówi, w jaki sposób należy pewne rzeczy robić, mówi jedynie jaki stan należy uzyskać. Dlatego będę opisywał różne napotkane w Internecie sytuacje, które moim zdaniem wymagają poprawy. Będzie mi miło, jeżeli zapiszesz się na mój newsletter, korzystając z formularza poniżej. Będę nie tylko informował Cię o nowych artykułach, ale także innych wydarzeniach związanych z RODO i IT, które mogą mieć wpływ na to, w jaki sposób działa Twoja firma, a w szczególności o tym, jak usprawnić i zabezpieczyć jej codzienne funkcjonowanie. Wystarczy, że powierzysz mi swój adres e-mail.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO