RODO przy rezygnacji z newslettera

W jednym z poprzednich artykułów opisywałem przykład pułapki, w którą możesz wpaść, gdy nowa osoba zapisuje się jako odbiorca Twojego newslettera. Ważne jest odpowiednie wypełnienie obowiązku informacyjnego w stosunku do osoby zapisującej się na naszą listę – zdecydowanie nie wystarczy zapisać stosowne informacje w polityce prywatności. Należy jasno w formularzu, w którym zbieramy dane wyjaśnić cel ich przetwarzania. Jednak pułapki czają się też, gdy ktoś rezygnuje z Twojego newslettera. Sam doświadczyłem takiej sytuacji i chcę Ci o niej opowiedzieć. Może ona potencjalnie sprowadzić na Ciebie kłopoty.

Jak się traci subskrybenta?

Utrata osoby subskrybującej Twój newsletter może być wynikiem wielu czynników – słaba treść, zbyt duża liczba wiadomości, spełnił się cel, dla którego osoba się zapisała. Jednak ja nie o tym chcę opowiedzieć. Skupię się na technicznym procesie związanym z tą czynnością oraz wymaganiami, jakie RODO przed każdym administratorem stawia.

W punkcie 3 artykułu 7 RODO znajdziemy zapis:

(...) Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

RODO, Artykuł 7 punkt 3 (fragment)

Zatem skoro aby zapisać się na newsletter wystarczy wypełnić formularz, to wypisanie się z niego musi być co najmniej tak samo skomplikowaną czynnością. Niedozwolone będzie żądanie od osoby zapisanej na Twoją listę dystrybucyjną, aby wysyłała do Ciebie podanie w formie papierowej z żądaniem zaprzestania przetwarzania danych i ich usunięcia.

Większość systemów do obsługi newsletterów pozwala na wypisanie się z listy na dwa sposoby. Pierwszy z nich nie wymaga żadnych czynności ze strony administratora. W stopce każdej wysłanej wiadomości odbiorca znajdzie unikalny odnośnik, za pomocą którego samodzielnie może wycofać swoją zgodę. Proces ten jest automatyczny i wbudowany w silnik usługi newslettera. Czasem może wymagać od strony użytkownika dodatkowego potwierdzenia chęci wypisania się, czasem tylko operacja ta potwierdzana jest odpowiednią wiadomością. Drugim ze sposobów jest ręczne usunięcie wskazanej osoby z listy subskrybentów przez administratora.

Wypisany, lecz nie usunięty

Także i mnie się zdarzyło, że ktoś rezygnował z otrzymywania mojego newslettera. Odkryłem dzięki temu, w jaki sposób kontaktami zarządza używany przeze mnie system do maili – MailChimp. 

Użytkownicy, którzy wypisali się z newslettera w MailChimp

Gdy osoba zapisana do newslettera wypisuje się z niego, nie jest ona automatycznie usuwana z bazy danych kontaktów systemu MailChimp. Dane tej osoby nadal w nim widnieją, lecz zmienia się jej status na Unsubscribed.

MailChimp nie jest jedynym systemem do prowadzenia kampanii mailowych, w którym kontakt nie jest usuwany wraz z wypisaniem się użytkownika z ostatniej listy. Podobnie dzieje się choćby w ActiveCampaign czy GetResponse. Stawiam orzechy przeciw chrupkom, bo diamentów nie mam ;), że użytkownicy pozostałych dostawców systemów do kampanii marketingowych także nie usuwają od razu kontaktu z bazy adresów.

Czy jest to zgodne z RODO?

Jest to bardzo uzasadnione pytanie. Stosując prostą logikę, należałoby przyjąć, że skoro dana osoba się wypisała z newslettera, to powinniśmy przestać przetwarzać informacje o niej. Samo przechowywanie informacji jest czynnością przetwarzania, zatem logicznym następstwem wycofania zgody wydaje się konieczność usunięcia danych.

RODO nie jest jednak tak rygorystyczne. Co więcej, taka jednoznaczna interpretacja byłaby trudna do wdrożenia niezależnie od tego, czy dane przetwarzane są jedynie w formie cyfrowej, czy także papierowej. Aby zrozumieć jakie obowiązki ma administrator, przytoczę zapis całego punktu 3, który we fragmencie już cytowałem.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

RODO, Artykuł 7 punkt 3

Kluczowe jest sformułowanie użyte w drugim zdaniu, które mówi o tym, że informacje uzyskane w procesie przetwarzania, czy same wykonane czynności przetwarzania, wykonane przed odwołaniem zgody nadal są legalne. Zresztą nie ma możliwości odwołania wysłanych już maili marketingowych. Po wycofaniu zgody nie możesz jednak wysyłać danej osobie kolejnych wiadomości.

Jest jeszcze druga podstawa wynikająca z RODO, która uprawnia Cię do zachowania informacji o subskrybencie. Systemy obsługujące kampanie marketingowe są skonstruowane w ten sposób, że użytkownik za pomocą wspomnianego wcześniej odnośnika zawartego w mailu cofa jedynie zgodę na przetwarzanie podanych przez niego danych w celu wysyłki newslettera. Nie jest to tożsame z żądaniem usunięcia danych. Pamiętaj jednak, że jeżeli takie żądanie zostanie przez niego złożone, to musisz ręcznie usunąć wszystkie dane.

Niebezpieczeństwa

Taki sposób działania produktów takich jak MailChimp, ActiveCampaign czy GetResponse, wydaje się być oczywisty z punktu widzenia administratora danych. Każda z osób prowadząca serwis internetowy czy sklep chce jak najwięcej wiedzieć o swoich czytelnikach, czy klientach. Jako administrator musisz jednak rozumieć, w jaki sposób działa produkt, z którego korzystać, by nie złamać innych ograniczeń wynikających z RODO.

Pamiętaj, że masz prawo przechowywać i przetwarzać dane historyczne zebrane w czasie gdy udzielona była zgoda. Zatem nadal możesz przeglądać informację o tym, które wiadomości przez daną osobę zostały otwarte, statystyki klikania w odnośniki czy innego zaangażowania. Dotyczy to wszystkich atrybutów, które system przypisał do danego kontaktu (pamiętaj jednak zawsze o zasadzie minimalizacji i nie zbieraj więcej danych, niż jest to niezbędne). 

Nie wolno Ci jednak dopisywać żadnych nowych informacji czy przetwarzać tych już posiadanych w innym celu niż pierwotnie określony, nawet jeżeli zaktualizowana została przez Ciebie polityka prywatności. Swego rodzaju „wytrychem” w tej sytuacji jest odpowiednie skonstruowanie polityki prywatności. Możesz rozdzielić wszelkiego rodzaju czynności związane z profilowaniem czy statystykami od czynności wysyłki samego newslettera. Wtedy wycofanie zgody na otrzymywanie maili nie będzie cofać zgody na inne działania. Takie podejście może być jednak ryzykowne – musisz bardzo uważać, w jaki sposób spełniasz obowiązek informacyjny. Ponadto część takich działań może wymagać od profilowanej osoby wyrażonej świadomej dodatkowej zgody.

Oczywiście nie możesz danej osobie wysyłać już więcej wiadomości z newslettera. Bardzo łatwo jednak popełnić błąd migrując swoją bazę kontaktów pomiędzy różnymi systemami do kampanii marketingowych. Jeżeli przez nieuwagę lub pomyłkę przeniesiesz taką wypisaną z list osobę do nowego systemu, a następnie otrzyma ona od nas maila z newsletterem będzie miała ona solidne podstawy, by złożyć na Ciebie skargę do UODO, czy dochodzić zadośćuczynienia.

Moje rady

Końcowa decyzja o tym, co robić a czego nie zależy od Ciebie i tego, jakie cele chcesz osiągnąć. Ja mam dla Ciebie kilka porad:

  • Jeżeli jesteś początkującym przedsiębiorcą, to nie kombinuj. Zajmujesz się na pewno bardzo wieloma rzeczami i łatwo możesz przeoczyć drobnostki, jak niepoprawna migracja bazy kontaktów. Ja po prostu co miesiąc kasuję osoby, które nie są zapisane na żadną z moich list.
  • Oddzielanie profilowania od czynności związanych z newsletterem w polityce prywatności może być ryzykowne. Jeżeli się na to decydujesz, to postaraj się skorzystać z opinii prawnika i specjalisty od IT.
  • Postaraj się rozumieć jak najlepiej, w jaki sposób działa system do kampanii marketingowych, z którego korzystasz. Przeczytaj dokładnie dokumentację techniczną lub zadaj pytanie do wsparcia technicznego. Pamiętaj, że twórcy mogą szumnie określać swój produkt jako „zgodny z RODO”, co nie oznacza, że nie masz żadnych obowiązków.
  • Dbaj o jasne zapisy w polityce prywatności i samym formularzu zapisywania na newsletter. 

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO