1
Rozdział
O czym jest poradnik?

Będzie mowa m.in. o ustawach i co z nich wynika dla marketera, najnowszych zmianach prawnych i ich interpretacji oraz o rejestracji bazy w GIODO. Chcesz mieć pewność, że prowadzisz działania email marketingowe zgodnie z prawem i dobrymi praktykami marketingu? Zapraszamy do czytania!

prawo w email marketingu

 

2
Rozdział
Jakie ustawy dotyczą email marketingu?

W Polsce, aby dobrze prowadzić działania email marketingowe, należy przestrzegać postanowień trzech ustaw - Ustawy o ochronie danych osobowych, Ustawy o świadczeniu usług drogą elektroniczną oraz Ustawy Prawo telekomunikacyjne. W latach 2012-2014 na gruncie prawa nastąpiły pewne zmiany, które warto w tym miejscu scharakteryzować i opisać. Jednocześnie, bez względu na to co mówi prawo, zachęcamy, aby prowadzone przez Ciebie działania miały charakter permissionPermission marketingDziałania marketingowe polegające na dostarczaniu na życzenie odbiorcy informacji o charakterze promocyjnym, zgodnych z jego preferencjami. marketingu.

Większość polskich marketerów jest świadoma, iż email marketing ma bazować na koncepcji permission marketingu, aby mógł być skutecznym narzędziem komunikacji. Dlatego też w swoich działaniach wychodzą daleko przed przepisy prawa polskiego - stosując metodę double opt-in w celu potwierdzenia danego adresu email. Co więcej należy pamiętać, że prawo jest prawem, a administratorzy usług pocztowych największych portali patrzą na kilka czynników, które określają czy dany marketer jest uznawany za spamSpamNiechciana wiadomość komercyjna. Zdarza się, że odbiorcy uznają za spam każdy mailing, którego nie chcą już więcej otrzymywać, nawet jeśli wcześniej zapisali się do listy odbiorców. era czy nie.

  1. Czy zbiera adresy w modelu Double Opt-In,
  2. Jak wiele odnotowują skarg na danego marketera,
  3. Czy i co z wiadomością zrobi odbiorcaOdbiorcaOsoba, która wyraźnie poprosi o dołączenie do listy odbiorców, np. przez wypełnienie formularza zapisu do newslettera i wyrazi zgodę na otrzymywanie wiadomości.   (otworzenie wiadomości, kliknięcie w link, przeniesienie do innego folderu, usunięcie wiadomości bez jej otworzenia, odpowiedź, dodanie nadawcy do listy kontaktów, oznaczenie wiadomości jako “spam/nie spam”, etc.).

Dlatego dla dobra całego rynku warto zawsze przestrzegać wszelkich norm w zakresie budowania baz odbiorców.

3
Rozdział
Zgody na przesłanie oferty handlowej

Marketer, który chce przesyłać do kogoś swój newsletter czy mailing musi zebrać od takiej osoby odpowiednie zgody na wysyłanie informacji handlowychZgoda na wysyłanie informacji handlowychWyrażenie zgody na subskrypcje i otrzymywanie informacji. Takim przyzwoleniem może być oświadczenie firmy, że adres email został legalnie umieszczony na liście odbiorców lub zgoda odbiorcy, która jest potwierdzona (tj. nie wygenerowaną automatycznie bądź nieuczciwie)..

Piszemy celowo o “zgodach”, nie “zgodzie”, bowiem od dnia 25 grudnia 2014 r. w polskim prawie dwie ustawy regulują tę kwestię: Ustawa o świadczeniu usług drogą elektroniczną oraz Prawo telekomunikacyjne.

  • Art. 10 pkt 1 Ustawy o świadczeniu usług drogą elektroniczną brzmi:
    “Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcyOdbiorcaOsoba, która wyraźnie poprosi o dołączenie do listy odbiorców, np. przez wypełnienie formularza zapisu do newslettera i wyrazi zgodę na otrzymywanie wiadomości.   będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej”
  • Art. 172 ust. 1 Prawo telekomunikacyjne brzmi:
    “Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę”

Istotnym jest zrozumienie tego, czym są “telekomunikacyjne urządzenia końcowe”. Jest to opisane w tej samej ustawie - w art. 2 pkt 43 znajdziemy definicję “Telekomunikacyjne urządzenie końcowe - urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci”. W praktyce oznacza to korzystanie ze wszystkich narzędzi do prowadzenia marketingu bezpośredniego: telefon, faks, komputer podłączony do sieci, etc.

Co zmieniło się w przepisach po 25 grudnia 2014?

Do dnia 25 grudnia 2014 (czyli do dnia wejścia w życie nowelizacji Prawa telekomunikacyjnego) kwestię wysyłania informacji handlowych definiowała wyłącznie Ustawa o świadczeniu usług drogą elektroniczną. Do tego momentu kluczową kwestią dla email marketerów było określenie czy masowe wysyłki z ofertą handlową bez pozyskanej zgody były wysyłane na adresy firmowe czy adresy osób fizycznych. Pierwsza możliwość była zgodna z prawem, druga już nie. Rzeczą najważniejszą było określenie czy danemu adresowi email odbiorcy można przypisać konkretną osobę.

Nowelizacja Prawa telekomunikacyjnego z 25 grudnia 2014 całkowicie zmieniła praktykę pozyskiwania adresów email do wysyłki informacji handlowej. Od tego momentu każda forma marketingu bezpośredniego (telefon, SMS, MMS, faks, email, komunikacja przy użyciu komunikatorów internetowych) wymaga uprzedniej zgody odbiorcy. Nie ma znaczenia, czy wysyłamy wiadomość na adres biuro@nazwafirmy.pl czy imie_nazwisko@nazwafirmy.pl - obie wiadomości wymagają zgody odbiorcy.

Co w praktyce oznaczają zmiany?

Co ważne, nowelizacja Prawa telekomunikacyjnego nie uchyliła art. 10 Ustawy o świadczeniu usług drogą elektroniczną. Od 25 grudnia 2014 oba obostrzenia dotyczące przesyłania informacji handlowych współistnieją. W praktyce oznacza więc to, że należy pozyskać od odbiorcy osobno dwie zgody, jeśli chcemy wysłać mu ofertę handlową:

  • Zgoda na korzystanie z telekomunikacyjnego urządzenia końcowego w celu prowadzenia marketingu bezpośredniego (zgodnie z art. 172 Prawa telekomunikacyjnego), 

    oraz

  • Zgoda na przesyłanie za pomocą środków komunikacji elektronicznej niezamówionej informacji handlowej (zgodnie z art. 10 Ustawy o świadczeniu usług drogą elektroniczną).

 

Pozyskując ww zgody powinieneś przestrzegać poniższych zasad:

  • Wyżej wymienione zgody są rozłączne

Oznacza to, że w praktyce musisz pozyskać oddzielną zgodę na korzystanie z telekomunikacyjnego urządzenia końcowego do działań marketingowych (Prawo telekomunikacyjne) oraz na przesyłanie oferty handlowej drogą elektroniczną (Ustawa o świadczeniu usług droga elektroniczną). 

  • Zgoda na przesłanie oferty handlowej nie może być pozyskana podczas pierwszego kontaktu z klientem

Zapomnij o często stosowanej przez marketerów praktyce wysyłania maili (ale też wykonywania połączeń telefonicznych, wysyłki SMS/MMS czy kontakcie z użyciem komunikatorów internetowych - np. Facebook Messenger) o treści: “Witam, Państwa adres został pozyskany z Państwa strony / innych stron ogólnie dostępnych w internecie…, w związku z tym chcemy zapytać o wyrażenie zgody na otrzymanie od nas jednorazowej oferty handlowej / informacji”.
Zgodnie z nowelizacją Prawa telekomunikacyjnego, wysyłanie emaila z prośbą o wyrażenie zgody na przesłanie informacji handlowej jest niezgodne z przepisami. Jest tak, gdyż pierwszy kontakt następuje przy użyciu “telekomunikacyjnego urządzenia końcowego”, bez wcześniejszej zgody odbiorcy.

 

  • Zgody nie mogą być domniemane lub dorozumiane

Zgody muszą być wyrażone wprost. Stąd formularz zapisu, w którym odbiorca pozostawia Ci dane, z mało widocznym disclaimerem “Akceptuję regulamin”, w którym umieszczone są zgody nie jest możliwy. W praktyce oznacza to konieczność umieszczenia checkboxów z oddzielnymi zgodami, które odbiorca może oznaczyć, jeśli chce nam takie zostawić.

 

  • Zgoda może być wycofana w dowolnym momencie przez odbiorcę

Nie możesz utrudniać klientowi procesu złożenia oświadczenia o wycofaniu jakiejkolwiek zgody.

 

  • Pozyskane zgody muszą być utrwalone

Jednym słowem - musisz mieć zachowane potwierdzenie wyrażenia ww zgód przez klienta. Najprościej będzie to uzyskać stosując metodę Double Opt-In. Oznacza to, że po wpisaniu w formularz danego adresu email zostanie na niego wysłany automatycznie generowana wiadomość z linkiem aktywacyjnym, po kliknięciu w niego, adres email zostanie aktywowany w Twojej bazie.
Dzięki takiemu rozwiązaniu, po pierwsze, masz potwierdzenie otrzymanej zgody. Dodatkowo, wiesz że osoba która dopisała się do Twojej listy, faktycznie ma dostęp do danego konta i dopisany email faktycznie istnieje. 

Jakie kary grożą za nieprzestrzeganie tych przepisów?

Polski ustawodawca zadbał o to, aby chronić podmioty gospodarki rynkowej przed niechcianymi formami reklamy. Przewidziane prawem sankcje finansowe mogą być dotkliwe. Wysokość kary może wynieść nawet 3% przychodu firmy osiągniętego w poprzednim roku kalendarzowym. W sytuacji, w której firma nie prowadziła działalności w poprzednim roku, podstawą do wymierzenia kary jest kwota 500 000 złotych (art. 210 Prawa telekomunikacyjnego). W ten sposób ustawodawca chciał uniknąć sytuacji, w której zakładane byłyby co roku nowe spółki, które nie mogły wykazać dochodu w poprzednim roku kalendarzowym.

Co równie ważne, nałożenie kary przez Urząd Komunikacji Elektronicznej (UKE) może być rezultatem nie tylko postępowania prywatnoskargowego (a więc postępowania prowadzonego na wniosek pokrzywdzonego), ale także postępowania administracyjnego, które może zostać wszczęte z urzędu. 

Co z bazami odbiorców zebranymi przed 25 grudnia 2014?

Jeżeli Twoja baza odbiorców została pozyskana wraz ze zgodami na przesyłanie niezamówionych informacji handlowych (czyli zgodnie z przepisami o Ustawie o świadczeniu usług drogą elektroniczną), nie musisz się martwić. Możesz wykorzystywać bazę odbiorców również po 25 grudnia 2014, bez konieczności uzupełniania posiadanych zgód o zgodę wynikającą z Prawa telekomunikacyjnego.

4
Rozdział
Zgoda na przetwarzanie danych osobowych

Oprócz pozyskania zgód wynikających z Ustawy o świadczeniu usług drogą elektroniczną oraz Prawo telekomunikacyjne, podmioty pozyskujące dane klientów muszą pamiętać o uzyskaniu zgody na przetwarzanie danych osobowych. Reguluje to Ustawa o ochronie danych osobowych. Od 2012 roku ustawodawca dokonał ważnej zmiany w przepisach:

W wyniku uchylenia z dniem 1 stycznia 2012 r. art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ochronie przewidzianej w tej ustawie podlegają obecnie dane osób fizycznych bez względu na to czy osoby te prowadzą działalność gospodarczą, czy też nie.

źródło: http://wwwAdres internetowyAadres strony internetowej, na który zostanie przeniesiony użytkownik po jego kliknięciu lub wpisaniu w pasek adresu przeglądarki. Zwykle jest wyróżniony w tekście poprzez inny kolor i styl. Składa się zazwyczaj z protokołu (najczęściej http:// lub https:// dla zabezpieczonych stron), hosta/domeny (np. app.freshmail.pl) oraz z opcjonalnej ścieżki (np. /logowanie), np. http://app.freshmail/logowanie .giodo.gov.pl/1520021/

Co powyższa zmiana oznacza dla marketera?

Otóż adres biuro@nazwafirmy.pl (firmy prowadzonej jako jednoosobowa działalność gospodarcza) staje się daną osobową, którą należy chronić i przetwarzać zgodnie z przepisami ustawy. Co za tym idzie, należy posiadać odpowiednie zgody na przetwarzanie takiego adresu email. Inaczej wygląda sytuacja, jeżeli adres biuro@nazwafirmy.pl należy do spółki z o.o. - wtedy takiej zgody nie musimy posiadać. 

Pozyskując jednak dane poprzez np. formularz zapisu, nie masz pewności czy będą się tam zapisywać osoby fizyczne, firmy prowadzone jako jednoosobowe działalności czy spółki z o.o. Najlepiej więc pozyskać zgodę na przetwarzanie danych osobowych od każdego podmiotu, który pozostawia Ci adres email.

5
Rozdział
Jak pozyskiwać zgody na wysyłkę mailingu?

Wiesz już, jak ustawy definiują daną osobową, informację handlową oraz telekomunikacyjne urządzenie końcowe do celów marketingowych. Zobaczmy teraz w praktyce, co wynika z ustaw i odpowiedzmy na pytanie: jak dodawać adresy nowych użytkowników do bazy, aby pozostawać w zgodzie z prawem?

Musisz zacząć od pozyskania trzech zgód:

  • przetwarzanie danych osobowych
  • wysyłkę informacji handlowej
  • korzystanie z telekomunikacyjnego urządzenia końcowego dla celów marketingowych

Te zgody możesz pozyskiwać na dwa sposoby:

  • Podczas rejestracji klienta w sklepie i zakładania przez niego konta.

Na ekranie rejestracji zamieszczamy formularz zapisu na newsletter. Jest on oczywiście opcjonalny.

GIODO formularz rejestracji

  • Podczas zapisu na newsletter, bez zakładania konta w sklepie internetowym, w sytuacji gdy zostawiasz swój adres mailowy.

W takiej sytuacji wyrażenie zgód musi być jawne i niedopowiedziane. Stąd najlepiej użyj 3 oddzielnych checkboxów, które odbiorcaOdbiorcaOsoba, która wyraźnie poprosi o dołączenie do listy odbiorców, np. przez wypełnienie formularza zapisu do newslettera i wyrazi zgodę na otrzymywanie wiadomości.   zaznacza dla każdej ze zgód osobno. Dodatkowo, dobrą praktyką jest weryfikacja podanego adresu email poprzez zastosowanie mechanizmu Double Opt-In. Oprócz pozostawienia swojego adresu email na stronie, potwierdzasz chęć czytania newslettera, klikając w link otrzymany w mailu. Możesz dodatkowo poinformować w mailu potwierdzającym odbiorcę o zaakceptowanych przez niego zgodach w procesie zapisu:

6
Rozdział
Rejestracja bazy w GIODO

GIODO czyli Generalny Inspektor Ochrony Danych Osobowych to organ do spraw ochrony danych osobowych działający na podstawie Ustawy o ochronie danych osobowych. To zgodnie z wymogami GIODO każdy przedsiębiorca działający na polu email marketingu musi zarejestrować bazę danych. Poniżej kilka najczęściej zadawanych pytań wokół tego tematu:

Kto musi zarejestrować zbiór danych osobowych?

Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych osobowych (ADO), czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych. Od 1 stycznia 2015 r. ADO jest zwolniony z obowiązku rejestracji zbiorów, pod pewnymi warunkami. Pierwszym warunkiem jest powołanie Administratora bezpieczeństwa informacji (ABI) i zarejestrowanie go w GIODO. Jeśli ABI prowadzi rejestr zbiorów danych ADO, jest zwolniony z obowiązku ich rejestracji w GIODO. Zwolnienie to nie dotyczy jednak danych wrażliwych, czyli związanych np. z poglądami politycznymi, przekonaniami religijnymi, przynależnością partyjną, danymi o wyrokach, itp.

Zgłoś ABI

Co to jest zbiór danych osobowych?

Zbiór danych osobowych to - zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych - “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.

Kiedy należy zgłosić bazę danych do GIODO?

Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych. Zgodnie bowiem z art. 46 ust. 1 ustawy o ochronie danych osobowych, administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

Jak zgłosić bazę do GIODO?

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznikZałącznikTekst, wideo, grafika, plik PDF lub plik dźwiękowy, który dołączany jest do wiadomości           e-mail, ale nie jest zawarty bezpośrednio w niej. Dołączanie załączników nie jest dobrym sposobem - wielu dostawców usług internetowych, czy klientów pocztowych, nie pozwala na ich odczytywanie, ponieważ hakerzy wykorzystują je do dostarczania wirusów i innych złośliwych kodów.   do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).

Co zgłoszenie powinno zawierać?

Stosownie do art. 41 ust. 1 Ustawy o ochronie danych osobowych, zgłoszenie zbioru danych do rejestracji powinno zawierać:

    1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
    2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
    3. cel przetwarzania danych,
    4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
    5. sposób zbierania oraz udostępniania danych,
    6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
    7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
    8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
    9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenie powinno być podpisane przez administratora danych (np. osobę fizyczną prowadzącą działalność gospodarczą jednoosobowo) lub inną osobę upoważnioną do reprezentowania wnioskodawcy.

Wypełnij wniosek

Sposoby zgłoszenia bazy danych:

  • Drogą elektroniczną z podpisem elektronicznym - poprzez platformę e-giodo. Więcej informacji o podpisie elektronicznym znajdziesz na stronie.
  • Drogą elektroniczną bez podpisu elektronicznego - zgłoszenie można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej.
  • Pocztą na adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa
  • Osobiście w biurze GIODO pod powyższym adresem.

Wypełnij wniosek

Czynności przed zgłoszeniem wniosku

Zgłoszenie wniosku to ukoronowanie szeregu działań, które powinieneś podjąć wcześniej:

  • Podpisz umowę na powierzenie przetwarzania danych z firmą obsługującą wysyłkę email marketingową.

Jeżeli dane osobowe będą znajdowały się na serwerach innych podmiotów (i tutaj przykładem są działania email marketingowe), powinieneś zawrzeć umowę z podmiotem oferującym dany system do email marketingu - umowę na powierzenie przetwarzania danych osobowych. W takiej umowie strony określają warunki wzajemnej współpracy - w pewnych obszarach procesor zaczyna wypełniać obowiązki Administratora Danych Osobowych, zwłaszcza w zakresie fizycznego bezpieczeństwa danych. Nie może jednak przekazać procesorowi więcej praw w kwestii danych niż sam posiada.

W rezultacie firma taka staje się wtedy procesorem danych osobowych i taki fakt, również należy zgłosić do GIODO.

  • Dopełnienie obowiązku informacyjnego (art. 24 i 25 UODO).

Chodzi o poinformowanie osoby, której dane są pozyskane o tym fakcie. Poniżej przykładowa klauzula informacyjna. Zgodnie z art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) informuje, iż:

  1. Administratorem Pani/Pana danych osobowych jest XYZ Sp. z o.o. z siedzibą w Warszawie (00-111), ul. Kwiatowa 1, zwana dalej Spółką,
  2. Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom,
  3. Spółka pozyskała Pani/Pana dane osobowe od IJK Sp. z o.o. z siedzibą w Krakowie (10-001), ul. Zielna 100,
  4. Posiada Pan/Pani prawo dostępu do treści swoich danych i ich poprawiania,
  5. Na podstawie art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych przysługuje Pani/Panu prawo wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania Pani/Pana danych ze względu na Pani/Pana szczególną sytuację, jak również - na podstawie art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych na Pani/Pana prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych w celach marketingowych lub wobec przekazywania ich innemu administratorowi danych.

Więcej szczegółów na stronie.

  • Procedury bezpieczeństwa

Bardzo ważne staje się określenie zabezpieczeń, jakie gwarantuje procesor danych. Nie chodzi tylko o środki techniczne, ale także organizacyjne. Czego efektem jest fakt, że firma, która staje się procesorem, winna mieć dobrze opracowane wewnętrzne procedury ochrony Twoich danych.

W praktyce sprowadza się to do wdrożenia trzech dokumentów i stosowania się do nich tj:

    • Polityka bezpieczeństwa - to dokument opisujący prawa i zasady dotyczące ochrony i przepływów danych osobowych wewnątrz organizacji. Co do zasady powinna zawierać wykaz budynków, pomieszczeń tworzących obszar w którym dane będą przetwarzane, wykaz zbiorów danych osobowych, opis struktur tych zbiorów, a także przepływy danych pomiędzy poszczególnymi systemami oraz określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. Przykładowy dokument zobaczysz na stronie.
    • Instrukcja zarządzania systemem informatycznym - zawiera przede wszystkim procedury nadawania uprawnień, haseł, procedury kopi zapasowych, konserwacji, plany odtworzeniowe itp. Przykładowy dokument zobaczysz na stronie.
    • Ewidencja powierzenia przetwarzania danych osobowych - czyli lista osób, które mają dostęp do danych osobowych.

Oczywiście ww. dokumenty posiadać musi nie tylko procesor - również Ty jako administrator danych musisz mieć ww. dokumenty w swojej firmie lub organizacji.

O dopełnienie formalności po swojej stronie możesz zadbać sam. Natomiast wybierając partnera do pracy z danymi osobowymi, wybieraj tylko sprawdzone i bezpieczne rozwiązania.

7
Rozdział
Dodatkowe regulacje

Przechowywanie danych poza Europejskim Obszarem Gospodarczym

Baza danych nie może znajdować się fizycznie poza obrębem Europejskiego Obszaru Gospodarczego (tj. UE, Islandia i Norwegia), więc weź to pod uwagę, decydując się na system do email marketingu. Upewnij się, czy serwery firmy są zlokalizowane na terenie Europejskiego Obszaru Gospodarczego. Takie obostrzenia wynikają z faktu, iż ustawodawca przyjął, że kraje skupione w EOG mają adekwatne do siebie przepisy prawa dotyczące ochrony danych osobowych. Natomiast jeżeli chcemy transferować dane do kraju trzeciego poza EOG - nie gwarantuje to adekwatnego poziomu ochrony danych osobowych.

W zawiązku z powyższym jeżeli chcemy korzystać z systemu do email marketingu, którego serwery nie są zlokalizowane na terenie EOG, musimy zebrać pisemne zgody od naszych odbiorców, że pozwalają oni na transfer swoich danych do tego kraju. Ewentualnie możemy wystąpić do Generalnego Inspektora Ochrony Danych Osobowych o taką zgodę. Podsumowujac - jest to duży problem, więc lepiej korzystać z polskich lub europejskich rozwiązań, które prowadzą działalność na terenie EOG. Zawężając wybór tylko do polskich rozwiązań, zapewnisz sobie dodatkowo lepszą dostarczalność maili na polskie darmowe skrzynki takie jak Onet, Interia, o2 czy WP.

Zmiany w regulacjach prawnych polskich i zagranicznych - bądź na bieżąco

Warto wiedzieć, że obecnie trwają prace nad zmianami w zakresie zarówno europejskich jak i polskich regulacji, zwłaszcza dotyczących e-handlu i zagadnienia jak zachować prywatność w cyfrowym świecie. Z tego też powodu uczulamy Cię, byś na bieżąco śledził doniesienia na stronach IAB, UOKiK czy GIODO.

Co powinieneś wiedzieć o stopce mailingu?

W przypadku spółek handlowych, prawo wymaga umieszczenia w stopceStopkaObszar na końcu wiadomości email, który nie musi podlegać edycji przy każdej wysyłce. Zawiera najczęściej dane kontaktowe nadawcy.   mailingu następujących danych:

  • Nazwa spółki, jej siedziba i adres
  • Oznaczenie sądu rejestrowego, w którym przechowywana jest dokumentacja spółki oraz numer, pod którym spółka jest wpisana do rejestru
  • Numer identyfikacji podatkowej (NIP)
  • Wysokość kapitału zakładowego

Na zakończenie

Niezależnie od prawa, staraj się chuchać na zimne i uczynić Twoje działania jak najbardziej przejrzystymi, aby nikt nie miał prawa Ci niczego zarzucić. Wszystkie dane traktuj jako dane osobowe, a każdą ofertę jako ofertę handlową. Pamiętaj też o wyższości zapisu Double Opt-In i wartości potwierdzonej zgody. Jeśli potrzebujesz profesjonalnego programu, który wszystkie te wymogi spełnia automatycznie, zapraszamy do testowania konta FreshMail.