Jak pozyskiwać zgody na komunikację e-mail marketingową zgodnie z prawem i tzw. RODO? (poradnik)

reklama

W maju 2018 roku wejdzie w życie nowe rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych. Zaostrzą się przepisy prawne regulujące kwestie zbierania i przetwarzania danych o użytkownikach. Już teraz powinieneś się do tych zmian przygotować. Dowiedz się jak zbierać dane odbiorców zgodnie z prawem, kierując się zasadą permission marketingu, czyli marketingu za przyzwoleniem. Taki proces zbierania zgód na komunikację, nie tylko pozwoli Ci spać spokojnie w obliczu nadchodzących zmian prawnych, ale i poprawi jakość prowadzonych przez Ciebie działań marketingowych. Dzięki pomocy specjalistów z FreshMail i przedstawicieli dwóch kancelarii adwokackich przygotowaliśmy dla Ciebie instrukcję tego, w jaki sposób można pozyskać zgody oraz informacje na temat tego, co zmieni się po wprowadzeniu rozporządzenia i jak owe zmiany wyglądają na tle obowiązującego obecnie prawa.

Skąd te zmiany i czego one dotyczą?

Zacznijmy od tego, dlaczego prawo ulegnie zmianie? Jak mówi Wojciech Krawiec z Kancelarii Adwokackiej Lassota i Partnerzy, prace nad zmianą prawa o ochronie danych osobowych wynikają z rozwoju społeczeństwa informacyjnego. Stare krajowe regulacje wydane były w oparciu o unijną dyrektywę z 1995 roku. Od tego czasu zmieniły się całkowicie realia naszego życia w związku z rozwojem takich technologii, jak internet czy telefonia komórkowa. Praktyka stosowanie regulacji chroniących dane osobowe wykazała, że nie nadążały one za zmieniającą się rzeczywistością, a dotychczasowe przepisy nie uwzględniały wielu nowych zjawisk.

Mecenas Krawiec podkreśla, że będą one dotyczyły między innymi ram funkcjonowania systemu ochrony danych osobowych. Całkowitej likwidacji ulegnie obowiązek rejestracji zbiorów danych osobowych w GIODO, a i Administratora Bezpieczeństwa Informacji, teraz zwanego Inspektorem Ochrony Danych, powoływać będą musiały jedynie większe podmioty. Zmodyfikowany zostanie również zakres obowiązku informacyjnego, a także uprawnienia osób, których dane są przetwarzane. Uregulowane zostało m.in. prawo do bycia zapomnianym, a także zasady profilowania użytkowników. Jak więc dostosować się do tych zmian?

Pozyskaj wyraźną i dobrowolną zgodę na komunikację

Prawo wyraźnie wskazuje, że wyrażenie zgody na komunikację powinno być jak najbardziej wyraźne i dobrowolne. Pozyskiwanie zgód na zasadzie „jak najszybciej, jak najłatwiej, najchętniej jednym klikiem”, nie jest skuteczne, a dodatkowo w obliczu zaostrzającej się legislacji, zabronione. Zgoda powinna być:

jawna,
świadoma,
dobrowolna,
potwierdzona.

Przy zapisie na newsletter należy zebrać następujące zgody:

zgodę na przetwarzanie danych osobowych do celów marketingowych
oraz zgodę na przesyłanie informacji handlowych środkami komunikacji elektronicznej.

Sam proces pozyskiwania zgód powinien być jasny i klarowny dla osoby, która ma taką zgodę wyrazić. Tym samym zgoda nie może być po prostu ukryta w regulaminie, czy w jakikolwiek sposób domyślna.

Odpowiednim mechanizmem, który pozwala upewnić się, że osoba która pozostawia swój email do dalszego kontaktu, robi to dobrowolnie i rzeczywiście jest właścicielem takiego adresu email, jest model double opt-in. Mechanizm ten sprowadza się do wysłania na podany przy zapisie adres mailowy wiadomości z linkiem aktywacyjnym i prośbą o potwierdzenie zapisu Dopiero w momencie, gdy potencjalny subskrybent kliknie w link aktywacyjny, możesz zapisać go do swojej listy odbiorców i rozpocząć komunikację email marketingową. W przypadku, gdy nie potwierdzi zgody, nie możesz dołączyć go do swojej listy mailingowej.

Model double-opt in, prócz pełnej zgodności z RODO, ma też dodatkowe zalety, które pozwolą Ci prowadzić skuteczne działania marketingowe. Stosując double opt-in budujesz wartościową listę subskrybentów. Jesteś pewien, że osoba świadomie podjęła decyzję o otrzymywaniu od Ciebie newslettera.

Dodatkowo nie jest spam trapem, czyli adresem-pułapką, stworzonym specjalnie na potrzeby namierzenia, a następnie blokowania osób wysyłających maile bez wcześniejszego pozyskania odpowiedniej zgody adresata.

Lepsza jakość listy to w rezultacie:

Skuteczna komunikacja i budowanie silnej marki, ponieważ subskrybenci są rzeczywiście zainteresowani otrzymywaniem od Ciebie informacji .
Lepsze rezultaty kampanii, więcej otwarć maili, klików w linki, a w rezultacie – wyższa konwersja i zysk z prowadzonych działań.
Mniej wypisów z listy mailingowej, ponieważ osoby zapisują się dobrowolnie i świadomie.
Ochrona przed filtrami antyspamowymi – na swojej liście nie masz adresów spam-trapów, a odbiorcy rzadziej oznaczają Twoje wiadomości jako niechciany spam. To niebagatelny wpływ na dostarczalność wiadomości, który gwarantuje bezpieczeństwo w przypadku posądzenia o spam.

W jaki sposób powinieneś poprosić o zgodę na komunikację?

Adresy email nowych subskrybentów możesz zbierać w wielu miejscach. Przykładowo na swojej stronie internetowej, dedykowanym landing page, czy w social media. Niezależnie od miejsca, gdzie budujesz swoją listę mailingową, zawsze powinieneś uzyskać dobrowolne przyzwolenie nowego subskrybenta na dołączenie do Twojej listy.

Zgodnie z RODO zapytanie o zgodę musi być jasno sformułowane, aby było wiążące. Dlatego wyraźnie odróżnij je od jakichkolwiek innych treści. Pamiętaj też że sam przycisk „Tak, zapisz mnie” na pewno nie będzie uznany za odpowiednio wyraźne wyrażenie zgody na przetwarzanie danych osobowych.

Do wyboru masz dwa miejsca na zamieszczenie prośby o zgodę na komunikację marketingową. Pierwszym z nich, jest formularz zapisu na listę mailingową:

Treści zgód:

Wyrażam zgodę na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail informacji handlowej w rozumieniu art. 10 ust. 1 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną od [dane kontaktowe firmy]

Wyrażam zgodę na przetwarzanie moich danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych oraz ustawy z dnia 16 lipca 2004 roku Prawo telekomunikacyjne w celach marketingowych przez [dane kontaktowe firmy] i oświadczam, iż podanie przeze mnie danych osobowych jest dobrowolne oraz iż zostałem poinformowany o prawie żądania dostępu do moich danych osobowych, ich zmiany oraz usunięcia.

Drugie miejsce, gdzie możesz zamieścić prośby o zgodę na komunikację marketingową jest wiadomość potwierdzająca z linkiem aktywacyjnym subskrypcję:

To dobry sposób na legalne pozyskanie zgody na komunikację w momencie, gdy chcesz na swojej stronie umieścić jedynie prosty formularz zapisu. Lub, gdy zbierasz adresy poza stroną internetową, np. w social media.

Pamiętaj jednak, że przykładowo Facebook też daje Ci możliwość wyraźnego poproszenia o zgodę w momencie zapisu. Tworząc reklamy na Facebooku, narzędzie reklamowe Facebooka przewidują miejsce na wpisanie treści takiej zgody:

Niezależnie, czy prośbę o zgodę zamieszczasz w formularzu zapisu, czy w mailu aktywacyjnym, bardzo ważny jest układ, w jakim umieścisz elementy takiego komunikatu, jak i język, jakim komunikujesz się z użytkownikiem. Zapytanie o zgodę musi być wyrażone jasnym, prostym językiem, a sama treść zgód musi znajdować się nad przyciskiem CTA (ang. Call To Action – wezwanie do działania).

Agnieszka Grzesiek z kancelarii MyLo dodatkowo wskazuje na elementy, które powinieneś uwzględnić w trakcie procesu pozyskiwania zgód, by dostosować się do zmian, które wprowadza RODO:

nieakceptowalne są skomplikowane formułki prawne, w tym jeśli powołujesz się na dzienniki ustaw – może to być uznane za powodujące niezrozumiałość komunikatu;
teksty przy check-box’ach pisane bardzo małym druczkiem również mogą być zakwestionowane;
od razu przy zbieraniu zgody (przed jej odebraniem) należy poinformować o prawie do wycofania tej zgody w każdym momencie;
wycofanie zgody musi być tak samo proste jak jej wyrażenie (link dezaktywujący newsletter podany na dole każdego mailingu będzie spełniał ten wymóg. Powinien być jednak dobrze widoczny, nie powinien być podany drobnym druczkiem ani bladym kolorem);
nie można uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych osobowych na cele marketingowe.

Stosując powyższe dobre praktyki, działasz zgodnie z prawem, ale i masz pewność, że Twoja inwestycja w kanały komunikacji, takie jak email marketing, się zwróci. Co trzeci internauta w Polsce blokuje reklamy przeglądarce. Dlatego email marketing, wraz z przyzwoleniem na przesłanie komunikatu marketingowego, ma przewagę nad innymi formami reklamowymi w skutecznej komunikacji z odbiorcami, którzy naprawdę chcą być z Tobą w kontakcie.

Czy nowe przepisy będą dla przedsiębiorców gorsze niż obecne?

Zapytaliśmy kancelarię MyLo, jak w praktyce wyglądają zmiany, które wprowadza RODO. Nowe przepisy prawne bardziej restrykcyjnie podchodzą do ochrony prywatności obywateli UE. Wiele osób pisze, że RODO wprowadza rewolucję w ochronie danych osobowych. To prawda, ale – jak zobaczysz poniżej – szczegóły tej rewolucji wcale nie muszą być takie „straszne”. Niektóre aspekty przetwarzania danych wręcz ulegną uproszczeniu.

Nowe obowiązki możemy porównać do obowiązku prowadzenia księgowości w firmie. Zgodnie z przepisami o rachunkowości, możesz prowadzić swoją dokumentację księgową osobiście (zatrudniać wewnętrzną księgową) lub zlecać zewnętrznej firmie; możesz robić to w formie papierowej lub używać programu komputerowego, a nawet obecnie możesz wystawiać faktury „w chmurze”. Wybór metody należy do Ciebie. Najważniejsze jest natomiast osiągnięcie celu: prawidłowe, rzetelne i transparentne księgowanie wszelkich operacji, a w związku z tym odpowiednie wyliczenie należnych podatków. Już w momencie gdy zakładasz firmę zastanawiasz się zatem, jaki sposób prowadzenia księgowości wybrać. Twoim obowiązkiem jest tak zorganizować sobie księgowość, by odbywało się to dobrze.

Analogicznie – według RODO – już w momencie zakładania biznesu lub uruchamiania jakiegoś nowego projektu powinieneś zastanowić się jak ten proces zorganizować tak, aby spełniał wszystkie wymogi dotyczące danych osobowych. Zobacz w tabeli poniżej, o co chodzi w tzw. privacy by design.

OBECNIE

PO RODO

● obecnie ustawa o ochronie danych osobowych wskazuje ci wiele obowiązków formalnych, które musisz wypełnić, aby być w zgodzie z prawem. Są to przede wszystkim zgłoszenie zbiorów danych osobowych do GIODO; stworzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym; stworzenie rejestru osób, które są w Twojej firmie upoważnione do przetwarzania danych.

Wiele firm, chcąc uregulować sobie kwestie GIODO, skupia się właśnie na załatwieniu tych „papierów”. Wchodzi w grę ściągnięcie wzoru polityki bezpieczeństwa z internetu (za darmo lub za niewielką opłatą), zgłoszenie zbiorów do GIODO bez większej refleksji po co tak właściwie się to robi. Załatwiamy „papierki” nie wnikając zbytnio w to, czy rzeczywiście one wystarczą do zapewnienia odpowiedniego poziomu bezpieczeństwa danych w naszym przedsiębiorstwie.

● RODO zmienia tę optykę! Nowe przepisy nakazują, być Ty jako administrator danych sam zaprojektował i wdrożył takie rozwiązania, które zapewnią bezpieczeństwo danych osobowych w Twojej firmie. Mniej liczą się formalności, a najważniejszy jest efekt.

● RODO wprowadza zasadę tzw. privacy by design. Chodzi o to, że już projektując swój biznes czy nową usługę, powinieneś zastanowić się i również zaprojektować skuteczną ochronę danych osobowych w tym biznesie. Sam zaprojektuj procedury, dzięki którym to osiągniesz.

Jak osiągnąć privacy by design? Najlepiej skorzystać z usług profesjonalisty w tej dziedzinie. Bez odpowiedniej konsultacji zapewne trudno będzie Ci samodzielnie ocenić, czy stosowane przez Ciebie środki ochronne są wystarczające do zapewnienia efektywnego bezpieczeństwa danych osobowych. A tego przecież będzie wymagał od Ciebie GIODO w 2018 roku.

Czy wymogi prawa będą trudniejsze do realizacji?

CO BĘDZIE ŁATWIEJSZE?

CO BĘDZIE TRUDNIEJSZE?

Wbrew pozorom RODO ułatwia niektóre aspekty ochrony danych osobowych:

● znika obowiązek rejestracji zbiorów w GIODO!

● znika obowiązek posiadania papierowej polityki bezpieczeństwa;

● nie będzie trzeba wydawać pisemnych upoważnień do przetwarzania danych;

● nie będzie obowiązku zmieniania haseł informatycznych co 30 dni.

Ważną zmianą będzie też to, że umowa powierzenia przetwarzania danych osobowych będzie mogła być zawarta w formie elektronicznej (wystarczą skany). Obecnie obowiązuje forma papierowa, co dla wielu firm jest utrudnieniem:

● jeśli np. korzystasz z systemu do e-mail marketingu, to umowę z firmą e-mail marketingową powinieneś zawrzeć na piśmie. Jeśli wybrałeś system zagraniczny – trudno jest uzyskać zza oceanu podpis na papierowej wersji.

● jeśli wgrywasz swoje bazy marketingowe do Facebooka – powinieneś z nimi zawrzeć umowę pisemną powierzenia przetwarzania danych.

● jeśli kolei to Ty oferujesz usługi, w których przetwarzane są dane osobowe (np. jesteś producentem systemu CRM, oferujesz prowadzenie sklepu internetowego w systemie SaaS; produkujesz gry komputerowe on-line; oferujesz inne narzędzia informatyczne działające w chmurze, twój biznes korzysta z aplikacji Slack lub podobnej) utrudnieniem w sprzedaży Twoich produktów, szczególnie za granicę, była konieczność podpisywania jakiejkolwiek umowy na piśmie.

Od 2018 roku te problemy znikną, ponieważ wystarczy forma elektroniczna!

RODO kładzie większy nacisk niż obecna polska ustawa na to, by osoba udostępniająca swoje dane osobowe była tego w pełni świadoma i zgadzała się na to dobrowolnie. Dlatego proces pozyskiwania zgód powinien być jak najbardziej transparentny.

Liczba informacji, które będziesz musiał przekazać w trakcie pozyskiwania zgód, znacząco wzrośnie. Będziesz musiał podać:

1. swoją tożsamość i dane kontaktowe (tzn. dane adresowe i adres e-mail);

2. dane kontaktowe inspektora ochrony danych (jeśli będziesz takiego miał w swojej firmie, wystarczy podać e-mail inspektora);

3. cele, na jakie będziesz przetwarzał pozyskane dane;

4. podstawę prawną przetwarzania (wyrażona zgoda lub odpowiedni przepis prawa);

5. informację czy dane osobowe będziesz przekazywać jakiemuś innemu podmiotowi;

6. czy zamierzasz przekazywać dane osobowe poza obszar Unii Europejskiej (np. do USA, jeśli będziesz wgrywał je do programu MailChimp albo do Facebook’a);

7. okres, przez który zamierzasz przechowywać danego osobowe;

8. informację o prawie żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

9. informacja o prawie do przenoszenia danych (np. możesz żądać, by Twoje dane były przekazane bezpośrednio z jednego operatora telekomunikacyjnego do drugiego);

10. poinformować o tym, że przysługuje prawo wniesienia skargi do GIODO;

11. poinformować, jakie są ewentualne konsekwencje niepodania danych;

12. informację czy zamierzasz wykorzystywać dane do profilowania, a jeśli tak, to jakie mogą być tego konsekwencje dla użytkownika.

Mamy nadzieję, że zebrana tutaj wiedza pomoże w lepszym zrozumieniu, że nowe przepisy nie są tak skomplikowane jak się wydaje, z czym wiążą się wiążą i jakie działania warto podjąć, by pozyskać zgody zgodnie z prawem i RODO.

O FreshMail:

FreshMail to rewolucyjne narzędzie do e-mail marketingu. Dostarcza łatwego w użyciu narzędzia do spersonalizowanej i wielokanałowej komunikacji z odbiorcami oraz utrzymywanie najwyższego poziomu obsługi klienta. Umożliwia tworzenie najróżniejszych kampanii – autoresponderów, tekstowych, jednorazowych, z testami A/B, maili transakcyjnych, zaciąganych z adresu internetowego, optymalizujących dzień tygodnia, optymalizujących porę wysyłki, SMS i MMS, opartych na API, okresowych i planowanych w czasie.

poleca

EreNDer
jestem osobą prywatną, jakie co mam wpisać w dane kontaktowe firmy ? Moge to pole pozostawić puste czyli jakoś tak : Wyrażam zgodę na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail informacji handlowej w rozumieniu art. 10 ust. 1 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną ?
Adriana Chołody
Świetny artykuł ! Niestety nigdzie nie doczytałam w jaki sposób uzyskać zgodę na wysyłanie ofert mailowych do klientów, którzy zamawiają towar poprzez telefon, e-maila, czy też bezpośrednio w siedzibie firmy. W przypadku klientów, których pozyskujemy przez stronę internetową jest dla mnie jasna.
Adrian Gonet
” Ważną zmianą będzie też to, że umowa powierzenia przetwarzania danych osobowych będzie mogła być zawarta w formie elektronicznej (wystarczą skany). Obecnie obowiązuje forma papierowa, co dla wielu firm jest utrudnieniem” Skany ?? A nie wystarczy potwierdzenie przeze mnie umowy internetowej? Potrzebne będą mi skany? Jestem partnerem MLM i Programu partnerskiego.