Newsletter, czyli internetowy informator/biuletyn wysyłany regularnie do zainteresowanych klientów/subskrybentów, jest obecnie jedną z najpopularniejszych form reklamy stosowaną przez przedsiębiorców. Umożliwia on bowiem informowanie zarówno obecnych jak i potencjalnych klientów o promocjach, usługach, czy nowych produktach oferowanych przez danego przedsiębiorcę.

W przypadku wysyłania newslettera zastosowanie znajdą następujące akty prawne, tj.:

• rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako” „RODO”), jako że newsletter wiąże się z przetwarzaniem danych osobowych;
• ustawa z dnia 18 lipca 2002 r. o świadczeniu usług droga elektroniczną (dalej jako: „uśude”), regulująca przesyłanie informacji handlowych, czyli każdej informacji przeznaczonej bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi; za informację handlową można zatem uznać newsletter;
• ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (dalej jako: „prawo telekomunikacyjne”) w zakresie używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego.

Na gruncie RODO przetwarzanie danych osobowych w celach marketingowych wymaga istnienia podstawy prawnej. W art. 6 RODO określono więc, kiedy przetwarzanie danych osobowych przez administratora jest zgodne z prawem. Zatem przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W przypadku newslettera podstawami przetwarzania danych osobowych będzie zatem:

1. zgoda -art. 6 ust. 1 lit. a RODO lub
2. uzasadniony interes administratora – art. 6 ust. 1 lit. f RODO.

Zgodnie z motywem 47 RODO, przesłanką przetwarzania danych osobowych, która może być uznana za podstawę przetwarzania danych osobowych w celach marketingowych jest przesłanka dotycząca konieczności przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO). Zgodnie z ww. motywem zakres klauzuli uzasadnionego interesu administratora obejmuje marketing bezpośredni oraz zapobieganie oszustwom. Za działania w zakresie marketingu bezpośredniego uznaje się zaś wszelkie działania promujące produkty lub usługi, które skierowane są do osoby, której dotyczą dane osobowe wykorzystywane w celu prowadzenia tej formy marketingu. W tym przypadku również wysyłanie newslettera jest uznawane za działania związane z marketingiem bezpośrednim. Zwrócić jednak uwagę należy, że stosowanie tego typu działań (tj. wysyłanie newslettera bez uprzedniej zgody klienta/subskrybenta) doznaje szeregu ograniczeń m.in. w przepisach pozostałych wyżej wymienionych aktów prawnych.

Ustawa o świadczeniu usług drogą elektroniczną w art. 4 wskazuje na konieczność pozyskania zgody, jeżeli ustawa wymaga uzyskania takiej zgody usługobiorcy (czyli klienta/subskrybenta) i w tym zakresie odwołuje się do stosowania przepisy o ochronie danych osobowych –czyli do RODO. Natomiast art. 10 ust. 1 uśude stanowi, że zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Obowiązki wynikające z uśude spoczywają na usługodawcach, czyli podmiotach świadczących usługę drogą elektroniczną. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Wysyłanie newlettera do usług elektronicznych można zdecydowanie zaliczyć, bowiem za usługę świadczoną drogą elektroniczną uznaje się usługę spełniającą następujące warunki, tj.:

1. usługa powinna być świadczona bez jednoczesnej obecności stron;
2. przekaz danych w ramach usługi musi następować na indywidualne żądanie usługobiorcy;
3. przesyłanie i odbieranie danych w ramach świadczenia odbywa się za pomocą urządzeń do elektronicznego przetwarzania i przechowywania danych;
4. do świadczenia ww. usługi niezbędne jest nadawanie, odbieranie lub transmitowanie usługi za pomocą sieci telekomunikacyjnej w rozumieniu prawa telekomunikacyjnego.

Natomiast art. 172 prawa telekomunikacyjnego stanowi, że zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgoda wyrażona przez abonenta lub użytkownika końcowego legalizuje komunikaty marketingowe kierowane do określonego zakończenia sieci, niezależnie od tego, kto faktycznie odbiera te komunikaty. Przepis art. 174 prawa telekomunikacyjnego wskazuje zaś, że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych – czyli przepisy RODO.

Podkreślić w tym miejscu należy, że  zgodnie z wytycznymi Ministerstwa Cyfryzacji nie zachodzi potrzeba odbierania odrębnych zgód z art. 10 uśude oraz art. 172 ust.1 prawa telekomunikacyjnego, jeżeli obie zgody miałyby dotyczyć tego samego zakresu czynności, np. wysyłki reklamowych wiadomości SMS lub MMS, czy wysyłki newslettera. Bowiem zgoda wyrażana jest na jeden cel (wysyłka informacji handlowej z wykorzystaniem telekomunikacyjnego urządzenia końcowego), z tym że zastosowanie do niego znajdują dwie odrębne normy prawne. Brak jest również przeszkód prawnych ku temu, aby jedną zgodą objąć cel prowadzenia marketingu bezpośredniego z wykorzystaniem łączności elektronicznej (tak: wytyczne Ministerstwa Cyfryzacji: RODO Poradnik dla Sektora Fintech).

Zatem tym, co odróżnia tradycyjny spam reklamowy od newslettera jest fakt, że aby otrzymywać ten drugi, klient/subskrybent powinien na niego dobrowolnie się zapisać poprzez podanie swoich danych osobowych w postaci adresu poczty elektronicznej. Innymi słowy przedsiębiorca – przed dokonaniem jego wysyłki – winien uprzednio pozyskać od odbiorcy zgodę.

RODO, w art. 4 ust. 11 stwierdza, że zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Powyższe zostało oparte więc na zasadzie opt-in, czyli na zasadzie wymagającej działania odbiorcy spełniającego warunki jednoznaczności, konkretności i wyraźności (w przypadku działania potwierdzającego). Wykluczono w konsekwencji wszelkie modele opt-out wykorzystujące bierność, milczenie osoby, której dane dotyczą, lub jej nieuwagę bądź bezwolność, a także ustawienia domyślne, domyślnie zaznaczone okienka zgód itp. (Rozdział I. RODO red. Sakowska-Baryła 2018, wyd. 1, komentarz do art. 4 RODO). Powszechnym staje się zatem (w celu wykazania, że klient/odbiorca wyraził zgodę na newsletter – wobec treści art. 7 RODO) wysyłanie, jeszcze przed uruchomieniem newslettera automatycznej wiadomości mailowej z linkiem aktywacyjnym(Double Opt-in), potwierdzającym zapis na newsletter. Powyższe, umożliwia administratorowi wykazanie, że subskrybent wyraził zgodę na otrzymywanie newslettera, a ponadto administrator ma możliwość wyeliminowania ryzyka przetwarzania danych osobowych niepoprawnych lub nienależących do osoby, która wypełniła formularz zapisu na newslettera.

Oświadczenie o wyrażeniu zgody na wysyłanie newslettera zbierane są najczęściej w ten sposób, że przedsiębiorca (administrator danych) przygotowuje treść takiego oświadczenia, a osoba wyrażająca zgodę (odbiorca newslettera, czyli klient/subskrybent) tylko podpisuje owe oświadczenie lub zaznacza okienko wyboru na stronie internetowej (tzw. check box’a). Pamiętać należy, że zgoda może przybrać formę wyraźnego działania potwierdzającego, a nie tylko formalnego oświadczenia. Ministerstwo Cyfryzacji w przywołanych powyżej wytycznych dopuszcza podanie przez odbiorcę adresu e-mail w polu formularza internetowego opisanego słowami: „podaj swój adres e-mail, jeżeli chcesz otrzymywać od nas informacje o …”.

Dodatkowo, należy przy tym pamiętać, że RODO – w art. 7 – wskazuje m.in., że:

1. jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych;
2. osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie;
3. oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Odebranie zgody na newsletter wg RODO, uśude i prawa telekomunikacyjnego nie jest jednak jedynym obowiązek ciążący na przedsiębiorcy- administratorze danych. RODO nakłada bowiem na administratorów spełnienie dodatkowo obowiązku informacyjnego określonego w art. 13 RODO. Przedsiębiorca zobowiązany jest zatem, podczas pozyskiwania danych, do przekazania osobie, której one dotyczą, informacji wyliczonych w art. 13 ust. 1–2, a dotyczących:

• tożsamości i danych kontaktowych administratora oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych jego przedstawiciela;
• gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;
• celów przetwarzania danych osobowych, oraz podstawy prawnej przetwarzania;
• jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
• informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
• gdy ma to zastosowanie – informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
• okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
• jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
• informacji o prawie wniesienia skargi do organu nadzorczego;
• informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
• informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Podkreślić dodatkowo należy, że jeśli administrator planuje przetwarzać dane w innym celu niż ten, dla którego dane zostały zebrane, jest zmuszony ponowić powyższy obowiązek informacyjny.

Powszechnym jest umieszczenie obowiązku informacyjnego (tzw. klauzuli informacyjnej) w polityce prywatności. Odbiorca newslettera zaznacza wówczas oprócz check boxa dotyczącego wyrażenia zgody na jego wysyłkę również check box o zapoznaniu się z polityką prywatności (a tym samym również z klauzulą informacyjną).

Podsumowując zatem, podstawą prawną przetwarzania danych osobowych subskrybentów/klientów w ramach wysyłania newsleterra powinna być dobrowolna, konkretna, świadoma i jednoznaczna zgoda, którą ów podmiot wyraża w odpowiednim formularzu zapisu na newsletter i może ją cofnąć w dowolnym momencie. Przedsiębiorca wówczas przetwarza te dane osobowe do czasu zaprzestania wysyłki newslettera lub wcześniejszym wycofaniu zgody przez subskrybenta/klienta.