Skip to content
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Menu
Menu
mniej niż 1 minuta minut

Klauzula informacyjna w mailu firmowym

image_pdfimage_print

Otwierasz maila od potencjalnego klienta i nawet sobie nie uświadamiasz, że zaczynasz zbierać dane osobowe… Myślałeś(-aś) kiedyś o tym w taki sposób?

Elektroniczna skrzynka pocztowa to jedno z podstawowych narzędzi stosowanych w biznesie. To właśnie tam każdego dnia wpływa tysiące wiadomości od klientów i kontrahentów. To właśnie za pomocą elektronicznej skrzynki pocztowej dochodzi do pierwszego kontaktu z osobą fizyczną i to tam zaczyna się proces pozyskiwania danych osobowych.  Czy zatem klauzula informacyjna powinnam pojawić się w mailu firmowym?

Obowiązek informacyjnych w stopce e-mail – tak czy nie?

Stopka maila to magiczne miejsce, w którym wpisujemy swoje dane osobowe. Przykładowo: imię i nazwisko, adres e-mail, adresy strony internetowej, adresy profili w social mediach, logo firmy. Czasem dorzucamy swoje zdjęcie. Bardziej rozważni dorzucają jeszcze informacje odnoszące się do charakteru korespondencji. Jest to tzw. klauzula dotycząca poufności informacji, która bardzo często jest aż dwóch językach – języku polskim i angielskim.

W efekcie niby nic, a robi nam się pół strony A4. Młody przedsiębiorca zaczyna się zastanawiać czy aby na pewno dorzucać jeszcze stronicową informację, którą należy podawać w przypadku zbierania danych osobowych (tzw. obowiązek informacyjny z RODO, klauzula informacyjna).

RODO pozostawia nam zupełną dowolność w zakresie sposobu spełnienia obowiązku informacyjnego. Jeżeli dane osobowe zbierane są od osoby, której dane osobowe dotyczą, to administrator podczas pozyskiwania danych osobowych ma obowiązek podać informacje wymienione w art. 13 RODO. Podczas pozyskiwania danych, czyli w momencie ich zbierania.

Tylko ubocznie wskażę, że administrator ma troszkę więcej czasu w przypadku pozyskiwania danych osobowych od innej osoby niż osoba, której dane osobowe dotyczą. W takiej sytuacji obowiązek informacyjny należy spełnić (art. 14 ust. 3 RODO):

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

 Tak naprawdę w momencie otworzenia maila z danymi osobowymi nie pozyskujemy danych osobowych – my już je posiadamy. Określony przez prawodawcę moment spełniania obowiązku informacyjnego został ujęty dość niefortunnie.

Dlaczego umieszczanie obowiązku informacyjnego w stopce maila do dobra praktyka?

  • Przede wszystkim jakoś ten obowiązek informacyjny musimy spełnić, więc mail to całkiem dobra opcja
  • Obowiązek informacyjny to jeden z podstawowych obowiązków wynikających z przepisów RODO
  • To na administratorze ciąży obowiązek wykazania, że doszło do spełnienia obowiązku informacyjnego

Najsłynniejsza kara za niespełnienie obowiązku informacyjnego

Pierwszą i najsłynniejszą karą była kara w wysokości 943.470,00 PLN. Kara została nałożona za niedopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 RODO(decyzja PUODO z dnia 15 marca 2019 r., ZSPR.421.3.2018; online: https://uodo.gov.pl/decyzje/ZSPR.421.3.2018). Decyzja uchylono w pkt 1 i 2 wyrokiem WSA w Warszawie z dnia 11 grudnia 2019 r., sygn. II SA/Wa 1030/19.

Metody spełnienia obowiązku informacyjnego

Kiedy zdecydujemy się na umieszczenie klauzuli informacyjnej w firmowym mailu, musimy zadać sobie pytanie w jaki sposób chcemy to zrobić. Wbrew pozorom istnieje cały wachlarz możliwości. O to kilka najpopularniejszych. Możemy:

  • wrzucić klauzulę informacyjną zawierającą wszystkie cele przetwarzania przez nas realizowane;
  • wysłać skróconą wersję klauzuli informacyjnej, która będzie zawierała podstawowe informacje. W pozostałym zakresie odsyłamy do strony internetowej, gdzie umieszczone są wszystkie informacje (tzw. warstwy);
  • wskazać linka, w której osoba, której dane osobowe przetwarzamy znajdzie klauzulę informacyjną;
  • wrzucić klauzulę informacyjną, która zawiera wyłącznie cel – kontakt z potencjalnym klientem, przesłanie oferty;
  • załączyć plik z klauzulą informacyjną;
  • ustawić autoresponder, który z automatu będzie wysyłam klauzulę informacyjną.

Nie ma idealnego sposobu. Każdy niesie ze sobą określone ryzyko. Mail ze stopką A4 wygląda po prostu brzydko. Klauzula informacyjna uwzględniająca wszystkie cele przetwarzania danych osobowych może wprowadzać w błąd. Umieszczony w mailu link może nie zadziałać. Co więcej, skoro nikt go nie otwiera, to czy administrator spełnił obowiązek? Czy informacja wskazująca, gdzie znajduje się klauzula informacyjna jest klauzulą informacyjną? Co, jeżeli osoba fizyczna otworzy link, ale dopiero miesiąc po otrzymaniu maila, a nie od razu. Co, jeżeli osoba w ogóle nie otrzyma maila? Osoba fizyczna nie musi posiadać specjalnych narzędzi do otworzenia pliku Word czy pdf. I co teraz? Wreszcie korzystając z opcji linka lub pliku nie jako wymuszamy podjęcie dodatkowych działań, abyśmy to My spełnili swój obowiązek.

Podsumowanie

Niewątpliwie treść obowiązku informacyjnego zależna jest od sposobu pozyskiwania danych. Dodatkowo obowiązek informacyjny powinien być napisany prostym i przejrzystym językiem. Każdy administrator musi sam zdecydować czy będzie umieszczał w stopce firmowego maila informacje z art. 13-14 ROO czy w inny sposób spełni obowiązek informacyjny.  


Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl. 

Stan prawny na dzień: 1.10.2020 r.


Bibliografia

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
  2. Decyzja PUODO z dnia 15 marca 2019 r., ZSPR.421.3.2018 (online:) https://uodo.gov.pl/decyzje/ZSPR.421.3.2018)
  3. Wyrok WSA w Warszawie z dnia 11 grudnia 2019 r., sygn. II SA/Wa 1030/19, Legalis

Źródło zdjęcia: cottonbro.studio, Pexels, https://www.pexels.com/pl-pl/zdjecie/mezczyzna-rece-kawa-reka-4065876, dostęp: 20.06.2023 r.

Udostępnij

Natalia Stojanowska

Prawnik biznesowy. Wspieram przedsiębiorców, którzy skupiają swoje działania w internecie. Dostarczam poszukującym wsparcia prawnego, eksperckich porad i wskazówek dotyczących prowadzenia biznesu online. Założycielka projektu Tu Dział Prawny.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *