Klauzula informacyjna w e-mailu firmowym

   Otwierasz maila od potencjalnego klienta i nawet sobie nie uświadamiasz, że zaczynasz zbierać dane osobowe… Myślałeś/aś kiedyś o tym w taki sposób?

Elektroniczna skrzynka pocztowa to jedno z podstawowych narzędzi stosowanych w biznesie. To właśnie tam każdego dnia wpływa tysiące wiadomości od klientów i kontrahentów. To właśnie za pomocą elektronicznej skrzynki pocztowej dochodzi do pierwszego kontaktu z osobą fizyczną i to tam zaczyna się proces pozyskiwania danych osobowych.  

Obowiązek informacyjnych w stopce e-mail – tak czy nie?

Stopka maila – magiczne miejsce, w którym wpisujemy swoje dane osobowe – dane kontaktowe takie jak: imię i nazwisko, adres e-mail, adresy strony internetowej, adresy profili w social mediach, logo firmy, czasem nawet dorzucamy swoje zdjęcie. Bardziej rozważni dorzucają jeszcze informacje odnoszące się do charakteru korespondencji (tzw. klauzula dotycząca poufności informacji), która bardzo często jest aż dwóch językach – języku polskim i angielskim.

Niby nic, a robi nam się pół strony A4. Młody przedsiębiorca zaczyna się zastanawiać czy aby na pewno dorzucać jeszcze stronicową informację, którą należy podawać w przypadku zbierania danych osobowych (tzw. obowiązek informacyjny z RODO, klauzula informacyjna).

RODO pozostawia nam zupełną dowolność w zakresie sposobu spełnienia obowiązku informacyjnego. RODO „mówi” tak: jeżeli dane osobowe zbierane są od osoby, której dane osobowe dotyczą, to administrator podczas pozyskiwania danych osobowych ma obowiązek podać informacje wymienione w art. 13 RODO. Podczas pozyskiwania danych, czyli w momencie ich zbierania.

Tylko ubocznie wskażę, że administrator ma troszkę więcej czasu w przypadku pozyskiwania danych osobowych od innej osoby niż osoba, której dane osobowe dotyczą. W takiej sytuacji obowiązek informacyjny należy spełnić (art. 14 ust. 3 RODO):

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

 Tak naprawdę w momencie otworzenia maila z danymi osobowymi nie pozyskujemy danych osobowych – my już je posiadamy. Określony przez prawodawcę moment spełniania obowiązku informacyjnego został ujęty dość niefortunnie.

Dlaczego umieszczanie obowiązku informacyjnego w stopce maila do dobra praktyka?

  • Przede wszystkim jakoś ten obowiązek informacyjny musimy spełnić, więc mail to całkiem dobra opcja
  • Obowiązek informacyjny to jeden z podstawowych obowiązków wynikających z przepisów RODO
  • To na administratorze ciąży obowiązek wykazania, że doszło do spełnienia obowiązku informacyjnego

Najsłynniejsza kara za niespełnienie obowiązku informacyjnego

Pierwszą i najsłynniejszą karą była kara w wysokości 943.470,00 PLN (słownie: dziewięćset czterdzieści trzy tysiące czterysta siedemdziesiąt złotych) za niedopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 RODO osobom fizycznym, których dane osobowe administrator przetwarzał, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalność, którym informacje te nie zostały podane (decyzja PUODO z dnia 15 marca 2019 r., ZSPR.421.3.2018 (online:) https://uodo.gov.pl/decyzje/ZSPR.421.3.2018). Decyzja została uchylona w pkt 1 i 2, w tym przedmiotowa kara, wyrokiem WSA w Warszawie z dnia 11 grudnia 2019 r., sygn. II SA/Wa 1030/19).

Kiedy zdecydujemy się na umieszczenie klauzuli informacyjnej w firmowym mailu, musimy zadać sobie pytanie w jaki sposób chcemy to zrobić. Wbrew pozorom istnieje cały wachlarz możliwości. O to kilka najpopularniejszych:

  • Możemy wrzucić klauzulę informacyjną zawierającą wszystkie cele przetwarzania przez nas realizowane
  • Możemy wrzucić klauzulę informacyjną, która zawiera wyłącznie cel – kontakt z potencjalnym klientem, przesłanie oferty
  • Możemy wysłać skróconą wersję klauzuli informacyjnej, która będzie zawierała podstawowe informacje, a w pozostałym zakresie odesłać do strony internetowej, gdzie umieszczone są wszystkie informacje
  • Możemy wskazać linka, w której osoba, której dane osobowe przetwarzamy znajdzie klauzulę informacyjną
  • Możemy załączyć plik z klauzulą informacyjną
  • Możemy ustawić autorespondera, który z automatu będzie wysyłam klauzulę informacyjną

Każdy z wyżej wymienionych sposobów nie jest idealny i obarczony pewnym ryzykiem. Mail ze stopką A4 wygląda po prostu brzydko. Umieszczanie wszystkich celi w klauzuli informacyjnej, która jest skierowana wyłącznie do potencjalnego klienta może wprowadzać go w błąd. Umieszczony w mailu link może nie zadziałać. Co więcej, skoro nikt go nie otwiera, to czy administrator spełnił obowiązek? Czy informacja wskazująca, gdzie znajduje się klauzula informacyjna jest klauzulą informacyjną? Co, jeżeli osoba fizyczna otworzy link, ale dopiero miesiąc po otrzymaniu maila, a nie od razu. Co, jeżeli osoba w ogóle nie otrzyma maila? Osoba fizyczna nie musi posiadać specjalnych narzędzi do otworzenia pliku Word czy pdf. I co teraz? Wreszcie korzystając z opcji linka lub pliku nie jako wymuszamy na osobie, której dane osobowe dotyczą podjęcie dodatkowych działań, abyśmy to My spełnili swój obowiązek.

Niewątpliwie treść obowiązku informacyjnego zależna jest od sposobu pozyskiwania danych – bezpośrednio od osoby, której dane osobowe dotyczą czy w sposób pośredni. Musimy także pamiętać, że obowiązek informacyjny powinien być napisany prostym i przejrzystym językiem. Każdy administrator musi sam zdecydować czy będzie umieszczał w stopce firmowego maila informacje z art. 13-14 ROO czy w inny sposób spełni obowiązek informacyjny.  

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
  2. Decyzja PUODO z dnia 15 marca 2019 r., ZSPR.421.3.2018 (online:) https://uodo.gov.pl/decyzje/ZSPR.421.3.2018)
  3. Wyrok WSA w Warszawie z dnia 11 grudnia 2019 r., sygn. II SA/Wa 1030/19, Legalis

Wzór obowiązku informacyjnego

Konsultacje - porada prawna online

Wzór umowy powierzenia przetwarzania danych