RODO dla twórców: jak budować listę zgodnie z prawem

Najczęstsza reakcja polskich twórców na słowo "RODO": panika. Druga najczęstsza: ignorowanie. Obie są błędne. RODO to nie jest prawnicze straszydło, to jest prosty zestaw zasad, których przestrzeganie zajmuje 30 minut konfiguracji i chroni Cię przed bardzo realną karą finansową. Ten artykuł wyjaśnia, co naprawdę musisz wiedzieć jako twórca prowadzący polską listę mailingową.

Pracuję w heyhey jako analityk marketingu i widzę te same błędy u twórców co tydzień. Importują listę z Wordpressa bez zgód. Wysyłają newsletter do osób, które dawno temu zostawiły swój email w jakimś formularzu i nie pamiętają tego. Albo gorzej, kupują "listy mailingowe" w internecie. Każde z tych działań to potencjalna kara od UODO (Urzędu Ochrony Danych Osobowych).

Disclaimer: nie jestem prawnikiem. Ten artykuł to praktyczny przewodnik wynikający z pracy z polskimi twórcami, ale w razie wątpliwości skonsultuj się z prawnikiem specjalizującym się w RODO.

Czym tak naprawdę jest RODO?

RODO (Rozporządzenie Ogólne o Ochronie Danych) to europejskie prawo obowiązujące od 2018 roku, które reguluje to, jak firmy i osoby przetwarzają dane osobowe obywateli UE. Email i imię to dane osobowe. Adres IP, z którego ktoś się zapisał, też. Lokalizacja, urządzenie, też.

Jeśli zbierasz emaile od polskich (lub szerzej, europejskich) odbiorców, jesteś "administratorem danych osobowych". To znaczy, że RODO Cię dotyczy. Niezależnie czy jesteś jednoosobową działalnością, fundacją, czy nawet osobą prywatną prowadzącą hobbystyczny newsletter z 50 subskrybentami.

Kary, czyli dlaczego warto się tym zająć

Kary za naruszenie RODO są progresywne. Dla najmniejszych przewinień (np. brak polityki prywatności) zwykle dostajesz upomnienie i czas na naprawę. Ale za poważniejsze (np. wysyłanie spamu, sprzedaż listy, brak podstaw prawnych przetwarzania) kary potrafią sięgać setek tysięcy złotych.

W Polsce UODO opublikował już kilkadziesiąt decyzji nakładających kary na podmioty od jednoosobowych biznesów po duże korporacje. Najwyższa kara dla małej firmy w 2024 wynosiła 230 000 złotych za wysyłanie maili bez zgody. Dla osoby prywatnej kary potrafią być niższe, ale wciąż 5-20 tysięcy złotych, co dla twórcy to dramat.

Trzy filary RODO dla newslettera

Sprowadzając RODO do tego, co musisz robić jako twórca z listą mailingową, są to trzy rzeczy: podstawa prawna przetwarzania, obowiązek informacyjny i prawa subskrybenta. Omówię każdy.

1. Podstawa prawna przetwarzania

RODO mówi: nie możesz przetwarzać czyichś danych "bo tak". Musisz mieć podstawę prawną. Dla newsletterów najczęstszą i najprostszą podstawą jest zgoda. Ktoś świadomie wyraża zgodę na to, że będziesz wysyłać mu emaile marketingowe.

Zgoda musi być:

• Dobrowolna, nie wymuszona, nie ukryta w regulaminie
• Konkretna, jasno wskazana w jakim celu (np. "newsletter o gotowaniu")
• Świadoma, osoba wie, na co się zgadza
• Jednoznaczna, aktywne działanie, np. kliknięcie zaznaczenia checkboxa lub potwierdzenie linku w mailu

Najczęstszy błąd polskich twórców: zaznaczony domyślnie checkbox "zgadzam się na newsletter" w formularzu. To narusza zasadę "świadomej, aktywnej zgody". Checkbox musi być niezaznaczony, użytkownik musi go aktywnie zaznaczyć.

2. Double opt-in, dlaczego jest niemal obowiązkowy

Double opt-in to mechanizm, w którym po zapisie wysyłasz email z linkiem potwierdzającym. Subskrybent klika link i dopiero wtedy jest "potwierdzony". Bez kliknięcia, nie wpisuje go na listę.

RODO formalnie nie wymaga double opt-in, ale w praktyce to jest jedyna metoda, żeby udowodnić, że zgoda była "świadoma i jednoznaczna". Pomyśl: jeśli ktoś zaczepi się na Twoim mailu, jak udowodnisz, że to ON się zapisał? Z double opt-in masz log: "subskrybent kliknął link potwierdzający w mailu z dnia X, z adresu IP Y, o godzinie Z". To dowód na wagę złota w razie sporu.

W heyhey double opt-in jest włączony domyślnie. W innych narzędziach trzeba go często aktywować ręcznie, zrób to zaraz po założeniu konta. To 5 minut, które oszczędza Ci lata stresu.

3. Obowiązek informacyjny, czego ludzie muszą się dowiedzieć

Każda osoba zapisująca się na Twoją listę musi wiedzieć:

• Kto jest administratorem danych (Ty, Twoja firma)
• W jakim celu zbierasz dane (newsletter, marketing własnych produktów)
• Na jakiej podstawie (zgoda)
• Kto otrzyma dane (np. dostawca narzędzia mailingowego, jak heyhey, jako podprocesor)
• Jak długo przechowujesz dane (do wycofania zgody)
• Jakie ma prawa (dostęp, sprostowanie, usunięcie, sprzeciw)
• Gdzie można złożyć skargę (UODO)

To wszystko zwykle umieszcza się w polityce prywatności na stronie internetowej, plus krótka informacja przy formularzu zapisu ("Zapisując się, zgadzasz się na otrzymywanie newslettera. Szczegóły w naszej polityce prywatności"). W heyhey polityka prywatności jest gotowa szablonowo i dostępna pod każdą stroną zapisu.

4. Prawa subskrybentów

Twoi subskrybenci mają prawa, a Ty masz obowiązek ich realizacji. Najważniejsze:

• Prawo dostępu, mogą zażądać kopii swoich danych
• Prawo do usunięcia ("prawo do bycia zapomnianym"), musisz całkowicie usunąć ich dane na żądanie
• Prawo do sprostowania, mogą poprawić błędne dane
• Prawo do wycofania zgody, w dowolnym momencie, równie łatwo jak ją wyrazili
• Prawo do sprzeciwu, mogą sprzeciwić się przetwarzaniu

Praktycznie: w każdym mailu, który wysyłasz, musi być link "wypisz się". To jest minimum. Heyhey dodaje ten link automatycznie do każdego maila, w innych narzędziach upewnij się, że to jest włączone.

Importowanie listy z innego narzędzia

Najczęstsze pytanie do mnie w heyhey: "Mam listę 500 osób w Wordpressie z plugin Mailchimp. Mogę zaimportować do heyhey?". Odpowiedź to: tylko jeśli te 500 osób dało wcześniej zgodę zgodną z RODO i potrafisz to udowodnić.

Jeśli importowane kontakty były zebrane przez stronę z dobrym formularzem zgody + double opt-in i masz logi tego potwierdzenia, możesz przenieść. Jeśli nie wiesz skąd masz te emaile (np. "dodałem znajomych z Excela"), nie wolno importować.

Czysta strategia w razie wątpliwości: wyślij im "re-permission email" przed importem. Krótki email z zapytaniem "Czy nadal chcesz dostawać mój newsletter? Kliknij tutaj, żeby potwierdzić, że jesteś z nami". Tylko osoby, które klikną, importujesz. Ryzykujesz utratą 60-80% listy, ale to, co zostanie, jest 100% zgodne z RODO i znacznie bardziej zaangażowane.

Co robi heyhey w kwestii RODO

Skoro czytasz blog heyhey, parę słów o tym, co dajemy:

• Wszystkie dane na serwerach w UE (Frankfurt, Niemcy), bez transferów do USA
• Double opt-in włączony domyślnie
• Każdy email ma automatyczny link "wypisz się"
• Pełna dokumentacja zgody (data, IP, status double opt-in) zapisywana automatycznie
• Gotowy szablon polityki prywatności dla każdej strony zapisu
• Eksport danych subskrybentów na żądanie (prawo dostępu, przenoszalności)
• Pełne usuwanie danych z systemu w 30 dni od żądania
• Umowa powierzenia przetwarzania danych dostępna automatycznie

Podsumowanie, najprostsza checklista RODO

Jeśli chcesz sprawdzić, czy Twoja praca z listą jest zgodna z RODO, oto najprostsza lista:

• Mam aktywną politykę prywatności na stronie
• Każdy formularz zapisu ma checkbox z zgodą (niezaznaczony domyślnie)
• Używam double opt-in
• Każdy mail ma link "wypisz się"
• Dane są na serwerach w UE
• Mam dokumentację zgody dla każdego subskrybenta
• Wiem, jak usunąć dane subskrybenta w razie żądania
• Jeśli importuję listę, mam zgody udokumentowane od poprzedniego narzędzia

Jeśli możesz zaznaczyć wszystkie 8 punktów, jesteś w dobrym miejscu. Jeśli nie wszystkie, zaadresuj brakujące w tym tygodniu. To 30-60 minut pracy, które chroni Cię przed potencjalną karą i, co ważniejsze, daje subskrybentom poczucie, że ich dane traktujesz poważnie.

Magda