Ngo bardzo często chcą zapraszać inne organizacje, szkoły, firmy czy instytucje do udziału w akcjach społecznych i edukacyjnych. W praktyce pojawia się wtedy to samo pytanie: czy możemy do nich napisać bez wcześniejszej zgody, na jakiej podstawie przetwarzać dane kontaktowe i jak to wszystko opisać w dokumentach RODO.
Poniżej znajdziesz uporządkowany opis, jak zaplanować kampanię społeczną opartą na prawnie uzasadnionym interesie administratora, tak aby dało się ją obronić w razie pytań ze strony organu nadzorczego albo samego adresata.
Kampania społeczna a RODO
Pierwszy krok to odpowiedź na dwa proste pytania: po co chcesz prowadzić kampanię i do kogo kierujesz komunikację. Jeżeli celem jest informowanie o bezpłatnych inicjatywach społecznych lub edukacyjnych, zapraszanie do projektów, konsultacji czy sieci współpracy, a adresatami są inne podmioty – organizacje, szkoły, instytucje – to najczęściej będziesz mógł oprzeć się na art. 6 ust. 1 lit. f RODO, czyli na prawnie uzasadnionym interesie administratora. Tym samym nie będziesz musiał prosić o zgodę na komunikację.
Większe ryzyko pojawia się wtedy, gdy komunikat ma wyraźny charakter fundraisingowy i jest kierowany do osób fizycznych (prośba o przelew, zachęta do regularnych wpłat) albo gdy korzystasz z imiennych adresów prywatnych. W takich sytuacjach trzeba dodatkowo brać pod uwagę przepisy o marketingu bezpośrednim i komunikacji elektronicznej – tam zgoda bardzo często będzie konieczna.
Dobrą praktyką będzie wpisanie samej kampanii w dokumentacji RODO, na przykład w rejestrze czynności przetwarzania, z krótkim opisem: kogo dotyczy kampania, co chcesz osiągnąć i jak długo dane będą potrzebne. Dzięki temu od razu zaznaczysz włąsciwą interpretację i podstawę prawną (np. wspomniany prawnie uzasadniony interes).
Skąd brać dane kontaktowe
Kolejne pytanie brzmi: skąd masz adresy, na które chcesz wysyłać korespondencję. Jeżeli korzystasz z baz publicznych, takich jak: rejestry, strony internetowe organizacji czy instytucji, to punktem wyjścia jest założenie, że ktoś podał tam dane kontaktowe po to, żeby umożliwić kontakt w sprawach związanych z działalnością danego podmiotu. Oznacza to, że możesz użyć tych danych, jeżeli treść kampanii wpisuje się w tą potrzebę adresata, a komunikat nie jest oderwany od jego działalności. Przy okazji, lepiej celować w ogólne adresy organizacyjne, takie jak biuro@, sekretariat@, fundacja@, niż w skrzynki osobiste lub prywatne.
Własne listy mailingowe wymagają szczególnej ostrożności, jeśli zawierają adresy osób fizycznych. jeżeli dana osoba zapisała się na newsletter o określonym profilu, to nie oznacza to automatycznie zgody na każdą kolejną formę komunikacji. trzeba patrzeć na to, o czym informowaliście przy zbieraniu zgód.
Osobnym przypadkiem są dane z projektów. jeżeli uczestnicy podawali adres mailowy, żeby wziąć udział w konkretnym szkoleniu, to dalsze używanie tej bazy wymaga zastanowienia się, czy dana wysyłka da się jeszcze obronić jako kontynuacja celu projektu. Informacja o ewaluacji, o kolejnej edycji podobnych działań – tak. Zupełnie nowy temat – już niekoniecznie.
Podstawa prawna UE – uzasadniony interes administratora
W przypadku kampanii między podmiotami (ngo, szkoły, instytucje) najczęściej podstawą będzie właśnie art. 6 ust. 1 lit. f rodo. Po stronie ngo stoi wtedy interes polegający na informowaniu o działaniach społecznych, budowaniu współpracy i realizacji celów statutowych.
Prawo unijne wyraźnie wskazuje, że katalog uzasadnionych interesów nie jest zamknięty i nie ogranicza się wyłącznie do interesów stricte ekonomicznych. W opinii 06/2014 dawnej grupy roboczej art. 29, która jest przodkiem dzisiejszej europejskiej rady ochrony danych (EROD), pojawia się wprost przykład niezamówionych komunikatów o charakterze niekomercyjnym, w tym kampanii politycznych i charytatywnych, jako działań, które w określonych warunkach mogą opierać się na uzasadnionym interesie.
link: https://www.dataprotection.ro/servlet/ViewDocument?id=1086
Nowsze wytyczne EROD 1/2024 dotyczące przetwarzania danych na podstawie art. 6 ust. 1 lit. f rodo podkreślają, że ta podstawa jest równorzędna z innymi, ale wymaga przeprowadzenia trzyetapowego testu: identyfikacja interesu, niezbędność przetwarzania oraz ocena, czy prawa i wolności osoby, której dane dotyczą, nie przeważają nad tym interesem. Wytyczne akcentują również obowiązek udokumentowania takiego testu.
link: https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf
Co napisać w wiadomości
Treść wiadomości decyduje zarówno o odbiorze kampanii, jak i o tym, czy będzie ona postrzegana jako uczciwa i proporcjonalna. Dobrze, jeśli od razu jasno powiesz: kim jesteś, skąd masz dane, po co piszesz i co dalej stanie się z danymi.
W praktyce wygląda to zwykle tak: na początku dwa zdania o tym, czym zajmuje się twoja organizacja i dlaczego kontaktujesz się właśnie z daną instytucją. potem krótki opis inicjatywy społecznej lub edukacyjnej, z odesłaniem do większej ilości informacji (link lub załącznik). na końcu skrócona klauzula rodo, w której wyjaśniasz, że dane pochodzą z publicznie dostępnych źródeł, że przetwarzasz je w ramach uzasadnionego interesu i że odbiorca może znaleźć pełne informacje w polityce prywatności.
Przykładowa formuła może brzmieć tak:
Administratorem danych jest [nazwa ngo], [adres]. dane kontaktowe zostały pozyskane z publicznie dostępnych źródeł (np. strony internetowej państwa organizacji) i są przetwarzane w prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f rodo), polegającym na jednorazowej wysyłce informacji o inicjatywie społecznej skierowanej do organizacji pozarządowych i instytucji. Więcej o przetwarzaniu danych, w tym o prawie sprzeciwu, znajdziesz w naszej polityce prywatności: [link].
List, e mail, telefon
Forma kontaktu także ma znaczenie. List tradycyjny wysyłany na adres instytucji ujawniony w rejestrach lub na stronie internetowej jest zazwyczaj najmniej problematyczny, jeśli treść ma charakter społeczny, nie jest sprzedażą i nie wykorzystuje wrażliwych informacji.
W przypadku poczty elektronicznej dobrze jest rozróżnić adresy ogólne od imiennych. wiadomość wysłana na skrzynkę typu biuro@, sekretariat@, kontakt@ konkretnej jednostki, w sprawie zgodnej z jej działalnością, będzie z punktu widzenia rodo i przepisów o marketingu postrzegana inaczej niż mail na prywatny adres konkretnej osoby, w którym zachęcasz do wsparcia finansowego.
Kontakt telefoniczny do osób fizycznych to osobny temat, bo wchodzi tutaj również prawo telekomunikacyjne i przepisy dotyczące telemarketingu. w kampaniach społecznych, zwłaszcza przy pierwszym kontakcie, bezpieczniej jest pozostać przy formie pisemnej, którą łatwiej udokumentować i opisać w testach równowagi.
Źródła
– opinion 06/2014 on the notion of legitimate interests of the data controller (grupa robocza art. 29):
https://www.dataprotection.ro/servlet/ViewDocument?id=1086
– guidelines 1/2024 on processing of personal data based on article 6(1)(f) gdpr (edpb):
https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf
– opis podstaw prawnych przetwarzania na stronie komisji europejskiej – sekcja „legitimate interests”:
– tekst rodo z motywem 47 o uzasadnionym interesie:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02016R0679-20160504
