RODO a cold email – FAQ

Cathy-Dawiskiba-CMO-at-Woodpecker
GDPR for cold email senders

Ostatnio otrzymujemy wiele pytań dotyczących RODO (ogólne rozporządzenie o ochronie danych osobowych). Wygląda na to, że ten temat nadal wymaga pewnych wyjaśnień. Dlatego też przygotowaliśmy RODO FAQ – listę często zadawanych pytań dotyczących tego rozporządzenia wraz z naszymi odpowiedziami. Mam nadzieję, że znajdziesz tu kilka przydatnych, praktycznych wskazówek dotyczących przetwarzania danych i zarządzania kampaniami emailowymi zgodnie z zasadami RODO.

Jeśli nie wiesz tak do końca, co to jest RODO, przeczytaj najpierw ten artykuł:

RODO – Praktyczny przewodnik po rozporządzeniu o ochronie danych osobowych dla nadawców emaili >>

Uwaga: Potraktuj ten post jak przewodnik, który pomoże ci zrozumieć RODO. Nie traktuj go jako porady prawnej. Jeśli szukasz porady prawnej, skontaktuj się z prawnikiem po przeczytaniu tego artykułu i poproś go o poradę i odpowiedzi na konkretne pytania dotyczące twojej sprawy.

RODO FAQ

Pobierz listę, z którą sprawdzisz, czy jesteś zgodny z RODO >>

P1: Mam siedzibę w USA, czy muszę podporządkować się pod RODO?

To zależy. RODO ma na celu ochronę obywateli UE, więc tak naprawdę nie jest to kwestia lokalizacji twojej firmy. Chodzi o to, czyje dane osobowe przetwarzasz. Jeśli twoja firma ma siedzibę w USA, ale niektórzy z twoich klientów, partnerów, subskrybentów, prospektów są obywatelami UE, powinieneś przetwarzać ich dane w sposób zgodny z RODO. Jest to twój obowiązek jako administratora danych.

Jeśli masz firmę oferującą oprogramowanie, które pozwala innym administratorom danych na przetwarzanie danych, myślę, że rozsądnie byłoby założyć, że przynajmniej część tych danych będzie należała do obywateli UE. RODO określa pewne obowiązki nie tylko dla administratorów danych, ale także dla przetwarzających dane.

W skrócie jeśli istnieje szansa, że twoja firma z siedzibą w USA jest administratorem lub przetwarzającym dane osobowe obywateli UE, powinieneś upewnić się, że działasz zgodnie z RODO.

P2: Wysyłam wiele kampanii emailowych rocznie. Czy powinienem przestać to robić, gdy RODO wejdzie w życie?

Nie. Po pierwsze, RODO nie powstało po to, żeby zniszczyć email marketing lub cold emailing. Nie jest to nawet regulacja dotycząca emaili, marketingu, czy biznesu. Chodzi o ochronę danych osobowych.

Musisz jednak pamiętać, że wysyłając kampanie emailowe, prowadząc marketing, prowadząc firmę, prawdopodobnie przetwarzasz dane osobowe. Jeżeli w którymkolwiek momencie przetwarzasz dane osobowe obywateli UE, przetwarzanie to powinno być zgodne z RODO – to znaczy odbywać się według określonych zasad. Więcej informacji na temat zasad RODO znajdziesz tutaj.

Podsumowując nie, nie musisz przerywać swoich kampanii email marketingowych, ani cold emailowych, kiedy RODO wejdzie w życie. Ale powinieneś upewnić się, że dane używane w tych kampaniach są przetwarzane zgodnie z zasadami RODO.

P3: Jeśli mam postępować zgodnie z zasadami RODO, to czy mogę wysyłać cold emaile?

Tak, możesz wysyłać cold emaile do ludzi w firmach zgodnie z RODO. Muszą to być maile B2B, które spełniają pewne wymagania.

Po pierwsze, nie możesz ich wysłać do kogokolwiek. Musisz bardzo starannie wybrać swoich propektów. Musisz mieć dobry powód, żeby stwierdzić, że firma, dla której pracuje dana osoba może skorzystać na tym, co twoja firma oferuje w emailu. Co więcej, to czym zajmuje się twoja firma, powinno być logicznie powiązane z tym, czym zajmuje się twój prospekt. Będzie to stanowić podstawę prawną do wysłania komuś wiadomości email bez jego wcześniejszej zgody na przetwarzanie jego danych.

Po drugie, w każdym ze swoich cold emaili musisz poinformować odbiorców, jakie dane osobowe przetwarzasz, w jakim celu i w jaki sposób mogą oni je usunąć z twojej listy mailingowej lub zmienić je. W ten sposób wypełniasz obowiązek informacyjny opisany w RODO.

Po trzecie, nie należy przetwarzać danych osobowych adresatów cold emaili dłużej, niż jest to konieczne. RODO nie określa żadnego konkretnego okresu czasu. My zalecamy usunięcie z twoich list danych osób, które nie odpowiedziały w ciągu 30 dni od wysłania pierwszej wiadomości. W ten sposób przestrzegasz zasady ograniczenia przechowywania danych podczas wysyłania cold emaili.

W praktyce oznacza to koniec rozsyłania emaili do przypadkowych osób z nadzieją, że ktoś odpowie.

P4: Czy follow-up jest naruszeniem RODO?

Wysyłanie follow-upów nie narusza RODO, o ile spełnia trzy wymogi opisane w powyższej odpowiedzi.

Przetwarzanie danych w przypadku wysyłania follow-upów nie różni się za bardzo od przetwarzania tych samych danych w celu wysłania pierwszej wiadomości. Jedyne, co się zmienia, to czas, jaki masz na wysłanie follow-upów do prospektów z UE, którzy nie odpowiedzieli. Również w tym przypadku RODO nie określa przedziału czasowego, ale zalecamy usunięcie z listy danych prospektów, którzy nie odpowiedzieli, w ciągu 30 dni od wysłania pierwszego emaila.

P5: Czy zawsze muszę mieć czyjąś zgodę, zanim wyślę do tej osoby emaila?

Możesz wysyłać cold emaile B2B bez uprzedniej zgody adresatów na przetwarzanie ich danych osobowych tylko wtedy, gdy spełniają one trzy wymagania opisane szczegółowo wyżej w odpowiedzi na pytanie trzecie:

  • podstawa prawna dla przetwarzania danych
  • wypełnianie obowiązku informacyjnego
  • zgodność z ograniczeniami dotyczącymi przechowywania danych

P6: Co z moją obecną listą subskrybentów? Czy powinienem przypomnieć im, dlaczego znajdują się na mojej liście i ponownie poprosić ich o pozwolenie na dalsze wysyłanie emaili?

Jeśli na samym początku zapytałeś ich o to, a oni udzielili ci zgody na przetwarzanie ich danych w określonych celach, nie musisz ponownie prosić ich o zgodę.

Jeśli jednak cel przetwarzania danych uległ zmianie lub planujesz zmienić go w najbliższym czasie, należy ich o tym poinformować i dać im możliwość łatwego podjęcia decyzji, czy zgadzają się na nowy cel przetwarzania ich danych.

Albo jeśli w momencie zapisywania się na newsletter zostali poinformowani, że ich dane będą przetwarzane przez określony czas, a okres ten już się zakończył – w takim przypadku też należy zapytać, czy wyrażają zgodę na dalsze przetwarzanie danych w określonych celach.

P7: Czy, zgodnie z RODO, wszystkie cold emaile (lub ogólnie emaile) powinny mieć teraz obowiązkowo link do rezygnacji z subskrypcji?

Reguła rezygnacji z subskrypcji w RODO stanowi, że wszystkie wiadomości email: cold emaile i emaile marketingowe powinny jasno określać sposób, w jaki odbiorca może usunąć swoje dane z listy lub zmienić je. RODO nie określa sposobu, więc nie mówi “należy użyć linku wypisz się“. Mówi tylko, że powinno to być łatwe i zrozumiałe dla każdego.

Link unsubscribe jest powszechną praktyką w wiadomościach email marketingowych – my dodajemy taki link do każdej z naszych wiadomości tego typu. Nie jest on ani wymagany, ani szczególnie popularny w cold emailach. Istnieją inne sposoby, w jakie można zrezygnować z otrzymywania cold emaili. Możesz przeczytać o nich więcej tutaj:

Czy powinienem dać adresatowi moich cold emaili sposób na usunięcie się z listy? >>

Q8: Co jeśli zlecę komuś zbudowanie listy. Nie mam nic wspólnego z gromadzeniem danych osobowych. Czy to znaczy, że muszę przejmować się RODO?

Tak, jeśli zamierzasz wykorzystać dane osobowe, które inna firma zebrała dla ciebie i jeśli właściciele danych są obywatelami UE. Pamiętaj, że RODO nie dotyczy tylko gromadzenia danych czy ich przechowywania. Chodzi o przetwarzanie danych w ogóle. Zgodnie z rozporządzeniem:

“przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie , dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Tak więc jeśli otrzymasz dane do wykorzystania, np. do wysyłania emaili, będziesz je również przetwarzał. Pamiętaj, że jeśli to ty określasz cel zbierania i wykorzystywania danych, to jesteś ich administratorem. A jako administrator danych, zdecydowanie powinieneś brać pod uwagę RODO.

Powinieneś też upewnić się, że firma, której zlecasz zbudowanie listy, zbiera dane w sposób legalny, uczciwy i transparentny. Innymi słowy, powinieneś wiedzieć dokładnie jak uzyskują oni dane i być w stanie wyjaśnić właścicielom tych danych, w jaki sposób i dlaczego je otrzymałeś.

P9: Co oznacza termin “privacy by design”?

“Privacy by design” oznacza rozwijanie każdej części twojego produktu lub usługi w taki sposób, aby zapewnić najwyższy poziom prywatności danych na każdym etapie. Innymi słowy, musisz myśleć o ochronie prywatności swoich użytkowników/subskrybentów/klientów przez cały czas planowania przetwarzania ich danych osobowych.

P10: Nie chcę zatrudniać specjalisty od RODO. Czy to znaczy, że moja firma nie będzie zgodna z rozporządzeniem?

Specjalista ds. ochrony danych osobowych nie musi być nową osobą w twojej firmie. Możesz wyznaczyć jednego z obecnych pracowników do pełnienia tej funkcji lub sam nim zostać.

Pamiętaj jednak, że specjalista ds. ochrony danych i inspektor ochrony danych to dwa odrębne stanowiska o różnym zestawie kompetencji. Jeśli prowadzisz małą lub średnią firmę i nie przetwarzasz żadnych danych wrażliwych oraz nie ma dużego ryzyka podczas przetwarzania danych w twojej firmie, nie potrzebujesz wykwalifikowanego inspektora ochrony danych. Możesz wyznaczyć specjalistę ds. ochrony danych osobowych, który będzie analizował przetwarzanie danych i opowiadał się za rozwiązaniami, które zapewnią najwyższy możliwy poziom ochrony danych osobowych.

P11: Gdzie mogę otrzymać certyfikat RODO?

Nie ma oficjalnego certyfikatu RODO – przynajmniej na razie. Różne certyfikaty bezpieczeństwa, takie jak ISO, również mają na celu lepszą organizację, przetwarzanie i bezpieczeństwo danych. Uzyskanie ich będzie z pewnością krokiem w kierunku zgodności z RODO. Nie ma jednak obowiązku uzyskania jakiegokolwiek oficjalnego certyfikatu zgodności z RODO. Należy po prostu stosować się do zasad opisanych w samym rozporządzeniu.

Jeśli nadal pracujesz nad zgodnością twojej firmy z RODO, pobierz listę, z którą sprawdzisz, czy jesteś zgodny z RODO >>.

P12: Dostałem od kogoś cold emaila i podejrzewam, że nie był wysłany zgodnie z RODO Jak mogę poinformować nadawcę, że nie chcę od niego otrzymywać emaili?

W takim przypadku możesz odpowiedzieć i poprosić o usunięcie twoich danych z jego listy mailingowej. Jeśli nie spełni twojej prośby, możesz spróbować sprawdzić, z jakiej usługi korzystają do wysyłania emaili i skontaktować się z tą firmą jako przetwórcą twoich danych osobowych. Jako przetwarzający dane, będą oni również zobowiązani do pomocy w usunięciu twoich danych z listy, na której nie chcesz być.

P13: Jak Woodpecker przygotowuje się do RODO?

Na naszej stronie internetowej mamy osobną sekcję, która opisuje, co robi Woodpecker, żeby być zgodnym z RODO. Znajdziesz ją tutaj:

Zgodność z RODO >>

Po zorganizowaniu naszego drugiego webinaru związanego z obsługą kampanii cold emailowych i email marketingowych , chcieliśmy dodać jeszcze kilka pytań.

P14: Czy mogę wysłać cold emaila B2B na osobisty adres email (np. Gmail), jeśli dotyczy ona stanowiska pracy tej osoby?

Jeśli jesteś pewien, że to jest ich służbowy email lub ta osoba wyraziła zgodę na otrzymywanie wiadomości od ciebie na ten adres email, to tak, możesz.

Jak w przypadku każdego rodzaju komunikacji w ramach RODO, twój proces uzyskiwania ich danych osobowych musi być legalny i transparentny. Musisz być w stanie prześledzić, w jaki sposób otrzymałeś ten adres email i udowodnić, że twoja wiadomość ma uzasadnienie w przypadku tej osoby.

Napisz jej, dlaczego się z nią kontaktujesz i pokaż, jak w łatwy sposób może zrezygnować z otrzymywania twoich emaili. Nie musisz tego robić poprzez wysłanie linku do rezygnacji z subskrypcji. Odbiorca może po prostu napisać, że nie chce otrzymywać od ciebie więcejwiadomości. Jeśli to zrobi, uszanuj to i usuń jego adres email z listy.

Najważniejszą rzeczą w przypadku cold emaili B2B jest upewnienie się, że kontaktujesz się z właściwą osobą na właściwym stanowisku, która reprezentuje firmę i pasuje do Twojego ICP. Źle dobrana lista może wpędzić cię w tarapaty.

P15: Czy posiadanie listy kontaktów w Woodpeckerze sprawia, że jestem właścicielem/administratorem danych osobowych?

Kiedy umieszczasz w Woodpeckerze listę prospektów, prospekt, którego dane osobowe są przetwarzane, jest ich właścicielem. Ty jesteś w tym przypadku administratorem danych. Ty decydujesz, czyje i jakiego rodzaju dane osobowe chcesz przetwarzać.

Co więcej, jesteś odpowiedzialny za przestrzeganie zasady ograniczenia przechowywania danych. Ograniczenia przechowywania danychto zasada wprowadzona przez RODO. Oznacza ona, że nie można przetwarzać danych dłużej, niż jest to konieczne w celu ich przetworzenia.

Wynika z niej również, że należy spełnić prośbę właścicieli danych osobowych, którzy chcą zostać usunięci z listy prospektów i nigdy więcej się z nimi nie kontaktować. Zostaniesz pociągnięty do odpowiedzialności w przypadku nadużycia zasady ograniczenia przechowywania danych, jak również każdej innej zasady RODO.

Woodpecker staje się natomiast administratorem danych, gdy przetwarza twoje dane osobowe jako użytkownika aplikacji lub subskrybenta newslettera. Powinien traktować twoje dane z należytą starannością. I stosować się do RODO.

P16: Jak mogę stworzyć bazę kontaktów zgodnie z prawem?

Krótka odpowiedź: uważnie wybieraj prospektów. RODO nie zakazuje wysyłania cold emaili. Jeśli zastosujesz się do rad, których udzielam na tym blogu, wszystko będzie dobrze. Musisz tylko być trochę ostrożniejszy.

RODO podkreśla, że powinieneś mieć dobry powód, żeby skontaktować się ze swoimi prospektami. Upewnij się, że obie strony prawdopodobnie skorzystają z takiej potencjalnej relacji biznesowej i że oferta, którą umieścisz w swoim cold emailu jest logicznie związana z ich statutem biznesowym.

Co więcej,wszelkie dane osobowe do listy prospektów powinieneś uzyskać w sposób legalny i jawny orazpotrafić wyjaśnić, w jaki sposób i dlaczego zdecydowałeś się przetwarzać dane osobowe tych konkretnych obywateli UE.

Co istotne, RODO wprowadza nową zasadę ograniczenia przechowywania danych, która nie pozwala na przetwarzanie danych osobowych dłużej niż jest to konieczne. Dokładna ilość czasu nie jest określona w dokumencie. My zalecamy usunięcie danych adresatów j, którzy nie odpowiedzieli, po 30 dniach od pierwszego kontaktu.

W przypadku list “opt-in” możesz przetwarzać dane w jasno określony sposób, na który wyrazili zgodę właściciele danych, tak długo, jak długo wyrażają oni na to zgodę, lub do momentu, gdy wyrażają chęć jej wycofania.

Każdy rodzaj danych, o które prosisz, powinien być uzasadniony celem, dla którego chcesz je przetwarzać. Nie pytaj o numer telefonu, jeśli chcesz wysłać komuś ebooka. A jeśli chcesz uzyskać numer telefonu prospekta, powiedz mu wprost, że możesz chcieć do nicego zadzwonić.

Daj adresatom swoim cold emaili, jak również subskrybentom list typu “opt-in” jasny sposób na rezygnację z dalszej korespondencji oraz instrukcję, jak zmienić swoje dane osobowe lub całkowicie usunąć je z twojej listy. Mechanizm linku unsubscribe jest popularny, ale to nie jedyny sposób, który możesz wykorzystać do tego celu.

Jeśli chcesz dowiedzieć się więcej o RODO, przeczytaj ten artykuł:

RODO – Praktyczny przewodnik po rozporządzeniu o ochronie danych osobowych dla nadawców emaili

A jeśli przygotowujesz się do RODO, pobierz naszą listę, z którą sprawdzisz, czy jesteś zgodny z RODO>>, która pomoże ci to zrobić.