Kara 20 milionów euro albo 4% globalnego rocznego obrotu — to nie jest abstrakcyjna liczba z unijnego dokumentu. To rzeczywisty limit sankcji przewidziany w art. 83 ust. 5 RODO za najpoważniejsze naruszenia. Polskie firmy często zakładają, że UODO skupia się wyłącznie na korporacjach, tymczasem Urząd nakłada kary również na małe i średnie przedsiębiorstwa — w tym za błędy w listach mailingowych i newsletterach. Poniżej znajdziesz 7 konkretnych błędów, które najczęściej prowadzą do postępowań i kar — razem z wyjaśnieniem, jak je wyeliminować.
Dlaczego listy mailingowe RODO to temat, którego nie wolno ignorować
E-mail marketing opiera się na przetwarzaniu danych osobowych — adres e-mail jest daną osobową w rozumieniu art. 4 pkt 1 RODO. Każda operacja na tej danej (zbieranie, przechowywanie, wysyłka, profilowanie) wymaga podstawy prawnej i spełnienia obowiązków informacyjnych. Tylko w 2023 roku UODO wszczął kilkadziesiąt postępowań dotyczących marketingu elektronicznego, a łączna wartość kar nałożonych przez europejskie organy nadzorcze przekroczyła 1,6 mld euro.
Dobra wiadomość: większości naruszeń można uniknąć, stosując kilka prostych procedur. Zacznijmy od listy błędów.
Błąd 1. Brak ważnej podstawy prawnej do wysyłki
To najczęstszy i najpoważniejszy błąd w RODO e-mail marketingu. Wysyłanie newslettera wymaga jednoczesnego spełnienia dwóch warunków: podstawy prawnej z RODO (najczęściej zgoda z art. 6 ust. 1 lit. a) oraz zgody na komunikację marketingową wymaganej przez ustawę Prawo telekomunikacyjne (art. 172). Samo „zaznaczenie checkboxa" przy zakupie nie wystarczy, jeśli zgoda była domyślnie zaznaczona lub powiązana z warunkami umowy.
UODO w decyzji z 2021 roku (sprawa dot. spółki z branży finansowej) wprost wskazał, że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna — zgodnie z art. 7 RODO. Jeśli nie możesz udowodnić, kiedy i w jaki sposób użytkownik wyraził zgodę, traktujesz jego dane bez ważnej podstawy prawnej.
Jak to naprawić?
- Stosuj osobny, niezaznaczony checkbox wyłącznie do celów marketingowych.
- Loguj datę, godzinę, adres IP i treść zgody (tzw. consent proof).
- Nigdy nie łącz zgody marketingowej z akceptacją regulaminu.
Błąd 2. Kupione lub „odziedziczone" bazy mailingowe
Zakup gotowej listy kontaktów to prosta droga do naruszenia RODO. Osoby na takiej liście nigdy nie wyraziły zgody na otrzymywanie wiadomości od Twojej firmy — a „zgoda udzielona partnerowi" nie przenosi się automatycznie na kolejnego administratora. Art. 6 RODO nie przewiduje takiego mechanizmu.
Podobny problem dotyczy baz przejętych po fuzjach, przejęciach firm lub od poprzednich właścicieli. Nawet jeśli dane były zbierane legalnie, zmiana administratora wymaga poinformowania osób, których dane dotyczą (art. 13 lub 14 RODO), i — w przypadku marketingu — uzyskania nowej zgody.
Konsekwencje w liczbach
Organ nadzorczy w Hiszpanii (AEPD) nałożył w 2022 roku karę 200 000 euro na firmę, która wysyłała newslettery do bazy zakupionej od pośrednika. Polska UODO posiada analogiczne uprawnienia.
Błąd 3. Niekompletna lub nieczytelna klauzula informacyjna
Art. 13 RODO wymaga, aby w momencie zbierania danych przekazać osobie m.in.: tożsamość administratora, cel i podstawę prawną przetwarzania, okres przechowywania danych, informację o prawie do wycofania zgody oraz prawie wniesienia skargi do UODO. Formularz zapisu na newsletter, który zawiera jedynie zdanie „Zapisuję się do newslettera", nie spełnia tego wymogu.
W praktyce często spotyka się klauzule ukryte pod linkiem „Polityka prywatności" bez bezpośredniego odwołania przy checkboxie. To niewystarczające — informacje muszą być łatwo dostępne i zrozumiałe, nie schowane trzy kliknięcia głębiej.
Minimalna zawartość klauzuli przy zapisie na newsletter
| Element | Podstawa (art. 13 RODO) | Przykład sformułowania |
|---|---|---|
| Administrator danych | art. 13 ust. 1 lit. a | „Administratorem jest XYZ Sp. z o.o., ul. Przykładowa 1, Warszawa" |
| Cel przetwarzania | art. 13 ust. 1 lit. c | „Wysyłka newslettera z ofertami handlowymi" |
| Podstawa prawna | art. 13 ust. 1 lit. c | „Art. 6 ust. 1 lit. a RODO — zgoda" |
| Okres przechowywania | art. 13 ust. 2 lit. a | „Do czasu wycofania zgody" |
| Prawo do wycofania zgody | art. 13 ust. 2 lit. c | „Możesz wypisać się w każdej chwili klikając link w stopce" |
| Prawo skargi do UODO | art. 13 ust. 2 lit. d | „Masz prawo złożyć skargę do Prezesa UODO" |
Błąd 4. Brak lub utrudniony mechanizm wypisania się
Każda wiadomość marketingowa musi zawierać działający link do rezygnacji z subskrypcji. To wymóg wynikający zarówno z art. 7 ust. 3 RODO (prawo do wycofania zgody), jak i z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Ukrycie linku wypisania się małą czcionką w stopce, stosowanie wieloetapowych formularzy wypisania czy opóźnianie realizacji wniosku — to działania, które organy nadzorcze traktują jako celowe utrudnianie wykonywania praw.
Wycofanie zgody musi być tak samo łatwe jak jej udzielenie — wprost stanowi o tym art. 7 ust. 3 zdanie drugie RODO. Jeśli zapis zajął 3 sekundy, wypisanie nie może wymagać wysłania e-maila, oczekiwania na odpowiedź i potwierdzenia telefonicznego.
Błąd 5. Przechowywanie danych bez określonego okresu retencji
Zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) nakazuje usuwać lub anonimizować dane osobowe, gdy cel ich przetwarzania ustał. W kontekście list mailingowych oznacza to, że po wypisaniu się subskrybenta jego adres e-mail nie może pozostawać w aktywnej bazie — chyba że istnieje odrębna podstawa prawna (np. lista supresyjna zapobiegająca ponownemu zapisaniu osoby, która zgłosiła sprzeciw).
Wiele firm przechowuje dane „na wszelki wypadek" przez lata, bez żadnej polityki retencji. To naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO) i ograniczenia przechowywania jednocześnie. UODO może nałożyć karę nawet jeśli dane nie zostały „użyte" — samo bezpodstawne przechowywanie jest naruszeniem.
Dobra praktyka: polityka retencji w 3 krokach
- Określ maksymalny czas przechowywania dla każdej kategorii danych (np. aktywni subskrybenci — czas trwania zgody; nieaktywni powyżej 24 miesięcy — usunięcie lub ponowne potwierdzenie).
- Wdróż automatyczne czyszczenie bazy lub cykliczne przeglądy (np. co kwartał).
- Dokumentuj każde usunięcie danych w rejestrze czynności przetwarzania (art. 30 RODO).
Błąd 6. Brak umowy powierzenia przetwarzania z dostawcą narzędzia do mailingu
Gdy korzystasz z zewnętrznego systemu do wysyłki e-maili — czy to platformy SaaS, własnego serwera SMTP obsługiwanego przez hosting, czy narzędzia takiego jak MailerPRO — przekazujesz dane swoich subskrybentów podmiotowi trzeciemu. Art. 28 RODO wymaga, aby takie przekazanie odbywało się na podstawie umowy powierzenia przetwarzania danych (DPA).
Brak DPA to naruszenie art. 28 ust. 3 RODO, za które grozi kara z art. 83 ust. 4 — do 10 mln euro lub 2% rocznego obrotu. Co ważne: samo stwierdzenie, że „dostawca ma certyfikat ISO" albo „jest zaufanym partnerem", nie zastępuje pisemnej umowy powierzenia. Upewnij się, że każdy podmiot, któremu przekazujesz dane subskrybentów, podpisał z Tobą DPA zawierające elementy wymagane przez art. 28 ust. 3 RODO.
Błąd 7. Ignorowanie praw osób, których dane dotyczą
RODO przyznaje osobom fizycznym szereg praw: dostępu do danych (art. 15), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20) i sprzeciwu (art. 21). W kontekście list mailingowych najczęściej ignorowane są wnioski o usunięcie danych i wnioski o dostęp.
Na odpowiedź masz co do zasady 30 dni (art. 12 ust. 3 RODO) — z możliwością przedłużenia do 3 miesięcy w skomplikowanych przypadkach, ale z obowiązkiem poinformowania o przedłużeniu w ciągu pierwszego miesiąca. Brak odpowiedzi, odpowiedź po terminie lub odmowa bez podstawy prawnej to trzy najczęstsze powody skarg do UODO ze strony osób fizycznych. A każda skarga uruchamia postępowanie wyjaśniające.
Jak zorganizować obsługę wniosków?
- Wyznacz osobę lub zespół odpowiedzialny za obsługę wniosków RODO.
- Stwórz wewnętrzną procedurę z terminarzem i szablonem odpowiedzi.
- Loguj każdy wniosek i odpowiedź — to Twój dowód w razie postępowania UODO.
- Jeśli korzystasz z MailerPRO lub podobnego narzędzia, sprawdź, czy umożliwia eksport lub usunięcie danych konkretnego kontaktu na żądanie.
Podsumowanie: zgodność RODO w mailingu to proces, nie jednorazowe działanie
Siedem opisanych błędów łączy jedna cecha: wszystkie wynikają z braku procedur, a nie ze złej woli. Firmy często wdrażają RODO „jednorazowo" przy starcie działalności i zapominają o regularnych przeglądach. Tymczasem bazy mailingowe żyją — kontakty się dezaktualizują, zgody wygasają, dostawcy się zmieniają.
Kluczowe zasady zgodności RODO bazy mailingowej w skrócie: ważna podstawa prawna → kompletna klauzula informacyjna → łatwy mechanizm wypisania → polityka retencji → umowa DPA z dostawcą → sprawna obsługa wniosków. To nie jest lista życzeń — to minimum wymagane przepisami.
Zacznij od audytu swojej aktualnej listy mailingowej: sprawdź, czy masz dokumentację zgód, czy klauzula informacyjna spełnia wymogi art. 13 RODO i czy podpisałeś umowy powierzenia z każdym podmiotem, któremu przekazujesz dane subskrybentów. Jeden dzień poświęcony na porządki w bazie może uchronić Twoją firmę przed postępowaniem, które trwa miesiącami i kończy się karą, której żaden budżet marketingowy nie przewidział.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
