Zbierasz adresy e-mail do newslettera? Masz obowiązek poinformować subskrybentów o tym, co dzieje się z ich danymi — i to zanim klikną „Zapisz się". Polityka prywatności newslettera to nie opcja, lecz wymóg wynikający wprost z art. 13 RODO. Poniżej znajdziesz kompletny szablon RODO wraz z objaśnieniem każdego elementu — tak, żebyś mógł dostosować go do swojej firmy bez angażowania prawnika przy każdym zdaniu.
Dlaczego polityka prywatności newslettera jest obowiązkowa?
RODO (Rozporządzenie Parlamentu Europejskiego i Rady 2016/679) nakłada na administratora danych obowiązek informacyjny w momencie zbierania danych osobowych. Adres e-mail to dane osobowe — nie ma tu żadnej wątpliwości. Art. 13 RODO precyzuje, co dokładnie musisz przekazać osobie, której dane zbierasz, a art. 12 RODO określa, że informacje mają być podane w zwięzłej, przejrzystej i łatwo dostępnej formie, jasnym i prostym językiem.
Brak klauzuli informacyjnej lub jej niekompletność może skutkować karą administracyjną nałożoną przez Prezesa UODO — do 10 mln euro lub 2% globalnego rocznego obrotu (art. 83 ust. 4 RODO). W 2023 roku UODO nałożył kilkanaście kar na polskie podmioty właśnie za naruszenia obowiązku informacyjnego. To realny, a nie teoretyczny risk.
Co musi zawierać klauzula informacyjna dla newslettera?
Art. 13 RODO wymienia konkretne elementy, które muszą znaleźć się w każdej klauzuli informacyjnej. Poniżej zestawienie w formie tabeli — łatwiej potem przyporządkować każdy punkt do swojego dokumentu.
| Element wymagany przez RODO | Podstawa prawna | Przykładowa treść |
|---|---|---|
| Tożsamość i dane kontaktowe administratora | Art. 13 ust. 1 lit. a | Nazwa firmy, adres, e-mail kontaktowy |
| Dane kontaktowe IOD (jeśli wyznaczony) | Art. 13 ust. 1 lit. b | E-mail lub adres Inspektora Ochrony Danych |
| Cele i podstawa prawna przetwarzania | Art. 13 ust. 1 lit. c | Wysyłka newslettera — art. 6 ust. 1 lit. a (zgoda) |
| Prawnie uzasadnione interesy (jeśli podstawą jest art. 6 ust. 1 lit. f) | Art. 13 ust. 1 lit. d | Nie dotyczy przy zgodzie |
| Odbiorcy lub kategorie odbiorców danych | Art. 13 ust. 1 lit. e | Dostawca systemu mailingowego, np. platforma SMTP |
| Przekazywanie danych do państw trzecich | Art. 13 ust. 1 lit. f | Np. serwery w USA — wymagane standardowe klauzule umowne |
| Okres przechowywania danych | Art. 13 ust. 2 lit. a | Do czasu wycofania zgody |
| Prawa osoby, której dane dotyczą | Art. 13 ust. 2 lit. b–d | Dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw, skarga do UODO |
| Informacja o dobrowolności podania danych | Art. 13 ust. 2 lit. e | Podanie adresu e-mail jest dobrowolne, lecz niezbędne do subskrypcji |
| Zautomatyzowane podejmowanie decyzji / profilowanie | Art. 13 ust. 2 lit. f | Jeśli segmentujesz listy — musisz o tym poinformować |
Szablon polityki prywatności newslettera — gotowy do edycji
Poniższy szablon RODO możesz skopiować, uzupełnić danymi swojej firmy i opublikować na stronie jako osobną podstronę lub jako rozwijany panel przy formularzu zapisu. Fragmenty w nawiasach kwadratowych zastąp właściwymi danymi.
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest [Nazwa firmy] z siedzibą w [adres], NIP: [NIP], e-mail: [adres e-mail kontaktowy].
[Jeśli wyznaczyłeś Inspektora Ochrony Danych:] Inspektor Ochrony Danych jest dostępny pod adresem: [e-mail IOD].
2. Cel i podstawa prawna przetwarzania
Twoje dane (adres e-mail, imię — jeśli podane) przetwarzamy wyłącznie w celu wysyłki newslettera zawierającego [opis treści: np. informacje o produktach, poradniki branżowe, oferty specjalne]. Podstawą prawną przetwarzania jest Twoja zgoda (art. 6 ust. 1 lit. a RODO), wyrażona przez zaznaczenie checkboxa i kliknięcie przycisku potwierdzającego zapis.
[Jeśli prowadzisz profilowanie lub segmentację:] Na podstawie Twojej aktywności (otwarcia, kliknięcia w linki) możemy segmentować listę subskrybentów, aby dopasować treść wiadomości do Twoich zainteresowań. Masz prawo sprzeciwić się takiemu przetwarzaniu.
3. Odbiorcy danych
Twoje dane przekazujemy wyłącznie podmiotom, które uczestniczą w technicznej obsłudze wysyłki newslettera:
- Dostawca systemu mailingowego — przetwarzający dane na podstawie umowy powierzenia (art. 28 RODO)
- Dostawca hostingu / serwera SMTP — wyłącznie w zakresie niezbędnym do dostarczenia wiadomości
- [Inne podmioty, np. system CRM, platforma analityczna]
Nie sprzedajemy ani nie udostępniamy Twoich danych podmiotom trzecim w celach marketingowych bez Twojej odrębnej zgody.
4. Przekazywanie danych poza EOG
[Jeśli korzystasz z narzędzi z serwerami poza Europejskim Obszarem Gospodarczym, np. w USA:] Dane mogą być przekazywane do państw trzecich. Przekazanie odbywa się na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO). Możesz uzyskać kopię tych zabezpieczeń, kontaktując się z nami pod adresem [e-mail].
[Jeśli wszystkie dane pozostają w EOG — napisz o tym wprost:] Twoje dane nie są przekazywane poza Europejski Obszar Gospodarczy.
5. Okres przechowywania danych
Przechowujemy Twoje dane przez cały czas trwania subskrypcji — do momentu, w którym wycofasz zgodę (wypiszesz się z newslettera). Po wypisaniu się dane zostaną usunięte w ciągu [np. 30 dni], z wyjątkiem informacji niezbędnych do udokumentowania faktu udzielenia i wycofania zgody (art. 7 ust. 1 RODO) — te przechowujemy przez [np. 3 lata] od daty wypisania się, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).
6. Twoje prawa
Na podstawie RODO przysługują Ci następujące prawa:
- Prawo dostępu do swoich danych (art. 15 RODO)
- Prawo do sprostowania nieprawidłowych danych (art. 16 RODO)
- Prawo do usunięcia danych („prawo do bycia zapomnianym") (art. 17 RODO)
- Prawo do ograniczenia przetwarzania (art. 18 RODO)
- Prawo do przenoszenia danych (art. 20 RODO)
- Prawo do wycofania zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania sprzed wycofania (art. 7 ust. 3 RODO) — wystarczy kliknąć link „Wypisz się" w każdej wiadomości lub napisać na [e-mail]
- Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa)
7. Dobrowolność podania danych
Podanie adresu e-mail jest dobrowolne, jednak niezbędne do korzystania z newslettera. Bez tego adresu nie możemy wysyłać Ci wiadomości.
8. Zmiany polityki prywatności
Zastrzegamy sobie prawo do zmiany niniejszej polityki. O każdej istotnej zmianie poinformujemy Cię drogą e-mailową z wyprzedzeniem [np. 14 dni]. Aktualna wersja dokumentu jest zawsze dostępna pod adresem [URL podstrony]. Data ostatniej aktualizacji: [data].
Jak poprawnie zbierać zgodę na newsletter?
Sama polityka prywatności to nie wszystko. RODO wymaga, żeby zgoda na przetwarzanie danych była dobrowolna, konkretna, świadoma i jednoznaczna (art. 4 pkt 11 RODO). W praktyce oznacza to kilka zasad, których naruszenie unieważnia całą zgodę.
Czego unikać przy formularzu zapisu?
- Wstępnie zaznaczony checkbox — niedozwolony. Zgoda musi być aktywnym działaniem użytkownika.
- Łączenie zgód — zgoda na newsletter i zgoda na kontakt handlowy to dwa odrębne checkboxy.
- Niejasna treść checkboxa — „Akceptuję regulamin" nie zastępuje zgody na przetwarzanie danych w celach marketingowych.
- Brak linku do polityki prywatności — użytkownik musi mieć łatwy dostęp do pełnej klauzuli informacyjnej przed wyrażeniem zgody.
Jak powinien wyglądać poprawny checkbox?
☐ Wyrażam zgodę na przetwarzanie mojego adresu e-mail przez [Nazwa firmy] w celu otrzymywania newslettera. Administratorem danych jest [Nazwa firmy]. Więcej informacji znajdziesz w Polityce prywatności. Zgodę możesz wycofać w każdej chwili.
Krótko, konkretnie, z linkiem do pełnego dokumentu. Tak wygląda prawidłowa klauzula informacyjna przy formularzu.
Double opt-in — czy to obowiązek?
RODO nie wymaga wprost mechanizmu double opt-in (potwierdzenia zapisu przez kliknięcie w link w e-mailu), ale zdecydowanie go rekomenduje — bo stanowi dowód, że to właśnie ta osoba wyraziła zgodę. Bez double opt-in trudniej udowodnić, że zgoda była autentyczna, jeśli ktoś zakwestionuje subskrypcję. Art. 7 ust. 1 RODO mówi jasno: ciężar dowodu spoczywa na administratorze.
Praktyczna zasada: jeśli korzystasz z narzędzia mailingowego takiego jak MailerPRO, włącz potwierdzenie zapisu i przechowuj logi z datą, adresem IP i treścią zgody. To Twój dowód w razie kontroli UODO lub sporu z subskrybentem.
Gdzie opublikować politykę prywatności newslettera?
Dokument musi być łatwo dostępny — nie może być schowany w stopce w rozmiarze 8px. Oto sprawdzone miejsca publikacji:
- Osobna podstrona (np. /polityka-prywatnosci) — najlepsza opcja, łatwa do linkowania z formularzy i stopki e-maili.
- Rozwijany panel przy formularzu — użytkownik widzi treść bez opuszczania strony; dobre uzupełnienie, nie zamiennik.
- Stopka każdego newslettera — link do aktualnej wersji dokumentu, wymagany dobrą praktyką i rekomendowany przez UODO.
Pamiętaj, żeby adres URL polityki prywatności był stabilny — jeśli go zmienisz, wszystkie linki w archiwalnych wiadomościach przestaną działać.
Najczęstsze błędy w politykach prywatności dla newsletterów
- Brak wskazania okresu retencji danych — „przechowujemy dane tak długo, jak to konieczne" nie spełnia wymogu art. 13 ust. 2 lit. a RODO.
- Nieaktualna lista odbiorców danych — zmienił się dostawca systemu mailingowego, a w polityce nadal widnieje stara nazwa.
- Brak informacji o profilowaniu — jeśli segmentujesz listy na podstawie zachowań, musisz o tym poinformować.
- Kopiowanie polityki od konkurencji — dokument musi odzwierciedlać rzeczywiste procesy w Twojej firmie, nie w cudzej.
- Jeden dokument dla całej strony bez wyróżnienia sekcji dotyczącej newslettera — subskrybent musi łatwo znaleźć informacje dotyczące właśnie jego danych.
Polityka prywatności newslettera to dokument, który możesz napisać samodzielnie w ciągu jednego popołudnia — pod warunkiem, że wiesz, co musi się w nim znaleźć. Skorzystaj z powyższego szablonu RODO jako punktu wyjścia, uzupełnij go danymi swojej firmy i zweryfikuj, czy lista odbiorców danych i okres retencji rzeczywiście odpowiadają temu, co dzieje się w Twoim systemie mailingowym. Jeśli masz wątpliwości co do bardziej złożonych kwestii — np. przekazywania danych poza EOG lub profilowania behawioralnego — skonsultuj się z prawnikiem specjalizującym się w ochronie danych. Koszt takiej konsultacji jest wielokrotnie niższy niż potencjalna kara UODO.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
