Urząd Ochrony Danych Osobowych nałożył dotąd kary przekraczające łącznie kilkadziesiąt milionów złotych — i coraz częściej celuje właśnie w firmy prowadzące kampanie e-mailowe. Jeśli wysyłasz newslettery, oferty handlowe lub wiadomości transakcyjne, jesteś w kręgu zainteresowania PUODO. Ten poradnik pokaże Ci dokładnie, czego szuka inspektor podczas kontroli mailingu, jakie błędy kosztują najwięcej i jak krok po kroku przeprowadzić własny audyt RODO — zanim ktoś zrobi to za Ciebie.
Czym jest kontrola PUODO i kiedy może Cię dotyczyć
PUODO (Prezes Urzędu Ochrony Danych Osobowych) to organ nadzorczy powołany na mocy art. 51 RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Urząd prowadzi kontrole zarówno z urzędu (na podstawie własnego planu), jak i na skutek skarg osób fizycznych. W praktyce oznacza to, że jeden niezadowolony subskrybent, który kliknie „zgłoś naruszenie", może uruchomić całą procedurę.
Kontrole planowe PUODO ogłasza z wyprzedzeniem — corocznie publikuje wykaz sektorów objętych szczególnym nadzorem. W ostatnich latach na liście regularnie pojawiały się podmioty prowadzące marketing bezpośredni i sprzedaż baz danych. Kontrole doraźne (na skutek skargi) mogą natomiast dotknąć każdą firmę bez ostrzeżenia.
Kto jest narażony najbardziej?
- Firmy kupujące gotowe bazy adresów e-mail od zewnętrznych dostawców.
- Sklepy internetowe wysyłające oferty do klientów bez wyraźnej zgody marketingowej.
- Agencje marketingowe prowadzące mailing w imieniu wielu klientów jednocześnie.
- Podmioty, które nie aktualizowały zgód po wejściu RODO w 2018 r.
Co dokładnie sprawdza inspektor PUODO podczas kontroli mailingu
Kontrola nie polega na przejrzeniu jednego formularza zgody. Inspektor analizuje cały łańcuch przetwarzania danych — od momentu pozyskania adresu e-mail, przez jego przechowywanie, aż po ewentualne usunięcie. Poniżej znajdziesz najważniejsze obszary weryfikowane w praktyce.
1. Podstawa prawna przetwarzania danych
To fundament każdej kontroli. PUODO sprawdza, czy firma posiada ważną podstawę prawną z art. 6 RODO dla każdej czynności przetwarzania. W kontekście mailingu najczęściej chodzi o:
- Zgodę (art. 6 ust. 1 lit. a RODO) — musi być dobrowolna, konkretna, świadoma i jednoznaczna. Zgoda domyślnie zaznaczona lub ukryta w regulaminie nie spełnia tych wymogów.
- Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — dopuszczalny przy mailingach B2B do obecnych klientów, ale wymaga przeprowadzenia testu równowagi interesów i jego udokumentowania.
- Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — wyłącznie dla wiadomości transakcyjnych ściśle związanych z realizacją zamówienia.
Inspektor może zażądać okazania dowodów potwierdzających każdą z tych podstaw — zrzutów ekranu formularzy, logów systemowych z datą i godziną wyrażenia zgody, a nawet nagrań sesji użytkownika.
2. Obowiązek informacyjny (klauzula RODO)
Zgodnie z art. 13 RODO, w momencie zbierania danych osobowych administrator musi przekazać osobie fizycznej m.in.: tożsamość administratora, cel i podstawę prawną przetwarzania, okres przechowywania danych, informację o prawie do cofnięcia zgody oraz prawie wniesienia skargi do PUODO. Inspektor sprawdza, czy klauzula informacyjna jest kompletna, zrozumiała i faktycznie widoczna — nie zakopana w 40-stronicowym regulaminie.
3. Prawo do sprzeciwu i wypisania się z listy
Każda wiadomość marketingowa musi zawierać łatwy i bezpłatny sposób rezygnacji z subskrypcji (art. 21 RODO oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną). PUODO weryfikuje, czy link „wypisz się" faktycznie działa, czy rezygnacja jest realizowana niezwłocznie (w praktyce: maksymalnie do 10 dni roboczych) i czy dane osoby, która się wypisała, zostały usunięte lub zablokowane przed dalszym marketingiem.
4. Umowy powierzenia przetwarzania danych
Korzystasz z zewnętrznej platformy do wysyłki e-maili, CRM-u lub narzędzia do automatyzacji marketingu? Każdy taki podmiot to procesor w rozumieniu art. 28 RODO — i musisz mieć z nim podpisaną umowę powierzenia przetwarzania danych (DPA). Brak takiej umowy to jeden z częstszych błędów wykrywanych przez inspektorów i podstawa do nałożenia kary.
5. Rejestr czynności przetwarzania (RCP)
Art. 30 RODO nakłada na administratorów obowiązek prowadzenia rejestru czynności przetwarzania. W kontekście mailingu RCP powinien zawierać m.in. cel przetwarzania (np. „newsletter marketingowy"), kategorie danych (adres e-mail, imię, historia zakupów), podstawę prawną, okres retencji oraz informację o odbiorcach danych. Inspektor może zażądać okazania rejestru w trakcie kontroli — jego brak lub niekompletność to sygnał ostrzegawczy.
6. Bezpieczeństwo techniczne i organizacyjne
Art. 32 RODO wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych. W praktyce inspektor może pytać o: szyfrowanie bazy adresów, kontrolę dostępu do systemu mailingowego (kto i na jakiej zasadzie ma dostęp do listy subskrybentów), procedury reagowania na incydenty (np. wyciek bazy) oraz politykę haseł i uwierzytelnianie dwuskładnikowe dla kont z dostępem do danych.
Najczęstsze naruszenia i grożące kary
Poniższa tabela zestawia typowe naruszenia wykrywane podczas kontroli mailingu wraz z potencjalnym wymiarem kary administracyjnej na podstawie art. 83 RODO.
| Naruszenie | Podstawa prawna | Maks. kara (art. 83 RODO) |
|---|---|---|
| Brak ważnej podstawy prawnej dla mailingu | Art. 6 RODO | 20 mln EUR lub 4% globalnego obrotu |
| Niekompletna klauzula informacyjna | Art. 13 RODO | 10 mln EUR lub 2% globalnego obrotu |
| Brak umowy powierzenia z platformą mailingową | Art. 28 RODO | 10 mln EUR lub 2% globalnego obrotu |
| Brak lub niekompletny rejestr czynności przetwarzania | Art. 30 RODO | 10 mln EUR lub 2% globalnego obrotu |
| Nierespektowanie prawa do wypisania się | Art. 21 RODO | 20 mln EUR lub 4% globalnego obrotu |
| Brak środków bezpieczeństwa (np. wyciek bazy) | Art. 32 RODO | 10 mln EUR lub 2% globalnego obrotu |
Warto pamiętać, że PUODO nakłada kary proporcjonalnie do skali naruszenia, liczby osób, których dotyczy, i stopnia winy administratora. Dla małych firm kary liczone są zazwyczaj w dziesiątkach lub setkach tysięcy złotych — ale rekordzista w Polsce zapłacił już ponad 2,8 mln zł (sprawa Morele.net z 2019 r.).
Audyt RODO mailingu — lista kontrolna krok po kroku
Przeprowadź poniższy audyt samodzielnie lub z pomocą inspektora ochrony danych (IOD). Każdy punkt to konkretne działanie, nie ogólna rekomendacja.
Krok 1 — Zinwentaryzuj źródła pozyskiwania adresów
- Wypisz wszystkie miejsca, w których zbierasz adresy e-mail: formularze na stronie, checkout w sklepie, targi, wizytówki, zakupione bazy.
- Dla każdego źródła określ, jaka podstawa prawna uzasadnia wysyłkę mailingu.
- Usuń z bazy adresy, dla których nie możesz udokumentować podstawy prawnej.
Krok 2 — Zweryfikuj treść zgód i formularzy
- Sprawdź, czy checkboxy zgody marketingowej nie są domyślnie zaznaczone.
- Upewnij się, że treść zgody jest oddzielona od akceptacji regulaminu — jedna zgoda nie może obejmować kilku celów jednocześnie (zasada granularności).
- Zapisz i zarchiwizuj aktualną wersję każdego formularza wraz z datą jego wdrożenia.
Krok 3 — Zaktualizuj klauzulę informacyjną
- Porównaj swoją klauzulę z listą elementów wymaganych przez art. 13 RODO.
- Upewnij się, że klauzula jest widoczna w momencie zbierania danych — nie tylko w stopce strony.
- Dodaj informację o prawie do wniesienia skargi do PUODO (ul. Stawki 2, 00-193 Warszawa).
Krok 4 — Sprawdź mechanizm wypisywania się
- Kliknij link „wypisz się" w jednej ze swoich wiadomości i zmierz czas realizacji rezygnacji.
- Upewnij się, że wypisany adres trafia na listę wykluczeń i nie otrzyma kolejnych wiadomości.
- Udokumentuj datę i godzinę każdej rezygnacji — te logi mogą być kluczowe podczas kontroli.
Krok 5 — Podpisz umowy powierzenia z dostawcami
- Wypisz wszystkich zewnętrznych dostawców, którym przekazujesz dane subskrybentów (platforma mailingowa, CRM, narzędzia analityczne).
- Zweryfikuj, czy każdy z nich oferuje podpisanie DPA — renomowane platformy udostępniają go w panelu klienta lub na żądanie.
- Przechowuj podpisane umowy w dedykowanym folderze z datą zawarcia i wersją dokumentu.
Krok 6 — Uzupełnij rejestr czynności przetwarzania
- Dodaj do RCP osobny wpis dla każdego procesu mailingowego (newsletter, mailing transakcyjny, retargeting e-mail).
- Określ planowany okres retencji danych — np. „do czasu cofnięcia zgody lub przez 3 lata od ostatniej aktywności".
- Aktualizuj rejestr przy każdej zmianie systemu lub procesu przetwarzania.
Jak reagować, gdy PUODO wszczyna postępowanie
Jeśli otrzymasz zawiadomienie o wszczęciu kontroli lub postępowania wyjaśniającego, nie ignoruj korespondencji — terminy odpowiedzi są sztywne i ich przekroczenie pogarsza Twoją sytuację. Pierwszym krokiem powinno być zebranie dokumentacji: rejestrów zgód, RCP, umów powierzenia i logów systemowych. Następnie warto skonsultować się z prawnikiem specjalizującym się w ochronie danych lub wyznaczonym IOD.
PUODO bierze pod uwagę tzw. okoliczności łagodzące, wymienione w art. 83 ust. 2 RODO — m.in. stopień współpracy z organem nadzorczym, działania naprawcze podjęte po wykryciu naruszenia oraz brak wcześniejszych naruszeń. Firma, która aktywnie współpracuje i szybko usuwa uchybienia, może liczyć na niższą karę niż podmiot, który ignoruje wezwania.
Dobre praktyki, które zmniejszają ryzyko kontroli
Prewencja jest tańsza niż grzywna. Poniższe nawyki warto wdrożyć niezależnie od tego, czy kontrola PUODO jest planowana, czy nie.
- Double opt-in — potwierdzenie zapisu przez kliknięcie w e-mail weryfikacyjny to najsilniejszy dowód świadomej zgody i de facto standard w mailingach B2C.
- Regularne czyszczenie bazy — adresy nieaktywne przez 24 miesiące powinny być usuwane lub przenoszone do archiwum z ograniczonym dostępem.
- Logi zgód — przechowuj datę, godzinę, adres IP i wersję formularza dla każdej zgody. Narzędzia takie jak MailerPRO pozwalają automatycznie rejestrować te dane przy każdym zapisie.
- Szkolenia zespołu — pracownicy obsługujący bazę mailingową powinni znać podstawy RODO i wiedzieć, jak reagować na żądania osób, których dane dotyczą.
- Polityka retencji — ustal i udokumentuj, jak długo przechowujesz dane w każdym systemie i kto odpowiada za ich usunięcie.
- Testy penetracyjne i audyty bezpieczeństwa — przynajmniej raz w roku sprawdź, czy systemy przechowujące bazę adresów są odpowiednio zabezpieczone.
Kontrola PUODO nie musi kończyć się karą — firmy, które mają porządek w dokumentacji, respektują prawa subskrybentów i korzystają z narzędzi zapewniających zgodność z RODO (jak MailerPRO z wbudowanym zarządzaniem zgodami i logami opt-in), wychodzą z postępowań obronną ręką. Zacznij od listy kontrolnej z tego artykułu, uzupełnij braki w dokumentacji i zadbaj o umowy powierzenia z każdym dostawcą — to trzy działania, które możesz zrealizować jeszcze dziś i które realnie zmniejszają Twoje ryzyko.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
