Kara 220 000 zł dla polskiej firmy za niezgodny z RODO mailing — to nie straszak, to decyzja Prezesa UODO z 2022 roku. Jeśli prowadzisz sklep internetowy, agencję marketingową lub wysyłasz newsletter do klientów, ten przewodnik jest dla Ciebie. Dowiesz się, jakie masz obowiązki, jak zebrać i udokumentować zgodę, kiedy możesz wysyłać mailingi bez zgody i jak przeprowadzić audyt swojej listy, żeby spać spokojnie.
Dlaczego RODO i e-mail marketing to temat, którego nie można ignorować
Rozporządzenie 2016/679 (RODO) obowiązuje w Polsce od 25 maja 2018 roku i dotyczy każdego, kto przetwarza dane osobowe mieszkańców UE — niezależnie od wielkości firmy. Adres e-mail to dane osobowe w rozumieniu art. 4 pkt 1 RODO, bo pozwala zidentyfikować osobę fizyczną. Oznacza to, że każda wysyłka newslettera, oferty czy kampanii retargetingowej podlega przepisom rozporządzenia.
Do tego dochodzi ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (UŚUDE), która w art. 10 zakazuje przesyłania niezamówionej informacji handlowej bez uprzedniej zgody odbiorcy. RODO i UŚUDE działają równolegle — musisz spełnić wymogi obu aktów prawnych jednocześnie.
Podstawy prawne przetwarzania danych w e-mail marketingu
RODO wymienia w art. 6 sześć podstaw prawnych przetwarzania danych. W kontekście mailingów komercyjnych w praktyce liczą się trzy.
1. Zgoda (art. 6 ust. 1 lit. a RODO)
Najczęściej stosowana podstawa dla newsletterów i kampanii promocyjnych. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Nie może być domyślnie zaznaczona, nie może być warunkiem zakupu i musi być tak samo łatwa do wycofania, jak do udzielenia.
Przykład poprawnej zgody: „Chcę otrzymywać newsletter z ofertami i poradami od [Nazwa Firmy]. Wiem, że mogę się wypisać w każdej chwili, klikając link w wiadomości."
Jedna zgoda na „przetwarzanie danych w celach marketingowych" nie wystarczy — powinna precyzować kanał komunikacji (e-mail) i rodzaj treści.
2. Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO)
Ta podstawa pozwala wysyłać mailingi do istniejących klientów bez odrębnej zgody marketingowej, o ile spełnione są łącznie trzy warunki: istnieje uzasadniony interes administratora, przetwarzanie jest niezbędne do jego realizacji, a interesy lub prawa i wolności osoby, której dane dotyczą, nie przeważają nad tym interesem (tzw. test równowagi). Motyw 47 preambuły RODO wprost wskazuje marketing bezpośredni jako przykład uzasadnionego interesu.
W praktyce: możesz wysłać e-mail z ofertą uzupełniającą do klienta, który kupił u Ciebie miesiąc temu, ale musisz mu dać łatwy sposób na sprzeciw (art. 21 RODO) i nie możesz wysyłać treści niezwiązanych z zakupem.
3. Wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Dotyczy e-maili transakcyjnych: potwierdzenia zamówienia, faktury, informacji o wysyłce. To nie jest marketing — nie wymaga zgody, ale też nie może zawierać treści promocyjnych, które wykraczają poza zakres umowy.
Jak prawidłowo zebrać i udokumentować zgodę RODO na newsletter
Sama zgoda to nie wszystko — musisz być w stanie ją udowodnić. Art. 7 ust. 1 RODO nakłada na administratora ciężar dowodu: to Ty musisz wykazać, że zgoda została udzielona prawidłowo.
Formularz zapisu — co musi zawierać
- Nazwę administratora danych (Twoja firma, nie platforma mailingowa).
- Cel przetwarzania — konkretny, np. „wysyłka newslettera z ofertami produktowymi".
- Informację o prawie do wycofania zgody.
- Link do polityki prywatności (pełna klauzula informacyjna z art. 13 RODO).
- Unchecked checkbox — nigdy wstępnie zaznaczony.
Double opt-in — standard, nie opcja
Double opt-in (potwierdzenie zapisu przez kliknięcie w link w e-mailu weryfikacyjnym) nie jest wprost wymagany przez RODO, ale jest najsilniejszym dowodem na to, że zgoda została udzielona świadomie przez właściciela skrzynki. UODO w swoich wytycznych rekomenduje tę metodę jako najlepszą praktykę. Przechowuj logi: datę zapisu, adres IP, wersję formularza i datę potwierdzenia.
Co przechowywać jako dowód zgody
| Element | Dlaczego ważny | Jak długo przechowywać |
|---|---|---|
| Data i godzina zapisu | Dowód momentu udzielenia zgody | Do czasu usunięcia danych + okres przedawnienia roszczeń |
| Adres IP | Powiązanie zgody z urządzeniem | Jak wyżej |
| Wersja formularza / treść checkboxa | Dowód, co dokładnie zaakceptował użytkownik | Jak wyżej |
| Data potwierdzenia (double opt-in) | Dowód, że adres istnieje i właściciel potwierdził | Jak wyżej |
| Data i sposób wycofania zgody | Dowód respektowania prawa do sprzeciwu | Min. 3 lata (przedawnienie roszczeń cywilnych) |
Obowiązek informacyjny — klauzula z art. 13 RODO w praktyce
Każda osoba, której dane zbierasz, musi otrzymać klauzulę informacyjną w momencie pozyskania danych (art. 13 RODO). Nie wystarczy link „Polityka prywatności" ukryty w stopce — informacja musi być dostępna przed lub w momencie zapisu.
Co musi znaleźć się w klauzuli
- Tożsamość i dane kontaktowe administratora (i ewentualnie IOD).
- Cele i podstawy prawne przetwarzania.
- Informacja o odbiorcach danych (np. platforma mailingowa jako podmiot przetwarzający).
- Okres retencji danych lub kryteria jego ustalenia.
- Prawa osoby: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, skarga do UODO.
- Informacja, czy podanie danych jest dobrowolne i jakie są konsekwencje odmowy.
Klauzula może być skrócona przy formularzu (tzw. skrócona informacja) z odesłaniem do pełnej wersji — ale musi zawierać przynajmniej tożsamość administratora, cel i podstawę przetwarzania oraz wzmiankę o prawach.
RODO a agencja marketingowa — kto jest administratorem, kto procesorem
To jeden z najczęstszych problemów prawnych w e-mail marketingu B2B. Jeśli agencja wysyła kampanie w imieniu klienta, korzystając z jego listy mailingowej, mamy do czynienia z powierzeniem przetwarzania danych.
Umowa powierzenia przetwarzania (art. 28 RODO)
Agencja marketingowa jako podmiot przetwarzający (procesor) musi podpisać z klientem (administratorem) umowę powierzenia przetwarzania danych osobowych. Umowa musi określać: przedmiot i czas przetwarzania, charakter i cel, rodzaj danych i kategorię osób, obowiązki i prawa administratora. Brak takiej umowy to naruszenie art. 28 RODO — grozi kara do 10 mln EUR lub 2% rocznego obrotu.
Kiedy agencja staje się współadministratorem
Jeśli agencja samodzielnie decyduje o celach lub metodach przetwarzania — np. buduje własną bazę remarketingową z danych klienta — staje się współadministratorem (art. 26 RODO). Wymaga to odrębnego porozumienia i jest sytuacją, której większość agencji powinna unikać.
Platformy mailingowe jako podmioty przetwarzające
Każde narzędzie do wysyłki e-maili, które przetwarza dane Twoich subskrybentów, musi mieć podpisaną umowę DPA (Data Processing Agreement). Sprawdź, czy Twój dostawca oferuje taką umowę i czy serwery są w EOG lub czy stosuje odpowiednie zabezpieczenia transferu danych do krajów trzecich (np. standardowe klauzule umowne dla USA). Narzędzia takie jak MailerPRO, działające w oparciu o własne serwery SMTP, dają administratorom pełną kontrolę nad tym, gdzie fizycznie trafiają dane subskrybentów.
Retencja danych i audyt listy mailingowej
RODO nie podaje konkretnych terminów przechowywania danych marketingowych — wymaga natomiast zasady ograniczenia przechowywania (art. 5 ust. 1 lit. e): dane muszą być usuwane, gdy cel przetwarzania ustał. W praktyce oznacza to konieczność ustalenia własnej polityki retencji i jej przestrzegania.
Kiedy usunąć kontakt z listy
- Natychmiast po wycofaniu zgody lub złożeniu sprzeciwu (art. 21 RODO).
- Po upływie zdefiniowanego okresu nieaktywności (np. 2 lata bez otwarcia e-maila) — jeśli brak aktywności świadczy o utracie zainteresowania.
- Po bounce'u trwałym (hard bounce) — adres nie istnieje, dalsze przetwarzanie jest bezcelowe.
- Na żądanie osoby w ramach prawa do usunięcia danych (art. 17 RODO) — maksymalnie w ciągu 30 dni.
Jak przeprowadzić audyt listy mailingowej — krok po kroku
- Zidentyfikuj źródło każdego kontaktu — formularz, import, zakup (uwaga: zakupione listy są niemal zawsze niezgodne z RODO).
- Sprawdź, czy masz dokumentację zgody — logi, daty, wersje formularzy.
- Segmentuj według daty pozyskania — kontakty sprzed maja 2018 bez potwierdzonej zgody RODO wymagają re-opt-in lub usunięcia.
- Usuń hard bounce'y i adresy z wnioskami o usunięcie — prowadź listę supresji (suppress list), żeby przypadkowo nie dodać ich ponownie.
- Oceń aktywność — kontakty bez otwarcia przez 24 miesiące: wyślij kampanię reaktywacyjną, a nieaktywnych usuń.
- Zaktualizuj rekordy w systemie CRM/mailingowym — upewnij się, że status zgody jest zsynchronizowany we wszystkich narzędziach.
Najczęstsze błędy i jak ich unikać
Błąd 1: Wstępnie zaznaczony checkbox
To jeden z najczęściej karanych błędów. Zgoda musi być aktywnym działaniem użytkownika — brak sprzeciwu to nie zgoda (motyw 32 RODO). Każdy formularz z domyślnie zaznaczonym checkboxem marketingowym jest niezgodny z RODO.
Błąd 2: Jedna zgoda na wszystko
Zgoda na „przetwarzanie danych w celach marketingowych" bez wskazania kanału i rodzaju komunikacji jest zbyt ogólna. Oddziel zgodę na e-mail od zgody na SMS, telefon czy reklamy online.
Błąd 3: Zakupione lub pożyczone listy mailingowe
Kupno bazy adresowej od brokera danych prawie zawsze narusza RODO — osoby na liście nie wyraziły zgody na kontakt akurat od Ciebie, a Ty nie masz dokumentacji tej zgody. Kara UODO za takie działanie może sięgnąć 20 mln EUR lub 4% rocznego obrotu (art. 83 ust. 5 RODO).
Błąd 4: Brak mechanizmu wypisania się
Art. 7 ust. 3 RODO i art. 10 UŚUDE wymagają, by rezygnacja z mailingów była tak samo prosta jak zapis. Link „unsubscribe" w stopce każdej wiadomości to minimum — i musi działać natychmiast, nie „w ciągu 10 dni roboczych".
Błąd 5: Brak umowy powierzenia z platformą mailingową
Jeśli Twoja platforma do wysyłki e-maili przetwarza dane subskrybentów, a nie masz z nią podpisanej umowy DPA — naruszasz art. 28 RODO. Sprawdź panel swojego dostawcy lub skontaktuj się z jego działem prawnym.
Rejestr czynności przetwarzania a e-mail marketing
Każdy administrator, który regularnie przetwarza dane osobowe, powinien prowadzić Rejestr Czynności Przetwarzania (RCP) zgodnie z art. 30 RODO. Obowiązek ten dotyczy formalnie firm zatrudniających ponad 250 osób, ale UODO zaleca jego prowadzenie wszystkim — bo w razie kontroli brak RCP jest traktowany jako brak dowodu zgodności.
W RCP dla działań mailingowych wpisz: cel (newsletter, kampanie promocyjne), podstawę prawną, kategorie danych (imię, adres e-mail, dane behawioralne), odbiorców (platforma mailingowa, agencja), okres retencji i zastosowane zabezpieczenia techniczne.
Zgodność RODO w e-mail marketingu — checklista końcowa
- ✅ Formularz zapisu z unchecked checkboxem i skróconą klauzulą informacyjną.
- ✅ Double opt-in z logowaniem daty, IP i wersji formularza.
- ✅ Pełna klauzula z art. 13 RODO w polityce prywatności.
- ✅ Umowa DPA z każdą platformą mailingową i agencją zewnętrzną.
- ✅ Działający link wypisania się w każdej wiadomości.
- ✅ Polityka retencji danych i regularne czyszczenie listy.
- ✅ Lista supresji (suppress list) dla wypisanych i hard bounce'ów.
- ✅ Wpis w Rejestrze Czynności Przetwarzania.
- ✅ Procedura obsługi wniosków o usunięcie danych (max. 30 dni).
Zgodność z RODO w e-mail marketingu to nie jednorazowy projekt, lecz ciągły proces. Zacznij od audytu swojej listy mailingowej i weryfikacji dokumentacji zgód — to dwa kroki, które eliminują największe ryzyko. Jeśli korzystasz z narzędzia do wysyłki, upewnij się, że masz podpisaną umowę powierzenia i wiesz, gdzie fizycznie są przechowywane dane Twoich subskrybentów. Platforma taka jak MailerPRO, oparta na własnych skrzynkach SMTP, daje Ci pełną kontrolę nad infrastrukturą — co znacząco ułatwia wykazanie zgodności w razie kontroli UODO.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
