Wysyłasz kampanie e-mail i jesteś pewien, że wszystko jest w porządku? Statystyki UODO pokazują coś innego — w samym 2023 roku Urząd nałożył kilkanaście kar administracyjnych, a znaczna część postępowań dotyczyła właśnie komunikacji marketingowej. W 2026 roku, po wejściu w życie znowelizowanego Prawa komunikacji elektronicznej (PKE) oraz przy rosnącej aktywności organów nadzorczych, ryzyko jest jeszcze większe. Ten poradnik to konkretna lista kontrolna: co musi znaleźć się w każdym mailu marketingowym, żeby był zgodny z RODO, ustawą o ochronie danych osobowych i PKE — bez prawniczego żargonu, krok po kroku.
Dlaczego e-mail marketingowy to wyjątkowo wrażliwy obszar prawa
E-mail marketing leży na przecięciu co najmniej trzech aktów prawnych: RODO (rozporządzenie UE 2016/679), ustawy o ochronie danych osobowych (UODO, Dz.U. 2018 poz. 1000 z późn. zm.) oraz Prawa komunikacji elektronicznej, które w Polsce zastąpiło ustawę o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne. Każdy z tych aktów reguluje inny aspekt: RODO — przetwarzanie danych osobowych, PKE — kanał komunikacji i wymóg zgody na kontakt, a UODO — kompetencje krajowego organu nadzorczego.
Adres e-mail to dana osobowa w rozumieniu art. 4 pkt 1 RODO. Oznacza to, że każda operacja na nim — zbieranie, przechowywanie, wysyłka wiadomości — wymaga podstawy prawnej z art. 6 RODO. W przypadku mailingu marketingowego tą podstawą jest najczęściej zgoda (art. 6 ust. 1 lit. a) lub — w ściśle określonych przypadkach — uzasadniony interes administratora (art. 6 ust. 1 lit. f), choć ten drugi bywa ryzykowny i wymaga przeprowadzenia testu równowagi interesów.
Element #1 — ważna zgoda marketingowa
Zanim wyślesz pierwszą wiadomość, musisz mieć ważną zgodę. Zgodnie z art. 7 RODO zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Co to oznacza w praktyce?
- Dobrowolna — checkbox nie może być warunkiem koniecznym do zakupu lub rejestracji. Uzależnienie usługi od zgody marketingowej jest niedozwolone (motyw 43 RODO).
- Konkretna — zgoda powinna wskazywać cel: np. „Wyrażam zgodę na otrzymywanie newslettera z ofertami produktów XYZ". Ogólne „zgadzam się na marketing" jest niewystarczające.
- Świadoma — osoba musi wiedzieć, kto będzie administratorem danych i w jakim celu.
- Jednoznaczna — domyślnie zaznaczony checkbox lub brak sprzeciwu NIE jest zgodą. Wymagane jest aktywne działanie użytkownika.
Dodatkowo PKE nakłada odrębny wymóg zgody na używanie telekomunikacyjnych urządzeń końcowych (czyli na sam akt wysłania maila jako formy komunikacji elektronicznej). W praktyce zbiera się obie zgody jednocześnie, ale warto pamiętać, że są to dwie różne podstawy prawne.
Jak dokumentować zgodę?
Art. 7 ust. 1 RODO nakłada na administratora obowiązek udowodnienia, że zgoda została udzielona. Minimalne wymagania dokumentacyjne to: data i godzina wyrażenia zgody, adres IP lub inny identyfikator sesji, treść checkboxa w momencie zapisu oraz wersja formularza. Warto przechowywać te dane przez cały okres wysyłki plus 3 lata (typowy okres przedawnienia roszczeń cywilnych), choć UODO może żądać ich w trakcie postępowania w dowolnym momencie.
Element #2 — dane identyfikacyjne nadawcy w treści maila
Każdy e-mail marketingowy musi jednoznacznie identyfikować nadawcę. To wymóg wynikający zarówno z PKE, jak i z zasady przejrzystości (art. 5 ust. 1 lit. a RODO). W praktyce oznacza to, że w stopce lub nagłówku wiadomości muszą znaleźć się:
- Pełna nazwa firmy (lub imię i nazwisko, jeśli nadawcą jest osoba fizyczna prowadząca działalność).
- Adres siedziby lub adres do korespondencji.
- Numer NIP lub KRS — choć RODO tego wprost nie wymaga, wynika to z przepisów o zwalczaniu nieuczciwej konkurencji i dobrych praktyk branżowych.
- Adres e-mail lub inny kanał kontaktu umożliwiający realizację praw podmiotów danych.
Pole „From" (nadawca) musi zawierać prawdziwe dane — wysyłanie maili z fałszywego adresu lub adresu, który nie obsługuje odpowiedzi (tzw. no-reply bez alternatywy kontaktowej), może być uznane za utrudnianie realizacji praw z art. 15–22 RODO.
Element #3 — obowiązek informacyjny (klauzula RODO)
Zgodnie z art. 13 RODO, w momencie zbierania danych osobowych administrator musi przekazać osobie szereg informacji. W kontekście mailingu najważniejsze z nich to:
| Wymagana informacja | Podstawa prawna | Gdzie umieścić? |
|---|---|---|
| Tożsamość i dane kontaktowe administratora | Art. 13 ust. 1 lit. a RODO | Formularz zapisu + stopka maila |
| Cel i podstawa prawna przetwarzania | Art. 13 ust. 1 lit. c RODO | Formularz zapisu + polityka prywatności |
| Okres przechowywania danych | Art. 13 ust. 2 lit. a RODO | Polityka prywatności (link w stopce) |
| Prawo do cofnięcia zgody | Art. 13 ust. 2 lit. c RODO | Każdy e-mail (link wypisu) |
| Prawo do skargi do UODO | Art. 13 ust. 2 lit. d RODO | Polityka prywatności |
W samym mailu nie musisz umieszczać pełnej klauzuli — wystarczy link do polityki prywatności zawierającej wszystkie wymagane informacje. Ważne, żeby ten link był widoczny i działał.
Element #4 — link wypisu (unsubscribe) — obowiązek, nie opcja
To jeden z najczęściej lekceważonych obowiązków. Tymczasem brak mechanizmu rezygnacji z subskrypcji narusza jednocześnie art. 7 ust. 3 RODO (prawo do cofnięcia zgody), art. 17 RODO (prawo do usunięcia danych) oraz przepisy PKE dotyczące niezamówionych komunikatów handlowych.
Jak powinien wyglądać prawidłowy link wypisu?
- Widoczny i czytelny — nie może być napisany czcionką 6px w kolorze zbliżonym do tła. UODO i EDPB (Europejska Rada Ochrony Danych) podkreślają, że cofnięcie zgody musi być równie łatwe jak jej udzielenie.
- Jednoklikalny — kliknięcie linku powinno skutkować natychmiastowym wypisem lub co najwyżej jednym potwierdzeniem. Wymaganie logowania, podawania hasła lub wypełniania formularza wieloetapowego jest niezgodne z art. 7 ust. 3 RODO.
- Skuteczny w rozsądnym czasie — UODO przyjmuje, że wypisanie powinno nastąpić nie później niż w ciągu 10 dni roboczych. W praktyce nowoczesne systemy mailingowe robią to natychmiast.
- Bez konsekwencji dla użytkownika — nie możesz uzależniać dostępu do usługi od pozostania na liście mailingowej.
Jeśli korzystasz z narzędzia do wysyłki, takiego jak MailerPRO, mechanizm wypisu powinien być zintegrowany z systemem zarządzania listami — tak, żeby wypisany adres był automatycznie blokowany przed kolejnymi wysyłkami, nawet jeśli pojawi się w innym segmencie.
Element #5 — temat wiadomości i oznaczenie charakteru handlowego
PKE (podobnie jak wcześniejsze Prawo telekomunikacyjne) zakazuje ukrywania handlowego charakteru wiadomości. Temat maila nie może wprowadzać odbiorcy w błąd co do tego, że jest to komunikat marketingowy. W praktyce oznacza to:
- Tematy w stylu „Ważna informacja dotycząca Twojego konta" użyte do wysyłki promocji są niedozwolone — to tzw. dark pattern.
- Nie ma obowiązku wpisywania słowa „reklama" w temacie (jak w przypadku niektórych innych krajów UE), ale temat nie może być celowo mylący.
- Pole „Reply-To" powinno wskazywać na skrzynkę, którą ktoś rzeczywiście obsługuje — lub przynajmniej na skrzynkę z autoresponderem informującym o alternatywnym kanale kontaktu.
Element #6 — stopka maila — minimalna zawartość
Stopka to miejsce, gdzie zbiegają się wszystkie obowiązki informacyjne. Poniżej lista elementów, które powinny się w niej znaleźć:
- Pełna nazwa i adres administratora danych (firmy lub osoby fizycznej).
- Link do polityki prywatności — aktualnej, zawierającej pełną klauzulę RODO.
- Link wypisu z subskrypcji (unsubscribe) — wyraźnie oznaczony.
- Informacja o podstawie wysyłki — np. „Wysyłamy ten e-mail, ponieważ wyraziłeś/aś zgodę na otrzymywanie newslettera [data/miejsce zapisu]." To dobra praktyka, choć nie wprost wymagana przez przepis.
- Dane kontaktowe do realizacji praw RODO — adres e-mail lub formularz, przez który można złożyć żądanie dostępu, sprostowania lub usunięcia danych.
Jeśli firma wyznaczyła Inspektora Ochrony Danych (IOD), jego dane kontaktowe powinny być dostępne — najlepiej właśnie w polityce prywatności linkowanej ze stopki (art. 13 ust. 1 lit. b RODO).
Najczęstsze błędy i jak ich unikać
Na podstawie publicznie dostępnych decyzji UODO oraz wytycznych EDPB można wskazać błędy, które powtarzają się najczęściej:
Błąd 1 — „mieliśmy zgodę kiedyś"
Zgody zebrane przed 25 maja 2018 roku (wejście w życie RODO) często nie spełniają dzisiejszych standardów — brakowało im konkretności lub były domyślnie zaznaczone. Jeśli nie możesz udowodnić, że historyczna zgoda spełnia wymogi art. 7 RODO, powinieneś zebrać ją ponownie lub zaprzestać wysyłki do tych adresów.
Błąd 2 — jedna zgoda do wszystkiego
Zgoda na newsletter to nie to samo co zgoda na kontakt telefoniczny, SMS czy remarketing. Każdy kanał i każdy cel wymaga odrębnej, granularnej zgody. Łączenie ich w jednym checkboxie narusza zasadę konkretności z art. 7 ust. 2 RODO.
Błąd 3 — brak rejestru zgód
Jeśli UODO wszczyna postępowanie i pytasz „skąd mam ten adres?", a nie jesteś w stanie odpowiedzieć — masz problem. Rejestr zgód to nie opcja, to wymóg rozliczalności z art. 5 ust. 2 RODO.
Błąd 4 — wysyłka po wypisie
Wysłanie choćby jednej wiadomości po skutecznym wypisie to naruszenie art. 7 ust. 3 RODO. W systemach mailingowych kluczowe jest, żeby lista supresji (suppression list) była synchronizowana przed każdą wysyłką — MailerPRO obsługuje ten mechanizm automatycznie na poziomie konta SMTP.
Błąd 5 — zakupione listy mailingowe
Kupowanie baz adresów e-mail i wysyłanie do nich kampanii bez indywidualnej zgody jest nielegalne zarówno na gruncie RODO (brak podstawy prawnej), jak i PKE (niezamówiona komunikacja handlowa). Kary za ten proceder sięgają 20 mln EUR lub 4% globalnego obrotu (art. 83 ust. 5 RODO).
Checklista przed każdą wysyłką
Zanim klikniesz „Wyślij", przejdź przez tę listę:
- ✅ Mam ważną, udokumentowaną zgodę dla każdego adresu na liście.
- ✅ Temat maila nie wprowadza w błąd co do charakteru wiadomości.
- ✅ Pole „Od" zawiera prawdziwe dane nadawcy.
- ✅ W stopce znajduje się pełna nazwa i adres firmy.
- ✅ Stopka zawiera widoczny i działający link wypisu.
- ✅ Stopka zawiera link do aktualnej polityki prywatności.
- ✅ Lista jest oczyszczona z adresów, które wcześniej się wypisały.
- ✅ Mam możliwość odpowiedzi na żądania realizacji praw RODO (dostęp, usunięcie, sprostowanie).
Zgodność z RODO w mailingu to nie jednorazowy projekt — to ciągły proces. Przepisy się zmieniają (PKE wciąż jest implementowane), organy nadzorcze zaostrzają kryteria, a odbiorcy są coraz bardziej świadomi swoich praw. Firmy, które traktują te wymagania poważnie, zyskują nie tylko spokój prawny, ale też realnie wyższe wskaźniki zaufania i dostarczalności. Zacznij od audytu swojej aktualnej listy i stopki — to zajmie godzinę, a może uchronić przed karą liczoną w dziesiątkach tysięcy złotych.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
