Kara 40 000 zł dla sklepu internetowego za nieprawidłową zgodę marketingową — to nie jest straszak z nagłówka tabloidu, lecz rzeczywista decyzja Prezesa UODO z 2022 roku. Właściciele sklepów online nagminnie mylą zgodę na cookies ze zgodą na newsletter, łączą kilka zgód w jedną i ukrywają checkboxy pod lawiną tekstu. Poniżej znajdziesz 5 konkretnych błędów prawnych, które najczęściej pojawiają się podczas audytów RODO w e-commerce — wraz z wyjaśnieniem, co grozi i jak to naprawić.
Błąd 1. Traktowanie zgody na cookies jak zgody marketingowej
To absolutny lider rankingu pomyłek. Właściciele sklepów zakładają, że skoro użytkownik kliknął „Akceptuję wszystkie cookies", to wyraził też zgodę na wysyłkę newslettera lub remarketingowe SMS-y. Nic bardziej mylnego — to dwie odrębne podstawy prawne, regulowane przez różne akty.
Skąd wynika ta różnica?
Zgoda na cookies analityczne i marketingowe opiera się na art. 173 Prawa telekomunikacyjnego (wkrótce zastąpionego przez przepisy Europejskiego Kodeksu Łączności Elektronicznej) oraz art. 6 ust. 1 lit. a RODO — i dotyczy przechowywania informacji w urządzeniu końcowym użytkownika. Zgoda marketingowa na e-mail lub SMS to natomiast osobna zgoda wymagana przez art. 10 ustawy o świadczeniu usług drogą elektroniczną (dla e-mail) oraz art. 172 Prawa telekomunikacyjnego (dla SMS/telefon). Są to różne reżimy prawne, różne cele przetwarzania i — co kluczowe — różne momenty pozyskania zgody.
Jak to naprawić?
- Banner cookies dotyczy wyłącznie plików cookie i podobnych technologii śledzących.
- Zgoda na newsletter musi być pozyskana osobno — najlepiej przy formularzu zapisu, z wyraźnym opisem, co użytkownik dostanie i jak często.
- Nie wolno uzależniać dostępu do sklepu od akceptacji marketingowych cookies (art. 7 ust. 4 RODO — zakaz wiązania zgód).
Błąd 2. Łączenie kilku zgód w jeden checkbox
Klasyczny przykład: „Akceptuję regulamin, politykę prywatności i wyrażam zgodę na otrzymywanie informacji handlowych drogą elektroniczną." Jeden checkbox, trzy różne oświadczenia — i trzy różne problemy prawne w jednym miejscu.
Artykuł 7 ust. 2 RODO wprost stanowi, że jeśli zgoda jest udzielana w kontekście pisemnego oświadczenia dotyczącego także innych kwestii, zapytanie o zgodę musi być przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Organ nadzorczy wielokrotnie podkreślał, że łączenie zgody marketingowej z akceptacją regulaminu uniemożliwia jej swobodne udzielenie — a to jeden z warunków ważności zgody z art. 4 pkt 11 RODO.
Konsekwencje praktyczne
Jeśli użytkownik musi zaakceptować regulamin, żeby złożyć zamówienie, a do tego samego checkboxa doczepiona jest zgoda marketingowa — zgoda marketingowa jest nieważna. Nie możesz się na nią powoływać, wysyłając newsletter. Co więcej, akceptacja regulaminu nie jest w ogóle „zgodą" w rozumieniu RODO — to zawarcie umowy (art. 6 ust. 1 lit. b RODO).
Jak to naprawić?
- Osobny checkbox dla każdej zgody marketingowej (e-mail, SMS, telefon — osobno).
- Akceptacja regulaminu — oddzielny element, nieoznaczony jako „zgoda RODO".
- Każdy checkbox musi być domyślnie odznaczony (opt-in, nie opt-out).
Błąd 3. Nieprawidłowa treść klauzuli zgody — zbyt ogólna lub wprowadzająca w błąd
„Wyrażam zgodę na przetwarzanie moich danych osobowych" — takie sformułowanie nie spełnia wymogów RODO i jest bezużyteczne prawnie. Zgoda musi być konkretna (art. 4 pkt 11 RODO), co oznacza, że użytkownik musi wiedzieć dokładnie: kto przetwarza dane, w jakim celu i jakimi kanałami będzie się z nim kontaktować.
Co powinna zawierać prawidłowa klauzula zgody marketingowej?
| Element | Przykład prawidłowego zapisu |
|---|---|
| Administrator danych | „przez ABC Sp. z o.o. z siedzibą w Warszawie" |
| Cel przetwarzania | „w celu przesyłania informacji handlowych o produktach i promocjach" |
| Kanał komunikacji | „drogą elektroniczną na podany adres e-mail" |
| Prawo do cofnięcia | „Zgodę możesz cofnąć w każdej chwili, co nie wpłynie na zgodność z prawem wcześniejszego przetwarzania." |
Brak któregokolwiek z tych elementów może skutkować uznaniem zgody za nieważną. Warto też pamiętać, że informacja o prawie do cofnięcia zgody (art. 7 ust. 3 RODO) musi być podana przed jej udzieleniem, nie dopiero w polityce prywatności, do której użytkownik nigdy nie zajrzy.
Błąd 4. Brak lub nieprawidłowa dokumentacja zgód
Nawet jeśli formularz zgody jest wzorowo skonstruowany, sklep może mieć poważny problem, gdy UODO zapyta: „Proszę udowodnić, że ten konkretny użytkownik wyraził zgodę 15 marca o godzinie 14:32." Artykuł 7 ust. 1 RODO nakłada na administratora obowiązek wykazania, że zgoda została udzielona — i to administrator musi udowodnić jej istnienie, nie użytkownik jej brak.
Co powinno być rejestrowane?
- Data i godzina udzielenia zgody (timestamp).
- Wersja formularza / treść klauzuli, którą użytkownik widział w momencie zapisu (tzw. wersjonowanie zgód).
- Adres IP lub inny identyfikator sesji.
- Kanał pozyskania zgody (formularz na stronie, landing page, formularz pop-up).
- Historia zmian — jeśli użytkownik cofnął zgodę, a potem udzielił jej ponownie.
Narzędzia do e-mail marketingu, takie jak MailerPRO, rejestrują timestamp i źródło zapisu automatycznie, co znacząco ułatwia spełnienie obowiązku dokumentacyjnego z art. 5 ust. 2 RODO (zasada rozliczalności). Jednak samo narzędzie to nie wszystko — sklep musi też archiwizować wersje formularzy i klauzul zgody, np. w systemie CMS z historią zmian.
Jak długo przechowywać dokumentację zgód?
Dokumentację zgody należy przechowywać przez cały okres aktywności subskrybenta oraz przez dodatkowy okres przedawnienia ewentualnych roszczeń — w praktyce przyjmuje się minimum 3 lata od cofnięcia zgody lub ostatniego kontaktu, zgodnie z ogólnymi terminami przedawnienia z Kodeksu cywilnego.
Błąd 5. Polityka prywatności jako „martwy dokument" bez klauzul informacyjnych przy formularzach
Wiele sklepów ma rozbudowaną politykę prywatności — i na tym poprzestaje. Tymczasem RODO w art. 13 wymaga, żeby informacje o przetwarzaniu danych były przekazywane w momencie zbierania danych, a nie tylko gdzieś na stronie w zakładce „Dokumenty prawne". Samo odesłanie linkiem „Szczegóły w polityce prywatności" bez skrótowej klauzuli informacyjnej przy formularzu to naruszenie obowiązku informacyjnego.
Czym różni się polityka prywatności od klauzuli informacyjnej?
Polityka prywatności to ogólny dokument opisujący wszystkie procesy przetwarzania danych w firmie. Klauzula informacyjna (zwana też „obowiązkiem informacyjnym" lub „RODO-klauzulą") to skondensowana informacja kontekstowa — umieszczana bezpośrednio przy konkretnym formularzu, dotycząca wyłącznie danych zbieranych w tym formularzu. Obie rzeczy muszą istnieć jednocześnie.
Co musi zawierać klauzula informacyjna przy formularzu zapisu na newsletter?
- Tożsamość i dane kontaktowe administratora (art. 13 ust. 1 lit. a RODO).
- Cel i podstawa prawna przetwarzania (art. 13 ust. 1 lit. c RODO).
- Okres przechowywania danych lub kryteria jego ustalenia (art. 13 ust. 2 lit. a RODO).
- Informacja o prawach użytkownika: dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie (art. 13 ust. 2 lit. b RODO).
- Prawo do wniesienia skargi do PUODO (art. 13 ust. 2 lit. d RODO).
- Informacja o ewentualnym przekazywaniu danych do podmiotów trzecich lub państw trzecich.
Nie musi to być ściana tekstu — dobra klauzula informacyjna przy formularzu newslettera zajmuje 5–8 zdań i może być rozwijana przyciskiem „Więcej informacji", o ile domyślnie widoczna część zawiera kluczowe elementy.
Bonus: najczęściej pomijane detale, które kończą się upomnieniem UODO
Poza pięcioma głównymi błędami warto zwrócić uwagę na kilka pomijanych kwestii, które regularnie pojawiają się w postępowaniach UODO:
- Brak możliwości łatwego cofnięcia zgody — link „wypisz się" musi być widoczny w każdej wiadomości marketingowej, a proces wypisania się nie może wymagać logowania ani wysyłania e-maila na adres biura obsługi. Wymóg wynika z art. 7 ust. 3 RODO.
- Reaktywacja bazy bez ponownej zgody — jeśli sklep nie kontaktował się z subskrybentami przez ponad 2–3 lata, zgoda mogła wygasnąć de facto (brak aktualności celu). Przed wysyłką do „uśpionej" bazy należy zweryfikować, czy zgody są nadal aktualne.
- Zgoda zbierana przez podmioty trzecie — kupowanie list mailingowych lub korzystanie z partnerskich formularzy bez weryfikacji treści zgody to proszenie się o kłopoty. Administrator odpowiada za to, że zgoda była ważna — nawet jeśli zbierał ją ktoś inny.
- Formularz zgody marketingowej RODO w wersji mobilnej — checkboxy, które na desktopie wyglądają poprawnie, na smartfonie mogą się nakładać lub być nieklikalne. To nie tylko problem UX, ale też argument, że zgoda nie była „swobodna i jednoznaczna".
Jak szybko zaudytować swój sklep?
Zamiast zlecać od razu kosztowny audyt prawny, zacznij od prostej listy kontrolnej. Sprawdź każdy formularz na stronie sklepu pod kątem poniższych pytań:
- Czy zgoda marketingowa jest oddzielona od akceptacji regulaminu?
- Czy każdy kanał komunikacji (e-mail, SMS) ma osobny checkbox?
- Czy klauzula zgody wymienia administratora, cel i kanał komunikacji?
- Czy przy formularzu jest skrócona klauzula informacyjna z art. 13 RODO?
- Czy system rejestruje timestamp i wersję klauzuli dla każdego zapisu?
- Czy banner cookies nie jest traktowany jako substytut zgody marketingowej?
- Czy link do wypisania się działa i nie wymaga logowania?
Jeśli na którekolwiek z tych pytań odpowiedź brzmi „nie" lub „nie wiem" — masz konkretny punkt startowy do poprawy. Narzędzia do mailingu, które integrują się z formularzami na stronie i automatycznie rejestrują dane zgód (jak MailerPRO), mogą wyeliminować błąd nr 4 praktycznie bez dodatkowego nakładu pracy. Resztę — prawidłowe klauzule, separację checkboxów i politykę prywatności — warto skonsultować z prawnikiem specjalizującym się w RODO dla e-commerce, zanim zrobi to za Ciebie inspektor UODO.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
