Nieprawidłowa klauzula zgody na newsletter to jeden z najczęstszych powodów decyzji administracyjnych UODO i zastrzeżeń UOKiK wobec polskich firm. Wystarczy jedno zdanie za dużo, brak konkretnego celu lub z góry zaznaczony checkbox — i zgoda jest nieważna. W tym artykule znajdziesz gotowe wzory klauzul zgody mailingowej, wyjaśnienie wymogów prawnych oraz odpowiedzi na pytania, które zadają sobie właściciele sklepów, agencji i firm usługowych przed uruchomieniem newslettera.
Czym jest „ważna zgoda" według RODO?
Rozporządzenie 2016/679 (RODO) definiuje zgodę w art. 4 pkt 11 jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Każde z tych słów ma znaczenie prawne — i każde może być powodem zakwestionowania Twojego formularza zapisu.
- Dobrowolna — subskrypcja nie może być warunkiem zakupu ani rejestracji konta. Jeśli bez zaznaczenia checkboxa nie można złożyć zamówienia, zgoda jest wymuszona i nieważna.
- Konkretna — jeden checkbox nie może obejmować jednocześnie zgody na newsletter, profilowania i przekazania danych partnerom. Każdy cel wymaga osobnej zgody.
- Świadoma — użytkownik musi wiedzieć, kto przetwarza dane, w jakim celu i jak długo. Odesłanie do 40-stronicowej polityki prywatności bez skrótu nie wystarczy.
- Jednoznaczna — checkbox musi być niezaznaczony domyślnie. Wstępnie zaznaczone pole to klasyczny błąd wskazywany przez UODO.
Dodatkowo art. 7 ust. 3 RODO gwarantuje prawo do cofnięcia zgody w dowolnym momencie — i musi to być równie łatwe jak jej udzielenie. Link „wypisz się" w stopce każdego maila to minimum, nie opcja.
Co dodatkowo wymaga UOKiK i Prawo telekomunikacyjne?
RODO to nie jedyny akt prawny, który musisz uwzględnić. Ustawa Prawo telekomunikacyjne (art. 172) zakazuje przesyłania niezamówionej informacji handlowej bez uprzedniej zgody odbiorcy — niezależnie od RODO. UOKiK natomiast bada, czy klauzule zgody nie stanowią niedozwolonych postanowień umownych (klauzul abuzywnych) w relacjach B2C.
W praktyce UOKiK kwestionuje przede wszystkim:
- klauzule zbyt ogólne, np. „zgadzam się na przetwarzanie danych w celach marketingowych" — bez wskazania kanału (email, SMS, telefon),
- łączenie kilku zgód w jednym oświadczeniu,
- brak informacji o administratorze danych w samej klauzuli (nie tylko w polityce prywatności),
- sformułowania sugerujące, że zgoda jest obowiązkowa.
Warto pamiętać, że UOKiK może nałożyć karę do 10% rocznego obrotu firmy za stosowanie praktyk naruszających zbiorowe interesy konsumentów — a nieprawidłowe klauzule zgody wprost się w to wpisują.
Gotowe wzory klauzul zgody na newsletter
Poniżej znajdziesz trzy warianty klauzul dostosowane do różnych sytuacji. Każdy wzór możesz skopiować i dostosować do danych swojej firmy (zaznaczone miejsca w nawiasach kwadratowych).
Wzór 1 — Podstawowy opt-in do newslettera (B2C)
Wyrażam zgodę na przesyłanie przez [Nazwa firmy] z siedzibą w [miasto], będącą administratorem moich danych osobowych, informacji handlowych i marketingowych dotyczących [produktów/usług] drogą elektroniczną na podany adres e-mail. Wiem, że zgodę mogę cofnąć w każdej chwili, klikając link „wypisz się" w każdej wiadomości lub pisząc na [adres e-mail kontaktowy]. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
Ten wariant jest minimalny, ale kompletny. Zawiera: tożsamość administratora, kanał komunikacji (e-mail), cel (informacje handlowe i marketingowe), sposób cofnięcia zgody oraz klauzulę o skutkach wycofania.
Wzór 2 — Rozszerzony opt-in z informacją o profilowaniu
Wyrażam zgodę na przetwarzanie moich danych osobowych (adres e-mail, imię) przez [Nazwa firmy] sp. z o.o. z siedzibą w [miasto], ul. [adres], NIP [NIP], w celu przesyłania newslettera zawierającego informacje o ofercie, promocjach i nowościach. Dane będą przetwarzane do czasu cofnięcia zgody. Wyrażam również zgodę na profilowanie moich zainteresowań na podstawie aktywności w wiadomościach (otwieranie, klikanie linków) w celu dopasowania treści newslettera do moich preferencji. Mam prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz wniesienia skargi do Prezesa UODO. Zgodę mogę cofnąć w każdej chwili bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
Ten wzór stosuj, gdy śledzisz zachowania subskrybentów (open rate, kliknięcia) i personalizujesz treści. Profilowanie wymaga osobnej, wyraźnej wzmianki — bez niej naruszasz art. 22 RODO.
Wzór 3 — Minimalistyczny opt-in (checkbox + rozwinięcie po kliknięciu)
Chcę otrzymywać newsletter [Nazwa firmy] na podany adres e-mail. Szczegóły przetwarzania danych → [link do rozwinięcia lub polityki prywatności]
Ten wariant jest dopuszczalny, pod warunkiem że po kliknięciu „Szczegóły" użytkownik natychmiast widzi pełną informację o administratorze, celu, okresie retencji i prawach — bez konieczności przeszukiwania całej polityki prywatności. Sprawdza się w formularzach mobilnych, gdzie długi tekst odstrasza.
Najczęstsze błędy w formularzach zapisu — FAQ
Czy mogę używać jednego checkboxa do zgody na newsletter i politykę prywatności?
Nie. Akceptacja polityki prywatności to potwierdzenie zapoznania się z informacją (obowiązek z art. 13 RODO), a zgoda na newsletter to odrębna czynność prawna. Połączenie ich w jednym checkboxie sprawia, że zgoda marketingowa staje się warunkiem korzystania z usługi — co narusza zasadę dobrowolności z art. 7 ust. 4 RODO. UODO wielokrotnie wskazywał ten błąd w swoich komunikatach.
Jak długo mogę przechowywać dane subskrybenta?
Dane osobowe subskrybenta możesz przetwarzać do czasu cofnięcia zgody. Po wypisaniu się powinieneś usunąć adres e-mail z listy aktywnych subskrybentów. Wyjątek: możesz przechowywać minimalny zapis (np. adres e-mail + datę i treść zgody + datę wypisania) jako dowód zgodności z RODO — przez okres przedawnienia ewentualnych roszczeń, zazwyczaj 3–6 lat. Taki zapis to tzw. logi zgody.
Czy double opt-in jest wymagany przez prawo?
Przepisy RODO ani Prawa telekomunikacyjnego nie nakazują wprost stosowania double opt-in (potwierdzenia zapisu mailem weryfikacyjnym). Jest on jednak silnie rekomendowany z dwóch powodów: po pierwsze, stanowi dowód, że to faktyczny właściciel adresu wyraził zgodę; po drugie, eliminuje zapisy botów i literówki w adresach. W razie sporu z UODO log potwierdzenia double opt-in to Twój najlepszy argument.
Co zrobić ze starą listą mailingową zebraną przed RODO?
Jeśli zbierałeś adresy przed 25 maja 2018 r. bez prawidłowej podstawy prawnej, masz trzy opcje: a) wysłać kampanię re-opt-in z prośbą o ponowne wyrażenie zgody i usunąć tych, którzy nie zareagowali; b) wykazać, że istnieje inna ważna podstawa przetwarzania (np. uzasadniony interes — art. 6 ust. 1 lit. f RODO, ale tylko przy B2B i przy spełnieniu testu równoważenia interesów); c) usunąć listę. Wysyłanie mailingów do „starej bazy" bez weryfikacji to ryzyko kary do 20 mln EUR lub 4% globalnego obrotu (art. 83 ust. 5 RODO).
Czy zgoda na newsletter obowiązuje też przy SMS-ach i powiadomieniach push?
Tak, ale to muszą być osobne zgody. Zgoda na e-mail nie obejmuje SMS-ów ani web push — każdy kanał komunikacji wymaga odrębnego oświadczenia woli. Jeśli planujesz komunikację wielokanałową, przygotuj osobny checkbox dla każdego medium.
Jak sformułować klauzulę, gdy newsletter wysyła agencja zewnętrzna?
Agencja lub platforma mailingowa działająca w Twoim imieniu to podmiot przetwarzający w rozumieniu art. 28 RODO. W klauzuli zgody administratorem pozostajesz Ty (Twoja firma) — nie agencja. Z agencją musisz podpisać umowę powierzenia przetwarzania danych. W klauzuli wystarczy wskazać, że dane mogą być przekazywane podmiotom świadczącym usługi IT na rzecz administratora, bez konieczności wymieniania nazwy agencji.
Tabela porównawcza: co musi zawierać klauzula zgody
| Element | Wymagany przez RODO? | Wymagany przez UOKiK/PT? | Uwagi |
|---|---|---|---|
| Tożsamość administratora | Tak (art. 13 ust. 1 lit. a) | Tak | Pełna nazwa + siedziba |
| Cel przetwarzania | Tak (art. 13 ust. 1 lit. c) | Tak | Konkretny, nie ogólny |
| Kanał komunikacji (e-mail) | Pośrednio | Tak (art. 172 PT) | Musi być wskazany wprost |
| Prawo do cofnięcia zgody | Tak (art. 7 ust. 3) | Tak | Sposób cofnięcia musi być opisany |
| Okres przechowywania danych | Tak (art. 13 ust. 2 lit. a) | Nie wprost | Lub kryterium jego ustalenia |
| Informacja o profilowaniu | Tak, jeśli stosowane (art. 22) | Nie wprost | Wymagana osobna wzmianka |
| Prawa osoby (dostęp, usunięcie) | Tak (art. 13 ust. 2 lit. b-d) | Nie wprost | Można odesłać do polityki prywatności |
| Niezaznaczony checkbox domyślnie | Tak (motyw 32 RODO) | Tak | Wstępne zaznaczenie = nieważna zgoda |
Jak wdrożyć poprawny formularz zapisu krok po kroku
- Przygotuj klauzulę — wybierz jeden z powyższych wzorów i uzupełnij dane firmy. Jeśli stosujesz profilowanie, użyj wzoru 2.
- Ustaw checkbox jako niezaznaczony domyślnie — to wymóg bezwzględny. Sprawdź to na każdym urządzeniu i w każdej przeglądarce.
- Włącz double opt-in — wyślij e-mail weryfikacyjny i aktywuj subskrybenta dopiero po kliknięciu linku potwierdzającego. Loguj datę i godzinę potwierdzenia.
- Zapisz dowód zgody — przechowuj: adres IP, datę i godzinę zapisu, treść klauzuli obowiązującą w dniu zapisu, datę potwierdzenia double opt-in. Narzędzia takie jak MailerPRO automatyzują zbieranie tych logów przy każdym nowym subskrybencie.
- Dodaj link wypisania do każdej wiadomości — umieść go w stopce, widoczny i działający. Brak linku to naruszenie art. 7 ust. 3 RODO i art. 172 Prawa telekomunikacyjnego jednocześnie.
- Zweryfikuj umowę powierzenia — jeśli korzystasz z zewnętrznej platformy do wysyłki, podpisz umowę powierzenia przetwarzania danych (art. 28 RODO) zanim wyślesz pierwszą wiadomość.
Kiedy zgoda nie jest potrzebna — uzasadniony interes w B2B
W komunikacji B2B (firma do firmy) możliwe jest oparcie mailingu na uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO), pod warunkiem że: kontakt dotyczy produktów lub usług zbliżonych do działalności odbiorcy, odbiorca miał możliwość sprzeciwu przy zbieraniu danych, a Twój interes nie jest nadrzędny wobec praw odbiorcy. Nie zwalnia to jednak z obowiązku umieszczenia linku rezygnacji i przestrzegania art. 172 Prawa telekomunikacyjnego — który wymaga zgody niezależnie od podstawy RODO.
W praktyce: jeśli wysyłasz ofertę do działu zakupów firmy, z którą rozmawiałeś na targach, uzasadniony interes może wystarczyć. Jeśli kupujesz bazę B2B i wysyłasz masowy mailing — ryzyko jest znacznie wyższe i zgoda opt-in pozostaje bezpieczniejszym rozwiązaniem.
Prawidłowa klauzula zgody na newsletter to nie formalność — to fundament, na którym budujesz zaufanie subskrybentów i chronisz firmę przed karami sięgającymi milionów euro. Skopiuj odpowiedni wzór, dostosuj go do swojej działalności i wdróż double opt-in jeszcze przed uruchomieniem kolejnej kampanii. Jeśli masz wątpliwości co do konkretnego przypadku, skonsultuj się z prawnikiem specjalizującym się w ochronie danych — koszt konsultacji jest ułamkiem potencjalnej kary administracyjnej.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
