Prawo i zgody8 min czytania

Kara za spam w Polsce: rola UOKiK i PUODO

Wysyłanie emaili bez zgody odbiorcy lub ukrywanie tożsamości nadawcy to nie tylko złe praktyki — to naruszenia prawa polskiego, które mogą przynieść poważne konsekwencje finansowe i wizerunkowe.

Polska ma jedne z najsurowszych przepisów dotyczących spam-maili w Europie. Dwa kluczowe podmioty — PUODO i UOKiK — egzekwują te przepisy i mogą nakładać znaczące kary na przedsiębiorców, którzy naruszają prawo. Jeśli wysyłasz maile marketingowe do polskich odbiorców, warto zrozumieć, na czym polega odpowiedzialność, jakimi przepisami się kierują regulatorzy i jak chronić się przed karami.

RODO i zgoda marketingowa — fundamenty

Przepisy antispamowe w Polsce opierają się przede wszystkim na RODO (Rozporządzeniu o Ochronie Danych Osobowych — polskiej implementacji europejskiego GDPR). Jednak sam RODO to jeszcze nie wszystko. Parallelnie obowiązuje Ustawa o świadczeniu usług drogą elektroniczną (uśude), która wyraźnie stanowi, że każde maile marketingowe wymagają wcześniejszej, dobrowolnej i wyraźnej zgody odbiorcy.

Co ważne, zgoda nie może być milcząca, domniemana ani ukryta w regulaminie. Musi być aktywnym działaniem odbiorcy (np. zaznaczeniem pola checkboxu) — najlepiej podczas zapisywania się do listy mailingowej. Brak takiej zgody lub wysyłanie maili osobom, które jej nie wyraziły, to automatyczne naruszenie ustawy.

Oprócz tego działa także Prawo telekomunikacyjne (Pt), artykuł 172, które stanowi, że wysłanie wiadomości na telefon, email czy inny terminal telekomunikacyjny w celach marketingowych także wymaga uprzedniej zgody — nawet jeśli otrzymawca jest już Twoim klientem. W praktyce PUODO i UOKiK interpretują te przepisy razem, tworząc rozległy system ochrony.

Rola PUODO w egzekwowaniu RODO

PUODO (Prezes Urzędu Ochrony Danych Osobowych) to polski odpowiednik europejskiego nadzorcy ochrony danych. Jego głównym zadaniem jest pilnowanie, aby przedsiębiorcy i instytucje publiczne respektowały RODO.

W kontekście maili marketingowych PUODO zwraca uwagę na:

  • Legalną podstawę przetwarzania danych — musi to być zgoda w rozumieniu RODO, czyli rzeczywiście dobrowolna i świadoma, a nie wymuszana warunkami handlowymi;
  • Przechowywanie adresów email — jak długo przechowujesz dane osób, które zrezygnowały i czy prowadziłeś listę rezygnacji;
  • Bezpieczeństwo danych — jak chronisz bazy adresów przed kradzieżą lub wyciekiem;
  • Realizację uprawnień osób fizycznych — czy łatwo mogą wycofać zgodę, poprosić o usunięcie danych lub otrzymać kopię swoich informacji.

Jeśli PUODO stwierdzi naruszenie, może wymierzyć karę w wysokości nawet kilka milionów złotych w zależności od skali wykroczenia. W praktyce mniejsze naruszenia mogą skutkować karami w dziesiątkach, a większe w setkach tysięcy złotych.

Nadawca bez RODOBrak SPF/DKIMNiezweryfikowanyFiltry regulatorówPUODO, UOKiKSpam → SprawaKara, wznowienie
Przebieg maila: od nadawcy przez filtry antyspamowe do skrzynki odbiorcy — i jak regulatorzy reagują na naruszenia

Rola UOKiK — ochrona konsumentów przed nieuczciwymi praktykami

UOKiK (Urząd Ochrony Konkurencji i Konsumentów) podchodzi do spam-maili z innego kąta. Ten regulator zajmuje się nieuczciwymi praktykami handlowymi — czyli takimi, które mogą wprowadzić konsumenta w błąd lub ograniczyć jego możliwości podejmowania decyzji.

UOKiK interweniuje, gdy:

  • Maile nie zawierają jasnej identyfikacji nadawcy lub pretendują do bycia wiadomościami od innego podmiotu (phishing, spoofing);
  • Utrudniają rezygnację z maili marketingowych — na przykład link do rezygnacji jest tak mały, że prawie niewidoczny, lub wymaga zalogowania;
  • Zawierają wprowadzające w błąd oferty, takie jak "100% rabatu" z warunkami w druku, który nikt nie czyta;
  • Nie informują odbiorcy o koszcie obsługi reklamacji, na przykład że wymaga wysłania SMS;
  • Naruszają zasadę uczciwości w konkurencji — na przykład wysyłają maile do rejestrów, z których nie masz uprawnień.

UOKiK może nałożyć kary na przedsiębiorstwo, nakazać naprawę i wznowienie szkód. W przypadku rażących naruszań może również zwrócić się do prokuratury o wszczęcie postępowania karnego.

Kluczowy praktyczny poradnik
Zanim wyślesz masowy mailing do polskich odbiorców, przygotuj dokumentację zgód. Zachowaj kopie formularzy rejestracji, potwierdzenia subskrypcji (double opt-in) i historię korespondencji. Jeśli pojawi się kontrola od PUODO czy UOKiK, ta dokumentacja jest Twoją najlepszą obroną. Bez niej będzie trudno udowodnić, że odbiorcy wyrazili zgodę.

Rodzaje kar i ich wymiar w praktyce

Polska nie określa sztywnych kwot za każde naruszenie — regulatorzy patrzą na kontekst: skalę naruszenia, liczbę poszkodowanych osób, czy była to pierwsza czy powtórna wina, oraz czy przedsiębiorstwo aktywnie naprawia problemy.

Kary mogą przyjąć różne formy:

  1. Grzywny i administracyjne kary pieniężne — od PUODO w ramach RODO lub od UOKiK w ramach ochrony konkurencji. W poważnych przypadkach mogą sięgać milionów złotych.
  2. Nakaz zaprzestania praktyki — regulator każe natychmiast przestać naruszać prawo i narzuca konkretne działania naprawcze.
  3. Wznowienie szkód — możliwość, że poszkodowani konsumenci będą mogli złożyć pozew o odszkodowanie.
  4. Opublikowanie decyzji — regulator często publikuje swoje orzeczenia, co szkodzi reputacji firmy i daje sygnał rynkowi.
  5. Powiadomienie prokuratura — w przypadku podejrzenia oszustwa lub celowego działania na szkodę konsumentów mogą zostać wszczęte postępowanie karne.

Dlatego warte zapamiętania: nawet mały mailing do 100 osób bez zgody może przynieść kontrolę regulatorów. Duży mailing do tysięcy bez dokumentacji zgód to poważna sprawa, która oznacza kary w wysokości setek tysięcy lub milionów złotych.

Jak chronić się przed karami — praktyczne kroki

Jeśli chcesz wysyłać maile marketingowe w Polsce bez ryzyka kar, postępuj zgodnie z poniższym checklist-em:

  1. Zbieraj zgody jawnie i dokumentuj je. Używaj formularzy z jasnym checkboxem (nie pre-checked) wyraźnie stwierdzającym, że osoba chce otrzymywać maile marketingowe. Przechowuj te formularze co najmniej tyle czasu, ile przechowujesz dane.
  2. Wysyłaj potwierdzenie subskrypcji (double opt-in). Wyślij wiadomość weryfikacyjną, w której osoba musi kliknąć link, aby potwierdzić chęć otrzymywania maili. To dowód, że zgoda była autentyczna.
  3. Jasna identyfikacja nadawcy. W każdym mailu powinna być wyraźnie widoczna nazwa Twojej firmy, adres siedziby i dane kontaktowe. Nie ukrywaj tych informacji.
  4. Link do rezygnacji musi być prosty i widoczny. Umieść go w stopce każdego maila, aby osoba mogła wycofać zgodę jednym kliknięciem. Regulatorzy testują to — jeśli wymagasz zalogowania lub przechodzenia przez pięć stron, to naruszenie.
  5. Szanuj listy rezygnacji. Jeśli osoba się wypisała, nie wysyłaj jej więcej maili (z wyjątkiem transakcyjnych, które nie są marketingowe).
  6. Testuj dostarczalność swoich maili. Narzędzia takie jak darmowy test dostarczalności maili pokazują, czy Twoje wiadomości trafiają do skrzynki odbiorcy czy do spamu. To pomaga wychwycić problemy ze SPF, DKIM czy DMARC, zanim zjawiś się regulatorzy.
  7. Konfiguruj SPF, DKIM i DMARC. Te protokoły autentykacji sprawiają, że Twoje maile są mniej podatne na spoofing i podszywanie się. Dostawcy poczty w Polsce, tacy jak WP.pl czy Onet, zwracają szczególną uwagę na maile od nadawców bez prawidłowych rekordów DNS.
  8. Prowadź politykę prywatności i Oświadczenie o Warunkach Obsługi (OWO). Wyjaśnij, jak przetwarzasz dane, na ile długo je przechowujesz i jak osoba może się wycofać. Umieść to na swojej stronie internetowej.
  9. Przeszkolenie zespołu. Upewnij się, że każdy w Twojej firmie, kto ma dostęp do baz kontaktów, rozumie przepisy. Jednorazowy błąd Junior Marketera może kosztować firmę znacznie więcej niż koszt szkolenia.

Polska vs. reszta Europy — czy przepisy tutaj są surowsze?

Polska ma reputację kraju ze zdecydowanie surowszą egzekucją przepisów antispamowych niż np. Niemcy czy Wielka Brytania. Wynika to z kilku czynników: tradycja ochrony konsumentów, duża liczba spam-maili pochodzących z zagranicy oraz dość aktywna działalność PUODO i UOKiK w ostatnich latach.

W praktyce polska regulacja opiera się na tym samym fundamencie co europejska (GDPR plus Dyrektywa ePrivacy), ale jej egzekucja może być bardziej rygorystyczna. Dlatego jeśli będziesz zgodny z polskim prawem, będziesz zgodny również z większością innych krajów europejskich.

Czy mogę wysyłać maile do osób, które są moimi klientami, bez ich wcześniejszej zgody na marketing?

To zależy od tego, jak definiujesz „maile do klientów". Jeśli wysyłasz transakcyjne maile (potwierdzenie zamówienia, paragon, informacja o wysyłce), to nie potrzebujesz dodatkowej zgody — są to wiadomości niezbędne do realizacji umowy. Ale jeśli chcesz wysyłać maile marketingowe (promocje, nowe oferty, newsletter), to musisz mieć wyraźną zgodę, nawet jeśli osoba kupiła od Ciebie coś w przeszłości. Wyjątek: jeśli osoba wyraźnie dała Ci swoją adres email i kontekst sugerował, że zgadza się na marketing, możesz spróbować — ale zawsze najlepiej prosić o potwierdzenie.

Co się stanie, jeśli regulatorzy odkryją moje naruszenia?

PUODO lub UOKiK najpierw wyśle Ci wezwanie do złożenia wyjaśnień. Będziesz mieć szansę wykazać, że naruszenia nie miały miejsca albo że zostały naprawione. Jeśli regulatorzy stwierdzą naruszenie, mogą wydać decyzję administracyjną i nałożyć karę pieniężną. Zawsze możesz się odwołać do sądu administracyjnego, ale dowód będzie po Twojej stronie — będziesz musiał wykazać, że zgody były prawidłowe i dokumentowane.

Czy mogę kupić bazę email-adresów i wysyłać do niej maile marketingowe?

Nie. Baza e-mailowa kupiona od brokera danych nie jest podstawą do wysyłania maili marketingowych. Osoby w tej bazie nie wyraziły zgody na otrzymywanie maili od Ciebie — wyraziły (być może) zgodę dla brokera na przetwarzanie ich danych. To są dwie różne rzeczy. Wysłanie maili do kupionej bazy bez zgód odbiorców to naruszenie zarówno RODO, jak i Ustawy o uśude. Regulatorzy i potencjalni poszkodowani mogą pozwać Cię o odszkodowanie. Jedynym legalnym podejściem jest zaproponowanie potencjalnym kontaktom możliwość zapisania się na newsletter — bez wymuszania tego jako warunku korzystania z usługi.
Powiązane artykuły
Found this useful? Share it
AB
O autorze
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Sprawdź dostarczalność u ponad 20 dostawców

Gmail, Outlook, WP, Onet, Interia, GMX, ProtonMail i inne. Prawdziwe zrzuty skrzynki odbiorczej, SPF/DKIM/DMARC, werdykty filtrów antyspamowych. Za darmo, bez rejestracji.

Uruchom darmowy test →

Testy bez limitu · Ponad 20 skrzynek · Wyniki na żywo · Bez konta