Wysyłanie maili marketingowych do polskich odbiorców wymaga zgodności z kilkoma przepisami prawa. RODO, ustawa o świadczeniu usług drogą elektroniczną (uśude) i prawo telekomunikacyjne traktują email marketing poważnie — naruszenie grozi karami od regulatorów. Dowiedz się, jakie są Twoje obowiązki jako nadawcy maili i jak uniknąć problemów prawnych.
Co to jest RODO i dlaczego dotyczy email-marketingu?
RODO to polska nazwa Rozporządzenia o Ochronie Danych Osobowych — europejskiego prawa ochrony prywatności wdrożonego w Polsce w maju 2018 roku. Kluczowa dla email-marketingu jest ta część: adresy email traktowane są jako dane osobowe, ponieważ można na ich podstawie zidentyfikować lub skontaktować się z osobą.
Jeśli przetwarzasz email-adresy — zbierasz je, przechowujesz w bazie CRM, wysyłasz do nich wiadomości — to przetwarzasz dane osobowe. Według RODO każde przetwarzanie danych musi mieć podstawę prawną. Dla osób, które nie są jeszcze klientami (zimne maile marketingowe), prawie jedyną możliwą podstawą jest wyraźna i dobrowolna zgoda.
To oznacza, że zanim wyślesz pierwszego maila promocyjnego, osoba musi Ci wyraźnie powiedzieć: „Zgadzam się na maile od Ciebie". Zgoda nie może być wymogiem dostępu do usługi (chyba że samą usługą jest wysyłka informacyjnych maili), nie może być ukryta w regulaminie i nie powinna być wstępnie zaznaczona.
Podstawowe obowiązki nadawcy maili
Prawo RODO narzuca na Ciebie kilka konkretnych zobowiązań, aby wysyłanie maili było legalne:
- Jasna identyfikacja nadawcy — każdy mail musi zawierać Twoją rzeczywistą nazwę biznesu, numer NIP (jeśli to osoba prawna) lub imię i nazwisko (jeśli osoba fizyczna). Nie możesz maskować się pod kogoś innego, używać niejasnych nazw typu „Marketing" lub wysyłać z wydzielonego, nienazwanego adresu.
- Możliwość łatwej i szybkiej rezygnacji — w każdym mailu musi być wyraźny link „Wypisz mnie" lub „Rezygnuję z maili" dostępny bez logowania. Osoba musi móc zrezygnować jednym kliknięciem w ciągu kilku sekund — nie poprzez wysłanie mejla, nie poprzez wypełnienie formularza.
- Ewidencja i dokumentacja zgód — musisz przechowywać dowody, że osoba się zgodziła. To mogą być screeny formularzy zgody, logi z bazy CRM z datą i godziną, emaile potwierdzające, wyeksportowane dane. Jeśli PUODO Cię sprawdza, musisz być w stanie natychmiast wykazać, że dana osoba chciała dostać Twoje maile.
- Polityka prywatności i RODO — musisz mieć dostępną, przejrzystą politykę, w której wyjaśniasz: jakie dane przetwarzasz (email, imię, wiek?), na jak długo je przechowujesz, jaki jest cel przetwarzania, czy przesyłasz je trzecim stronom, jakie ma osoba prawa (dostęp, usunięcie, sprzeciw).
Zgoda marketingowa — co musisz wiedzieć
Zgoda na maile marketingowe musi spełnić kilka kryteriów:
- Wyraźna (explicit consent) — osoba musi wybrać zaznaczenie checkboxa, kliknąć przycisk 'Zgadzam się' lub inaczej aktywnie działać. Domyślna, wstępnie zaznaczona zgoda nie liczy się.
- Dobrowolna — niezwiązana z dostępem do usługi (chyba że samą usługą jest mailer). Na przykład: „Zgadzam się na maile marketingowe" to OK. Ale: „Musisz się zgodzić na maile, aby opuszczać forum" — to nie OK.
- Odwołalna — osoba musi mieć takie samo prawo do wycofania zgody, jak do jej udzielenia. Jeśli zaznaczenie checkboxa zajęło 2 sekundy, to odznaczenie też powinno zająć 2 sekundy.
Najlepszą praktyką jest tzw. double opt-in: osoba zaznacza zgodę w formularzu, a potem kliknie link w potwierdzającym mailu. To daje jeszcze bardziej niekwestionowalne dowody, że osoba rzeczywiście chciała się zarejestrować do maili.
Prawo telekomunikacyjne — dodatkowe wymagania
Oprócz RODO, w Polsce obowiązuje prawo telekomunikacyjne. Artykuł 172 Prawa telekomunikacyjnego wymaga wyraźnej zgody każdej osoby przed wysłaniem jej pierwszego komunikatu marketingowego. Email jest traktowany jako 'urządzenie końcowe' — tak jak numer telefonu — dlatego prawo telekomunikacyjne chroni go specjalnie.
Równolegle obowiązuje też ustawa o świadczeniu usług drogą elektroniczną (uśude, zwana też ustawą o handlu elektronicznym), która wymaga zgody na wysyłkę maili handlowych, promocyjnych i informacyjnych. W uśude znajdziesz wymóg, aby każdy mail zawierał informacje o nadawcy, ale także aby osoba mogła łatwo zrezygnować.
Na praktyce: te trzy przepisy (RODO, prawo telekomunikacyjne, uśude) działają razem i wymagają tego samego: wyraźnej, dokumentowanej zgody na maile marketingowe. Choć formalnie mają różne cele, w rzeczywistości dla email-marketera oznaczają jedno — musisz być pewny, że osoba chce od Ciebie maile.
PUODO i UOKiK — kto kontroluje
W Polsce są dwa główne regulatory, które mogą Cię ukarać za nieprzestrzeganie przepisów:
- PUODO (Prezes Urzędu Ochrony Danych Osobowych) — kontroluje naruszenia RODO, czyli niezgodne przetwarzanie danych osobowych. Jeśli wysyłasz maile bez zgody, PUODO może nałożyć karę aż do 4% Twojego rocznego przychodu. To może być kwota sięgająca setek tysięcy złotych dla średniego biznesu.
- UOKiK (Urząd Ochrony Konkurencji i Konsumentów) — kontroluje praktyki handlowe i może uznać spam za niedozwolone praktyki handlowe. UOKiK może nałożyć karę administracyjną, a jego orzeczenia mogą wejść w życie nawet szybciej niż decyzje PUODO.
Oba urzędy otrzymują skargi od konsumentów i przeprowadzają kontrole. Jeśli Twój spam trafi do regulatorów, mogą ukarać Cię pieniężnie, a w najgorszym razie zakazać Ci email-marketingu całkowicie.
Konsekwencje złamania przepisów
Niezastosowanie się do RODO i prawa telekomunikacyjnego może mieć poważne skutki:
- Kary finansowe od PUODO (do 4% obrotu) i UOKiK
- Pozwy od osób, które czują się poszkodowane (mogą żądać odszkodowania za niedozwolone przetwarzanie)
- Utrata reputacji — regularni odbiorcy mogą opublikować negatywne opinie
- Automatyczne blokowanie Twojej domeny przez filtry spamowe
- Izolacja — dostawcy poczty mogą całkowicie zablokować Twoją domenę, jeśli będzie ciągle łamać przepisy
Dlatego warto zainwestować chwilę w poprawną organizację zgód już na początku. To nie tylko wymóg prawny, ale też bezpieczny fundament dla długoterminowego sukcesu email-marketingu. Jeśli chcesz upewnić się, że Twoje maile są dostarczane do skrzynki odbiorczej (a nie do spamu), zadbaj najpierw o zgodność z RODO — będą to Twoje pierwsze kroki.