Prawo i zgody8 min czytania

RODO a wysyłka maili marketingowych

Wysyłanie maili do polskich odbiorców wymaga zgodności z RODO, ustawą uśude i prawem telekomunikacyjnym. Dowiedz się, jakie są Twoje obowiązki i jakie kary grożą za naruszenia.

Wysyłanie maili marketingowych do polskich odbiorców wymaga zgodności z kilkoma przepisami prawa. RODO, ustawa o świadczeniu usług drogą elektroniczną (uśude) i prawo telekomunikacyjne traktują email marketing poważnie — naruszenie grozi karami od regulatorów. Dowiedz się, jakie są Twoje obowiązki jako nadawcy maili i jak uniknąć problemów prawnych.

Co to jest RODO i dlaczego dotyczy email-marketingu?

RODO to polska nazwa Rozporządzenia o Ochronie Danych Osobowych — europejskiego prawa ochrony prywatności wdrożonego w Polsce w maju 2018 roku. Kluczowa dla email-marketingu jest ta część: adresy email traktowane są jako dane osobowe, ponieważ można na ich podstawie zidentyfikować lub skontaktować się z osobą.

Jeśli przetwarzasz email-adresy — zbierasz je, przechowujesz w bazie CRM, wysyłasz do nich wiadomości — to przetwarzasz dane osobowe. Według RODO każde przetwarzanie danych musi mieć podstawę prawną. Dla osób, które nie są jeszcze klientami (zimne maile marketingowe), prawie jedyną możliwą podstawą jest wyraźna i dobrowolna zgoda.

To oznacza, że zanim wyślesz pierwszego maila promocyjnego, osoba musi Ci wyraźnie powiedzieć: „Zgadzam się na maile od Ciebie". Zgoda nie może być wymogiem dostępu do usługi (chyba że samą usługą jest wysyłka informacyjnych maili), nie może być ukryta w regulaminie i nie powinna być wstępnie zaznaczona.

Podstawowe obowiązki nadawcy maili

Prawo RODO narzuca na Ciebie kilka konkretnych zobowiązań, aby wysyłanie maili było legalne:

  1. Jasna identyfikacja nadawcy — każdy mail musi zawierać Twoją rzeczywistą nazwę biznesu, numer NIP (jeśli to osoba prawna) lub imię i nazwisko (jeśli osoba fizyczna). Nie możesz maskować się pod kogoś innego, używać niejasnych nazw typu „Marketing" lub wysyłać z wydzielonego, nienazwanego adresu.
  2. Możliwość łatwej i szybkiej rezygnacji — w każdym mailu musi być wyraźny link „Wypisz mnie" lub „Rezygnuję z maili" dostępny bez logowania. Osoba musi móc zrezygnować jednym kliknięciem w ciągu kilku sekund — nie poprzez wysłanie mejla, nie poprzez wypełnienie formularza.
  3. Ewidencja i dokumentacja zgód — musisz przechowywać dowody, że osoba się zgodziła. To mogą być screeny formularzy zgody, logi z bazy CRM z datą i godziną, emaile potwierdzające, wyeksportowane dane. Jeśli PUODO Cię sprawdza, musisz być w stanie natychmiast wykazać, że dana osoba chciała dostać Twoje maile.
  4. Polityka prywatności i RODO — musisz mieć dostępną, przejrzystą politykę, w której wyjaśniasz: jakie dane przetwarzasz (email, imię, wiek?), na jak długo je przechowujesz, jaki jest cel przetwarzania, czy przesyłasz je trzecim stronom, jakie ma osoba prawa (dostęp, usunięcie, sprzeciw).
Rada: Ewidencja zgód dla małych biznesów
Nie każdy mail musi zawierać formularz potwierdzenia zgody. Ale musisz mieć dowód, że osoba się zgodziła. Najłatwiej to zorganizować, przechowując datę, źródło zgody i IP-adres w bazie CRM. Nawet Excel ze słupkami wystarczy — byle był, gdy przyjdzie regulacja sprawdzić.

Zgoda marketingowa — co musisz wiedzieć

Zgoda na maile marketingowe musi spełnić kilka kryteriów:

  • Wyraźna (explicit consent) — osoba musi wybrać zaznaczenie checkboxa, kliknąć przycisk 'Zgadzam się' lub inaczej aktywnie działać. Domyślna, wstępnie zaznaczona zgoda nie liczy się.
  • Dobrowolna — niezwiązana z dostępem do usługi (chyba że samą usługą jest mailer). Na przykład: „Zgadzam się na maile marketingowe" to OK. Ale: „Musisz się zgodzić na maile, aby opuszczać forum" — to nie OK.
  • Odwołalna — osoba musi mieć takie samo prawo do wycofania zgody, jak do jej udzielenia. Jeśli zaznaczenie checkboxa zajęło 2 sekundy, to odznaczenie też powinno zająć 2 sekundy.

Najlepszą praktyką jest tzw. double opt-in: osoba zaznacza zgodę w formularzu, a potem kliknie link w potwierdzającym mailu. To daje jeszcze bardziej niekwestionowalne dowody, że osoba rzeczywiście chciała się zarejestrować do maili.

Twój biznesZbieranie emailWymagana wyraźna zgoda (opt-in)PUODO / UOKiKKontrola zgodnościDostarczono (osób zgodnych)Niezgodne: kara, blokada
Etapy zgodności email-marketingu z RODO w Polsce

Prawo telekomunikacyjne — dodatkowe wymagania

Oprócz RODO, w Polsce obowiązuje prawo telekomunikacyjne. Artykuł 172 Prawa telekomunikacyjnego wymaga wyraźnej zgody każdej osoby przed wysłaniem jej pierwszego komunikatu marketingowego. Email jest traktowany jako 'urządzenie końcowe' — tak jak numer telefonu — dlatego prawo telekomunikacyjne chroni go specjalnie.

Równolegle obowiązuje też ustawa o świadczeniu usług drogą elektroniczną (uśude, zwana też ustawą o handlu elektronicznym), która wymaga zgody na wysyłkę maili handlowych, promocyjnych i informacyjnych. W uśude znajdziesz wymóg, aby każdy mail zawierał informacje o nadawcy, ale także aby osoba mogła łatwo zrezygnować.

Na praktyce: te trzy przepisy (RODO, prawo telekomunikacyjne, uśude) działają razem i wymagają tego samego: wyraźnej, dokumentowanej zgody na maile marketingowe. Choć formalnie mają różne cele, w rzeczywistości dla email-marketera oznaczają jedno — musisz być pewny, że osoba chce od Ciebie maile.

PUODO i UOKiK — kto kontroluje

W Polsce są dwa główne regulatory, które mogą Cię ukarać za nieprzestrzeganie przepisów:

  • PUODO (Prezes Urzędu Ochrony Danych Osobowych) — kontroluje naruszenia RODO, czyli niezgodne przetwarzanie danych osobowych. Jeśli wysyłasz maile bez zgody, PUODO może nałożyć karę aż do 4% Twojego rocznego przychodu. To może być kwota sięgająca setek tysięcy złotych dla średniego biznesu.
  • UOKiK (Urząd Ochrony Konkurencji i Konsumentów) — kontroluje praktyki handlowe i może uznać spam za niedozwolone praktyki handlowe. UOKiK może nałożyć karę administracyjną, a jego orzeczenia mogą wejść w życie nawet szybciej niż decyzje PUODO.

Oba urzędy otrzymują skargi od konsumentów i przeprowadzają kontrole. Jeśli Twój spam trafi do regulatorów, mogą ukarać Cię pieniężnie, a w najgorszym razie zakazać Ci email-marketingu całkowicie.

Konsekwencje złamania przepisów

Niezastosowanie się do RODO i prawa telekomunikacyjnego może mieć poważne skutki:

  • Kary finansowe od PUODO (do 4% obrotu) i UOKiK
  • Pozwy od osób, które czują się poszkodowane (mogą żądać odszkodowania za niedozwolone przetwarzanie)
  • Utrata reputacji — regularni odbiorcy mogą opublikować negatywne opinie
  • Automatyczne blokowanie Twojej domeny przez filtry spamowe
  • Izolacja — dostawcy poczty mogą całkowicie zablokować Twoją domenę, jeśli będzie ciągle łamać przepisy

Dlatego warto zainwestować chwilę w poprawną organizację zgód już na początku. To nie tylko wymóg prawny, ale też bezpieczny fundament dla długoterminowego sukcesu email-marketingu. Jeśli chcesz upewnić się, że Twoje maile są dostarczane do skrzynki odbiorczej (a nie do spamu), zadbaj najpierw o zgodność z RODO — będą to Twoje pierwsze kroki.

Czy muszę zbierać email w osobnym formularzu do zgody na maile marketingowe?

Nie koniecznie — możesz zbierać email razem z innymi danymi, ale musi być jasne, że osoba się zgadza na maile marketingowe. Zazwyczaj najlepiej jest dodać osobny checkbox, np. „Zgadzam się na maile z ofertami i artykułami" umieszczony obok pola email. Jeśli nie ma wprost wyrażonej zgody na maile marketingowe (np. osoba zgodziła się tylko na powiadomienia o zamówieniu), to nie możesz im wysyłać maili promocyjnych — nawet jeśli ma to ten sam nadawca.

Czy email transakcyjny (potwierdzenie zamówienia) wymaga zgody RODO?

Email transakcyjne wysyłasz na podstawie umowy, nie na podstawie zgody marketingowej. Potwierdzenie zakupu, potwierdzenie rejestracji, zmiana hasła — to wszystko maile transakcyjne, i możesz je wysyłać bez osobnej zgody marketingowej. Ale jeśli dodasz do takiego maila promocję („Sprawdź także nasze inne produkty!"), to już zmieniasz charakter maila — części promocyjne wymagają zgody.

Co zrobić z emailami od osób, które dały zgodę przed wdrożeniem RODO?

Jeśli masz dokumenty potwierdzające starą zgodę (np. screeny, eksport z bazy CRM z datą), możesz uznać, że zgoda jest ważna. Ale nie polegaj na „wszystko jest w porządku" — jeśli osoba nie interagowała z Twoimi mailami przez rok lub więcej, powinien się podnieść alarm. Warto poddać bazę testowi: czy osoby otwierają maile? Jeśli nie, mogły zmienić email, zgubić dostęp czy po prostu stracić zainteresowanie. Warto czasem poprosić o ponowne potwierdzenie zgody — wysłanie maila re-engagement'owego i usunięcie osób, które nie reagują, to standardowa praktyka.
Powiązane artykuły
Found this useful? Share it
AB
O autorze
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Sprawdź dostarczalność u ponad 20 dostawców

Gmail, Outlook, WP, Onet, Interia, GMX, ProtonMail i inne. Prawdziwe zrzuty skrzynki odbiorczej, SPF/DKIM/DMARC, werdykty filtrów antyspamowych. Za darmo, bez rejestracji.

Uruchom darmowy test →

Testy bez limitu · Ponad 20 skrzynek · Wyniki na żywo · Bez konta