W jednym zdaniu. Agencja marketingowa jest procesorem, gdy prowadzi kampanie na danych klienta, a administratorem, gdy buduje własne bazy leadów — od tego rozróżnienia zależą umowy, obowiązki i odpowiedzialność wobec UODO.
RODO w agencji marketingowej rozstrzyga się na jednym pytaniu: czyje to dane. Agencja bez przerwy porusza się między dwiema rolami — raz przetwarza dane w imieniu klienta, raz buduje własne bazy i sama decyduje o celach. Pomylenie tych ról prowadzi do braku właściwych umów i realnego ryzyka kary. Agencje obsługują klientów z różnych branż — od handlu detalicznego i hoteli oraz gastronomii po startupy i firmy SaaS — a każda z nich stawia własne wymogi wobec danych.
Najważniejsze punkty
- Agencja jest procesorem, gdy działa na danych klienta według jego instrukcji.
- Agencja jest administratorem własnych baz leadów, newslettera i danych pozyskanych na własny rachunek.
- Cold mailing i telemarketing po wejściu Prawa komunikacji elektronicznej (PKE) wymagają zgody odbiorcy.
- UODO ukarał ClickQuickNow za utrudnianie wycofania zgody (decyzja z 2019 r., ok. 201 tys. zł).
- Każda relacja klient-agencja jako powierzenie wymaga umowy z art. 28 RODO.
1. Procesor czy administrator — decydujące pytanie
To rozróżnienie determinuje wszystkie obowiązki:
| Sytuacja | Rola agencji | Co jest potrzebne |
|---|---|---|
| Kampania na bazie klienta | Procesor | umowa powierzenia (art. 28) |
| Obsługa CRM/newslettera klienta | Procesor | umowa powierzenia |
| Własna baza leadów agencji | Administrator | podstawa prawna, klauzule |
| Newsletter agencji | Administrator | zgody, obowiązek informacyjny |
| Zakup usług analitycznych na własny rachunek | Administrator | ocena podstaw i transferów |
Gdy klient zleca agencji wysyłkę do własnej bazy, agencja jest procesorem — działa na cudzych danych według instrukcji. Gdy agencja buduje bazę leadów, którą oferuje różnym klientom, jest administratorem i sama odpowiada za legalność pozyskania danych.
2. Cold mailing i telemarketing po PKE
Prawo komunikacji elektronicznej (PKE), które zastąpiło dawne przepisy Prawa telekomunikacyjnego, utrzymuje zasadę: przesyłanie informacji handlowej drogą elektroniczną i marketing telefoniczny wymagają uprzedniej zgody odbiorcy. Kupowanie baz e-maili z internetu i masowa wysyłka „na zimno" bez zgody to naruszenie zarówno przepisów o komunikacji elektronicznej, jak i RODO.
Praktyczne reguły:
- Cold mailing B2B nie jest automatycznie legalny — także wymaga zgody na kanał elektroniczny.
- Zgoda musi być dobrowolna, konkretna i możliwa do wykazania (art. 7 RODO).
- Odbiorca musi mieć łatwą możliwość wycofania zgody i sprzeciwu.
Szczegółowe reguły marketingu opisujemy w przewodniku po marketingu bezpośrednim oraz w tekście o cookies i Prawie komunikacji elektronicznej.
3. Podstawy prawne w kampaniach
Dla własnych baz agencja opiera się na art. 6 RODO: zgoda (art. 6 ust. 1 lit. a) dla marketingu elektronicznego lub uzasadniony interes (lit. f) dla części działań, przy respektowaniu prawa do sprzeciwu. Dla danych pozyskanych pośrednio (np. z bazy zewnętrznej) agencja jako administrator musi spełnić obowiązek informacyjny z art. 14 RODO — to punkt, na którym najczęściej wykłada się cały model „kupionej bazy".
4. Cookies i technologie śledzące
Kampanie digital opierają się na pikselach, tagach i cookies. Ich instalacja w urządzeniu użytkownika wymaga zgody na warunkach określonych w przepisach o komunikacji elektronicznej i RODO. Agencja wdrażająca tagi na stronie klienta powinna zadbać, by strona miała działającą platformę zgód (CMP) i by tagi marketingowe nie ładowały się przed uzyskaniem zgody. Reguły zgody na pliki cookies rozwijamy w osobnym tekście o zgodzie na cookies.
5. Kary UODO w marketingu
Enforcement w tym obszarze jest realny. Głośnym przykładem jest sprawa ClickQuickNow — UODO nałożył karę (decyzja z 2019 r., ok. 201 tys. zł) za utrudnianie wycofania zgody na przetwarzanie danych w celach marketingowych. Wniosek dla agencji: mechanizm rezygnacji musi być tak prosty, jak wyrażenie zgody. Skomplikowane, wieloetapowe „odpisywanie się" to samodzielna podstawa sankcji. Mechanizm wymiaru kar opisujemy w przewodniku po karach administracyjnych RODO.
6. Umowy z klientami i podprocesorzy
W modelu procesora agencja musi mieć z każdym klientem umowę powierzenia (art. 28), a jeśli korzysta z narzędzi (platformy mailingowe, analityka, chmura) — zawrzeć umowy sub-powierzenia i uzyskać zgodę klienta na podprocesorów. Typowi podprocesorzy: dostawca e-mail marketingu, platforma reklamowa, hosting, narzędzia analityczne. Wiele z nich to podmioty spoza EOG — wymaga to oceny legalności transferu danych.
7. Legiscope w praktyce agencji
Agencja żonglująca dziesiątkami klientów, rolami procesora i administratora oraz zestawem podprocesorów musi utrzymać spójny rejestr czynności i komplet umów. Platforma taka jak Legiscope pozwala prowadzić rejestr, klauzule i umowy powierzenia w jednym, wersjonowanym systemie z eksportem gotowym na kontrolę UODO — zamiast rozproszonych plików dla każdego klienta.
8. Lead generation i legalność źródła danych
Generowanie leadów to rdzeń wielu agencji, a zarazem obszar największego ryzyka. Gdy agencja buduje bazę leadów, jest administratorem i musi wykazać legalne źródło każdego rekordu. Scraping danych z internetu, kupno baz od nieznanych dostawców czy pozyskiwanie kontaktów bez podstawy prowadzą wprost do naruszenia. Kluczowe zasady:
- Każdy lead musi mieć udokumentowaną podstawę pozyskania (zgoda, formularz, wyraźne działanie osoby).
- Dla danych z konkursów i lead magnetów zakres celu musi być jasny w momencie zbierania.
- Obowiązek informacyjny z art. 14 RODO dotyczy danych pozyskanych pośrednio — to praktyczny test legalności „kupionej bazy".
- Profilowanie leadów pod kampanie wymaga poinformowania osób.
Agencja, która nie potrafi wskazać źródła leada, nie powinna go przetwarzać.
9. Najczęstsze błędy agencji
- Mieszanie ról — jedna baza używana raz jako „dane klienta", raz jako „własna baza agencji".
- Brak umów powierzenia z klientami przy prowadzeniu ich kampanii.
- Cold mailing bez zgody na kanał elektroniczny.
- Utrudnione wypisanie się z bazy (lekcja ze sprawy ClickQuickNow).
- Tagi marketingowe ładowane przed uzyskaniem zgody na cookies.
- Podprocesorzy spoza EOG bez oceny transferu.
- Brak realizacji obowiązku informacyjnego wobec osób z baz pozyskanych pośrednio.
Naprawa tych punktów porządkuje zarówno relacje z klientami, jak i ekspozycję agencji na sankcje UODO.
FAQ
Kiedy agencja marketingowa jest procesorem, a kiedy administratorem?
Procesorem — gdy prowadzi kampanie na danych klienta według jego instrukcji (wysyłka do bazy klienta, obsługa jego CRM). Administratorem — gdy buduje i wykorzystuje własne bazy leadów, prowadzi własny newsletter lub sama decyduje o celach przetwarzania. Rolę ocenia się dla każdej czynności osobno.
Czy cold mailing B2B jest legalny w Polsce?
Nie jest automatycznie legalny. Przesyłanie informacji handlowej drogą elektroniczną wymaga uprzedniej zgody odbiorcy zgodnie z przepisami o komunikacji elektronicznej — także w relacjach B2B. Masowa wysyłka do kupionej bazy bez zgody narusza przepisy i RODO.
Za co UODO ukarał ClickQuickNow?
Za utrudnianie wycofania zgody na przetwarzanie danych w celach marketingowych (decyzja z 2019 r., kara ok. 201 tys. zł). Sprawa pokazuje, że mechanizm rezygnacji musi być równie prosty jak wyrażenie zgody — skomplikowany proces „odpisywania się" jest samodzielną podstawą sankcji.
Czy agencja potrzebuje umowy powierzenia z klientem?
Tak, gdy działa jako procesor na danych klienta. Wymaga tego art. 28 ust. 3 RODO. Jeśli agencja korzysta z zewnętrznych narzędzi (mailing, analityka, chmura), potrzebuje też umów sub-powierzenia i zgody klienta na podprocesorów.
Czy agencja może kupić bazę e-maili do kampanii?
W praktyce nie. Marketing elektroniczny do takiej bazy wymaga zgody odbiorców, a jako administrator agencja musiałaby spełnić obowiązek informacyjny z art. 14 RODO wobec każdej osoby. Kupione bazy niemal nigdy tych warunków nie spełniają.
Podsumowanie
Cała zgodność agencji marketingowej zaczyna się od jednego rozstrzygnięcia: czy w danej czynności jest procesorem, czy administratorem. Od tego zależą umowy, obowiązki informacyjne i odpowiedzialność wobec UODO. Agencja prowadząca kampanie na danych klienta potrzebuje umów powierzenia; agencja budująca własne bazy leadów odpowiada za legalność każdego rekordu i za obowiązek informacyjny z art. 14. Do tego dochodzą reguły marketingu elektronicznego po wejściu Prawa komunikacji elektronicznej oraz zgoda na cookies i tagi śledzące. Sprawa ClickQuickNow pokazuje, że nawet pozornie drobny błąd — utrudnione wypisanie się — kończy się sankcją. Agencja, która porządkuje role, umowy i źródła danych, chroni jednocześnie siebie i swoich klientów, bo w łańcuchu marketingu odpowiedzialność rozkłada się na obie strony.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial