Ochrona Danych

RODO w agencji marketingowej: przewodnik 2026

RODO w agencji marketingowej: kiedy agencja jest procesorem, a kiedy administratorem, cold mailing po PKE, umowy z klientami i kary UODO. Przewodnik 2026.

Also available in:Français·Deutsch

W jednym zdaniu. Agencja marketingowa jest procesorem, gdy prowadzi kampanie na danych klienta, a administratorem, gdy buduje własne bazy leadów — od tego rozróżnienia zależą umowy, obowiązki i odpowiedzialność wobec UODO.

RODO w agencji marketingowej rozstrzyga się na jednym pytaniu: czyje to dane. Agencja bez przerwy porusza się między dwiema rolami — raz przetwarza dane w imieniu klienta, raz buduje własne bazy i sama decyduje o celach. Pomylenie tych ról prowadzi do braku właściwych umów i realnego ryzyka kary. Agencje obsługują klientów z różnych branż — od handlu detalicznego i hoteli oraz gastronomii po startupy i firmy SaaS — a każda z nich stawia własne wymogi wobec danych.

Najważniejsze punkty

  • Agencja jest procesorem, gdy działa na danych klienta według jego instrukcji.
  • Agencja jest administratorem własnych baz leadów, newslettera i danych pozyskanych na własny rachunek.
  • Cold mailing i telemarketing po wejściu Prawa komunikacji elektronicznej (PKE) wymagają zgody odbiorcy.
  • UODO ukarał ClickQuickNow za utrudnianie wycofania zgody (decyzja z 2019 r., ok. 201 tys. zł).
  • Każda relacja klient-agencja jako powierzenie wymaga umowy z art. 28 RODO.

1. Procesor czy administrator — decydujące pytanie

To rozróżnienie determinuje wszystkie obowiązki:

Sytuacja Rola agencji Co jest potrzebne
Kampania na bazie klienta Procesor umowa powierzenia (art. 28)
Obsługa CRM/newslettera klienta Procesor umowa powierzenia
Własna baza leadów agencji Administrator podstawa prawna, klauzule
Newsletter agencji Administrator zgody, obowiązek informacyjny
Zakup usług analitycznych na własny rachunek Administrator ocena podstaw i transferów

Gdy klient zleca agencji wysyłkę do własnej bazy, agencja jest procesorem — działa na cudzych danych według instrukcji. Gdy agencja buduje bazę leadów, którą oferuje różnym klientom, jest administratorem i sama odpowiada za legalność pozyskania danych.

2. Cold mailing i telemarketing po PKE

Prawo komunikacji elektronicznej (PKE), które zastąpiło dawne przepisy Prawa telekomunikacyjnego, utrzymuje zasadę: przesyłanie informacji handlowej drogą elektroniczną i marketing telefoniczny wymagają uprzedniej zgody odbiorcy. Kupowanie baz e-maili z internetu i masowa wysyłka „na zimno" bez zgody to naruszenie zarówno przepisów o komunikacji elektronicznej, jak i RODO.

Praktyczne reguły:

  • Cold mailing B2B nie jest automatycznie legalny — także wymaga zgody na kanał elektroniczny.
  • Zgoda musi być dobrowolna, konkretna i możliwa do wykazania (art. 7 RODO).
  • Odbiorca musi mieć łatwą możliwość wycofania zgody i sprzeciwu.

Szczegółowe reguły marketingu opisujemy w przewodniku po marketingu bezpośrednim oraz w tekście o cookies i Prawie komunikacji elektronicznej.

3. Podstawy prawne w kampaniach

Dla własnych baz agencja opiera się na art. 6 RODO: zgoda (art. 6 ust. 1 lit. a) dla marketingu elektronicznego lub uzasadniony interes (lit. f) dla części działań, przy respektowaniu prawa do sprzeciwu. Dla danych pozyskanych pośrednio (np. z bazy zewnętrznej) agencja jako administrator musi spełnić obowiązek informacyjny z art. 14 RODO — to punkt, na którym najczęściej wykłada się cały model „kupionej bazy".

4. Cookies i technologie śledzące

Kampanie digital opierają się na pikselach, tagach i cookies. Ich instalacja w urządzeniu użytkownika wymaga zgody na warunkach określonych w przepisach o komunikacji elektronicznej i RODO. Agencja wdrażająca tagi na stronie klienta powinna zadbać, by strona miała działającą platformę zgód (CMP) i by tagi marketingowe nie ładowały się przed uzyskaniem zgody. Reguły zgody na pliki cookies rozwijamy w osobnym tekście o zgodzie na cookies.

5. Kary UODO w marketingu

Enforcement w tym obszarze jest realny. Głośnym przykładem jest sprawa ClickQuickNow — UODO nałożył karę (decyzja z 2019 r., ok. 201 tys. zł) za utrudnianie wycofania zgody na przetwarzanie danych w celach marketingowych. Wniosek dla agencji: mechanizm rezygnacji musi być tak prosty, jak wyrażenie zgody. Skomplikowane, wieloetapowe „odpisywanie się" to samodzielna podstawa sankcji. Mechanizm wymiaru kar opisujemy w przewodniku po karach administracyjnych RODO.

6. Umowy z klientami i podprocesorzy

W modelu procesora agencja musi mieć z każdym klientem umowę powierzenia (art. 28), a jeśli korzysta z narzędzi (platformy mailingowe, analityka, chmura) — zawrzeć umowy sub-powierzenia i uzyskać zgodę klienta na podprocesorów. Typowi podprocesorzy: dostawca e-mail marketingu, platforma reklamowa, hosting, narzędzia analityczne. Wiele z nich to podmioty spoza EOG — wymaga to oceny legalności transferu danych.

7. Legiscope w praktyce agencji

Agencja żonglująca dziesiątkami klientów, rolami procesora i administratora oraz zestawem podprocesorów musi utrzymać spójny rejestr czynności i komplet umów. Platforma taka jak Legiscope pozwala prowadzić rejestr, klauzule i umowy powierzenia w jednym, wersjonowanym systemie z eksportem gotowym na kontrolę UODO — zamiast rozproszonych plików dla każdego klienta.

8. Lead generation i legalność źródła danych

Generowanie leadów to rdzeń wielu agencji, a zarazem obszar największego ryzyka. Gdy agencja buduje bazę leadów, jest administratorem i musi wykazać legalne źródło każdego rekordu. Scraping danych z internetu, kupno baz od nieznanych dostawców czy pozyskiwanie kontaktów bez podstawy prowadzą wprost do naruszenia. Kluczowe zasady:

  • Każdy lead musi mieć udokumentowaną podstawę pozyskania (zgoda, formularz, wyraźne działanie osoby).
  • Dla danych z konkursów i lead magnetów zakres celu musi być jasny w momencie zbierania.
  • Obowiązek informacyjny z art. 14 RODO dotyczy danych pozyskanych pośrednio — to praktyczny test legalności „kupionej bazy".
  • Profilowanie leadów pod kampanie wymaga poinformowania osób.

Agencja, która nie potrafi wskazać źródła leada, nie powinna go przetwarzać.

9. Najczęstsze błędy agencji

  1. Mieszanie ról — jedna baza używana raz jako „dane klienta", raz jako „własna baza agencji".
  2. Brak umów powierzenia z klientami przy prowadzeniu ich kampanii.
  3. Cold mailing bez zgody na kanał elektroniczny.
  4. Utrudnione wypisanie się z bazy (lekcja ze sprawy ClickQuickNow).
  5. Tagi marketingowe ładowane przed uzyskaniem zgody na cookies.
  6. Podprocesorzy spoza EOG bez oceny transferu.
  7. Brak realizacji obowiązku informacyjnego wobec osób z baz pozyskanych pośrednio.

Naprawa tych punktów porządkuje zarówno relacje z klientami, jak i ekspozycję agencji na sankcje UODO.

FAQ

Kiedy agencja marketingowa jest procesorem, a kiedy administratorem?

Procesorem — gdy prowadzi kampanie na danych klienta według jego instrukcji (wysyłka do bazy klienta, obsługa jego CRM). Administratorem — gdy buduje i wykorzystuje własne bazy leadów, prowadzi własny newsletter lub sama decyduje o celach przetwarzania. Rolę ocenia się dla każdej czynności osobno.

Czy cold mailing B2B jest legalny w Polsce?

Nie jest automatycznie legalny. Przesyłanie informacji handlowej drogą elektroniczną wymaga uprzedniej zgody odbiorcy zgodnie z przepisami o komunikacji elektronicznej — także w relacjach B2B. Masowa wysyłka do kupionej bazy bez zgody narusza przepisy i RODO.

Za co UODO ukarał ClickQuickNow?

Za utrudnianie wycofania zgody na przetwarzanie danych w celach marketingowych (decyzja z 2019 r., kara ok. 201 tys. zł). Sprawa pokazuje, że mechanizm rezygnacji musi być równie prosty jak wyrażenie zgody — skomplikowany proces „odpisywania się" jest samodzielną podstawą sankcji.

Czy agencja potrzebuje umowy powierzenia z klientem?

Tak, gdy działa jako procesor na danych klienta. Wymaga tego art. 28 ust. 3 RODO. Jeśli agencja korzysta z zewnętrznych narzędzi (mailing, analityka, chmura), potrzebuje też umów sub-powierzenia i zgody klienta na podprocesorów.

Czy agencja może kupić bazę e-maili do kampanii?

W praktyce nie. Marketing elektroniczny do takiej bazy wymaga zgody odbiorców, a jako administrator agencja musiałaby spełnić obowiązek informacyjny z art. 14 RODO wobec każdej osoby. Kupione bazy niemal nigdy tych warunków nie spełniają.

Podsumowanie

Cała zgodność agencji marketingowej zaczyna się od jednego rozstrzygnięcia: czy w danej czynności jest procesorem, czy administratorem. Od tego zależą umowy, obowiązki informacyjne i odpowiedzialność wobec UODO. Agencja prowadząca kampanie na danych klienta potrzebuje umów powierzenia; agencja budująca własne bazy leadów odpowiada za legalność każdego rekordu i za obowiązek informacyjny z art. 14. Do tego dochodzą reguły marketingu elektronicznego po wejściu Prawa komunikacji elektronicznej oraz zgoda na cookies i tagi śledzące. Sprawa ClickQuickNow pokazuje, że nawet pozornie drobny błąd — utrudnione wypisanie się — kończy się sankcją. Agencja, która porządkuje role, umowy i źródła danych, chroni jednocześnie siebie i swoich klientów, bo w łańcuchu marketingu odpowiedzialność rozkłada się na obie strony.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →