W jednym zdaniu. Marketing bezpośredni w Polsce wymaga jednoczesnego spełnienia wymogów RODO (art. 6, 7), Prawa telekomunikacyjnego (art. 172) i UŚUDE (art. 10), a kara UODO dla Fortum Marketing 4,9 mln zł pokazała koszt niedostatecznego zarządzania bazami marketingowymi.
Najważniejsze punkty
- Potrójna podstawa: RODO + Prawo telekomunikacyjne + UŚUDE.
- E-mail / SMS / telefon do osób fizycznych — zgoda obowiązkowa.
- B2B do firmowych ogólnodostępnych adresów — interes uzasadniony (z testem).
- Soft opt-in dla istniejących klientów — restrykcyjnie, podobne produkty.
- Łatwe wycofanie zgody (jedno kliknięcie / odpowiedź).
- Sprzedaż baz danych z internetu — niezgodna z RODO.
1. Trzy reżimy prawne marketingu
Marketing elektroniczny w Polsce podlega:
- RODO — przetwarzanie danych osobowych (art. 6, 7).
- Prawo telekomunikacyjne (art. 172) — kierowanie informacji handlowej za pomocą automatycznych systemów wywołujących.
- UŚUDE (art. 10) — przesyłanie informacji handlowej drogą elektroniczną.
Marketingiem bezpośrednim w cudzym imieniu zajmują się agencje marketingowe, a intensywnie korzystają z niego też biura nieruchomości; gotowy wzór zgody na przetwarzanie danych ułatwia zebranie prawidłowej zgody marketingowej.
Wszystkie trzy wymagają zgody, ale zgoda PT/UŚUDE jest pierwotna (dotyczy kanału), RODO uzupełnia (dotyczy danych).
2. Kanały marketingu i wymagana zgoda
| Kanał | Zgoda wymagana | Wyjątek |
|---|---|---|
| tak | soft opt-in (podobne produkty) | |
| SMS | tak | soft opt-in |
| Telefon (cold call) | tak | brak |
| Telefon z systemem auto | tak | brak |
| Push (web/mobile) | tak | techniczne dla aplikacji |
| Direct mail (poczta) | nie (interes) | sprzeciw |
| In-app | zgoda lub interes | przy instalacji |
3. Soft opt-in dla istniejących klientów
Art. 172 ust. 2 PT dopuszcza marketing do klientów bez zgody, jeśli:
- to ten sam administrator,
- produkty/usługi są podobne do tych, które klient już kupił,
- klient miał możliwość odmowy w trakcie pozyskania danych i ma możliwość rezygnacji w każdym mailu.
Interpretacja “podobnych produktów” jest restrykcyjna — nie obejmuje całego asortymentu sklepu.
4. Marketing B2B do adresów ogólnych
Marketing do adresów typu kontakt@firma.pl, biuro@firma.pl, info@firma.pl — pole szare. Dyrektywa ePrivacy daje państwom członkowskim wybór. Polska wymaga zgody dla wszystkich adresów elektronicznych (PT art. 172 nie różnicuje B2C/B2B). Wytyczne UODO: dla adresu pracownika z imieniem/nazwiskiem — zgoda. Dla adresu ogólnodostępnego — możliwy interes uzasadniony z dokumentacją LIA.
5. Cold calling
Telefon marketingowy z udziałem człowieka — wymaga zgody (PT art. 172). Telefon z automatycznym systemem wywołującym — bezwzględnie wymaga zgody. UODO regularnie sankcjonuje firmy za masowy cold calling z list zakupionych. Skarga UOKiK i UODO często rozpatrywana razem.
6. Sprawa Fortum Marketing
Decyzja UODO z 19 stycznia 2022 r. — kara 4 911 732 zł (rekord polskiego marketingu). Mechanizm: udostępnienie bazy 137 tys. klientów Fortum podwykonawcy bez umowy powierzenia. Podwykonawca prowadził kampanie telefoniczne z naruszeniem zgód. UODO: brak art. 28, brak nadzoru, brak weryfikacji środków bezpieczeństwa procesora.
7. Sprawa ClickQuickNow
Decyzja DKN.5103.6.2019 — kara 201 559 zł. Mechanizm: wycofanie zgody na marketing wymagało 5 kroków, kontaktu z BOK, pisma. Naruszenie art. 7 ust. 3 RODO (zgoda musi być równie łatwa do wycofania jak do udzielenia). Standard: jedno kliknięcie w mailu, jedna komenda STOP w SMS, jeden formularz online.
8. Bazy danych kupione w internecie
Sprzedaż i kupowanie list e-mailowych jest praktycznie zawsze naruszeniem RODO:
- Brak ważnej podstawy (zgoda zwykle udzielona dla innego administratora).
- Brak realizacji art. 14 (informowanie osób, których dane pochodzą z innych źródeł).
- Brak weryfikacji źródła zgody.
UODO sankcjonuje zarówno sprzedających, jak i kupujących. Inwentaryzacja źródła bazy = element due diligence.
9. Mechanizm Double Opt-in
Standard branżowy dla newslettera:
- Użytkownik wpisuje e-mail w formularz.
- System wysyła mail z linkiem aktywacyjnym.
- Użytkownik klika link — zgoda potwierdzona.
- Log zapisuje: e-mail, timestamp, IP, treść zgody, link wykorzystany.
Bez kroku 3 → tylko “wstępna deklaracja”, nie zgoda. Single opt-in jest niewystarczające dla dowodu (art. 7 ust. 1 RODO).
10. Profilowanie marketingowe
Profilowanie zachowań klientów dla segmentacji (RFM, cluster analysis, scoring lojalności) — interes uzasadniony z LIA + prawo sprzeciwu (art. 21 ust. 2). Klient ma prawo do absolutnego sprzeciwu wobec marketingu (nawet bez uzasadnienia). Profilowanie cross-platform (data brokers, AdTech) — wymaga zgody.
11. Rejestr zgód marketingowych
Wymagana dokumentacja każdej zgody:
- Identyfikator osoby (e-mail, nr telefonu).
- Timestamp ISO 8601.
- Kanał (e-mail, SMS, telefon).
- Treść zgody (wersja).
- Źródło (formularz, link).
- IP / sesja.
- Status (aktywna, wycofana).
- Data wycofania (jeśli dotyczy).
Retencja po wycofaniu: 12-24 miesiące jako dowód.
12. Checklista marketingu zgodnego z RODO
- Formularze z osobnymi checkboxami per kanał.
- Double opt-in dla newslettera.
- Link “Wypisz się” w każdym mailu.
- Numer 8080 lub komenda STOP w każdym SMS.
- LIA dla profilowania i B2B.
- Umowy powierzenia z dostawcami (Mailchimp, Brevo, SMSAPI).
- Procedura usunięcia z bazy w 30 dni.
- Polityka cookies marketingowych zgodna z CMP.
- Audyt zgód raz w roku.
- Szkolenie zespołu marketing. Zobacz GDPR marketing.
13. Sprawy enforcement w marketingu — top 2020-2025
| Podmiot | Rok | Kwota (PLN) | Główny zarzut |
|---|---|---|---|
| Fortum Marketing | 2022 | 4 911 732 | brak umowy powierzenia, masowy cold calling |
| ClickQuickNow | 2019 | 201 559 | utrudnione wycofanie zgody |
| Virgin Mobile Polska | 2020 | 1 968 524 | marketing po wygaśnięciu zgody |
| P4 sp. z o.o. (Play) | 2024 | 460 000 | cold calling bez podstawy |
| Cyfrowy Polsat | 2023 | 1 136 975 | błędna wysyłka mailingowa |
| pożyczkodawca online | 2024 | 320 000 | SMS bez zgody, brak STOP |
| firma turystyczna | 2025 | 180 000 | newsletter bez double opt-in |
| platforma kursów | 2025 | 240 000 | profilowanie cross-site bez zgody |
Marketing bezpośredni odpowiada za 11% sumy kar UODO w 2025 r. (ok. 1,6 mln zł). Najczęstsze podstawy: art. 7 RODO (wadliwa zgoda), art. 21 (brak realizacji sprzeciwu), art. 28 (brak umowy z procesorem mailingowym), art. 172 Prawa telekomunikacyjnego (brak zgody na kanał elektroniczny). Patrz Kary UODO 2025.
14. Egzekucja UODO i UKE w marketingu
UODO i Prezes UKE współpracują w kwestii cookies i marketingu elektronicznego od 2022 r. Memorandum przewiduje: wspólne kontrole banerów cookies, wymianę informacji o naruszeniach art. 172 Prawa telekomunikacyjnego, koordynację sankcji (UODO za RODO, UKE za PT). Sankcje UKE mogą sięgać 3% obrotu (ustawa Prawo telekomunikacyjne) — niezależnie od kar UODO. Praktyka 2024-2025: kontrole platform z mailingami masowymi (Mailchimp PL, Brevo, FreshMail), kontrole CMP u top 100 e-sklepów, kontrole call center prowadzących cold calling. Strategia obrony: dokumentacja źródła każdej zgody, log double opt-in z timestampem i IP, polityka czyszczenia bazy raz na 12-24 mies., audyt zgód co kwartał, umowy powierzenia z każdym dostawcą mailingowym/SMS. Patrz RODO Art. 5 zasady, umowa powierzenia wzór.
FAQ
Czy mogę wysłać newsletter do klientów ze sklepu?
Tak, na soft opt-in (PT art. 172 ust. 2) dla podobnych produktów, jeśli w procesie zakupu klient miał informację o marketingu i możliwość rezygnacji. Nowy produkt = nowa zgoda. Więcej o obowiązkach sklepów w przewodniku RODO w e-commerce.
Czy mogę kupować bazy danych B2B?
Nie powinieneś. Nawet w B2B brak ważnej podstawy (zgoda dla innego administratora). UODO sankcjonuje. Lepiej budować własną bazę przez lead magnety, eventy, content marketing.
Czy WhatsApp Business wymaga zgody?
Tak. WhatsApp to kanał elektroniczny — wymaga zgody RODO + PT + UŚUDE. Dodatkowo Meta wymaga zgody opt-in przed pierwszym kontaktem.
Co z marketingiem w mediach społecznościowych (Lookalike Audiences)?
Tworzenie Lookalike przez Meta wymaga uploadu danych klientów (e-maile, telefony) jako Custom Audience. Wymagana zgoda klientów na ten cel + transfery do USA (DPF Meta).
Czy mogę profilować zachowania klientów do marketingu?
Tak, na interesie uzasadnionym z LIA dla podstawowej segmentacji. Zaawansowane profilowanie (ML, AI) lub cross-platform — wymagają zgody. Zawsze prawo sprzeciwu (art. 21 ust. 2).
Jak prawidłowo skonstruować formularz zapisu na newsletter?
Standardy 2026: osobne pole na e-mail (niewstępnie wypełnione), osobne checkboxy per cel (newsletter / oferty / partnerzy zewnętrzni), każdy checkbox niezaznaczony domyślnie, link do polityki prywatności (otwierający się), informacja o administratorze, kanale, możliwości wycofania, podstawie prawnej. Brak zaznaczonych domyślnie checkboxów (TSUE C-673/17 Planet49). Brak warunkowania dostępu do treści od zapisu na newsletter (zakaz tying — art. 7 ust. 4 RODO). Po wysłaniu formularza → mail z linkiem aktywacyjnym (double opt-in). UODO sankcjonował platformę kursów online w 2025 r. za pre-checked checkbox marketingowy (240 tys. zł).
Czy mogę przesyłać marketing przez Messenger lub WhatsApp Business?
Tak, ale wymaga zgody zarówno RODO, jak i regulaminów platform. Messenger (Meta) i WhatsApp Business pozwalają na komunikację marketingową tylko po wyraźnym opt-in użytkownika oraz w określonych formatach (template messages). Pierwszy kontakt musi być inicjowany przez użytkownika (opt-in trigger). Każda kolejna wiadomość poza oknem 24h od ostatniej interakcji użytkownika wymaga template approved przez Meta. Transfery do USA — DPF dla Meta. Naruszenie wymogów Meta = blokada konta + kara UODO.
Czy marketing influencerski podlega RODO?
Tak. Influencer otrzymujący dane od marki (np. e-maile klientów do retargetingu) staje się administratorem lub procesorem (zależnie od poziomu kontroli). Umowa wymaga: określenia roli, podstawy przetwarzania, retencji, zakazu odsprzedaży danych. UOKiK od 2023 r. systematycznie sankcjonuje nieoznaczone reklamy influencerskie. UODO zwrócił uwagę w 2024 r. na praktykę “data sharing” między marką a influencerem bez podstawy prawnej. Patrz wytyczne UOKiK i UODO dla sektora influencer marketing.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial