Ochrona Danych

RODO i marketing bezpośredni: e-mail, SMS, telefon

RODO + ePrivacy + UŚUDE w marketingu: zgoda na newsletter, SMS, cold calling. Kary UODO, dobre praktyki 2026.

W jednym zdaniu. Marketing bezpośredni w Polsce wymaga jednoczesnego spełnienia wymogów RODO (art. 6, 7), Prawa telekomunikacyjnego (art. 172) i UŚUDE (art. 10), a kara UODO dla Fortum Marketing 4,9 mln zł pokazała koszt niedostatecznego zarządzania bazami marketingowymi.

Najważniejsze punkty

  • Potrójna podstawa: RODO + Prawo telekomunikacyjne + UŚUDE.
  • E-mail / SMS / telefon do osób fizycznych — zgoda obowiązkowa.
  • B2B do firmowych ogólnodostępnych adresów — interes uzasadniony (z testem).
  • Soft opt-in dla istniejących klientów — restrykcyjnie, podobne produkty.
  • Łatwe wycofanie zgody (jedno kliknięcie / odpowiedź).
  • Sprzedaż baz danych z internetu — niezgodna z RODO.

1. Trzy reżimy prawne marketingu

Marketing elektroniczny w Polsce podlega:

  • RODO — przetwarzanie danych osobowych (art. 6, 7).
  • Prawo telekomunikacyjne (art. 172) — kierowanie informacji handlowej za pomocą automatycznych systemów wywołujących.
  • UŚUDE (art. 10) — przesyłanie informacji handlowej drogą elektroniczną.

Marketingiem bezpośrednim w cudzym imieniu zajmują się agencje marketingowe, a intensywnie korzystają z niego też biura nieruchomości; gotowy wzór zgody na przetwarzanie danych ułatwia zebranie prawidłowej zgody marketingowej.

Wszystkie trzy wymagają zgody, ale zgoda PT/UŚUDE jest pierwotna (dotyczy kanału), RODO uzupełnia (dotyczy danych).

2. Kanały marketingu i wymagana zgoda

Kanał Zgoda wymagana Wyjątek
E-mail tak soft opt-in (podobne produkty)
SMS tak soft opt-in
Telefon (cold call) tak brak
Telefon z systemem auto tak brak
Push (web/mobile) tak techniczne dla aplikacji
Direct mail (poczta) nie (interes) sprzeciw
In-app zgoda lub interes przy instalacji

3. Soft opt-in dla istniejących klientów

Art. 172 ust. 2 PT dopuszcza marketing do klientów bez zgody, jeśli:

  • to ten sam administrator,
  • produkty/usługi są podobne do tych, które klient już kupił,
  • klient miał możliwość odmowy w trakcie pozyskania danych i ma możliwość rezygnacji w każdym mailu.

Interpretacja “podobnych produktów” jest restrykcyjna — nie obejmuje całego asortymentu sklepu.

4. Marketing B2B do adresów ogólnych

Marketing do adresów typu kontakt@firma.pl, biuro@firma.pl, info@firma.pl — pole szare. Dyrektywa ePrivacy daje państwom członkowskim wybór. Polska wymaga zgody dla wszystkich adresów elektronicznych (PT art. 172 nie różnicuje B2C/B2B). Wytyczne UODO: dla adresu pracownika z imieniem/nazwiskiem — zgoda. Dla adresu ogólnodostępnego — możliwy interes uzasadniony z dokumentacją LIA.

5. Cold calling

Telefon marketingowy z udziałem człowieka — wymaga zgody (PT art. 172). Telefon z automatycznym systemem wywołującym — bezwzględnie wymaga zgody. UODO regularnie sankcjonuje firmy za masowy cold calling z list zakupionych. Skarga UOKiK i UODO często rozpatrywana razem.

6. Sprawa Fortum Marketing

Decyzja UODO z 19 stycznia 2022 r. — kara 4 911 732 zł (rekord polskiego marketingu). Mechanizm: udostępnienie bazy 137 tys. klientów Fortum podwykonawcy bez umowy powierzenia. Podwykonawca prowadził kampanie telefoniczne z naruszeniem zgód. UODO: brak art. 28, brak nadzoru, brak weryfikacji środków bezpieczeństwa procesora.

7. Sprawa ClickQuickNow

Decyzja DKN.5103.6.2019 — kara 201 559 zł. Mechanizm: wycofanie zgody na marketing wymagało 5 kroków, kontaktu z BOK, pisma. Naruszenie art. 7 ust. 3 RODO (zgoda musi być równie łatwa do wycofania jak do udzielenia). Standard: jedno kliknięcie w mailu, jedna komenda STOP w SMS, jeden formularz online.

8. Bazy danych kupione w internecie

Sprzedaż i kupowanie list e-mailowych jest praktycznie zawsze naruszeniem RODO:

  • Brak ważnej podstawy (zgoda zwykle udzielona dla innego administratora).
  • Brak realizacji art. 14 (informowanie osób, których dane pochodzą z innych źródeł).
  • Brak weryfikacji źródła zgody.

UODO sankcjonuje zarówno sprzedających, jak i kupujących. Inwentaryzacja źródła bazy = element due diligence.

9. Mechanizm Double Opt-in

Standard branżowy dla newslettera:

  1. Użytkownik wpisuje e-mail w formularz.
  2. System wysyła mail z linkiem aktywacyjnym.
  3. Użytkownik klika link — zgoda potwierdzona.
  4. Log zapisuje: e-mail, timestamp, IP, treść zgody, link wykorzystany.

Bez kroku 3 → tylko “wstępna deklaracja”, nie zgoda. Single opt-in jest niewystarczające dla dowodu (art. 7 ust. 1 RODO).

10. Profilowanie marketingowe

Profilowanie zachowań klientów dla segmentacji (RFM, cluster analysis, scoring lojalności) — interes uzasadniony z LIA + prawo sprzeciwu (art. 21 ust. 2). Klient ma prawo do absolutnego sprzeciwu wobec marketingu (nawet bez uzasadnienia). Profilowanie cross-platform (data brokers, AdTech) — wymaga zgody.

11. Rejestr zgód marketingowych

Wymagana dokumentacja każdej zgody:

  • Identyfikator osoby (e-mail, nr telefonu).
  • Timestamp ISO 8601.
  • Kanał (e-mail, SMS, telefon).
  • Treść zgody (wersja).
  • Źródło (formularz, link).
  • IP / sesja.
  • Status (aktywna, wycofana).
  • Data wycofania (jeśli dotyczy).

Retencja po wycofaniu: 12-24 miesiące jako dowód.

12. Checklista marketingu zgodnego z RODO

  • Formularze z osobnymi checkboxami per kanał.
  • Double opt-in dla newslettera.
  • Link “Wypisz się” w każdym mailu.
  • Numer 8080 lub komenda STOP w każdym SMS.
  • LIA dla profilowania i B2B.
  • Umowy powierzenia z dostawcami (Mailchimp, Brevo, SMSAPI).
  • Procedura usunięcia z bazy w 30 dni.
  • Polityka cookies marketingowych zgodna z CMP.
  • Audyt zgód raz w roku.
  • Szkolenie zespołu marketing. Zobacz GDPR marketing.

13. Sprawy enforcement w marketingu — top 2020-2025

Podmiot Rok Kwota (PLN) Główny zarzut
Fortum Marketing 2022 4 911 732 brak umowy powierzenia, masowy cold calling
ClickQuickNow 2019 201 559 utrudnione wycofanie zgody
Virgin Mobile Polska 2020 1 968 524 marketing po wygaśnięciu zgody
P4 sp. z o.o. (Play) 2024 460 000 cold calling bez podstawy
Cyfrowy Polsat 2023 1 136 975 błędna wysyłka mailingowa
pożyczkodawca online 2024 320 000 SMS bez zgody, brak STOP
firma turystyczna 2025 180 000 newsletter bez double opt-in
platforma kursów 2025 240 000 profilowanie cross-site bez zgody

Marketing bezpośredni odpowiada za 11% sumy kar UODO w 2025 r. (ok. 1,6 mln zł). Najczęstsze podstawy: art. 7 RODO (wadliwa zgoda), art. 21 (brak realizacji sprzeciwu), art. 28 (brak umowy z procesorem mailingowym), art. 172 Prawa telekomunikacyjnego (brak zgody na kanał elektroniczny). Patrz Kary UODO 2025.

14. Egzekucja UODO i UKE w marketingu

UODO i Prezes UKE współpracują w kwestii cookies i marketingu elektronicznego od 2022 r. Memorandum przewiduje: wspólne kontrole banerów cookies, wymianę informacji o naruszeniach art. 172 Prawa telekomunikacyjnego, koordynację sankcji (UODO za RODO, UKE za PT). Sankcje UKE mogą sięgać 3% obrotu (ustawa Prawo telekomunikacyjne) — niezależnie od kar UODO. Praktyka 2024-2025: kontrole platform z mailingami masowymi (Mailchimp PL, Brevo, FreshMail), kontrole CMP u top 100 e-sklepów, kontrole call center prowadzących cold calling. Strategia obrony: dokumentacja źródła każdej zgody, log double opt-in z timestampem i IP, polityka czyszczenia bazy raz na 12-24 mies., audyt zgód co kwartał, umowy powierzenia z każdym dostawcą mailingowym/SMS. Patrz RODO Art. 5 zasady, umowa powierzenia wzór.

FAQ

Czy mogę wysłać newsletter do klientów ze sklepu?

Tak, na soft opt-in (PT art. 172 ust. 2) dla podobnych produktów, jeśli w procesie zakupu klient miał informację o marketingu i możliwość rezygnacji. Nowy produkt = nowa zgoda. Więcej o obowiązkach sklepów w przewodniku RODO w e-commerce.

Czy mogę kupować bazy danych B2B?

Nie powinieneś. Nawet w B2B brak ważnej podstawy (zgoda dla innego administratora). UODO sankcjonuje. Lepiej budować własną bazę przez lead magnety, eventy, content marketing.

Czy WhatsApp Business wymaga zgody?

Tak. WhatsApp to kanał elektroniczny — wymaga zgody RODO + PT + UŚUDE. Dodatkowo Meta wymaga zgody opt-in przed pierwszym kontaktem.

Co z marketingiem w mediach społecznościowych (Lookalike Audiences)?

Tworzenie Lookalike przez Meta wymaga uploadu danych klientów (e-maile, telefony) jako Custom Audience. Wymagana zgoda klientów na ten cel + transfery do USA (DPF Meta).

Czy mogę profilować zachowania klientów do marketingu?

Tak, na interesie uzasadnionym z LIA dla podstawowej segmentacji. Zaawansowane profilowanie (ML, AI) lub cross-platform — wymagają zgody. Zawsze prawo sprzeciwu (art. 21 ust. 2).

Jak prawidłowo skonstruować formularz zapisu na newsletter?

Standardy 2026: osobne pole na e-mail (niewstępnie wypełnione), osobne checkboxy per cel (newsletter / oferty / partnerzy zewnętrzni), każdy checkbox niezaznaczony domyślnie, link do polityki prywatności (otwierający się), informacja o administratorze, kanale, możliwości wycofania, podstawie prawnej. Brak zaznaczonych domyślnie checkboxów (TSUE C-673/17 Planet49). Brak warunkowania dostępu do treści od zapisu na newsletter (zakaz tying — art. 7 ust. 4 RODO). Po wysłaniu formularza → mail z linkiem aktywacyjnym (double opt-in). UODO sankcjonował platformę kursów online w 2025 r. za pre-checked checkbox marketingowy (240 tys. zł).

Czy mogę przesyłać marketing przez Messenger lub WhatsApp Business?

Tak, ale wymaga zgody zarówno RODO, jak i regulaminów platform. Messenger (Meta) i WhatsApp Business pozwalają na komunikację marketingową tylko po wyraźnym opt-in użytkownika oraz w określonych formatach (template messages). Pierwszy kontakt musi być inicjowany przez użytkownika (opt-in trigger). Każda kolejna wiadomość poza oknem 24h od ostatniej interakcji użytkownika wymaga template approved przez Meta. Transfery do USA — DPF dla Meta. Naruszenie wymogów Meta = blokada konta + kara UODO.

Czy marketing influencerski podlega RODO?

Tak. Influencer otrzymujący dane od marki (np. e-maile klientów do retargetingu) staje się administratorem lub procesorem (zależnie od poziomu kontroli). Umowa wymaga: określenia roli, podstawy przetwarzania, retencji, zakazu odsprzedaży danych. UOKiK od 2023 r. systematycznie sankcjonuje nieoznaczone reklamy influencerskie. UODO zwrócił uwagę w 2024 r. na praktykę “data sharing” między marką a influencerem bez podstawy prawnej. Patrz wytyczne UOKiK i UODO dla sektora influencer marketing.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →