Marketing e-mailowy to jeden z obszarów, w którym przepisy zmieniają się najszybciej, a jednocześnie naruszenia są najłatwiejsze do wykrycia. Od 10 listopada 2024 roku obowiązuje nowa ustawa Prawo komunikacji elektronicznej (PKE), która zastąpiła dotychczasowe przepisy regulujące marketing bezpośredni. Zmiana dotyczy każdej firmy prowadzącej newsletter, kampanie mailingowe lub jakikolwiek marketing elektroniczny.

Dwa reżimy prawne — RODO i PKE jednocześnie

Marketing e-mailowy podlega dwóm odrębnym regulacjom, które stosują się równolegle i których nie należy mylić.

RODO reguluje przetwarzanie danych osobowych — w tym adresów e-mail — i wymaga wskazania podstawy prawnej przetwarzania danych (art. 6 RODO). W przypadku marketingu możliwe podstawy to zgoda (art. 6 ust. 1 lit. a) lub uzasadniony interes administratora (art. 6 ust. 1 lit. f).

PKE — art. 398 reguluje prawo do wysyłania informacji handlowej i marketingu bezpośredniego przy użyciu środków komunikacji elektronicznej (e-mail, SMS, powiadomienia push). Wymaga odrębnej zgody na przesyłanie komunikacji marketingowej. Ta zgoda musi spełniać wymogi RODO, ale jest to zgoda na kanał komunikacji — nie zgoda na przetwarzanie danych.

Kluczowa zasada: są to dwie odrębne zgody i powinny być zbierane odrębnie. Jedna zgoda nie zastępuje drugiej.

Nadzór sprawują dwa różne urzędy — UODO pod kątem RODO oraz UKE w zakresie art. 398 PKE. Naruszenie może skutkować postępowaniem przed obydwoma.

Co zmienił art. 398 PKE od 10 listopada 2024 roku

Przed wejściem w życie PKE kwestię marketingu elektronicznego regulowały dwa odrębne akty: ustawa o świadczeniu usług drogą elektroniczną (art. 10 UŚUDE) i Prawo telekomunikacyjne (art. 172). Art. 398 PKE zastąpił oba i wprowadził jednolitą regulację.

Najważniejsze zmiany:

Rozszerzenie ochrony na podmioty B2B. Dotychczas zakaz marketingu bez zgody dotyczył wyłącznie osób fizycznych. Art. 398 PKE obejmuje wszystkich abonentów i użytkowników końcowych — w tym osoby prawne i przedsiębiorców. Marketing B2B drogą elektroniczną wymaga teraz takiej samej zgody jak B2C.

Jedna zgoda zamiast dwóch. PKE wprowadził pojęcie jednej zgody marketingowej, obejmującej różne formy komunikacji. Nie zwalnia to jednak z obowiązku precyzyjnego wskazania, na które kanały komunikacji zgoda została wyrażona — zgoda musi być konkretna i wskazywać kanał (e-mail, SMS, telefon) oraz cel.

Zgody zebrane przed 10 listopada 2024 roku zachowują ważność, o ile zostały zebrane zgodnie z poprzednimi przepisami i spełniają wymogi RODO. Konieczny jest przegląd formularzy, klauzul i polityk prywatności — tam gdzie powoływano się na art. 10 UŚUDE lub art. 172 Prawa telekomunikacyjnego, należy zaktualizować podstawy prawne na art. 398 PKE.

Podstawa prawna przetwarzania danych dla newslettera

Na gruncie RODO podstawą przetwarzania danych subskrybentów newslettera może być:

Zgoda (art. 6 ust. 1 lit. a RODO) — najczęściej stosowana. Musi być dobrowolna, konkretna, świadoma i jednoznaczna. Nie może być zgoda domyślna, wynikająca z milczenia ani warunkiem skorzystania z usługi. Zgoda jest odwoływalna w każdym momencie — administrator musi zapewnić łatwy mechanizm rezygnacji (np. link wypisania w każdej wiadomości).

Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) — możliwy w określonych okolicznościach, w szczególności gdy istnieje wcześniejsza relacja biznesowa z odbiorcą. Wymaga przeprowadzenia testu równoważenia interesów i jego udokumentowania. Uzasadniony interes jako podstawa przetwarzania nie zwalnia z obowiązku uzyskania zgody na podstawie PKE.

Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — stosowana gdy newsletter jest elementem odpłatnej usługi lub stanowi integralną część umowy z subskrybentem.

Ważna zasada: nie należy mylić zgody z art. 398 PKE (zgoda na kanał komunikacji) ze zgodą z RODO (zgoda jako podstawa przetwarzania danych). W praktyce część administratorów stosuje art. 398 PKE jako podstawę zgody na kanał, a uzasadniony interes jako podstawę przetwarzania danych — jest to podejście prawnie dopuszczalne, wymagające jednak prawidłowego opisu w polityce prywatności.

Jak prawidłowo zbierać zgody na newsletter

Formularz zapisu powinien zawierać:

• wyraźne wskazanie czego dotyczy zapis (treść, częstotliwość, nadawca),
• niezaznaczony domyślnie checkbox zgody na komunikację marketingową,
• odrębny checkbox zgody na przetwarzanie danych osobowych (jeśli zgoda jest podstawą przetwarzania),
• link do polityki prywatności,
• informację o prawie do wycofania zgody.

Double opt-in — mechanizm potwierdzenia zapisu przez kliknięcie linku w wiadomości e-mail wysłanej na podany adres. Nie jest formalnie wymagany przez RODO ani PKE, ale jest rekomendowany jako dowód że zgoda została wyrażona przez rzeczywistego właściciela adresu. Znacząco ułatwia wykazanie prawidłowości procesu zbierania zgód podczas kontroli.

Dokumentacja zgód — administrator musi być w stanie wykazać, że zgoda została wyrażona (art. 7 ust. 1 RODO). Oznacza to konieczność przechowywania informacji o tym kiedy, w jakich okolicznościach i na jakich warunkach zgoda została udzielona — wraz z treścią klauzuli zgody obowiązującą w danym momencie.

Obowiązek informacyjny wobec subskrybentów

Zbierając adresy e-mail do celów marketingowych administrator ma obowiązek informacyjny z art. 13 RODO. Informacje powinny być przekazane w momencie zbierania danych — przed zapisem lub w jego trakcie. Wymagane elementy to m.in.:

• tożsamość i dane kontaktowe administratora,
• cel i podstawa prawna przetwarzania,
• okres przechowywania danych (lub kryteria jego ustalenia),
• informacja o prawie do cofnięcia zgody, dostępu do danych, ich usunięcia i wniesienia skargi do UODO,
• informacja o ewentualnym przekazywaniu danych do podmiotów trzecich (np. systemy mailingowe działające jako procesorzy).

Przyjęło się realizować obowiązek informacyjny przez politykę prywatności — pod warunkiem że jest ona rzeczywiście dostępna i zrozumiała, a nie wyłącznie ogólnym dokumentem nieodnoszącym się do newslettera.

Systemy mailingowe a umowa powierzenia przetwarzania danych

Korzystanie z zewnętrznego systemu do wysyłki e-maili (Mailchimp, GetResponse, Freshmail, Brevo i inne) oznacza powierzenie przetwarzania danych osobowych subskrybentów podmiotowi trzeciemu. Wymaga to zawarcia umowy powierzenia przetwarzania danych (art. 28 RODO).

Większość profesjonalnych platform mailingowych oferuje standardową umowę DPA w swoich warunkach — należy ją aktywnie zaakceptować lub zawrzeć, a nie zakładać że wynikała z samego faktu korzystania z usługi. Dotyczy to również platform, których serwery znajdują się poza EOG — w takim przypadku konieczne jest dodatkowo zapewnienie odpowiedniego mechanizmu transferu danych.

Najczęstsze błędy w marketingu e-mailowym a RODO

Zgoda wbudowana w ogólne warunki lub regulamin. Zgoda musi być wyrażona odrębnie — nie może wynikać z akceptacji regulaminu lub ogólnych warunków świadczenia usług.

Domyślnie zaznaczony checkbox. Zgoda nie może być domyślna — checkbox musi być domyślnie odznaczony, a jego zaznaczenie dobrowolne.

Brak mechanizmu rezygnacji. Każda wiadomość marketingowa musi zawierać wyraźną i łatwą w obsłudze możliwość rezygnacji z subskrypcji. Utrudnianie rezygnacji (wiele kroków, konieczność logowania) jest naruszeniem RODO.

Brak dokumentacji zgód. Posiadanie bazy mailingowej bez możliwości wykazania kiedy i jak zgody zostały zebrane to brak zgodności z zasadą rozliczalności.

Prowadzenie marketingu B2B bez zgody. Po wejściu w życie art. 398 PKE — marketing elektroniczny do przedsiębiorców wymaga takiej samej zgody jak do konsumentów.

Nieaktualne klauzule powołujące się na uchylone przepisy. Formularze i polityki prywatności nadal powołujące się na art. 10 UŚUDE lub art. 172 Prawa telekomunikacyjnego wymagają aktualizacji na art. 398 PKE.

Rejestr czynności przetwarzania dla marketingu e-mailowego

Wysyłka newslettera i kampanie mailingowe to odrębne czynności przetwarzania, które powinny znaleźć się w rejestrze czynności przetwarzania z określeniem: celu przetwarzania, podstawy prawnej, kategorii danych, kategorii odbiorców (w tym systemu mailingowego jako podmiotu przetwarzającego), okresu retencji oraz zastosowanych zabezpieczeń.

Podsumowanie

Marketing e-mailowy zgodny z prawem to nie tylko kwestia techniczna — to proces wymagający prawidłowej podstawy prawnej, udokumentowanych zgód i aktualnej dokumentacji. Od 10 listopada 2024 roku obowiązuje art. 398 PKE, który zmienił zasady zbierania zgód na marketing elektroniczny i rozszerzył ochronę na podmioty B2B. Każda firma prowadząca newsletter lub kampanie mailingowe powinna zweryfikować czy jej zgody, formularze i polityki prywatności są aktualne.

Kluczowe zasady: zgoda PKE i zgoda RODO to dwie odrębne kwestie; checkbox musi być domyślnie odznaczony; double opt-in ułatwia wykazanie prawidłowości; każda wiadomość musi zawierać łatwą możliwość rezygnacji; z systemem mailingowym wymagana jest umowa powierzenia; dokumentacja zgód jest obowiązkowa.

FAQ