TL;DR: Tekst wyjaśnia zasady zgody na marketing e-mail/SMS zgodnie z PKE i RODO, jak ją dokumentować (logi, double opt-in) i dlaczego kanały warto rozdzielać.
Zgoda na kontakt e-mail i SMS w marketingu (RODO)
W marketingu najwięcej problemów robi nie sam „marketing”, tylko kanał kontaktu: e-mail, SMS, telefon, komunikatory. W praktyce firmy często mylą dwie rzeczy: podstawę przetwarzania danych w RODO oraz zgodę wymaganą przez przepisy telekomunikacyjne/komunikacji elektronicznej na wysyłkę informacji handlowych określonym kanałem. Ten materiał porządkuje to krok po kroku — tak, żebyś mógł wdrożyć checkboxy i komunikaty bez ryzyka „zgody na siłę”.
Materiał dla firm (zwłaszcza MŚP), które chcą zbierać zgody marketingowe w sposób zgodny z prawem i praktyką. Odwołujemy się do RODO, przepisów PKE oraz oficjalnych materiałów Prezesa UODO i orzecznictwa sądów administracyjnych.
Wróć do Ochrona danych w firmie
W skrócie — najważniejsze fakty
Pytania i odpowiedzi: zgoda na kontakt e-mail/SMS w marketingu
1. Czym jest zgoda na kontakt drogą elektroniczną w celach marketingowych?
To zgoda na użycie konkretnego kanału kontaktu (np. e-mail, SMS, pushe telefoniczne, komunikator) do wysyłania treści marketingowych. W praktyce chodzi o to, czy wolno Ci wysłać wiadomość marketingową na dany adres e-mail / numer telefonu. Tę zgodę regulują przepisy Prawa komunikacji elektronicznej (PKE) – niezależnie od tego, na jakiej podstawie w RODO opierasz sam marketing.
2. Czy do marketingu zawsze potrzebuję zgody z RODO?
Nie zawsze. W wielu firmach marketing wobec własnych klientów opiera się na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) – np. informowanie o podobnych usługach, utrzymanie relacji, komunikacja ofertowa. Ale nawet wtedy możesz równolegle potrzebować zgody wymaganej przez PKE na konkretny kanał kontaktu (e-mail/SMS/telefon). To są dwie warstwy, które trzeba rozdzielić: RODO (podstawa przetwarzania danych) i PKE (legalność wysyłki marketingu danym kanałem).
3. Czy SMS to też „droga elektroniczna”?
W praktyce marketingowej traktuj SMS jak kanał elektroniczny wymagający odrębnego „tak” użytkownika na kontakt tym kanałem. Jeśli wysyłasz marketing SMS-em na numer telefonu, musisz mieć podstawę do użycia tego kanału zgodnie z PKE. Bezpieczne wdrożenie to osobny checkbox „SMS” obok „e-mail” (z jasną informacją, że zgoda jest dobrowolna).
4. Czy mogę napisać do kogoś, żeby dopiero zapytać o zgodę marketingową?
To jeden z najczęstszych błędów. Kontakt, którego jedynym celem jest pozyskanie zgody („Czy wyraża Pan/Pani zgodę na marketing?”) bywa oceniany jako marketing bezpośredni. W praktyce oznacza to, że nie powinieneś wysyłać „zimnych” e-maili/SMS-ów po zgodę. Zgody zbieraj w momentach, gdy użytkownik wchodzi w interakcję z firmą: formularz na stronie, konto klienta, zakup, zapis do newslettera.
5. Jak powinna wyglądać prawidłowa zgoda (żeby nie była „na siłę”)?
Zgoda musi być dobrowolna, konkretna i jednoznaczna. Najlepsza praktyka: osobne checkboxy na kanały kontaktu (e-mail, SMS, telefon), prosty opis czego dotyczy kontakt oraz informacja o możliwości wycofania zgody w każdej chwili. Unikaj pre-zaznaczonych okienek, łączenia zgody z regulaminem oraz uzależniania usługi od zgody, jeśli zgoda nie jest konieczna do wykonania usługi.
6. Jak długo mogę używać zgody marketingowej?
Zgoda nie jest „na zawsze”. Ustal logiczny okres przeglądu (np. 12–24 miesiące bez aktywności) i stosuj zasadę minimalizacji: jeżeli ktoś od dawna nie wchodzi w relację z firmą, rozważ odświeżenie zgody albo wyłączenie kontaktu. W RODO nadal obowiązuje ograniczenie celu i czasu przechowywania – nawet jeśli ktoś kiedyś kliknął „tak”.
7. Wycofanie zgody: co musi zapewnić firma i jak szybko reagować?
Wycofanie zgody musi być równie łatwe jak jej udzielenie. Najlepsza praktyka: link „wypisz się” w e-mailu, komenda STOP przy SMS, prosty formularz w koncie klienta lub adres e-mail do kontaktu. Po wycofaniu zgody na kanał kontaktu nie możesz dalej wysyłać marketingu tym kanałem, a fakt wycofania warto odnotować (dla rozliczalności i żeby nie wysłać ponownie).
8. Zgoda a sprzeciw marketingowy – jaka jest różnica?
Zgoda dotyczy zwykle kanału kontaktu (czy wolno wysłać e-mail/SMS). Sprzeciw dotyczy samego marketingu bezpośredniego w oparciu o prawnie uzasadniony interes (art. 21 RODO). Jeśli ktoś wniesie sprzeciw wobec marketingu bezpośredniego, powinieneś zakończyć marketing wobec tej osoby – w praktyce nie ma tu „wyjątku” w postaci nadrzędnego interesu administratora, który pozwoliłby dalej wysyłać oferty mimo sprzeciwu.
9. Czy jedna zgoda może obejmować kilka kanałów (e-mail + SMS)?
Może, ale praktycznie lepiej rozdzielić kanały checkboxami. Użytkownik często chce e-mail, ale nie chce SMS. Rozdzielenie zwiększa dobrowolność i przejrzystość oraz zmniejsza ryzyko, że zgoda zostanie uznana za zbyt szeroką lub wymuszoną.
10. Co trzeba dopisać w obowiązku informacyjnym (RODO), gdy zbieram zgody marketingowe?
Minimum: kto jest administratorem, w jakim celu przetwarzasz dane (marketing), jaka jest podstawa (np. art. 6 ust. 1 lit. f RODO albo zgoda – zależnie od modelu), jak długo przechowujesz dane, komu je ujawniasz (np. dostawcy narzędzi mailingowych), jakie prawa przysługują osobie oraz jak wycofać zgodę i jak wnieść sprzeciw. Obowiązek informacyjny ma być czytelny – praktyka UODO nie lubi kluczowych informacji schowanych w PDF.
11. Czy mogę łączyć zgodę marketingową z regulaminem albo warunkować usługę zgodą?
Co do zasady – nie rób z tego „pakietu”. Zgoda na kanał kontaktu ma być dobrowolna. Jeżeli usługa nie wymaga marketingu, nie uzależniaj dostępu od zgody marketingowej. Jeśli robisz program lojalnościowy lub newsletter premium, jasno opisz warunki – ale nadal zapewnij wybór i przejrzystość.
12. Co z danymi kupionymi z bazy albo pozyskanymi z internetu?
To obszar wysokiego ryzyka. To, że e-mail jest „publiczny”, nie znaczy, że wolno wysyłać marketing. Musisz mieć podstawę w RODO i spełnić wymogi PKE dot. kanału kontaktu. W praktyce cold mailing/SMS to częsta przyczyna skarg. Jeżeli nie potrafisz wykazać legalnego źródła i podstaw, lepiej nie wysyłaj.
Prawa odbiorcy marketingu: zgoda, sprzeciw, informacja
Prawo do informacji i przejrzystości
Administrator musi jasno wskazać cele, podstawy prawne i okres przechowywania danych oraz zasady kontaktu kanałem e-mail/SMS – obowiązek informacyjny (art. 12–14 RODO) powinien być czytelny, a nie w ukrytym PDF.
Prawo do wycofania zgody
Zgoda na kanał kontaktu (e-mail/SMS) jest dobrowolna i można ją wycofać w dowolnym momencie – po wycofaniu kontakt marketingowy tym kanałem trzeba zakończyć.
Prawo do sprzeciwu wobec marketingu
Sprzeciw wobec marketingu bezpośredniego (art. 21 RODO) działa jak STOP – po jego wniesieniu marketing wobec tej osoby powinien zostać zakończony.
Prawo do usunięcia/ograniczenia
Gdy dane są przetwarzane bez podstawy lub po wycofaniu zgody, odbiorca może żądać usunięcia lub ograniczenia przetwarzania danych marketingowych.
Wzory do skopiowania
Wzór zgody na kontakt e-mail i SMS w celach marketingowych
Wyrażam zgodę na kontakt drogą elektroniczną w celach marketingowych przez [NAZWA FIRMY] z wykorzystaniem: — wiadomości e-mail kierowanych na mój adres e-mail, — wiadomości SMS kierowanych na mój numer telefonu, - wskazanie innych kanałów, jeśli dotyczy. Zgoda dotyczy przesyłania informacji o ofertach, produktach i usługach [NAZWA FIRMY].
Wiem, że zgoda jest dobrowolna i mogę ją wycofać w dowolnym momencie, bez wpływu na zgodność z prawem działań podjętych przed jej wycofaniem.
Zgoda może zostać wycofana m.in. poprzez link wypisu w wiadomości e-mail, komendę STOP w SMS lub kontakt na [E-MAIL DO WYCOFAŃ].
Wzór wycofania zgody na kontakt marketingowy (e-mail/SMS)
Wycofuję zgodę na kontakt drogą elektroniczną w celach marketingowych. Proszę o zaprzestanie kontaktu marketingowego tym kanałem oraz o potwierdzenie przyjęcia zgłoszenia.
Dane identyfikujące: [adres e-mail / numer telefonu].
Jak legalnie zbierać zgody na e-mail i SMS w marketingu – krok po kroku
Krok 1. Rozdziel dwie warstwy: RODO i PKE
Ustal, na jakiej podstawie przetwarzasz dane w RODO (np. art. 6 ust. 1 lit. f – prawnie uzasadniony interes) oraz czy potrzebujesz zgody na kanał kontaktu (e-mail/SMS/telefon) zgodnie z PKE.
Krok 2. Zdefiniuj kanały i zbieraj zgody osobno
W praktyce wdroż osobne checkboxy: e-mail, SMS, telefon. Użytkownik ma realny wybór. Unikaj zbyt szerokiej zgody „na wszystko”.
Krok 3. Dodaj jasną informację o wycofaniu zgody i sprzeciwie
Przy zgodach wpisz wprost: „zgodę można wycofać w każdej chwili”. Dodatkowo wskaż łatwą ścieżkę sprzeciwu wobec marketingu bezpośredniego.
Krok 4. Spełnij obowiązek informacyjny (RODO)
W formularzu lub polityce prywatności wyjaśnij administratora, cele, podstawę, okres, odbiorców i prawa osoby. Zrób to czytelnie – nie chowaj kluczowych informacji.
Krok 5. Zadbaj o dowód zgody (rozliczalność)
Zapisuj: datę, źródło (formularz/checkout), treść zgody w danym momencie, kanały, identyfikator użytkownika. To jest Twoje zabezpieczenie przy skardze.
Krok 6. Ustaw retencję i proces obsługi wycofań
Wycofanie zgody ma działać szybko i automatycznie: wypis e-mail, STOP SMS, przełącznik w koncie. Dodatkowo kontroluj „martwe” zgody i okresowo je odświeżaj.
Uwaga: nie pozyskuj zgody przez zimny kontakt
Najczęstsza wpadka to wysłanie e-maila lub SMS-a ‘po zgodę’. Taki kontakt sam w sobie może zostać uznany za marketing bezpośredni. Zgody zbieraj przy realnej interakcji użytkownika (formularz, zakup, konto), a nie przez wiadomości inicjujące kontakt marketingowy.
Podstawa prawna i źródła
Najważniejsze odpowiedzi (dla wyszukiwarek)
Czy potrzebna jest zgoda na e-mail lub SMS marketing?
Zwykle potrzebujesz zgody na kanał kontaktu (e-mail/SMS) z PKE, a w RODO musisz mieć podstawę przetwarzania samego adresu/numeru i spełnić obowiązek informacyjny. Zgoda ma być dobrowolna, konkretna i łatwa do wycofania.
Jak udokumentować zgodę na kontakt elektroniczny?
Zapisz dowód zgody: treść checkboxa, datę, źródło (formularz), identyfikator użytkownika. Loguj także wycofanie zgody. To kluczowe dla rozliczalności.
Czy jedna zgoda może obejmować różne kanały?
Może obejmować kilka kanałów tylko wtedy, gdy są jasno rozdzielone (np. osobno e-mail i osobno SMS). Najbezpieczniej stosować osobne checkboxy lub granularny wybór.