+48 692 004 515

  kancelaria@maniszewska.pl

Menu
rodo a marketing

RODO a marketing — jak prowadzić profilowanie, remarketing, newsletter i lead generation zgodnie z prawem

Marketing cyfrowy opiera się na danych osobowych — od adresów e-mail w bazie newslettera, przez cookies śledzące zachowanie na stronie, po zaawansowane profilowanie i remarketing. Każdy z tych elementów podlega RODO, a błędy w ich stosowaniu to jedne z najczęściej karanych naruszeń — zarówno przez UODO, jak i przez europejskie organy nadzorcze (szczególnie francuską CNIL).

Jednocześnie marketing to obszar, w którym granica między tym, co dozwolone, a tym, co narusza RODO, bywa cienka. Zgoda czy uzasadniony interes? Kiedy profilowanie jest dopuszczalne, a kiedy wymaga DPIA? Czy można wysyłać e-maile do osób z zakupionej bazy? Czy remarketing wymaga zgody?

W tym artykule odpowiadam na te pytania krok po kroku — z odniesieniami do przepisów RODO, Prawa telekomunikacyjnego, ustawy o świadczeniu usług drogą elektroniczną, decyzji UODO i wytycznych EDPB.

Newsletter i e-mail marketing — zasady

Newsletter to najczęściej stosowane narzędzie marketingowe i jednocześnie jedno z najczęstszych źródeł naruszeń RODO.

Podstawa prawna

Zgoda (art. 6 ust. 1 lit. a RODO) — podstawowa podstawa prawna dla newslettera kierowanego do nowych subskrybentów. Zgoda musi spełniać wymogi art. 7 RODO: dobrowolna, konkretna, świadoma, jednoznaczna, możliwa do wycofania.

Dodatkowo wysyłka informacji handlowej drogą elektroniczną wymaga zgody na podstawie art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 Prawa telekomunikacyjnego. W praktyce oznacza to wymóg podwójnej zgody — na przetwarzanie danych (RODO) i na kontakt marketingowy (ustawa o świadczeniu usług drogą elektroniczną + Prawo telekomunikacyjne). Można je połączyć w jednym oświadczeniu, o ile jest jasne i konkretne.

Wyjątek — marketing wobec własnych klientów: Art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną pozwala na wysyłkę informacji handlowej bez dodatkowej zgody, jeśli jednocześnie spełnione są wszystkie warunki: dane kontaktowe zostały pozyskane w związku ze sprzedażą produktu lub usługi, informacja dotyczy podobnych produktów lub usług tego samego administratora, klient miał możliwość i został poinformowany o możliwości sprzeciwu, klient nie wniósł sprzeciwu.

To ograniczony wyjątek — wymaga starannej analizy. W RODO podstawą prawną takiego marketingu jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), z przeprowadzonym testem równowagi (LIA).

Szczegółowy przewodnik po podstawach prawnych znajdziesz w naszym artykule o art. 6 RODO.

Wymogi praktyczne

Mechanizm opt-in: Checkbox zgody niezaznaczony domyślnie. Treść konkretna: „Chcę otrzymywać newsletter z informacjami o nowych usługach i artykułach prawnych na podany adres e-mail.” Nie można łączyć zgody na newsletter z innymi zgodami (np. regulaminem) — bundled consent.

Double opt-in: Rekomendowana praktyka — po zapisaniu się użytkownik otrzymuje e-mail z linkiem potwierdzającym. Chroni przed fałszywymi zapisami i stanowi dowód wyrażenia zgody.

Link wypisania: Każdy e-mail musi zawierać widoczny link „Wypisz się” / „Unsubscribe”. Wycofanie zgody musi być tak samo łatwe jak jej udzielenie. Po kliknięciu „wypisz się” — dane muszą zostać usunięte z listy mailingowej niezwłocznie. Jak prawidłowo rozpatrzyć żądanie usunięcia danych opisujemy w osobnym artykule.

Dokumentacja zgód: Platforma mailingowa (Mailchimp, GetResponse, FreshMail) musi przechowywać dowody zgody: data, treść zgody, adres IP, metoda (single/double opt-in). To kluczowe na wypadek kontroli UODO.

Przewodnik RODO dla sklepów internetowych znajdziesz tutaj.

Najczęstsze błędy

Wysyłka newslettera do osób, które nie wyraziły zgody — np. do bazy pozyskanej z konferencji, wizytówek, kupionych list.

Domyślnie zaznaczony checkbox — pre-ticked box jest nieważny (TSUE, Planet49).

Brak linku wypisania lub trudno dostępny link.

Łączenie zgody na newsletter z akceptacją regulaminu.

Brak możliwości wycofania zgody — lub wycofanie wymaga wysłania e-maila, dzwonienia, wypełnienia formularza.

Dalsze wysyłanie po wycofaniu zgody — nawet jeden e-mail po wypisaniu się to naruszenie.

Zakupione bazy danych — czy to legalne?

Kupowanie baz danych e-mailowych lub telefonicznych w celu marketingu to jeden z najczęstszych i najbardziej ryzykownych błędów:

Perspektywa RODO: Osoba, której dane znajdują się w kupionej bazie, nie wyraziła zgody na przetwarzanie danych przez kupującego. Sprzedawca bazy mógł posiadać zgody osób — ale te zgody dotyczą przetwarzania przez sprzedawcę, nie przez kupującego. Kupujący jest nowym administratorem i potrzebuje własnej podstawy prawnej.

Perspektywa ustawy o świadczeniu usług drogą elektroniczną: Wysyłka informacji handlowej wymaga zgody odbiorcy — zgoda ta musi dotyczyć konkretnego nadawcy. Zgoda udzielona sprzedawcy bazy nie uprawnia kupującego do kontaktu.

Perspektywa Prawa telekomunikacyjnego: Art. 172 wymaga zgody użytkownika końcowego na kontakt w celach marketingowych za pomocą telekomunikacyjnych urządzeń końcowych (e-mail, telefon, SMS).

Wniosek: Korzystanie z kupionej bazy danych do cold mailingu lub cold callingu jest co do zasady nielegalne — narusza jednocześnie RODO, ustawę o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne. UODO wielokrotnie podejmował interwencje w takich sprawach.

Wyjątek — kontakt B2B: Kontakt z osobami reprezentującymi firmy (np. dyrektorami, managerami) w celach marketingu B2B jest przedmiotem debaty. Niektóre organy nadzorcze akceptują uzasadniony interes jako podstawę, jeśli kontakt dotyczy działalności zawodowej osoby i jest proporcjonalny. Wymaga to jednak starannego LIA i respektowania prawa do sprzeciwu.

Profilowanie w marketingu — kiedy jest dopuszczalne?

Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych polegającego na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej (art. 4 pkt 4 RODO). W kontekście marketingowym profilowanie obejmuje: segmentację klientów (wiek, lokalizacja, zachowania zakupowe), systemy rekomendacji produktów (Amazon-style „inni klienci kupili też…”), scoring marketingowy (ocena potencjału zakupowego klienta), personalizację treści i reklam, remarketing (wyświetlanie reklam na podstawie wcześniejszego zachowania), dynamiczne ceny (różne ceny dla różnych użytkowników na podstawie ich profilu).

Podstawa prawna profilowania marketingowego

Uzasadniony interes (art. 6 ust. 1 lit. f RODO) — motyw 47 RODO wprost wskazuje, że marketing bezpośredni może stanowić uzasadniony interes. Profilowanie do celów marketingowych może opierać się na tej podstawie, ale wymaga przeprowadzenia LIA (test równowagi interesów) i respektowania bezwzględnego prawa do sprzeciwu (art. 21 ust. 2 RODO).

Zgoda (art. 6 ust. 1 lit. a RODO) — wymagana, gdy profilowanie jest bardziej inwazyjne (np. łączenie danych z wielu źródeł, tworzenie szczegółowych profili psychograficznych) lub gdy dotyczy cookies (ePrivacy).

Art. 22 RODO (automatyczne podejmowanie decyzji) — jeśli profilowanie prowadzi do automatycznych decyzji wywołujących skutki prawne lub podobnie istotne (np. automatyczna odmowa kredytu, dynamiczne ceny dyskryminujące określone grupy), musi spełniać dodatkowe wymogi: wyraźna zgoda, wykonanie umowy lub przepis prawa jako podstawa, prawo do interwencji ludzkiej, wyrażenia stanowiska i zaskarżenia decyzji.

Obowiązki przy profilowaniu

Klauzula informacyjna musi informować o profilowaniu, jego logice i konsekwencjach (art. 13 ust. 2 lit. f RODO).

Osoba ma prawo do sprzeciwu wobec profilowania marketingowego — sprzeciw jest bezwzględny (art. 21 ust. 2 RODO).

DPIA jest wymagana, jeśli profilowanie odbywa się na dużą skalę lub obejmuje dane szczególne. 

Profilowanie uwzględnij w RCP jako odrębny proces przetwarzania.

Remarketing i retargeting — wymogi prawne

Remarketing (wyświetlanie reklam osobom, które wcześniej odwiedziły Twoją stronę) opiera się na cookies marketingowych i pikseli śledzących (Facebook Pixel, Google Ads remarketing tag). Wymogi:

Zgoda na cookies marketingowe — remarketing wymaga cookies, a cookies marketingowe wymagają uprzedniej zgody (dyrektywa ePrivacy, art. 173 Prawa telekomunikacyjnego). Baner cookies musi zapewniać możliwość odmowy, a skrypty remarketingowe muszą być zablokowane do momentu uzyskania zgody (prior blocking). Szczegółowy poradnik o cookies i mechanizmie zgód znajdziesz w osobnym artykule.

Google Consent Mode v2 — jeśli korzystasz z Google Ads remarketing, musisz wdrożyć Google Consent Mode v2, który dostosowuje działanie tagów Google do decyzji użytkownika w banerze cookies.

Facebook Pixel / Meta Pixel — Meta wymaga od reklamodawców zapewnienia zgody użytkownika przed aktywacją Pixela w EOG. Konfiguracja: Pixel uruchamia się dopiero po uzyskaniu zgody na cookies marketingowe.

Klauzula informacyjna — musi informować o remarketingu, stosowanych technologiach (cookies, piksele), odbiorcach danych (Google, Meta) i transferze danych do USA.

Umowa powierzenia / wspólne administrowanie — relacja z Google i Meta wymaga odpowiedniej umowy. Meta wymaga zawarcia porozumienia o wspólnym administrowaniu danymi (Joint Controller Agreement) dla niektórych produktów reklamowych.

Lead generation — formularze, landing pages, webinary

Pozyskiwanie leadów (potencjalnych klientów) to kluczowy element marketingu B2B i B2C. Wymogi RODO:

Formularz kontaktowy / formularz zapytania: Podstawa prawna: uzasadniony interes administratora (odpowiedź na zapytanie osoby) — art. 6 ust. 1 lit. f RODO. Klauzula informacyjna — pod formularzem lub link do pełnej polityki prywatności. Zbieraj minimum danych — imię i e-mail wystarczą do odpowiedzi na zapytanie. Nie wymagaj danych „na zapas”.

Landing page z formularzem zapisu na webinar / pobranie e-booka: Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO) — osoba zgadza się na przetwarzanie danych w celu uczestnictwa w webinarze lub otrzymania materiału. Jeśli chcesz też wysyłać newsletter — potrzebujesz osobnej zgody (oddzielny checkbox). Nie uzależniaj dostępu do materiału od zgody na marketing — to narusza dobrowolność zgody.

Wizytówki z konferencji / targów: Sam fakt otrzymania wizytówki nie stanowi zgody na przetwarzanie danych. Wizytówka to dane podane w kontekście zawodowym — możesz skontaktować się z osobą w sprawie, w której nawiązaliście kontakt (uzasadniony interes), ale nie możesz automatycznie dodać jej do bazy newsletterowej. Do newslettera potrzebna jest osobna zgoda.

CRM i bazy kontaktów B2B: Przechowywanie danych kontaktowych osób biznesowych (imię, nazwisko, stanowisko, firma, e-mail służbowy) podlega RODO — to są dane osobowe. Podstawa prawna: uzasadniony interes (art. 6 ust. 1 lit. f) — relacja biznesowa, ale z obowiązkiem informacyjnym (art. 14 RODO — dane z innego źródła, jeśli nie zostały zebrane bezpośrednio od osoby) i prawem do sprzeciwu.

Social media marketing a RODO

Prowadzenie profili w mediach społecznościowych (Facebook, Instagram, LinkedIn, TikTok) wiąże się z przetwarzaniem danych osobowych — zarówno przez platformę, jak i przez administratora profilu.

Współadministrowanie z platformą: TSUE w wyroku w sprawie Wirtschaftsakademie (C-210/16) orzekł, że administrator fanpage’a na Facebooku jest współadministratorem danych razem z Meta. Oznacza to, że firma prowadząca profil na Facebooku ponosi odpowiedzialność za przetwarzanie danych użytkowników — w tym za cookies, statystyki i profilowanie realizowane przez platformę.

W praktyce: Meta udostępnia porozumienie o wspólnym administrowaniu (Page Insights Controller Addendum). Firma powinna to porozumienie zaakceptować i uwzględnić w swojej klauzuli informacyjnej informację o współadministrowaniu.

Konkursy w social media: Organizowanie konkursów na Facebooku/Instagramie wymaga: klauzuli informacyjnej dla uczestników, regulaminu konkursu, określenia podstawy prawnej (zazwyczaj zgoda na przetwarzanie danych w celu udziału w konkursie), usunięcia danych uczestników po zakończeniu konkursu i wydaniu nagród (chyba że uczestnik wyraził zgodę na dalsze przetwarzanie).

Targetowanie reklam: Korzystanie z narzędzi targetowania reklam (Facebook Ads, LinkedIn Ads) opiera się na danych osobowych użytkowników platformy. Reklamodawca konfiguruje parametry targetowania (wiek, lokalizacja, zainteresowania), a platforma dobiera odbiorców. Podstawa prawna po stronie reklamodawcy: uzasadniony interes (marketing bezpośredni). Po stronie platformy: zgoda użytkownika (warunki korzystania z platformy) lub uzasadniony interes.

Custom Audiences (listy klientów): Przesyłanie listy adresów e-mail do platformy reklamowej (Facebook Custom Audiences, LinkedIn Matched Audiences) w celu targetowania reklam do istniejących klientów wymaga: podstawy prawnej (uzasadniony interes + LIA), poinformowania osób o tym przetwarzaniu w klauzuli informacyjnej, umowy powierzenia lub porozumienia o wspólnym administrowaniu z platformą, zapewnienia bezpieczeństwa transmisji (hashowanie danych przed przesłaniem).

Marketing telefoniczny i SMS

Kontakt telefoniczny i SMS w celach marketingowych podlega nie tylko RODO, ale również Prawu telekomunikacyjnemu:

Art. 172 Prawa telekomunikacyjnego wymaga uprzedniej zgody abonenta lub użytkownika końcowego na używanie telekomunikacyjnych urządzeń końcowych (telefon, SMS) dla celów marketingu bezpośredniego.

Rejestry sprzeciwów: UODO prowadzi rejestr numerów, których właściciele sprzeciwili się kontaktowi marketingowemu. Przed wykonaniem połączenia marketingowego należy zweryfikować, czy numer nie figuruje w rejestrze.

Nagrywanie rozmów: Jeśli nagrywasz rozmowy telefoniczne z klientami, musi to być uwzględnione w klauzuli informacyjnej, a osoba musi być poinformowana o nagrywaniu na początku rozmowy.

Marketing a dzieci

Marketing kierowany do dzieci podlega szczególnym ograniczeniom:

Art. 8 RODO — w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, przetwarzanie danych na podstawie zgody jest zgodne z prawem, jeśli dziecko ukończyło 16 lat (w Polsce próg ten został obniżony do 16 lat ustawą o ochronie danych osobowych). Poniżej tego wieku wymagana jest zgoda rodzica.

Profilowanie dzieci — EDPB w wytycznych dotyczących profilowania wskazuje, że profilowanie dzieci w celach marketingowych jest co do zasady niedopuszczalne ze względu na ich szczególną podatność.

Reklamy behawioralne — kierowanie reklam behawioralnych do dzieci (na podstawie profilowania) jest przedmiotem szczególnej krytyki regulatorów i może naruszać RODO.

Retencja danych marketingowych

Dane marketingowe nie powinny być przechowywane w nieskończoność. Zasady retencji:

Newsletter: Do momentu wycofania zgody. Po wycofaniu — niezwłoczne usunięcie z listy mailingowej.

Dane z formularzy kontaktowych: Rozsądny okres — np. 12 miesięcy od ostatniego kontaktu.

Dane z konkursów: Do zakończenia konkursu, wydania nagród i upływu terminu reklamacji.

Dane z cookies: Zależy od rodzaju cookie — od sesji (cookies sesyjne) do 13 miesięcy (rekomendacja CNIL dla cookies analitycznych i marketingowych).

Dane CRM (kontakty B2B): Przez okres aktywnej relacji biznesowej + rozsądny okres po jej zakończeniu (np. 3 lata od ostatniego kontaktu — uzasadniony interes). Po tym okresie — usunięcie lub ponowne uzyskanie zgody.

Dane z profilowania: Proporcjonalny okres — im bardziej inwazyjne profilowanie, tym krótszy okres retencji.

Checklist RODO w marketingu

  1. Newsletter: checkbox niezaznaczony domyślnie, double opt-in, link wypisania w każdym e-mailu, dokumentacja zgód.
  2. Nie kupuj baz danych do cold mailingu — to nielegalne.
  3. Cookies marketingowe: prior blocking, baner z równoważnymi opcjami, Google Consent Mode v2.
  4. Profilowanie: informuj w klauzuli, respektuj sprzeciw, przeprowadź DPIA przy dużej skali.
  5. Remarketing: uruchamiaj piksele dopiero po zgodzie na cookies marketingowe.
  6. Lead generation: osobna zgoda na marketing, nie łącz z dostępem do treści.
  7. Social media: zaakceptuj porozumienie o współadministrowaniu, informuj o cookies platformy.
  8. Custom Audiences: hashuj dane przed przesłaniem, poinformuj o przetwarzaniu w klauzuli.
  9. Marketing telefoniczny: uzyskaj zgodę z art. 172 Prawa telekomunikacyjnego, sprawdź rejestr sprzeciwów.
  10. Retencja: określ okresy przechowywania danych marketingowych, wdróż automatyczne usuwanie.
  11. LIA: przeprowadź test równowagi interesów dla marketingu opartego na uzasadnionym interesie.
  12. Klauzula informacyjna: uwzględnij wszystkie cele marketingowe, odbiorców, transfery, profilowanie.
  13. RCP: uwzględnij procesy marketingowe jako odrębne czynności przetwarzania.
  14. Szkolenia: przeszkol dział marketingu z RODO — to oni najczęściej popełniają błędy.

Potrzebujesz audytu marketingu pod kątem RODO?

Marketing to obszar RODO o najwyższym ryzyku kar — cookies, newsletter, profilowanie, remarketing, social media — każdy z tych elementów wymaga zgodności z przepisami. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont przeprowadzamy audyty marketingu pod kątem RODO — od cookies i banerów zgód, przez newsletter i profilowanie, po social media i remarketing.

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — sprawdzimy, czy Twój marketing jest zgodny z RODO.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts