Poradnik

Zgody marketingowe i newsletter zgodnie z RODO

Zgody marketingowe i newsletter zgodnie z RODO to nie jeden checkbox, ale trzy oddzielne podstawy prawne, które trzeba spełnić jednocześnie. Pokazujemy, jak zbierać zgodę, udokumentować ją i wysyłać wiadomości bez ryzyka kary.

Newsletter i e-mail marketing to jedno z najtańszych źródeł sprzedaży w sklepie internetowym, ale też obszar, w którym najłatwiej naruszyć przepisy. Wystarczy jeden źle skonfigurowany checkbox albo wysyłka do bazy kupionej z niepewnego źródła, by narazić się na skargę i karę. W tym poradniku pokazujemy, jak budować zgody marketingowe i newsletter zgodnie z RODO oraz prawem telekomunikacyjnym, krok po kroku.

To praktyczny przewodnik, a nie porada prawna. Przepisy o ochronie danych i marketingu bywają zmieniane i interpretowane różnie, dlatego konkretne zapisy zgód i regulaminu warto skonsultować z prawnikiem oraz sprawdzić aktualny stan prawa przed wdrożeniem.

Zgody marketingowe i RODO to trzy odrębne podstawy

Najczęstszy błąd to traktowanie zgody na newsletter jak jednej rzeczy. W rzeczywistości legalna wysyłka opiera się na trzech różnych podstawach prawnych, które muszą być spełnione równocześnie.

Po pierwsze, RODO. Adres e-mail to dane osobowe, więc ich przetwarzanie w celu marketingu wymaga podstawy. Najczęściej jest to zgoda osoby albo prawnie uzasadniony interes administratora, ale dla aktywnej wysyłki na obcy adres bezpieczniejsza jest zgoda. Po drugie, ustawa o świadczeniu usług drogą elektroniczną, która wymaga zgody na otrzymywanie informacji handlowej drogą elektroniczną. Po trzecie, prawo telekomunikacyjne, które wymaga zgody na używanie konkretnego kanału (e-mail, SMS, telefon) do marketingu.

W praktyce te trzy zgody zbiera się jednym, dobrze opisanym oświadczeniem, ale każda z nich ma własną treść i własny cel. Dlatego zgoda nie może być ogólnikowa w stylu „zgadzam się na wszystko". Powinna jasno mówić, kto wysyła, czego dotyczy i jakim kanałem. Temat łączy się ściśle z dokumentacją sklepu, którą opisujemy w poradniku o polityce prywatności sklepu a RODO.

Każda zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Oznacza to brak domyślnie zaznaczonych checkboxów, brak wymuszania zgody jako warunku zakupu i brak łączenia kilku celów w jeden ptaszek bez możliwości rozdzielenia.

Newsletter zgodnie z RODO wymaga osobnego checkboxa

W formularzu zapisu i przy składaniu zamówienia zgoda marketingowa musi być oddzielona od akceptacji regulaminu i od zgody na przetwarzanie danych w celu realizacji zamówienia. To są inne cele i nie wolno ich zlepiać.

Dobrze zbudowany formularz wygląda tak:

ElementWymóg
Checkbox marketingowyNiezaznaczony domyślnie, opcjonalny
Treść zgodyKto wysyła, jaki kanał, jaki rodzaj treści
Link do polityki prywatnościWidoczny przed wyrażeniem zgody
Informacja o wycofaniuWzmianka, że zgodę można cofnąć w każdej chwili
Brak warunku zakupuZakup możliwy bez zaznaczenia checkboxa

Treść zgody nie musi być długa, ale musi być precyzyjna. Przykład: „Chcę otrzymywać newsletter z ofertami i nowościami sklepu [nazwa] na podany adres e-mail. Wiem, że zgodę mogę wycofać w każdej chwili." Taki zapis pokrywa cel, kanał i prawo do wycofania.

Pamiętaj, że sam zakup nie tworzy zgody na marketing. Klient podaje e-mail, żeby dostać potwierdzenie zamówienia i informacje o wysyłce, a te wiadomości transakcyjne to inna kategoria niż marketing. Wiadomości o statusie paczki czy fakturze możesz wysyłać na podstawie realizacji umowy, co opisujemy w materiale o automatycznych powiadomieniach e-mail w sklepie. Aby do tego samego klienta wysłać newsletter, potrzebujesz odrębnej zgody marketingowej.

Double opt-in jako standard i dowód zgody

Double opt-in to mechanizm, w którym po zapisie wysyłasz na podany adres link aktywacyjny, a subskrypcja staje się aktywna dopiero po jego kliknięciu. Dopiero to potwierdzenie aktywuje wysyłkę.

Przepisy nie nakazują wprost double opt-in, ale jest to najmocniejszy dowód, że zgodę wyraziła osoba faktycznie władająca skrzynką. Dzięki niemu nikt nie dopisze cudzego adresu, a Ty masz log potwierdzenia z datą i godziną kliknięcia. Single opt-in jest dopuszczalny, ale wtedy musisz inaczej zadbać o dowód zgody i ryzykujesz więcej skarg na spam.

Niezależnie od metody musisz umieć udowodnić, że zgoda istniała. Ciężar dowodu spoczywa na administratorze, czyli na Tobie. Minimalny zestaw, który warto zapisać przy każdej zgodzie:

  • Datę i godzinę wyrażenia zgody
  • Dokładną treść zgody w wersji, którą widział użytkownik
  • Kanał i źródło zapisu (formularz, checkout, landing page)
  • Adres IP oraz w double opt-in moment potwierdzenia linku
  • Historię zmian i ewentualnego wycofania zgody

Te dane przechowuj tak długo, jak przetwarzasz dane na podstawie zgody, plus rozsądny okres po jej wycofaniu na wypadek roszczeń lub kontroli. Bez tej dokumentacji nawet realnie zebrana zgoda jest trudna do obrony przed UODO.

Wycofanie zgody musi być tak łatwe jak jej wyrażenie

Prawo do wycofania zgody to fundament całego systemu. Wycofanie musi być tak proste jak wyrażenie, więc jeśli zapisać się dało jednym kliknięciem, to wypisanie też powinno działać jednym kliknięciem.

W praktyce oznacza to widoczny link rezygnacji w każdej wiadomości marketingowej oraz obsługę żądania bez zbędnych przeszkód i pytań „dlaczego odchodzisz" jako warunku rezygnacji. Po wycofaniu zgody przestajesz wysyłać marketing na ten adres, ale możesz zachować sam zapis o wypisie, aby przypadkiem nie dopisać tej osoby ponownie i aby udowodnić, że żądanie zostało zrealizowane.

Warto rozdzielić dwie rzeczy. Wycofanie zgody marketingowej kończy wysyłkę newslettera, ale nie usuwa automatycznie wszystkich danych klienta, bo te możesz nadal przetwarzać na innej podstawie, na przykład do rozliczenia wystawionych faktur czy obsługi gwarancji. To dwa różne procesy i klient powinien rozumieć tę różnicę z treści, którą mu pokazujesz.

Dobrą praktyką jest panel preferencji, w którym subskrybent sam wybiera, jakie treści i jak często chce dostawać. To podnosi zaangażowanie i obniża liczbę wypisów, bo zamiast całkowitej rezygnacji człowiek często woli rzadszą wysyłkę.

Jak nie spamować legalnie i chronić reputację nadawcy

Zgoda to warunek konieczny, ale nie jedyny. Nawet legalna baza zaszkodzi sprzedaży, jeśli wiadomości będą trafiać do folderu spam. Reputacja domeny nadawcy zależy od tego, jak wysyłasz, a nie tylko od tego, czy masz zgodę.

Kilka zasad, które realnie pomagają:

  1. Wysyłaj tylko do osób, które potwierdziły zapis, najlepiej przez double opt-in.
  2. Skonfiguruj uwierzytelnianie domeny (SPF, DKIM, DMARC), żeby serwery odbiorców ufały nadawcy.
  3. Nie kupuj baz adresowych ani nie scrapuj e-maili. Brak zgody to nielegalna wysyłka i lawina skarg.
  4. Regularnie czyść bazę z adresów odbijających i nieaktywnych subskrybentów.
  5. Trzymaj rozsądną częstotliwość i dawaj realną wartość, a nie samą sprzedaż.

Rozdziel też wyraźnie wiadomości transakcyjne od marketingowych. Potwierdzenie zamówienia, informacja o nadaniu paczki czy link do faktury to komunikacja oparta na realizacji umowy i nie wymaga zgody marketingowej. Marketing dokładany do takiej wiadomości potrafi przekształcić ją w informację handlową, dla której potrzebujesz już zgody, więc lepiej tych światów nie mieszać. Jeśli prowadzisz sprzedaż na wielu platformach, ujednolicenie zasad komunikacji ułatwia zarządzanie zamówieniami z wielu platform w jednym miejscu.

NavyFlame jako hub e-commerce centralizuje zamówienia i wysyła powiadomienia e-mail o statusach zamówień i przesyłek na podstawie realizacji umowy, czyli komunikację transakcyjną. Pełnoprawny silnik newsletterowy z double opt-in zwykle prowadzisz w dedykowanym narzędziu do e-mail marketingu, a NavyFlame zajmuje się operacyjną częścią sklepu: zamówieniami, magazynem i fakturowaniem.

Na koniec praktyczna checklista. Zanim wyślesz pierwszy newsletter, sprawdź, czy masz osobny checkbox zgody, czy zgoda jest niezaznaczona domyślnie, czy zapisujesz dowód zgody, czy działa link rezygnacji i czy domena ma poprawnie ustawione SPF, DKIM oraz DMARC. Te pięć punktów oddziela legalną, skuteczną wysyłkę od ryzyka kary i zablokowanej domeny.

Najczesciej zadawane pytania

Nie. RODO reguluje przetwarzanie danych osobowych, ale samą wysyłkę informacji handlowej na e-mail reguluje też prawo telekomunikacyjne i ustawa o świadczeniu usług drogą elektroniczną. Potrzebujesz odrębnej zgody na otrzymywanie informacji handlowej oraz na użycie kanału (e-mail, SMS, telefon). W praktyce zbiera się je razem, ale prawnie to różne podstawy.

Przepisy nie nakazują wprost double opt-in, ale jest to standard de facto i najmocniejszy dowód, że zgodę wyraziła osoba będąca właścicielem adresu. Single opt-in jest dopuszczalny, jeśli i tak zachowasz dowód zgody. Double opt-in chroni przed dopisaniem cudzego adresu i spamowymi skargami, dlatego rekomendujemy go w każdym sklepie.

Tak długo, jak przetwarzasz dane na podstawie tej zgody, plus rozsądny czas po jej wycofaniu na wypadek roszczeń lub kontroli. To zwykle okres przedawnienia roszczeń. Zapisuj datę, treść zgody, kanał i IP, bo to na Tobie jako administratorze spoczywa ciężar wykazania, że zgoda istniała.

Sam zakup nie tworzy zgody na marketing. Klient zostawia e-mail w celu realizacji zamówienia, a to inna podstawa przetwarzania niż marketing. Aby wysyłać do niego newsletter, potrzebujesz osobnej zgody marketingowej, najlepiej zebranej przy zamówieniu jako niezaznaczony domyślnie checkbox.

Wysyłka informacji handlowej bez zgody to naruszenie ustawy o świadczeniu usług drogą elektroniczną i prawa telekomunikacyjnego, zagrożone karą administracyjną oraz odpowiedzialnością wobec UODO za przetwarzanie danych bez podstawy. Do tego dochodzi ryzyko skarg na spam i utrata reputacji domeny nadawcy.

Zautomatyzuj komunikację z klientami zgodnie z prawem

Zobacz demo