Ochrona danych osobowych w sektorze marketingu elektronicznego (e-mail, SMS) od lat stanowi pole intensywnych dyskusji oraz rozbieżności pomiędzy oczekiwaniami świata biznesu a działaniami organów nadzorczych.

Zgodnie z motywem 47 Preambuły Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO), wskazano, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, a za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

RODO nie jest jedynym aktem prawnym mającym wpływ na praktykę w zakresie prowadzenia działań marketingowych. W zakresie marketingu elektronicznego trzeba wziąć pod uwagę regulacje:

• ustawy Prawo Komunikacji Elektroniczne („PKE”),
• Dyrektywy e-privacy,
• DSA (Digital Services Act, Akt o Usługach Cyfrowych),
• Data Act,
• czy AI Act.

Wydaje się, że za ugruntowane można uznać stanowisko, zgodnie z którym, PKE wymaga pobierania zgód na działania marketingowe i to na każdy kanał komunikacji (telefon, e-mail) oddzielnie.

Zgodnie natomiast, z art. 400 PKE – do uzyskania zgody abonenta lub użytkownika końcowego stosuje się odpowiednio przepisy o ochronie danych osobowych.

Jak wynika z art. 7 RODO:

• zgoda musi być dobrowolna – nie może być dorozumiana
• administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
• zapytanie o zgodę musi zostać przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
• osoba, której wyraża zgodę musi zostać poinformowana, że ma prawo w dowolnym momencie wycofać zgodę, a wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
• wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Organy nadzorcze ochrony danych natomiast konsekwentnie wskazują na dwa kluczowe aspekty legalnego przetwarzania danych w celach marketingowych: jakość samej zgody oraz podstawę prawną przetwarzania danych.

Jakość zgody?

W tym kontekście zwraca uwagę orzeczenie wydane przez francuski organ ochrony danych (CNIL) z 17 maja 2025 r. w sprawie CALOGA. Organ nałożył na firmę CALOGA karę w wysokości 80 000 EUR, za to, że sposób pobierania zgód marketingowych powodował, iż nie można uznać, że zgoda na marketing była swobodna i jednoznaczna.

Problemem był wprowadzający w błąd wygląd formularzy (dark patterns), w których przyciski umożliwiające wyrażenie zgody na marketing były zbyt wyeksponowane (rozmiar, kolor, umiejscowienie) w porównaniu do hiperłączy pozwalających na udział w usłudze bez wyrażania zgody. Taka wizualna presja, w ocenie CNIL, czyni zgodę nieważną.

W sprawach, gdzie marketing wiąże się z przetwarzaniem danych szczególnych (danych wrażliwych), wymogi są jeszcze bardziej rygorystyczne.

W decyzji z 30.11.2022 (DKN.5112.5.2021) dotyczącej kancelarii zajmującej się świadczeniem pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi (Kancelaria s.c.), na którą nałożono karę w wysokości 45 697 PLN, organ stwierdził, że przetwarzanie danych dotyczących zdrowia potencjalnych klientów (zbieranych m.in. na podstawie doniesień prasowych o wypadkach) było nielegalne. Dane te podlegają bowiem szczególnej ochronie (Art. 9 RODO).

UODO podkreślił, że w przypadku danych o zdrowiu wymagana jest wyraźna zgoda (Art. 9 ust. 2 lit. a) RODO). Ustna i nierejestrowana zgoda nie jest wystarczająca, ponieważ administrator (Kancelaria) nie jest w stanie wykazać jej uzyskania oraz zakresu (takie bowiem zgody były pobierane podczas pierwszego kontaktu przedstawicieli kancelarii z potencjalnymi klientami). Nie ma przy tym także znaczenia, że niektóre z przetwarzanych informacji, dostępne były publicznie (w prasie).

Możliwość wycofania zgody

Na „jakość” zgody wpływa też sposób, w jaki można ją odwołać. Organy ochrony danych konsekwentnie egzekwują kluczową zasadę RODO: wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

Analiza nałożonych sankcji ujawnia, że kary są nakładane nie tylko za brak ważnej zgody, ale także za celowe utrudnianie realizacji praw osób, których dane dotyczą.

W decyzji Prezesa Urzędu Ochrony Danych Osobowych z 16.10.2019 (ZSPR.421.7.2019) nałożono na ClickQuickNow karę w wysokości 201 559,50 PLN (równowartość 47 000 EUR) m.in. za:

1. utrudnianie wycofania zgody i wprowadzanie w błąd – użycie linku do wycofania zgody, nie skutkowało jej natychmiastowym odwołaniem zgody; zamiast tego, użytkownik trafiał na dwustopniowy proces, gdzie najpierw pytano o przyczynę rezygnacji, a następnie wyświetlano komunikat sugerujący, że zgoda została odwołana, po czym informowano o konieczności przesłania kolejnego żądania e-mailem. Prezes UODO uznał, że ten sprzeczny komunikat skutecznie uniemożliwiał odwołanie zgody.
2. żądanie podania przyczyny rezygnacji – Prezes UODO stwierdził, że takie żądanie nie ma podstawy prawnej i stanowi działanie umyślne mające na celu utrudnianie realizacji praw osoby, której dane dotyczą.
3. brak odpowiednich środków technicznych i organizacyjnych umożliwiających łatwe i skuteczne skorzystanie z prawa do wycofania zgody oraz prawa do bycia zapomnianym (Art. 7 ust. 3 i Art. 17 ust. 1 lit. b RODO); w ocenie Prezesa UODO proces odwołania zgody powinien przebiegać w sposób nieskomplikowany i za pomocą tego samego kanału komunikacyjnego, co jej wyrażenie (np. elektronicznie).

W sprawie nie pomogły ClickQuickNow argumenty, że skomplikowany proces rezygnacji był konieczny, aby chronić się przed masowym wysyłaniem wniosków o usunięcie danych przez automatyczne oprogramowanie (tzw. „boty”). Prezes UODO odrzucił ten argument, podkreślając, że administrator ma obowiązek ułatwiać wykonanie praw (art. 12 ust. 2 RODO).

Ponadto, w przypadku otrzymywania „pustych e-maili” (nie zawierających treści, ale wskazujących adresata), Administrator powinien był podjąć działania wyjaśniające, np. poprzez wysłanie korespondencji zwrotnej z zapytaniem, czego dotyczy żądanie, a nie pozostawiać wiadomości bez rozpatrzenia. Pozyskiwanie danych w takich wiadomościach bez ich usunięcia (po stwierdzeniu, że osoba nie jest klientem) stanowiło przetwarzanie bez podstawy prawnej.

UODO uznał działania ClickQuickNow za umyślne. Taka kwalifikacja wynikała z faktu, że spółka była świadoma wymogu łatwego i szybkiego procesu wycofania zgody (posiadała nawet własne dokumenty to obiecujące), ale celowo stosowała skomplikowany mechanizm, który wprowadzał konsumentów w błąd i wymagał dodatkowych, nieuzasadnionych działań.

W sprawie CALOGA, CNIL również sankcjonował utrudnienie wycofania zgody, ponieważ osoby, których dane dotyczyły, nie mogły cofnąć zgody na przesyłanie prospektów jednym kliknięciem, lecz musiały wysłać e-mail do Inspektora Ochrony Danych (DPO).

Kierunek wykładni

Stanowisko UODO, uwzględniając także orzeczenie CNIL, należy uznać za spójne z ogólnoeuropejską praktyką i zasadami RODO, szczególnie w zakresie egzekwowania prawa do wycofania zgody i rozliczalności.

Decyzja ClickQuickNow ilustruje, że UODO rygorystycznie traktuje zasady rzetelności i przejrzystości (Art. 5 ust. 1 lit. a RODO). Kwalifikacja naruszenia jako umyślnego ze względu na wdrożenie środków celowo utrudniających realizację praw jest ostrzeżeniem, że administratorzy muszą dbać o skuteczność mechanizmów prawnych, a nie tylko o ich istnienie.

Z kolei, decyzja dotycząca działań kancelarii „odszkodowawczej” potwierdza, że dla pozyskiwania danych (zwłaszcza danych o zdrowiu) oraz przetwarzania danych o niezwykle dużej wadze (informacje o wypadkach, stanie zdrowia) uzasadniony interes prawny administratora (Art. 6 ust. 1 lit. f RODO) jest niewystarczający. Tego typu działania są nieproporcjonalne i nie mogą przeważać nad prawami i wolnościami osoby, której dane dotyczą.

Jedyną potencjalną trudnością dla administratorów jest konieczność radzenia sobie z problemami technicznymi, takimi jak masowy napływ zautomatyzowanych żądań rezygnacji („boty”). Chociaż UODO uznał, że trudności techniczne nie usprawiedliwiają utrudniania praw, i wymagał dodatkowej komunikacji zwrotnej, w praktyce wdrażanie mechanizmów weryfikacji może być prawnie akceptowalne, o ile te środki nie są nadmiernie skomplikowane i nie blokują skutecznej realizacji prawa do wycofania zgody.

Praktyczne konsekwencje i rekomendacje

W świetle rygorystycznej wykładni RODO przez organy nadzorcze, na gruncie działań marketingowych, zalecana jest weryfikacja stosowanych mechanizmów, tak aby:

• sposób wycofania zgody był równie łatwy jak jej udzielnie;
• w procesie wycofywania zgody nie były wykorzystywane formularze z pytaniami o przyczynę rezygnacji, jeśli odpowiedź na nie warunkuje lub opóźnia skuteczne usunięcie danych;
• formularze do pozyskiwania zgody nie były zaprojektowane w sposób wprowadzający w błąd (bez dark patterns), co mogłoby podważyć swobodny i jednoznaczny charakter zgody;

Pamiętajmy też, że fakt, iż określone dane mogą być publicznie dostępne, nie uzasadnia możliwości nieograniczonego wykorzystywania danych. Nadrzędny jest tu interes osoby, której dane dotyczą.

Musimy być również w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych – ważna jest rozliczalność podejmowanych działań.

Dodatkowo, pamiętać także należy o kontroli okresu retencji – czas przechowywania danych powinien być spójny z celem w jakim dane są przechowywane.

Analiza orzecznictwa organów ochrony danych jasno wyznacza rygorystyczny i spójny kierunek wykładni przepisów RODO, podkreślając, że w sektorze marketingu elektronicznego jakość zgody oraz skuteczność realizacji praw są priorytetowe. Administratorzy muszą zatem dążyć do pełnej przejrzystości i rozliczalności, weryfikując, czy stosowane przez nich mechanizmy, faktycznie zapewniają osobom, których dane dotyczą, skuteczną kontrolę nad ich danymi osobowym.