Legalny newsletter 2022 – krok po kroku

blur-card-city-311716
Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Spis treści

Podczas prowadzenia swojej działalności z pewnością często zastanawiałeś się nad wieloma metodami zdobywania nowych klientów, jak i zatrzymywania tych obecnych. Jednym z najbardziej efektywnych sposobów jest newsletter, dzięki któremu Twoi subskrybenci mogą być na bieżąco z tym, co się u Ciebie w firmie dzieje. Możesz przesyłać im oferty swoich produktów, informować o ważnych wydarzeniach lub po prostu dbać o swoją rozpoznawalność. Z pewnością słysząc o milionowych karach za złamanie RODO głowiłeś się nad tym, jak skorzystać z tej metody nie narażając się na odpowiedzialność wynikającą z naruszenia przepisów o ochronie danych osobowych. Na Twoje wątpliwości odpowiem poniżej w kilku prostch punktach.

Niniejszy artykuł znajdzie zastosowanie także po wejściu w życie przepisów dostosowujących polskie ustawy do RODO, czyli tzw. RODO sektorowe.

Zobacz także prowadzony przeze mnie live – Legalny newsletter krok po kroku:

Listen to „Legalny newsletter krok po kroku | Kawka z prawnikiem #live nr 9” on Spreaker.

Newsletter a informacje o Tobie

Ze względu na fakt, iż wysyłane przez Ciebie wiadomości prawdopodobnie będą miały w mniejszym lub większym stopniu charakter marketingowy, należałoby je uznać za informację handlową. Wymaga to wskazania Twoich danych kontaktowych lub Twojego podmiotu (np. w postaci nazwy, adresu i nr NIP lub REGON działalności gospodarczej). Przeważnie wystarczający będzie zestaw danych, które podajesz w zawieranych przez Ciebie umowach.

Często dostaję pytania o możliwość częściowego lub pełnego ukrycia informacji przekazywanych na swój temat – ze względu na znaczną różnorodność podmiotów działających na rynku oraz odmienność ciążących na nich obowiązków, nie da się udzielić na nie ogólnej odpowiedzi (każdą sytuację trzeba zbadać indywidualnie).

Należy zauważyć, że zwykle wystarczy jednokrotne przesłanie w/w informacji, jednak zachęcam Cię  do umieszczania ich także w stopkach maili przesyłanych w ramach newslettera. Dzięki temu zwiększysz swoją transparentność, ponadto jest to częsty wymóg tzw. polityk antyspamowych stosowanych przez dostawców usług mailingowych.

Wyjątkiem są jedynie spółki prawa handlowego, które mają z mocy prawa obowiązek informowania w każdej korespondencji o swoich danych. 

Polityka prywatności

Powyższe nierozłącznie wiąże się ze spełnieniem obowiązku informacyjnego wynikającego z RODO. Po przygotowaniu danych, za pomocą których przedstawisz się klientowi, nadszedł czas na stworzenie wzorcowej informacji o przetwarzaniu przez Ciebie jego danych osobowych. 

W tym momencie z pewnością czekasz niecierpliwie, aż udzielę odpowiedzi na pytanie „Ale właściwie jak powinienem sformułować obowiązek informacyjny z RODO?”. Kluczowe jest ujęcie tematu możliwie jasnym i prostym językiem, który umożliwi każdej zainteresowanej osobie rozeznanie się w specyfice tego, jakie dane są zbierane i w jakim celu przetwarzane. Taki obowiązek informacyjny możesz opisać w dokumencie o nazwie „Polityka prywatności”.

Przeczytaj więcej: Polityka prywatności jako obowiązek informacyjny z RODO.

Po stworzeniu odpowiedniej polityki prywatności powinieneś zastanowić się nad kwestią wyrażenia zgody (lub nie) użytkownika na jej treść. Pamiętaj, że obowiązku informacyjnego, który znajduje się w polityce prywatności nie trzeba akceptować – jednakże ze względów dowodowych, najlepiej, gdyby Twój system przewidywał taką możliwość. 

Kolejną dobrą informacją jest fakt, iż nie trzeba wklejać całej polityki prywatności już w treści samej strony internetowej (co oczywiście psułoby jej layout i zniechęcało użytkowników do odwiedzania), lecz np. umieścić odnośnik do treści polityki lub plik .pdf, w którym odwiedzający stronę może znaleźć wszelkie niezbędne informacje.

Jakie informacje są niezbędne? W przypadku, gdy pozyskujesz dane osobowe bezpośrednio od osoby, której dotyczą, zastosowanie znajdzie art. 13 RODO, zgodnie z którym masz obowiązek podać podczas pozyskiwania danych m.in.: 

 • oznaczenie administratora danych osobowych, jego dane identyfikacyjne oraz kontaktowe,
 • dane kontaktowe Inspektora Ochrony Danych (jeżeli został ustanowiony)
 • cele przetwarzania danych osobowych oraz podstawy przetwarzania
 • pouczenie o możliwości cofnięcia zgody, jeżeli jest ona podstawą przetwarzania
 • informację o odbiorcach danych osobowych (jeżeli istnieją)
 • okres przetwarzania danych osobowych
 • informację o przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej
 • informację o wykorzystywaniu danych osobowych do zautomatyzowanego podejmowania decyzji, w tym profilowania
 • prawa gwarantowane przez RODO
 • pouczenie o prawie wniesienia skargi do organu nadzorczego

Obowiązek informacyjny musisz zrealizować ponownie, jeżeli planujesz dalej przetwarzać dane osobowe w celu innym niż cel, w którym pierwotnie je zebrałeś. Istnieje jednak wyjątek od tej reguły – obowiązku informacyjnego nie trzeba realizować ponownie, jeżeli podmiot danych dysponuje już wymaganymi informacjami.

Co się dzieje w sytuacji, gdy dane osobowe zostały zebrane w inny sposób niż od osoby, której dotyczą? Dodatkowych elementów o których musisz poinformować jest na szczęście niewiele, zwłaszcza biorąc pod uwagę ilość wskazanych wyżej obowiązków – dodatkowo powinieneś wskazać w swoim obowiązku informacyjnym kategorie pozyskanych danych oraz ich źródło (co wynika bezpośrednio z art. 14 RODO).

Brzmi skomplikowanie? Na szczęście obowiązek informacyjny wynikający z tego strasznego RODO możesz spełnić w różnorodny sposób, dostosowany do Twojego modelu biznesowego i informacyjnego – o czym już wspomniałem wcześniej. Wymagane informacje możesz umieścić np. w polityce prywatności, stopce maila z odpowiednim wyjaśnieniem, w checkboxie zaraz obok regulaminu i formularza zakupowego, rejestracji konta lub zapisu do newslettera.

Nie wiesz, czy Twoja polityka prywatności jest poprawna i zgodna z prawem? Umów się na rozmowę z prawnikiem i skonsultuj ją – Kliknij tutaj i wypełnij formularz kontaktowy >

Zgoda na otrzymywanie maili marketingowych

Po przygotowaniu danych indentyfikacyjnych oraz polityki prywatności, kluczową kwestią, którą również powinieneś się zająć jeszcze przed zbudowaniem bazy subskrybentów, jest ustalenie sposobu uzyskania odpowiedniej zgody od potencjalnych klientów na wysłanie przez Ciebie wiadomości marketingowych na ich skrzynki pocztowe.

Zaczynając omawiać zgody warto wspomnieć, że oprócz RODO, stosujemy w tej kwestii także inne obowiązujące ustawy. Najważniejszymi aktami prawnymi, które niezależnie od siebie regulują kwestie wyrażania zgody na przekazywanie Tobie informacji są: 

 • ustawa o świadczeniu usług drogą elektroniczną (UŚUDE),
 • Prawo telekomunikacyjne,
 • rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

W ramach UŚUDE wyróżniamy zgodę na przesyłanie informacji handlowych. Natomiast w ramach Prawa telekomunikacyjnego zgodę na marketing bezpośredni. Jeżeli dodamy do tego jeszcze zgodę z RODO, może zrobić się problem. Jest na to rozwiązanie.

Informację handlową możesz przesyłać odbiorcy wtedy, gdy wyraził on zgodę na jej otrzymywanie, w szczególności udostępnił Ci adres e-mail lub wykonał jakąś inną „akcję”, która była odpowiednio opisana, co jest jedną z form wyrażenia zgody.

Warto zauważyć, iż zgoda musi być uprzednia, co oznacza, że nie możesz zapytać o nią dopiero w momencie kontaktowania się z klientem w celach marketingowych. Musisz uczynić to wcześniej (np. na Twojej stronie internetowej). Pomimo różnych opinii w tym temacie, przynajmniej na dzień dzisiejszy nie zalecam dzwonienia do poszczególnych osób i pytania ich o zgodę.

Wizja uzyskania aż trzech zgód kompatybilnych ze wszystkimi wskazanymi wyżej przepisami brzmi dla Ciebie bardzo skomplikowanie, a może wręcz przerażająco?

Na szczęście mogę Cię uspokoić – istnieją interpretacje przepisów, które pozwalają na zastosowanie finalnie tylko jednej zgody.

Na razie skupiliśmy się na zgodzie na informacje handlowe. Jednak należy przyjrzeć się również systemowi „double opt-in”. Praktyka wskazuje, iż wystarczy uzyskanie jednej zgody zgodnej z UŚUDE na przesyłanie informacji o nowościach i promocjach – a gdy dodatkowo wdrożymy u siebie system double opt-in, czyli korzystanie z „linku potwierdzającego”, który otrzyma każdy nowy subskrybent, spełnimy obowiązki wynikające z Prawa telekomunikacyjnego.

Czy musimy pobierać zgodę z RODO?

Nie. Zgodnie z interpretacją, na której się opieram i z którą również się zgadzam, nie trzeba stosować zgody wynikającej z RODO. Jeżeli zebrałeś zgodę z UŚUDE oraz zastosowałeś system „double opt-in” wystarczy, że w swojej polityce prywatności wskażesz, że podstawą przetwarzania jest nie „zgoda”, a „interes prawny administratora” związany właśnie z tym, że zgodę uzyskałeś na podstawie innych przepisów. 

Brzmi skomplikowanie? Zobacz poniższy skrót:

 • Zamiast podstawy przetwarzania jaką jest zgoda z RODO – zastosuj podstawę jaką jest interes prawny administratora. Opisz to odpowiednio w swojej polityce prywatności. 
 • Jeżeli kontaktujesz się w ramach newslettera mailowego, zastosuj zgodę, która odpowiada wymaganiom UŚUDE.
 • Nie musisz pobierać trzeciej zgody na marketing bezpośredni z Prawa telekomunikacyjnego. Wystarczy, że zastosujesz „double opt-in”. 

Dodatkowo, warto wspomnieć, że zgoda nie musi być formalna – zgodnie z RODO i właśnie wprowadzaną ustawą zmieniającą, zgoda może przybrać formę działania. Co za tym idzie, w praktyce możesz w sposób opisowy wskazać, co będziesz wysyłał na skrzynkę mailową subskrybenta i to będzie w zupełności wystarczyło, abyś mógł spokojnie spać, nie zaprzątając sobie już tym więcej głowy. Uprzedzam, tak wcześniej nie było. 

Powyższe będzie zgodne zarówno w pełni z RODO, Ustawą o świadczeniu usług drogą elektroniczną, jak i Prawem telekomunikacyjnym.

Skorzystaj z 15 minutowej
bezpłatnej konsultacji

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? 

Skorzystaj z 15 minutowej bezpłatnej konsultacji, podczas której udzielę odpowiedzi na Twoje pytania i sprawdzimy, czy mogę pomóc w rozwoju Twojego biznesu.

Napisz do mnie poprzez poniższy formularz lub na adres a.szczudlo@creativa.legal i umów się na rozmowę.

Administratorem Twoich danych osobowych będzie kancelaria Creativa Legal sp.p. Przeczytaj więcej w naszej Polityce prywatności.

Zgoda poprzez działanie

Istnieje również możliwość pobrania zgody zgodnej z UŚUDE poprzez aktywne działanie użytkownika. Nie musi on wtedy zaznaczać konkretnego checkboxa.

Jeżeli chcesz zastosować taką metodę, Twoim obowiązkiem jest odpowiednie poinformowanie użytkownika, że podając adres e-mail będzie mógł spodziewać się otrzymywania informacji handlowych (marketingowych) w związku z tym. Możesz to zrobić dodając odpowiednią notatkę przy zapisie do newslettera.

Jeżeli zapis do newslettera następuje w ostatnim kroku zakupowym, czyli przy formularzu zakupowym, tutaj jednak zastosowałbym w Twoim przypadku zgodę – gdyż, jak dobrze wiesz, nie można powiązać zgody marketingowej z realizacją zamówienia (zawarciem umowy sprzedaży danego produktu). 

Double opt-in: co to jest i czemu służy?

Kolejnym, często poruszanym przez Was w pytaniach zagadnieniem jest tzw. double opt-in, czyli potwierdzenie przez użytkownika zgody na dołączenie do newslettera. Oznacza to konieczność „kliknięcia” przez użytkownika w link aktywacyjny, co potwierdza jego chęć dołączenia do grona subskrybentów. 

Niniejsze rozwiązanie ma wiele zalet ze względów zarówno prawnych, jak i praktycznych. Po pierwsze jest dodatkowym mechanizmem chroniącym przed potencjalnym oskarżeniem o wysyłanie niezamówionej informacji handlowej. Po drugie – umożliwia Ci weryfikację e-maila pod kątem jego istnienia, oraz faktycznej przynależności do określonej osoby, która chce otrzymywać od Ciebie informacje.

Zastosowanie tej metody pozwoli Ci na uzyskanie jednej zgody (zgodnie z UŚUDE) oraz wykazanie Twojego uzasadnionego interesu jako administratora związanego z RODO.

Zapis na newsletter w formie papierowej

Ze względu na jego specyficzną formę, która siłą rzeczy uniemożliwia uzyskanie zgody w postaci kliknięcia w link aktywacyjny, dość ciężko wyobrazić sobie sytuację, kiedy możemy wykorzystać mechanizm double opt-in. W takiej sytuacji proponowałbym jednak uzyskanie zgody zarówno zgodnej z UŚUDE, jak i Prawem telekomunikacyjnym – przynajmniej na dzień dzisiejszy. 

Co się stanie, jeżeli nie zastosuję się do wskazówek?

Konsekwencje braku wdrożenia omówionych w artykule wskazówek mogą być bardzo poważne. Nie jestem tutaj po to, by Cię straszyć, jednak muszę przybliżyć Ci kwestię ewentualnych kar. 

Kwestia danych osobowych po kilku głośnych aferach związanych z wyciekiem danych jest „na świeczniku”, czego namacalnym efektem jest zamieszczenie w RODO gigantycznych kar za naruszenie ochrony danych osobowych. Mając na myśli „gigantyczne kary”, mówimy o kwocie bagatela 10 milionów euro lub 2% rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy (w zależności od tego, która z podanych kwot będzie wyższa) w przypadku naruszenia obowiązków ciążących na administratorze i podmiocie przetwarzającym, np. wdrożenia odpowiednich środków dla ochrony danych osobowych lub powołania inspektora ochrony danych. 

Wskazana powyżej kwota jest drakońską karą? Niestety to jeszcze nie koniec złych wiadomości… Gdy dojdzie do naruszenia podstawowych zasad przetwarzania danych, np. uzyskiwania zgody na przetwarzanie, praw osób, których te dane dotyczą (np. prawa dostępu, sprostowania i usunięcia danych) kara może wynieść aż 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy (analogicznie do poprzedniego przypadku – w zależności od tego, która z podanych kwot będzie wyższa).

Rzecz jasna biorąc pod uwagę wielkość Twojej działalności, rozmiar naruszenia przepisów, oraz w dalszym stopniu początkowe stadium stosowania RODO, kara prawdopodobnie będzie daleka od wskazanych wyżej kwot. Jednak należy pamiętać, iż grzywna może być jedynie początkiem kosztów przez Ciebie poniesionych. Naruszenie ochrony danych osobowych implikuje także ogromne straty wizerunkowe (zwłaszcza w obecnych realiach, gdy sprawy tego typu bardzo szybko zostają nagłośnione zarówno w Internecie, jak i w „tradycyjnych” mediach) oraz możliwe konsekwencje faktyczne i prawne ze strony podmiotów, które ucierpiały w efekcie naruszenia (np. koszty wniesienia pozwów lub utrata klientów).

Należy w tym miejscu również wspomnieć także o karach za wysłanie niezamówionej informacji handlowej oraz uprawianie marketingu bezpośredniego bez uprzedniej zgody. W pierwszym przypadku oznacza to popełnienie wykroczenia, za które grozi kara grzywny w wysokości od 20 do 5000 zł (co ważne – ściganie następuje w tym przypadku na wniosek pokrzywdzonego). Zaś podmiot, który nie uzyskał zgody na marketing bezpośredni, wymaganej przez prawo telekomunikacyjne, może zostać ukarany karą pieniężną w wysokości do 3% obrotu za poprzedni rok obrotowy.

Wobec groźb wiszących nad nami powyższych kar, temat ochrony danych osobowych, oraz zadbanie o właściwe wyrażenie zgody ze strony subskrybentów jest jedną z najważniejszych kwestii analizowanych przy sporządzaniu newslettera. Jak pewnie zauważyłeś, kilka wskazanych przeze mnie w artykule prostych kroków może pozwolić Ci na uniknięcie znacznego odchudzenia portfela i narażenia się na poważne straty.

Kup teraz: Regulamin i polityka prywatności - produkty fizyczne, elektroniczne i mieszane

Jeżeli szukasz gotowych wzorów dokumentów dla sklepu internetowego sporządzonych przez prawnika z wieloletnim doświadczeniem, znalazłeś się w dobrym miejscu.

Postaw ostatni krok na drodze do zgodnego z prawem newslettera!

Podsumowując – co jest potrzebne, abyś mógł rozpocząć promowanie swojej działalności i/lub produktów w 100% zgodnie z prawem?

W przypadku newslettera (także przy okazji formularza sprzedażowego):

 • Zgoda spełniająca wymogi UŚUDE
 • Polityka prywatności + uzasadniony interes administratora z RODO
 • Double Opt-in

Zapis do newslettera/biuletynu w formie papierowej:

 • Połączona zgoda spełniająca wymogi UŚUDE i Prawem Telekomunikacyjnym
 • Polityka prywatności + uzasadniony interes administratora z RODO

Na sam koniec chciałbym przypomnieć o jednej, niezwykle istotnej rzeczy, która, choć może zniweczyć wszelkie Twoje starania w kierunku stworzenia zgodnego z prawem newslettera, jest często pomijana przez jego twórców. Chodzi o kwestie dowodowe, a konkretnie o odpowiednie zapisanie wszelkich danych dotyczących działań użytkowników, a w szczególności wyrażenia przez nich zgody i zapoznania się z polityką prywatności. Brak możliwości jednoznacznego wykazania swoich racji w razie problemów, może przekreślić cały wysiłek jaki podjąłeś w celu wypełnienia wszystkich wymaganych prawem obowiązków. Jeżeli nie chcesz, aby godziny Twojej ciężkiej pracy zostały zmarnowane, nie wolno Ci zaniedbać tego zagadnienia.

Mam nadzieję, że dzisiejszy artykuł przydał Ci się i rozjaśnił wszelkie wątpliwości związane z aspektami prawnymi newslettera. Udostępnij go proszę dalej swoim znajomym. Będę wdzięczny, dzięki!

Subskrybuj newsletter i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Photo by Miguel Constantin Montes from Pexels.

W czym mogę Ci pomóc?

Arkadiusz Szczudło

Jestem adwokatem, wspólnikiem w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym.

Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Pomagam przedsiębiorcom m.in. w sporządzaniu umów i regulaminów ochronie danych osobowych i własności intelektualnej oraz prawie reklamy i mediów. Wspieram w zwalczaniu nieuczciwej konkurencji – w tym na rynku chińskim.

Chcesz porozmawiać o swoich bolączkach?
Napisz do mnie na a.szczudlo@creativa.legal lub skorzystaj z przycisku poniżej i wypełnij formularz. Sprawdź, czy możemy pomóc w rozwoju Twojego biznesu.

Subskrybuj newsletter
i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Nowe zmiany prawa dla e-commerce
od stycznia 2023!

Jeżeli prowadzisz lub zarządzasz sklepem internetowym, musisz być z nami. Weź udział w bezpłatnym szkoleniu, już 13 grudnia o 19:00!

Dowiedz się, jakie zmiany czekają na Ciebie – oraz jak się prosto, szybko i tanio do nich dostosować! Otrzymasz od nas gotowe rozwiązania!