Marketing oparty na danych osobowych przez lata działał według prostej zasady: im większa baza kontaktów, tym lepiej. Wiele firm zbierało adresy e-mail, numery telefonów i zgody „przy okazji” – w formularzach, regulaminach, konkursach, zapisach na newsletter albo podczas rozmów sprzedażowych. Problem w tym, że część tych zgód istnieje tylko na papierze. Często zgody są zbyt ogólne, ukryte w długiej treści, niemożliwe do udowodnienia albo nie obejmują kanału, którym firma faktycznie kontaktuje się z klientem.
W 2026 r. ten temat może wrócić ze znacznie większą siłą. UODO zapowiedział kontrole podmiotów marketingowych (https://uodo.gov.pl/pl/138/4029), w szczególności w zakresie podstaw prawnych przetwarzania danych w celach marketingowych. Dla biznesu oznacza to jedno: nie wystarczy powiedzieć „mamy zgodę”. Trzeba jeszcze wykazać, kiedy, w jaki sposób, na co dokładnie i komu została udzielona.
W praktyce najczęstszy błąd polega na traktowaniu jakiejkolwiek zgody jako uniwersalnej przepustki do każdego działania marketingowego. Tymczasem zgoda powinna być konkretna. Co innego zgoda na newsletter, co innego zgoda na telefon od handlowca, a jeszcze co innego profilowanie klienta w celu dopasowania oferty. Jeżeli klient zapisał się na pobranie e-booka, nie zawsze oznacza to, że zgodził się na cykliczne telefony sprzedażowe. Jeżeli podał numer telefonu w formularzu kontaktowym, nie zawsze oznacza to zgodę na SMS-y z informacjami o promocjach.
Drugim problemem jest brak dowodów. W razie kontroli firma powinna być w stanie odtworzyć historię zgody: treść komunikatu widocznego dla użytkownika, datę, źródło, kanał, identyfikator formularza, wersję checkboxa, a także informację, czy zgoda nie została później cofnięta. Sama tabela w CRM z oznaczeniem „zgoda: tak” może okazać się niewystarczająca.
Trzecim obszarem ryzyka jest kupowanie baz kontaktów. Dla działu sprzedaży taka baza bywa kusząca, ale z punktu widzenia compliance jest to jeden z najbardziej wrażliwych modeli działania. Firma korzystająca z bazy powinna wiedzieć, skąd pochodzą dane, kto je zebrał, w jakim celu, na jakiej podstawie i czy osoba, której dane dotyczą, została poinformowana o dalszym udostępnianiu jej danych. Bez tego ryzyko przechodzi na podmiot, który finalnie wysyła komunikat albo wykonuje telefon.
Warto też pamiętać, że RODO to tylko część układanki. Przy e-mailach, SMS-ach i telefonach marketingowych znaczenie ma również ustawa Prawo komunikacji elektronicznej, które wymaga uprzedniej zgody na wykorzystanie określonych kanałów komunikacji do przesyłania informacji handlowych, w tym marketingu bezpośredniego. Innymi słowy: nawet jeżeli firma ma podstawę do przetwarzania danych w CRM, nie oznacza to automatycznie, że może zadzwonić lub wysłać ofertę.
Co zatem powinna zrobić firma przed kontrolą? Przede wszystkim przeprowadzić audyt zgód i źródeł danych. Warto sprawdzić formularze, checkboxy, treści klauzul, konfigurację CRM, listy mailingowe, skrypty call center oraz proces obsługi wycofania zgody lub złożenia sprzeciwu. Należy też upewnić się, że marketing i sprzedaż rozumieją różnicę między leadem, klientem, subskrybentem newslettera i osobą, która wyraziła zgodę na kontakt handlowy.
Kontrole UODO nie oznaczają końca marketingu. Oznaczają raczej koniec fikcji, w której zgoda była traktowana jako formalność. W 2026 r. przewagę będą miały te firmy, które potrafią prowadzić skuteczny marketing, ale równocześnie wiedzą, skąd mają dane, co mogą z nimi zrobić i jak to udowodnić.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna
Stan prawny na dzień 16 czerwca 2026 r.
Autor:
Redaktor cyklu:
