A co z adresami ogólnymi typu "info@"?

Jeśli adres nie identyfikuje osoby, RODO może nie mieć zastosowania, ale PKE wciąż wymaga zgody na wysyłanie informacji handlowej.

RODO a cold mailing. Legalność „zimnych maili” po wejściu PKE

Q: Czy mogę wysłać pierwszy e-mail tylko po to, żeby zapytać o zgodę?

Nie. Samo zapytanie e-mailem już wykorzystuje kanał elektroniczny do marketingu i wymaga wcześniejszej zgody. Zbieraj ją np. przez formularz WWW lub podczas wydarzeń.

Q: Kiedy muszę spełnić obowiązek informacyjny z art. 14 RODO?

Najpóźniej do miesiąca od pozyskania danych lub przy pierwszej komunikacji, chyba że zachodzi wyjątek – np. nadmierny wysiłek – który trzeba uzasadnić.

RODO a cold mailing. Czy cold mailing jest legalny? Wyjaśniamy, jak RODO, motyw 47 i art. 398 PKE zmieniły zasady B2B/B2C, kiedy potrzebna jest zgoda, jak zrobić LIA, spełnić art. 14 i dodać skuteczny opt-out.

Cold mailing, zwany też cold email, zimny mailing albo prospecting e-mailowy, to pierwszy, niezamówiony kontakt handlowy do potencjalnego klienta. Po 10 listopada 2024 r. zasady gry w Polsce zmieniły się radykalnie, bo obok RODO (GDPR) zaczęło obowiązywać Prawo komunikacji elektronicznej (PKE).

RODO reguluje przetwarzanie danych osobowych (podstawa prawna, przejrzystość, prawa osób), a PKE – samą możliwość wysyłki komunikatów marketingowych kanałami elektronicznymi (e-mail, SMS, komunikatory, automatyczne systemy).

W praktyce oznacza to, że nawet jeśli pod RODO masz „prawnie uzasadniony interes” do przetwarzania danych w marketingu bezpośrednim, to bez zgody wymaganej przez PKE nie wyślesz pierwszej wiadomości e-mail do oznaczonego odbiorcy.

Cold mailing a dane osobowe. Kiedy RODO ma zastosowanie

Wysyłka na adresy typu imię.nazwisko@firma.pl albo do skrzynek, które pozwalają zidentyfikować osobę fizyczną, to przetwarzanie danych osobowych i wchodzi w zakres RODO.

RODO dopuszcza marketing bezpośredni w oparciu o „prawnie uzasadniony interes” administratora (art. 6 ust. 1 lit. f oraz motyw 47), ale wymaga przeprowadzenia i udokumentowania testu równowagi (LIA), spełnienia obowiązku informacyjnego z art. 14 (jeśli dane pozyskano z innych źródeł) oraz zapewnienia prawa sprzeciwu z art. 21 (łatwy i natychmiastowy opt-out).

PKE po 10.11.2024 r. Kiedy wolno wysłać pierwszego maila

Zmiana to art. 398 PKE: zakazane jest używanie do celów przesyłania informacji handlowej – w tym marketingu bezpośredniego – środków takich jak poczta elektroniczna, SMS, komunikatory czy automatyczne systemy wywołujące, do abonenta lub użytkownika końcowego, chyba że wcześniej wyraził on na to zgodę.

Przepis nie rozróżnia kontaktów B2C i B2B, więc dotyczy również relacji między firmami. Co ważne, pytanie „czy możemy wysłać ofertę?” wysłane e-mailem do osoby, która nie dała zgody, samo w sobie jest niedozwolonym komunikatem handlowym. Zgodę trzeba zdobyć innym kanałem lub w innym momencie (np. formularz www, wydarzenie, umowa).

RODO + PKE w praktyce. Jak to połączyć, by nie spamować i nie ryzykować

Z perspektywy RODO możesz przetwarzać minimalny zestaw danych w „prawnie uzasadnionym interesie” w celu planowania marketingu bezpośredniego, ale zanim wyślesz jakąkolwiek wiadomość marketingową e-mailem, musisz mieć zgodę z PKE na konkretny kanał komunikacji.

Dopiero po jej zebraniu możesz legalnie rozpocząć komunikację elektroniczną i doręczyć obowiązek informacyjny, o ile nie przekazałeś go wcześniej. Gdy pozyskujesz dane z publicznych źródeł (np. strona firmowa), pamiętaj o art. 14 RODO i o tym, że „nadmierny wysiłek” jako wyjątek z art. 14 ust. 5 lit. b to wąskie i ryzykowne odstępstwo, wymagające solidnego uzasadnienia.

I zawsze respektuj prawo sprzeciwu na marketing (art. 21) poprzez natychmiastowe wpisanie adresu na listę wyłączeń.

B2B po nowemu. Zimne maile do firm, adresy ogólne i „soft opt-in”

W praktyce marketingu B2B bywało przyjęte, że wiadomość do skrzynek „info@” czy „kontakt@” nie stanowi przetwarzania danych osobowych. To prawda z perspektywy RODO (gdy brak identyfikacji osoby), ale nadal wchodzi tu PKE i wymóg uprzedniej zgody na kierowanie informacji handlowych kanałami elektronicznymi do abonenta lub użytkownika końcowego.

Innymi słowy: sam fakt, że adres jest „niepersonalny”, nie znosi obowiązku posiadania zgody z PKE. Z kolei „soft opt-in” dotyczący własnych klientów, znany z praktyki w UE, w Polsce po wejściu PKE i jego literalnym brzmieniu wymaga ostrożności. W wielu interpretacjach i opracowaniach wskazuje się na konieczność dysponowania wyraźną, uprzednią zgodą na dany kanał, także w B2B.

Model zgodności krok po kroku: jak robić prospecting i e-mailing zgodnie z prawem

Najbezpieczniejszą strategią jest budowa własnego, świadomie zapisanego ruchu oraz kontaktów, w których zgoda na kanał e-mail została zebrana wprost i rozliczalnie. Praktycznie oznacza to jasny formularz zapisu z odrębną zgodą na wiadomości handlowe e-mail, najlepiej z mechanizmem double opt-in, czytelne checkboxy per kanał (e-mail, telefon, SMS), politykę prywatności dostępną z poziomu formularza, a następnie łatwy link rezygnacji w każdej wiadomości i wewnętrzny rejestr sprzeciwów.

Dodatkowo wykonaj i udokumentuj LIA dla marketingu bezpośredniego, ogranicz zakres danych do minimum, stosuj retencję (np. usuwanie adresów nieaktywnych po określonym okresie) i upewnij się, że dostawcy MarTech przetwarzają dane jako podmioty przetwarzające na podstawie art. 28 RODO. Wreszcie – nie kupuj gotowych baz, bo poza ryzykiem RODO niemal zawsze brakuje w nich ważnych, rozliczalnych zgód z PKE dla konkretnego kanału.

Czytaj też: Jak napisać dobry cold mail. Wzory, zasady, legalność i deliverability

Czego bezwzględnie unikać w 2025 r.

Unikaj wysyłania pierwszego e-maila z prośbą o zgodę – to już jest użycie kanału elektronicznego do przesyłania komunikatu handlowego bez wymaganej zgody. Nie agreguj zgód „hurtowo” na wszystkie kanały jednocześnie i nie ukrywaj celu marketingowego w regulaminie – PKE i RODO wymagają zgody jednoznacznej, konkretnej i możliwej do wycofania w każdym momencie.

Nie pomijaj obowiązku informacyjnego przy danych z rejestrów publicznych i nie ignoruj sprzeciwów – każdy sprzeciw na marketing bezpośredni musisz wykonać natychmiast.

Najczęstsze pytania (FAQ)

Czy cold mailing jest w Polsce legalny w 2025 r.?

Co do zasady wysyłanie niezamówionych wiadomości handlowych e-mailem bez uprzedniej zgody jest zabronione przez art. 398 PKE. Dodatkowo, jeśli wiadomość dotyczy osoby fizycznej, wchodzi w grę RODO i wynikające z niego obowiązki (podstawa prawna, obowiązek informacyjny, prawo sprzeciwu). Legalny cold mailing wymaga więc wcześniejszego pozyskania zgody na kanał e-mail.

Czy te zasady obejmują także kontakty B2B?

Tak. PKE nie rozróżnia B2C i B2B – mówi o „abonencie” lub „użytkowniku końcowym”. W efekcie wiadomości handlowe do pracowników firm również wymagają zgody na kanał.

Czy mogę wysłać pierwszy e-mail tylko po to, żeby zapytać o zgodę?

Nie. Zapytanie wysłane e-mailem to już użycie kanału elektronicznego do marketingu, a więc wymaga uprzedniej zgody. Zgody zbieraj innymi drogami (formularz www, kontrakt, event).

A co z adresami ogólnymi typu „biuro@”?

Jeśli adres nie pozwala zidentyfikować osoby, RODO może nie mieć zastosowania, ale PKE wciąż obowiązuje i wymaga zgody na wysyłkę informacji handlowej kanałem elektronicznym.

Na czym polega LIA i dlaczego jest potrzebna, skoro i tak muszę mieć zgodę?

LIA (Legitimate Interest Assessment) to test równowagi wymagany przez RODO, gdy opierasz marketing bezpośredni na art. 6 ust. 1 lit. f. Mimo że do samej wysyłki e-maila potrzebujesz zgody z PKE, to RODO wymaga, abyś przeanalizował konieczność, proporcjonalność, ryzyka i wdrożone zabezpieczenia oraz udokumentował wynik.

Kiedy muszę spełnić obowiązek informacyjny z art. 14 RODO przy danych z publicznych źródeł?

Najpóźniej w rozsądnym terminie po pozyskaniu danych – co do zasady do miesiąca – lub przy pierwszej komunikacji. Wyjątki (np. nadmierny wysiłek) są wąskie i wymagają solidnego uzasadnienia.