RODO a wysyłka SMS. Co musisz wiedzieć przed pierwszą kampanią

Zespół Przypominamy.com · 21 kwietnia 2026 · 6 min czytania

Planując pierwszą kampanię SMS, większość firm koncentruje się na treści wiadomości i bazie odbiorców. Tymczasem kluczowym krokiem, którego nie wolno pominąć, jest zapewnienie zgodności z przepisami o ochronie danych osobowych. Wysyłka SMS-ów bez odpowiednich podstaw prawnych może skutkować karami sięgającymi milionów złotych, a także utratą reputacji firmy. W tym artykule wyjaśniamy, jakie przepisy regulują wysyłkę SMS w Polsce, jakie zgody są wymagane i jak zorganizować proces, aby działać w pełni legalnie.

Dwa filary prawne: RODO i Prawo telekomunikacyjne

Wysyłka SMS-ów w celach marketingowych podlega jednocześnie dwóm regulacjom prawnym, które nakładają na nadawcę odrębne obowiązki. Zrozumienie różnicy między nimi jest fundamentalne dla prawidłowego prowadzenia kampanii.

RODO (Rozporządzenie o Ochronie Danych Osobowych) reguluje przetwarzanie danych osobowych. W przypadku SMS-ów chodzi przede wszystkim o numer telefonu, który jest daną osobową. RODO wymaga posiadania podstawy prawnej przetwarzania, takiej jak zgoda osoby (art. 6 ust. 1 lit. a), realizacja umowy (art. 6 ust. 1 lit. b) lub prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f).

Prawo telekomunikacyjne (art. 172) nakłada dodatkowy wymóg: wysyłka komunikatów marketingowych za pomocą automatycznych systemów (w tym SMS) wymaga uprzedniej zgody abonenta. Ta zgoda jest odrębna od zgody wymaganej przez RODO i musi być wyrażona w sposób jednoznaczny.

SMS transakcyjny a SMS marketingowy. Zasadnicza różnica

Nie każdy SMS wymaga zgody marketingowej. Przepisy rozróżniają dwa typy wiadomości, które podlegają innym zasadom:

SMS transakcyjny to wiadomość bezpośrednio związana z realizacją usługi lub umowy. Na przykład potwierdzenie zamówienia, przypomnienie o wizycie, informacja o statusie przesyłki czy powiadomienie o płatności. Takie wiadomości są wysyłane na podstawie realizacji umowy (art. 6 ust. 1 lit. b RODO) i nie wymagają odrębnej zgody marketingowej. Klient, składając zamówienie lub umawiając wizytę, oczekuje takich powiadomień.

SMS marketingowy to wiadomość promująca produkt, usługę, markę lub zachęcająca do zakupu. Na przykład informacja o promocji, kod rabatowy czy zaproszenie na wydarzenie. Taki SMS wymaga pełnego zestawu zgód: zgody RODO na przetwarzanie danych w celach marketingowych oraz zgody z Prawa telekomunikacyjnego na kontakt za pomocą automatycznych systemów.

Granica między tymi kategoriami nie zawsze jest oczywista. SMS z przypomnieniem o kończącej się subskrypcji to komunikat transakcyjny. Ale SMS z ofertą przedłużenia subskrypcji w promocyjnej cenie to już komunikat marketingowy. W razie wątpliwości bezpieczniej jest traktować wiadomość jako marketingową i posiadać odpowiednie zgody.

Jak prawidłowo zbierać zgody

Sposób pobrania zgody ma kluczowe znaczenie dla jej ważności prawnej. Zgoda musi spełniać cztery warunki określone w RODO: musi być dobrowolna, konkretna, świadoma i jednoznaczna. Oto sprawdzone metody zbierania zgód:

Formularze z oddzielnymi checkboxami

Najczęstsza i najbezpieczniejsza metoda. W formularzu rejestracji, zamówienia lub zapisu na newsletter umieszczasz dwa oddzielne, niezaznaczone domyślnie checkboxy:

• Checkbox 1 (RODO): „Wyrażam zgodę na przetwarzanie mojego numeru telefonu przez [nazwa firmy] w celach marketingowych zgodnie z RODO."
• Checkbox 2 (Prawo telekomunikacyjne): „Wyrażam zgodę na otrzymywanie informacji handlowych drogą SMS od [nazwa firmy] zgodnie z art. 172 Prawa telekomunikacyjnego."

Checkboxy nie mogą być zaznaczone domyślnie, TSUE wielokrotnie potwierdził, że milczenie lub brak działania nie stanowi zgody (wyrok w sprawie Planet49, C-673/17).

Double opt-in (podwójna weryfikacja)

Metoda double opt-in polega na potwierdzeniu zgody po jej pierwszym wyrażeniu. Po zaznaczeniu checkboxów w formularzu system wysyła SMS weryfikacyjny, np.: „Aby potwierdzić zapis na powiadomienia SMS od [firma], odpisz TAK." Dopiero po otrzymaniu odpowiedzi „TAK" numer jest dodawany do bazy marketingowej. Double opt-in nie jest wymagany prawnie w Polsce, ale stanowi najlepszą praktykę branżową, ponieważ eliminuje ryzyko zapisania błędnego numeru i daje niepodważalny dowód wyrażenia zgody.

Zgoda ustna z nagraniem

W przypadku zapisów telefonicznych (np. podczas rozmowy z konsultantem) zgoda może być wyrażona ustnie, ale musi być nagrana. Konsultant powinien odczytać pełną treść klauzuli zgody, a klient musi wyraźnie potwierdzić zgodę. Nagranie stanowi dowód w razie kontroli UODO.

Obowiązek informacyjny. Co musisz przekazać odbiorcy

RODO nakłada na administratora danych obowiązek poinformowania osoby, której dane dotyczą, o szeregu kwestii (art. 13 RODO). W momencie zbierania numeru telefonu musisz przekazać odbiorcy następujące informacje:

• Tożsamość i dane kontaktowe administratora danych (nazwa firmy, adres, e-mail).
• Cele przetwarzania i podstawa prawna (marketing bezpośredni na podstawie zgody).
• Odbiorcy danych: jeśli korzystasz z platformy SMS (np. Przypominamy.com), musisz wskazać, że dane są powierzane podmiotowi przetwarzającemu.
• Okres przechowywania danych: np. „do czasu wycofania zgody".
• Prawa osoby, której dane dotyczą: prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu.
• Prawo do wycofania zgody w dowolnym momencie.
• Prawo do wniesienia skargi do organu nadzorczego (UODO).

W praktyce te informacje umieszcza się w polityce prywatności, do której link podajesz przy formularzu zgody. Nie musisz umieszczać pełnej klauzuli informacyjnej bezpośrednio w checkboxie.

Prawo do wycofania zgody. Mechanizm STOP

Każdy odbiorca SMS-ów marketingowych musi mieć możliwość łatwego i natychmiastowego wycofania zgody. Standardem branżowym jest mechanizm STOP: odbiorca wysyła SMS o treści „STOP" na numer nadawcy, a system automatycznie usuwa go z listy wysyłkowej.

Platforma Przypominamy.com obsługuje mechanizm STOP automatycznie. Każdy numer, z którego przychodzi wiadomość „STOP", jest natychmiast blokowany i nie otrzymuje kolejnych wiadomości marketingowych. Informacja o możliwości wycofania zgody powinna znajdować się w każdej wiadomości marketingowej, na przykład: „Rezygnacja: wyślij STOP na ten numer."

Po wycofaniu zgody administrator ma obowiązek niezwłocznie zaprzestać wysyłki i usunąć dane, chyba że istnieje inna podstawa prawna do ich przetwarzania. W praktyce oznacza to usunięcie numeru z listy marketingowej w ciągu 24 godzin.

Rejestr zgód, Twój dowód w razie kontroli

RODO wymaga, aby administrator potrafił wykazać, że zgoda została wyrażona (zasada rozliczalności, art. 5 ust. 2). Oznacza to konieczność prowadzenia rejestru zgód, który zawiera:

• Numer telefonu osoby, która wyraziła zgodę.
• Datę i godzinę wyrażenia zgody.
• Treść klauzuli zgody, na którą osoba wyraziła zgodę.
• Źródło zgody (formularz na stronie, rozmowa telefoniczna, formularz papierowy).
• Adres IP (w przypadku formularzy online) lub identyfikator sesji.
• Datę wycofania zgody (jeśli nastąpiło).

Panel Przypominamy.com automatycznie rejestruje wszystkie zgody i rezygnacje z datą, godziną i źródłem. Dane te są dostępne do eksportu w razie kontroli UODO lub reklamacji klienta.

Kary za naruszenia. Ile ryzykujesz

Naruszenie przepisów dotyczących wysyłki SMS może skutkować sankcjami z dwóch źródeł:

• UODO (RODO): kary administracyjne do 20 mln EUR lub 4% rocznego obrotu globalnego. W zależności od tego, która kwota jest wyższa. W Polsce UODO nakładał już kary rzędu kilkuset tysięcy złotych za wysyłkę marketingową bez ważnej zgody.
• UKE (Prawo telekomunikacyjne): kary do 3% rocznego przychodu przedsiębiorcy. UKE regularnie prowadzi postępowania dotyczące niechcianych SMS-ów i połączeń telefonicznych.
• Roszczenia cywilne: osoba, która otrzymała niechcianą wiadomość, może dochodzić odszkodowania na drodze cywilnej za naruszenie dóbr osobistych.

W 2025 roku UODO nałożył kilka kar na firmy prowadzące kampanie SMS bez wymaganych zgód. Najwyższa z nich wyniosła ponad 400 000 zł. A dotyczyła stosunkowo niewielkiej bazy odbiorców.

Checklist przed pierwszą kampanią SMS

Zanim wyślesz pierwszą kampanię SMS, upewnij się, że spełniasz wszystkie poniższe wymogi:

1. Posiadasz ważne zgody, zarówno na gruncie RODO, jak i Prawa telekomunikacyjnego, zebrane oddzielnie, dobrowolnie i świadomie.
2. Prowadzisz rejestr zgód, z datą, treścią klauzuli, źródłem i identyfikatorem osoby.
3. Spełniłeś obowiązek informacyjny, polityka prywatności jest aktualna i dostępna.
4. Masz mechanizm STOP, odbiorca może łatwo wycofać zgodę, a system natychmiast blokuje dalszą wysyłkę.
5. Podpisałeś umowę powierzenia, z dostawcą platformy SMS (Przypominamy.com udostępnia gotowy wzór umowy powierzenia).
6. Treść wiadomości zawiera identyfikację nadawcy, odbiorca musi wiedzieć, kto wysyła SMS.
7. Nie wysyłasz przed 8:00 i po 22:00, choć prawo nie precyzuje godzin, te ramy są przyjętą normą i mogą być brane pod uwagę przy ocenie naruszenia.
8. Baza jest aktualna, usunąłeś numery, które wycofały zgodę, oraz numery nieaktywne.

Podsumowanie

Zgodność z RODO i Prawem telekomunikacyjnym to nie biurokratyczny obowiązek, lecz fundament wiarygodnej komunikacji SMS. Firmy, które dbają o prawidłowe zbieranie i dokumentowanie zgód, budują zaufanie klientów i unikają kosztownych kar. Pamiętaj: dwa oddzielne checkboxy, rejestr zgód, mechanizm STOP i umowa powierzenia, to cztery filary legalnej kampanii SMS. Platforma Przypominamy.com automatyzuje większość tych procesów, pozwalając Ci skupić się na tym, co najważniejsze. Skutecznej komunikacji z klientami.