Wybierz kategorię:

Cold Mailing B2B po PKE: Praktyczny poradnik zgodności z prawem

Michał Woźniak
17.11.2025
Czas czytania: 13 min
Cold Mailing B2B po PKE: Praktyczny poradnik zgodności z prawem

Spis treści

⚠️ Kluczowa zmiana od 10 listopada 2024

Nowe Prawo Komunikacji Elektronicznej (PKE) wymaga obecnie wyraźnej zgody na wysyłanie wiadomości marketingowych również do firm w relacjach B2B. Oznacza to koniec tradycyjnego „zimnego mailingu" bez uprzedniej zgody odbiorcy.

Co się zmieniło i dlaczego to ważne

Do 9 listopada 2024 roku zimny mailing B2B funkcjonował w strefie prawnej niepewności – można było wysyłać maile handlowe do firm, powołując się na prawnie uzasadniony interes administratora danych. Od 10 listopada sytuacja uległa radykalnej zmianie.

Wyjaśnienie pojęć:
  • Cold mailing (zimny mailing) – wysyłanie wiadomości handlowych do osób, które wcześniej nie wyraziły zainteresowania Twoją ofertą
  • PKE (Prawo Komunikacji Elektronicznej) – ustawa regulująca zasady kontaktów elektronicznych
  • RODO – Rozporządzenie o Ochronie Danych Osobowych, regulujące przetwarzanie danych osobowych w UE
  • Prawnie uzasadniony interes – jedna z podstaw prawnych przetwarzania danych, pozwalająca na działania marketingowe bez zgody, jeśli są uzasadnione interesem firmy

Struktura kar – ile możesz zapłacić?

Firma naruszająca przepisy może otrzymać kary od trzech niezależnych organów jednocześnie:

Prezes UODO (RODO)

Do 20 mln EUR lub 4% obrotu

Za naruszenia ochrony danych osobowych

Prezes UKE (PKE)

Do 3% przychodu lub 1 mln PLN

Za wysyłanie bez zgody

Prezes UOKiK

Do 10% obrotu

Za naruszenie zbiorowych interesów konsumentów

Przykłady realnych kar w Polsce:
  • 16,9 mln zł – McDonald's Polska za nieprawidłowe powierzenie danych i brak zabezpieczeń
  • 3,8 mln zł – Morele.net za wyciek danych 2,2 miliona klientów
  • 45 697 zł – kancelaria prawna za cold mailing bez podstawy prawnej

Dwa legalne modele działania po zmianach PKE

Model 1: Dwuetapowe pozyskiwanie zgody (najbezpieczniejszy)

Ten model polega na wyraźnym rozdzieleniu zapytania o zgodę od prezentacji oferty handlowej. Jest najbezpieczniejszy prawnie i – co zaskakujące – często skuteczniejszy niż tradycyjny cold mailing.

1Pierwszy kontakt

Wyślij maila przedstawiającego wartość i kontekst, bez bezpośredniej oferty handlowej. Wskaż źródło danych i zapytaj czy odbiorca jest zainteresowany poznaniem szczegółów.

2Drugi kontakt

Dopiero po otrzymaniu pozytywnej odpowiedzi (zgody) wyślij szczegółową ofertę handlową. Pozytywna odpowiedź to zgoda na dalszą komunikację.

💡 Przykład pierwszego maila:

„Witam Panie Janie,

Znalazłem Pana dane w rejestrze CEIDG podczas poszukiwania firm z branży HR-tech. Zauważyłem, że [nazwa firmy] dynamicznie rozwija zespół – widziałem 3 nowe ogłoszenia o pracę w ostatnim miesiącu.

Specjalizujemy się w automatyzacji procesów rekrutacyjnych dla firm takich jak Państwa. Czy byłby Pan zainteresowany 15-minutową rozmową o tym, jak inne firmy HR-tech skróciły czas rekrutacji o 40%?

Jeśli tak, proszę o krótką odpowiedź – przedstawię szczegóły.

Zgodnie z RODO – Pana dane znalazłem w CEIDG. Ma Pan prawo do sprzeciwu i usunięcia danych – wystarczy odpowiedzieć z prośbą o wypisanie."

Model 2: Ultra-precyzyjny targeting z prawnie uzasadnionym interesem

Ten model wykorzystuje prawnie uzasadniony interes jako podstawę przetwarzania danych osobowych (dozwolone przez RODO), ale wymaga bardzo wąskiego targetowania i przeprowadzenia testu równowagi (ang. balancing test – analiza czy Twój interes biznesowy przeważa nad prawami odbiorcy).

⚠️ Uwaga prawna

Nawet przy prawnie uzasadnionym interesie (RODO) nadal musisz mieć zgodę na kanał komunikacji (PKE). Dlatego ten model działa tylko z dwuetapowym podejściem lub wymaga bardzo mocnego uzasadnienia biznesowego.

Test równowagi – Twoja polisa ubezpieczeniowa

Test równowagi to dokument, który musisz przygotować PRZED wysłaniem pierwszego maila. To Twoja obrona w razie kontroli UODO. Składa się z trzech kroków:

Krok 1: Test celu

Co sprawdzasz: Czy masz prawnie uzasadniony interes w kontakcie z tymi osobami?

Jak to udokumentować:

  • Opisz konkretny interes biznesowy (np. „poszukujemy klientów wśród firm SaaS zatrudniających 20-50 osób")
  • Wskaż powiązanie z odbiorcą (np. „firma odbiorcy działa w tej samej branży i ma podobne potrzeby")
  • Udokumentuj że interes jest rzeczywisty i obecny, nie spekulatywny
Krok 2: Test niezbędności

Co sprawdzasz: Czy przetwarzanie tych konkretnych danych jest konieczne?

Jak to udokumentować:

  • Uzasadnij dlaczego potrzebujesz adresu email (jedyny skuteczny kanał B2B)
  • Uzasadnij dlaczego potrzebujesz imienia i nazwiska (personalizacja zwiększa skuteczność)
  • Uzasadnij dlaczego potrzebujesz stanowiska (targetowanie osób decyzyjnych)
  • Wykaż że nie ma mniej inwazyjnej alternatywy
Krok 3: Test równowagi (właściwy)

Co sprawdzasz: Czy Twój interes przeważa nad prawami odbiorcy?

Czynniki przemawiające ZA:

  • Dane pochodzą z publicznych źródeł (CEIDG, KRS, strona firmowa)
  • Oferta jest bezpośrednio związana z działalnością odbiorcy
  • Zapewniasz prosty mechanizm rezygnacji (opt-out)
  • Kontakt jest jednorazowy lub rzadki, nie ciągły

Czynniki przemawiające PRZECIW:

  • Odbiorca wcześniej wyraził sprzeciw
  • Oferta nie ma związku z działalnością odbiorcy
  • Dane pochodzą z nieoczywistych źródeł
  • Planujesz intensywną kampanię mailingową
✅ Praktyczna wskazówka

Przygotuj szablon dokumentu testu równowagi i wypełniaj go przed każdą nową kampanią. Przechowuj przez co najmniej 3 lata. W razie kontroli UODO, ten dokument może uratować Cię przed karą.

Skąd legalnie pozyskać dane do cold mailingu?

Legalne źródła danych

✓ Bezpieczne źródła
  • Rejestr CEIDG – dane jednoosobowych działalności gospodarczych
  • KRS – dane spółek i stowarzyszeń
  • Strony internetowe firm – sekcje „Kontakt" lub „O nas"
  • LinkedIn – profile publiczne (uwaga na warunki użytkowania)
  • Branżowe katalogi – jeśli zgadzają się na wykorzystanie
✗ Ryzykowne źródła
  • Kupowane niesprawdzonej bazy danych – nie masz kontroli nad legalnością
  • Dane pozyskane od innych firm – brak podstawy prawnej
  • „Gotowe listy mailingowe" – zwykle nielegalne
🔍 Ważna różnica: dane osoby fizycznej vs osoby prawnej

jan.kowalski@firma.pl – to dane osobowe Jana Kowalskiego. Wymagają pełnej ochrony RODO i zgody według PKE.

kontakt@firma.pl – to dane osoby prawnej (firmy). Nie podlegają RODO, ale nadal wymagają zgody według PKE od listopada 2024.

Klauzula informacyjna – co MUSISZ umieścić w mailu

Każdy mail musi zawierać klauzulę informacyjną RODO. Nie możesz jej pominąć ani ukryć w linku. Oto minimalne wymagania:

Obowiązkowe elementy klauzuli:
  1. Kto przetwarza dane: „Administrator danych: [Nazwa firmy], ul. [Adres], email: [kontakt]"
  2. Cel przetwarzania: „Cel: przedstawienie oferty [konkretna oferta]"
  3. Podstawa prawna: „Podstawa: prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) polegający na marketingu bezpośrednim"
  4. Źródło danych: „Twoje dane pochodzą z: [CEIDG/KRS/strona www.firma.pl]"
  5. Okres przechowywania: „Przechowamy dane przez 30 dni od wysłania tego maila, chyba że odpowiesz"
  6. Prawa osoby: „Masz prawo do: dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu oraz skargi do UODO"
  7. Prawo sprzeciwu: „Możesz wnieść sprzeciw – wystarczy odpowiedzieć z prośbą o wypisanie"
⚠️ Najczęstszy błąd

Ogólnikowe sformułowania typu „Twoje dane pochodzą z publicznie dostępnych źródeł" są niewystarczające. Musisz konkretnie wskazać źródło: „z rejestru CEIDG" lub „ze strony www.twojafirma.pl".

Mechanizm rezygnacji (opt-out) – jak to zrobić dobrze

Każdy odbiorca musi mieć prostą możliwość rezygnacji z dalszej korespondencji. Oto jak zapewnić zgodność:

✓ Dobre praktyki opt-out
  • Link „Wypisz się" w stopce każdego maila
  • Alternatywnie: jasna instrukcja „Odpowiedz z prośbą o usunięcie danych"
  • Automatyczna reakcja – maksymalnie 72h, najlepiej od razu
  • Potwierdzenie usunięcia danych mailem zwrotnym
  • Prowadzenie listy osób, które się wypisały (blacklista)
✗ Błędy w opt-out
  • Brak jakiegokolwiek mechanizmu rezygnacji
  • Wieloetapowe formularze utrudniające wypisanie
  • Opóźnienia w realizacji (powyżej 72h)
  • Wysyłanie maila pomimo zgłoszenia sprzeciwu
  • Brak prowadzenia listy osób, które się wypisały
📋 Dlaczego musisz prowadzić blacklistę?

Paradoksalnie, dane osób które wniosły sprzeciw nie mogą być od razu usunięte. Musisz je przechowywać w tzw. blackliście przez 3-5 lat, aby przypadkowo nie skontaktować się ponownie z tą samą osobą w przyszłości. To prawnie uzasadniony interes w ochronie praw tych osób.

Zabezpieczenia techniczne – nie możesz tego pominąć

RODO wymaga wdrożenia odpowiednich zabezpieczeń technicznych. Oto minimalne wymagania:

Checklist zabezpieczeń technicznych:
  • ☑ Szyfrowanie transmisji danych (TLS/SSL) – sprawdź czy Twoja platforma mailingowa używa HTTPS
  • ☑ Szyfrowanie baz danych – dane w spoczynku muszą być zaszyfrowane
  • ☑ Kontrola dostępu – silne hasła, tylko uprawnione osoby mają dostęp
  • ☑ Logowanie prób dostępu – zapisuj kto i kiedy próbował uzyskać dostęp
  • ☑ Regularne kopie zapasowe – minimum raz dziennie
  • ☑ Umowa powierzenia z platformą mailingową – jeśli używasz HubSpot, MailChimp, Woodpecker itp.
  • ☑ Dwuskładnikowe uwierzytelnianie (2FA) – dla dostępu do systemów z danymi
💰 Kosztowna lekcja z praktyki

Morele.net zapłaciło 3,8 miliona złotych kary głównie za brak dwuskładnikowego uwierzytelniania i niewystarczające monitorowanie ruchu sieciowego. Wyciek danych 2,2 miliona osób był bezpośrednią konsekwencją tych zaniedbań.

Czego absolutnie unikać – czerwone flagi

Te działania prowadzą prosto do kontroli UODO i wysokich kar:

🚫 Zakupy niesprawdzonej baz danych

Kupowanie „gotowych baz emailowych" bez możliwości weryfikacji legalności źródła. „Kupiłem bazę" nie jest podstawą prawną przetwarzania danych.

🚫 Brak klauzuli RODO

Wysyłanie maili handlowych bez jakiejkolwiek informacji o przetwarzaniu danych osobowych. To naruszenie art. 14 RODO.

🚫 Ignorowanie sprzeciwu

Kontynuowanie wysyłki po zgłoszeniu przez odbiorcę sprzeciwu lub prośby o usunięcie danych. Najszybsza droga do kary.

🚫 Brak dokumentacji

Brak testu równowagi, rejestru czynności przetwarzania i dokumentacji źródeł danych. Przy kontroli nie będziesz miał czym się bronić.

🚫 Masowe wysyłki

Podejście „spray and pray" – wysyłanie do tysięcy losowych odbiorców bez targetowania. Trudno uzasadnić prawnie uzasadniony interes.

🚫 Długie przechowywanie

Przetwarzanie danych dłużej niż 30 dni bez reakcji odbiorcy, bez uzasadnienia biznesowego i dokumentacji.

Praktyczny plan działania krok po kroku

Oto konkretny plan wdrożenia legalnego cold mailingu B2B w Twojej firmie:

1Tydzień 1: Przygotowanie prawne

  • Przygotuj szablon testu równowagi
  • Stwórz wzór klauzuli informacyjnej RODO
  • Załóż rejestr czynności przetwarzania
  • Przygotuj proces obsługi sprzeciwów i żądań usunięcia

2Tydzień 2: Infrastruktura techniczna

  • Wybierz platformę mailingową (np. Woodpecker, HubSpot, Instantly)
  • Podpisz umowę powierzenia przetwarzania danych z platformą
  • Skonfiguruj mechanizm opt-out (link wypisania)
  • Przygotuj system blacklisty (lista osób, które się wypisały)
  • Włącz dwuskładnikowe uwierzytelnianie (2FA)

3Tydzień 3: Pozyskanie danych i targeting

  • Zdefiniuj bardzo wąski segment docelowy (im węższy, tym bezpieczniej)
  • Pozyskaj dane z legalnych źródeł (CEIDG, KRS, strony firm)
  • Udokumentuj źródło każdego kontaktu
  • Przeprowadź i zapisz test równowagi dla tej konkretnej kampanii
  • Przygotuj spersonalizowane wiadomości (2-3 minuty research na osobę)

4Tydzień 4: Testowa wysyłka

  • Wyślij testową kampanię do 50-100 odbiorców
  • Użyj dwuetapowego modelu (zapytanie o zgodę → oferta)
  • Monitoruj reply rate i sprzeciwy
  • Natychmiast reaguj na żądania wypisania (maksymalnie 72h)
  • Zapisuj wszystkie sprzeciwy do blacklisty

5Tydzień 5 i dalej: Skalowanie

  • Analizuj wyniki testowej kampanii
  • Optymalizuj treści i targeting
  • Stopniowo zwiększaj skalę wysyłki
  • Co miesiąc przeglądaj i aktualizuj test równowagi
  • Co kwartał audytuj całość procesu pod kątem zgodności

Koszty – ile to wszystko będzie kosztować?

Model DIY (zrób sam)

Narzędzie mailingowe: 100-300 zł/mies.

CRM z zarządzaniem zgodami: 0-150 zł/mies.

Źródło danych: 200-500 zł/mies.

Czas pracownika: 40h/mies. (research, copywriting, zarządzanie)

Razem: 3-5 tys. zł/mies. + koszty osobowe

Oczekiwany rezultat: 10-30 leadów/mies. przy reply rate 8-12%

Model outsourcing (agencja)

Usługa agencji: 8-15 tys. zł/mies.

Setup infrastruktury: wliczone

Pełna zgodność prawna: wliczone

Copywriting: wliczone

Zarządzanie deliverability: wliczone

Razem: 8-15 tys. zł/mies. all-inclusive

Oczekiwany rezultat: ROI 300-500% po 6 miesiącach, przeniesienie ryzyka prawnego

Najważniejsze zasady – podsumowanie

✅ Złote zasady legalnego cold mailingu B2B w Polsce (2024-2025):
  1. Dwuetapowy model – najpierw pytaj o zgodę, potem prezentuj ofertę
  2. Ultra-precyzyjny targeting – im węższy segment, tym bezpieczniej prawnie
  3. Przeprowadź test równowagi – PRZED pierwszą wysyłką, nie po kontroli
  4. Dokumentuj wszystko – źródła danych, test równowagi, sprzeciwy
  5. Zawsze dodawaj klauzulę RODO – z konkretnym źródłem danych
  6. Prosty opt-out – link w stopce lub jasna instrukcja
  7. Natychmiastowa reakcja na sprzeciw – maksymalnie 72h, najlepiej od razu
  8. Prowadź blacklistę – nie kontaktuj się z tymi samymi osobami ponownie
  9. Zabezpiecz dane – szyfrowanie, 2FA, kopie zapasowe
  10. Regularny audyt – co kwartał sprawdzaj zgodność z przepisami
⚖️ Pamiętaj

Cold mailing B2B w Polsce po listopadzie 2024 jest legalny, ale wymaga profesjonalnego podejścia. Firmy, które stosują opisane zasady, osiągają skuteczność 8-15% reply rate przy pełnej zgodności z prawem. Kluczem jest połączenie jakości targetingu z rygorystyczną dokumentacją prawną.

Źródła i podstawy prawne

Akty prawne:
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO)
  • Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2023 poz. 1800)
  • Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2020 poz. 344)
  • Ustawa z dnia 7 września 2024 r. Prawo komunikacji elektronicznej – PKE (Dz.U. 2024 poz. 1472) – weszła w życie 10 listopada 2024 r.
Orzecznictwo i decyzje UODO:
  • Decyzja Prezesa UODO w sprawie McDonald's Polska Sp. z o.o. – kara 16 932 657 zł (23 czerwca 2025)
  • Decyzja Prezesa UODO w sprawie Morele.net – kara 3 800 000 zł (17 stycznia 2024), wyrok WSA oddalający skargę (16 września 2024)
  • Decyzja Prezesa UODO DKN.5112.5.2021 – kancelaria prawna, kara 45 697 zł za cold mailing bez podstawy prawnej (30 listopada 2022)
  • Wyrok NSA III OSK 2700/22 z 20 lutego 2024 r. – przetwarzanie danych po zakończeniu rekrutacji na podstawie prawnie uzasadnionego interesu
  • Wyrok NSA III OSK 3839/21 z 28 lutego 2024 r. – RODO ma zastosowanie do BIP
Wytyczne europejskie:
  • Guidelines 1/2024 EDPB on processing personal data for legitimate interest purposes (8 października 2024) – wytyczne Europejskiej Rady Ochrony Danych dotyczące prawnie uzasadnionego interesu
  • Motyw 47 RODO – dopuszczalność marketingu bezpośredniego jako prawnie uzasadnionego interesu
Eksperci:
  • Dr Paweł Litwiński – partner w kancelarii Barta Litwiński, członek Grupy Ekspertów EDPB, autor komentarza do RODO (Wolters Kluwer)
  • Adw. Xawery Konarski – wiceprezes Polskiej Izby Informatyki i Telekomunikacji, senior partner w kancelarii Traple Konarski Podrecki & Partners, redaktor naczelny Kwartalnika Prawa Nowych Technologii
  • Dr hab. Paweł Barta – współzałożyciel kancelarii Barta Litwiński, współautor komentarza do RODO
Źródła branżowe i analizy:
  • Belkins – raport o cold mailingu B2B 2024 (średni reply rate w Polsce spadł z 7% w 2023 do 5,1% w 2024)
  • Martal Group – analiza open rate w cold mailingu (spadek z 36% w 2023 do 27,7% w 2024)
  • Oficjalne stanowiska UODO dotyczące danych osób prawnych i publicznych rejestrów (CEIDG, KRS)

Raport przygotowany na podstawie analizy polskiego orzecznictwa, decyzji organów nadzorczych oraz publikacji wiodących ekspertów w zakresie RODO i PKE. Ostatnia aktualizacja: listopad 2025.

Kategoria: Przewodnik krok po kroku

Michał Woźniak
Michał Woźniak

Autor to ekspert w dziedzinie inteligentnego przetwarzania danych, specjalizujący się w innowacyjnych rozwiązaniach marketingowych oraz pasjonat nowoczesnych technologii z wieloletnim doświadczeniem w marketingu i automatyzacji procesów biznesowych. Od ponad 20 lat z sukcesem łączy kompetencje techniczne z marketingowymi, wdrażając skuteczne rozwiązania w zakresie pozyskiwania i przetwarzania informacji, które pomagają firmom osiągać lepsze wyniki.

Komentarze

Jeszcze nikt nie skomentował tego wpisu.

Zaloguj się aby skomentować ten wpis.