Prosty system zgód RODO: szablony, przechowywanie, dostęp

Przez
Magdalena Adamczyk
-
0
8
Rate this post

Z tego artykułu dowiesz się:

Po co w ogóle system zgód RODO, zamiast „klejenia” wszystkiego ręcznie

Chaos w arkuszach i skrzynkach mailowych a realne ryzyko

W wielu firmach temat zgód RODO „jakoś działa”, dopóki nikt o nic nie pyta. Zgody są rozrzucone: część w systemie mailingowym, część w CRM, część w arkuszu w Excelu, a część „w ogóle nie wiadomo gdzie”. Do tego trochę formularzy papierowych, wydrukowane oświadczenia i pojedyncze maile od klientów: „tak, proszę wysyłać ofertę”.

Taki model przestaje funkcjonować w chwili, gdy:

  • klient żąda usunięcia swoich danych lub wycofuje zgodę i trzeba szybko zareagować,
  • pojawia się skarga do UODO i trzeba pokazać, na jakiej podstawie wysyłane były maile lub SMS-y,
  • wewnętrznie ktoś chce zrobić porządek w bazie mailingowej lub CRM i nagle wychodzi, że nikt nie wie, kto na co się zgodził,
  • firma zmienia narzędzie mailingowe lub CRM i trzeba przenieść dane razem z informacją o zgodach.

Bez uporządkowanego systemu zgód dochodzi do sytuacji, że szukanie jednej zgody na konkretną osobę trwa kilkadziesiąt minut, a i tak nie ma pewności, czy odnaleziony dokument to ostatnia, aktualna wersja. To jest dokładnie moment, w którym drobna prośba klienta albo wezwanie z UODO powoduje paraliż zamiast spokojnej, rutynowej reakcji.

Mit: „mała firma nie potrzebuje systemu zgód”

Popularne przekonanie: „mamy kilkuset klientów, nie jesteśmy korporacją, nie ma sensu bawić się w system zgód”. Rzeczywistość jest dużo mniej wygodna. Pierwsza skarga do UODO lub pierwsze żądanie usunięcia danych potrafi trafić do firmy niezależnie od jej skali. Klient, który dostaje niechciane maile marketingowe, nie sprawdza wcześniej liczby pracowników nadawcy.

Ryzyko dla małej firmy jest wręcz bardziej dotkliwe: brak działu prawnego, brak dedykowanego specjalisty od RODO i mniejszy bufor finansowy na ewentualne błędy. Z drugiej strony mała organizacja ma przewagę – prostsze procesy i krótszy łańcuch decyzyjny. To oznacza, że niewielkim nakładem pracy można wdrożyć prosty, ale sensowny system zgód, który realnie działa, a nie tylko „leży w segregatorze”.

Mit, że „mały jest niewidoczny”, pada też przy formach kontaktu. Wysyłka newslettera na sto osób bez zgody to nadal przetwarzanie danych bez podstawy prawnej, tak samo jak kampania do dziesiątek tysięcy adresów. Różni się skala, nie zasada.

Zgoda a inne podstawy przetwarzania – gdzie w ogóle trzeba systemu

RODO dopuszcza kilka podstaw przetwarzania danych osobowych. Zgoda to tylko jedna z nich i często wcale nie najbardziej wygodna. Inne podstawy to między innymi:

  • Umowa – np. przetwarzanie danych klienta, żeby zrealizować zamówienie.
  • Obowiązek prawny – np. przechowywanie danych na fakturze zgodnie z przepisami podatkowymi.
  • Prawnie uzasadniony interes administratora – np. podstawowy remarketing wobec obecnych klientów, dochodzenie roszczeń.

System zgód jest potrzebny tam, gdzie faktycznie opierasz się na zgodzie jako podstawie przetwarzania. Typowe obszary to: newsletter, dodatkowy marketing (np. SMS do byłych klientów), telemarketing, zgoda na wizerunek, zgody pracownicze wykraczające poza Kodeks pracy, zgody na profilowanie marketingowe.

W wielu miejscach zamiast zgody bardziej logiczna jest inna podstawa, co upraszcza system. Przykład: żeby wystawić fakturę, nie jest potrzebna zgoda na przetwarzanie danych. Podstawą jest obowiązek prawny. Dodawanie w takim miejscu checkboxa „Wyrażam zgodę na przetwarzanie danych” tworzy tylko niepotrzebny ślad, którym później trzeba się opiekować.

Realny cel: minimum, które da się utrzymać

Celem systemu zgód nie jest „idealne RODO” w rozumieniu 100% prawniczego perfekcjonizmu. Cel praktyczny wygląda inaczej:

  • wiesz, jakie typy zgód są w firmie i gdzie są zbierane,
  • masz spójne szablony zgód i klauzul informacyjnych, odpowiednio rozdzielone,
  • każdą zgodę da się odnaleźć i udokumentować – kto, kiedy, na co się zgodził, jaką drogą,
  • potrafisz wypisać lub usunąć osobę z komunikacji marketingowej w rozsądnym czasie,
  • przy zmianie narzędzi (CRM, mailingi, formularze) potrafisz przenieść informację o zgodach, a nie tylko listę adresów.

System zgód, który działa w małej i średniej firmie, to proste procedury i narzędzia, które ktoś faktycznie obsługuje. Mniej ważne jest to, czy wszystko jest opisane na 40 stronach w polityce; dużo ważniejsze, żeby osoba obsługująca marketing czy sprzedaż wiedziała, gdzie spojrzeć, gdy klient pyta o swoją zgodę.

Osoba trzymająca poufny formularz medyczny dotyczący HIV/AIDS
Źródło: Pexels | Autor: cottonbro studio

Fundament: jakie zgody RODO naprawdę musisz ogarnąć

Typowe obszary, w których pojawia się zgoda

W działalności większości firm da się szybko wskazać kilka powtarzalnych miejsc, gdzie zgoda jest potrzebna i generuje konkretne ryzyko, jeśli nie jest dobrze udokumentowana. To przede wszystkim:

  • Newsletter i e-mail marketing – regularne wysyłki treści, oferty, promocji do subskrybentów.
  • Marketing telefoniczny – np. umawianie spotkań handlowych, przedstawianie oferty przez telefon.
  • Zgody na SMS – powiadomienia marketingowe, przypomnienia o promocjach, dodatkowe oferty.
  • Cookies i remarketing – instalowanie ciasteczek marketingowych, Facebook Pixel, Google Ads, narzędzia analityczne i reklamowe.
  • HR i rekrutacja – zgody kandydatów na przyszłe rekrutacje, np. przechowywanie CV po zakończeniu konkretnej rekrutacji.
  • Wizerunek i materiały promocyjne – publikacja zdjęć pracowników, klientów, uczestników wydarzeń na stronie, w social mediach, w materiałach reklamowych.

Każdy z tych obszarów to inne ryzyko i inne narzędzia. Zgoda na newsletter jest zwykle łatwo ogarnialna przez system mailingowy. Zgody na wizerunek częściej lądują w dokumentach papierowych, skanach, katalogach na dysku. Zgody HR często pozostają w systemie rekrutacyjnym lub w mailach do działu kadr.

System zgód RODO w praktyce zaczyna się od zrobienia listy takich obszarów i oceny, czy spełnione są trzy warunki: dobra treść zgody, traceability (możliwość odtworzenia, kto i kiedy wyraził zgodę) oraz łatwość modyfikacji/wycofania zgody.

Gdzie zgoda nie jest potrzebna, mimo że wszyscy ją wymyślają

Powszechny scenariusz: formularz zamówienia, obok danych do faktury checkbox „Wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji zamówienia”. Brzmi poważnie, ale z punktu widzenia RODO jest to nadmiarowe. Realną podstawą przetwarzania jest umowa (regulamin e-sklepu, zlecenie, kontrakt) oraz obowiązek prawny (przepisy podatkowe i rachunkowe).

Zbyt częste używanie zgody ma kilka negatywnych skutków:

  • trzeba później zarządzać jej wycofaniem, mimo że dla tej czynności przetwarzania i tak masz inną podstawę,
  • klient ma wrażenie, że ciążą na nim dodatkowe obowiązki, co obniża konwersję,
  • tworzy się chaos: nie wiadomo, które procesy są „na zgodę”, a które na inną podstawę.

Praktyczny filtr: zgoda jest potrzebna tam, gdzie dana osoba ma realną możliwość odmowy i ta odmowa nie powinna wpływać na główną usługę. Przykład: klient zamawia kurs online. Musi podać dane do umowy i płatności – tu nie ma zgody, podstawa to umowa i prawo. Propozycja dołączenia do newslettera z dodatkowymi treściami – tu zgoda ma sens, bo kurs można kupić bez newslettera.

Drugie częste nieporozumienie dotyczy B2B. Spotyka się przekonanie, że „do firm nie obowiązuje RODO”. Obowiązuje, jeśli przetwarzane są dane osoby fizycznej – np. imię i nazwisko, służbowy e-mail z imieniem i nazwiskiem, numer telefonu przypisany do konkretnej osoby. Zgoda nadal bywa potrzebna, zwłaszcza przy marketingu mailowym i telefonicznym, choć dochodzi tu też inna siatka przepisów (np. prawo telekomunikacyjne, przepisy o świadczeniu usług drogą elektroniczną).

Zgoda marketingowa a zgoda na kanał komunikacji

W dyskusjach o RODO często miesza się dwa pojęcia:

  • zgoda na przetwarzanie danych do celów marketingowych,
  • zgoda na konkretny kanał komunikacji (np. e-mail, telefon, SMS).

Przykładowo: masz już klienta, który kupił usługę i przetwarzasz jego dane na podstawie umowy. Chcesz zaprosić go na webinar lub przedstawić nową ofertę. Na sam marketing możesz opierać się na prawnie uzasadnionym interesie, ale na użycie określonego kanału (e-mail/SMS/telefon) często potrzebna jest osobna zgoda wynikająca z przepisów poza RODO.

Dobry system zgód rozróżnia te dwie warstwy. Osoba może:

  • zgodzić się na komunikację e-mail, ale nie na telemarketing,
  • zgodzić się na SMS-y tylko w zakresie np. informacji o statusie zamówienia, a nie marketingu,
  • zostać w newsletterze, ale zrezygnować z telefonicznych follow-upów.

Z praktycznego punktu widzenia warto, by system rejestrował zgody w rozbiciu na kanały. Zamiast jednej zmiennej „zgoda marketingowa – tak/nie” lepiej mieć np. „marketing e-mail – tak/nie”, „marketing SMS – tak/nie”, „marketing telefon – tak/nie”. Od razu wiadomo, jakie działania można podjąć.

Wymogi ważnej zgody w uproszczonej praktyce

Teoretyczne definicje zgody z RODO brzmią prawniczo, ale da się je przełożyć na prosty checklista test. Zgoda jest ważna, jeśli jest:

  • dobrowolna – osoba ma realny wybór, a odmowa nie wpływa na podstawową usługę,
  • konkretna – wiadomo, do jakiego celu jest udzielana, nie jest „na wszystko i wszędzie”,
  • świadoma – osoba rozumie, co się stanie z jej danymi, w prostym języku i bez wieloznaczności,
  • jednoznaczna – wyrażona wyraźnym działaniem (zaznaczenie checkboxa, kliknięcie w link, podpis), bez domyślnego „zaznaczono za kogoś”.

Mit, który często wraca: „im bardziej prawniczo i skomplikowanie, tym bezpieczniej”. W rzeczywistości zbyt zawiła i niejasna treść zgody może zostać uznana za niespełniającą warunku świadomej i konkretnej zgody, zwłaszcza jeśli ukrywa się w niej dodatkowe cele marketingowe lub profilowanie. Prosty, ludzki język zwiększa zarówno skuteczność (ludzie faktycznie czytają), jak i bezpieczeństwo prawne.

Dobrym testem jest sytuacja, w której osoba bez doświadczenia prawniczego potrafi w kilka sekund odpowiedzieć: „na co ja się właściwie zgadzam, jak długo, kto to będzie przetwarzał i jak mogę zrezygnować?”. Jeśli nie potrafi – treść zgody wymaga uproszczenia.

Prosta architektura systemu zgód: trzy filary

Filar 1: szablony zgód i klauzul informacyjnych

Pierwszy filar to standaryzacja treści. Chodzi o to, by zgody i klauzule informacyjne nie powstawały chaotycznie przy każdym nowym formularzu. Zamiast tego powinna istnieć „biblioteka” gotowych tekstów, z których można składać konkretne konfiguracje. W praktyce wystarczy kilka bazowych modułów:

  • zgoda na newsletter / treści edukacyjne,
  • zgoda na marketing ofert własnych (e-mail),
  • zgoda na marketing telefoniczny,
  • zgoda na marketing SMS,
  • zgoda na wykorzystanie wizerunku,
  • zgoda na udział w przyszłych rekrutacjach,
  • klauzula informacyjna „pełna” (np. na stronę polityki prywatności) oraz wersje skrócone do formularzy.

Raz dopracowane moduły są później powielane i tylko dopasowywane do danego kontekstu. Zmniejsza to ryzyko, że w jednym formularzu użyta zostanie stara, nienadpisana wersja, a w innym zupełnie inna treść. Jednocześnie, gdy zmieni się np. nazwa podmiotu przetwarzającego dane lub zakres działań marketingowych, łatwo zaktualizować wszystkie miejsca w spójny sposób.

Filar 2: narzędzie do zbierania i przechowywania zgód

Filar 2: narzędzie do zbierania i przechowywania zgód – wymagania minimum

Drugim filarem jest konkretne narzędzie, w którym zgody są rejestrowane i do którego realnie da się zajrzeć w razie kontroli czy zapytania klienta. To nie musi być od razu rozbudowany CRM klasy enterprise. Na początek wystarczą trzy funkcje:

  • rejestrowanie źródła zgody – z jakiego formularza, jaką ścieżką, na jakiej stronie czy z jakiego dokumentu papierowego pochodzi,
  • sygnatura czasu – kiedy dokładnie zgoda została udzielona (data, godzina i – jeśli to możliwe – strefa czasowa),
  • zapis aktualnego statusu – aktywna, wycofana, ograniczona, z informacją, kiedy i jak nastąpiła zmiana.

Mit, który często miesza w głowach: „RODO wymaga specjalnego systemu do zgód”. Nie wymaga. Wymaga natomiast, żeby dało się wykazać, że zgoda faktycznie była i jaka była jej treść w momencie wyrażenia. To znacznie ważniejsze niż logo znanego dostawcy SaaS.

Jeśli organizacja dopiero zaczyna porządkować ten obszar, często pierwszym krokiem jest prosta tabela (arkusz kalkulacyjny lub moduł w istniejącym CRM), gdzie w jednej linii zapisuje się:

  • dane osoby (np. e-mail, telefon, ID klienta),
  • rodzaj zgody (np. newsletter, marketing telefoniczny),
  • kanał pozyskania (formularz X, wydarzenie Y, kampania Z),
  • datę i godzinę,
  • status i ewentualną datę wycofania.

Im wcześniej taki rejestr zaczyna działać, tym mniej „detektywistycznej pracy” później, gdy ktoś zażąda usunięcia danych albo ograniczenia marketingu do jednego kanału.

Filar 3: procesy obsługi zgód i rezygnacji

Trzeci filar to procedury – kto co robi i w jakim czasie, gdy zgoda jest udzielana, modyfikowana lub wycofywana. Zgoda nie kończy się w chwili kliknięcia w checkbox. Jeżeli nie ma prostych reguł, dane o zgodach zaczynają żyć własnym życiem w różnych systemach.

Dobry, „lekki” proces obejmuje przynajmniej:

  • aktualizowanie statusu zgody w jednym, głównym miejscu – to jest „źródło prawdy”, z którego korzystają inne systemy,
  • przekazywanie zmian do narzędzi wykonawczych – system mailingowy, dialer, CRM sprzedaży, system SMS,
  • czas reakcji – np. maksymalnie 48 godzin na wprowadzenie ręcznej zmiany zgody, jeśli system nie robi tego automatycznie.

Przykład z praktyki: klient klika „wypisz” w newsletterze. Jeśli system mailingowy jest spięty z CRM, status zgody w CRM zmienia się automatycznie, a handlowiec widzi przy kliencie, że nie wolno już wysyłać mu komunikacji marketingowej e-mailem. Jeśli nie ma integracji, trzeba ustalić prostą procedurę – kto i jak często eksportuje listy rezygnacji i aktualizuje je w głównym rejestrze zgód.

Mit: „wystarczy link wypisu w mailu i mamy temat ogarnięty”. Rzeczywistość: link wypisu aktualizuje tylko to narzędzie, w którym działa (np. konkretny system mailingowy). Jeśli ta sama osoba jest jeszcze na liście w innym narzędziu albo w oddzielnej bazie handlowców, bez procesu bardzo łatwo wysłać kolejną, niechcianą wiadomość.

Drewniane klocki z napisem encryption symbolizujące ochronę danych
Źródło: Pexels | Autor: Markus Winkler

Projekt szablonów zgód i klauzul – jak pisać prosto i zgodnie z prawem

Rozbijanie zgód na logiczne bloki zamiast „zgody totalnej”

Klasyczny błąd to jeden długi akapit, w którym upchnięte są: newsletter, zgoda na telefon, zgoda na partnerów i zgoda na profilowanie. Taka „zgoda totalna” jest ryzykowna: trudno ją uznać za konkretną, a osoba w praktyce nie ma realnej możliwości selekcji.

Bezpieczniejsze i uczciwsze podejście to podział na krótkie, jednoznaczne zgody. W jednym formularzu można zaproponować kilka pól, np.:

  • newsletter (treści edukacyjne),
  • oferty handlowe e-mailem,
  • kontakt telefoniczny w sprawie oferty,
  • zgoda na SMS z przypomnieniem o webinarze.

Każda z nich ma osobny checkbox i osobny opis. Użytkownik widzi, na co się zgadza, a statystyki pokazują, które zgody są chętniej udzielane. Z punktu widzenia RODO taki model znacznie lepiej spełnia wymóg dobrowolności i konkretności.

Język zgody: prosto, ale bez „cukru pudru”

Treść zgody nie jest broszurą marketingową. Nie chodzi o to, żeby „sprzedać” newsletter, tylko w prosty sposób opisać rzeczywistość. Dobrze działają krótkie zdania, pierwsza osoba liczby pojedynczej oraz wyjaśnienie celu:

  • „Zgadzam się na otrzymywanie newslettera z artykułami o [temat] oraz informacjami o usługach [Twoja firma] na podany adres e-mail.”
  • „Zgadzam się na kontakt telefoniczny w celu przedstawienia oferty [zakres oferty].”

W treści zgody nie trzeba przepisywać wszystkich informacji z klauzuli informacyjnej (administrator, cele, okres przetwarzania, prawa). Te elementy powinny być w osobnym bloku – krótkiej informacji przy formularzu plus link do szerszej polityki prywatności. Zgoda ma być o zgodzie, a nie o całym RODO.

Mit: „jeśli treść zgody będzie zbyt prosta, to UODO ją podważy”. Rzeczywistość jest odwrotna – problemem są za długie i niezrozumiałe teksty, które mieszają różne cele i podstawy prawne. Prosty język, krótki zakres i jasny cel sprzyjają wykazaniu, że zgoda była świadoma.

Szablony klauzul informacyjnych: wersja pełna i wersja „skrót”

Bez sensu jest pisać od zera osobną klauzulę do każdej akcji marketingowej. Znacznie rozsądniej zbudować dwa poziomy:

  • wersja pełna – na stronę polityki prywatności lub dedykowaną podstronę, z omówieniem wszystkich obowiązkowych elementów (administrator, cele, podstawy prawne, okres przechowywania, odbiorcy danych, prawa osób),
  • wersje skrócone – 2–3 zdania przy formularzach, z kluczowymi informacjami plus link „Zobacz szczegółowe informacje o przetwarzaniu danych”.

Przykładowy skrót przy formularzu zapisu na newsletter może brzmieć:

„Administratorem danych jest [nazwa]. Dane z formularza wykorzystamy do wysyłki newslettera i informacji o naszych usługach na podstawie Twojej zgody. Szczegółowe informacje o przetwarzaniu danych znajdziesz w naszej polityce prywatności [link].”

Kiedy szablony są dobrze ułożone, wdrożenie nowego formularza to kwestia wybrania odpowiedniej kombinacji: zgoda X + skrócona klauzula Y + link do polityki. Nie trzeba za każdym razem wymyślać na nowo, co powiedzieć o administratorze i prawach osoby.

Versioning treści zgód – dlaczego sam tekst to za mało

Przepisy wymagają, żeby administrator był w stanie wykazać, na co konkretnie ktoś się zgodził. To oznacza nie tylko informację, że zgoda była, ale także jak brzmiała jej treść w czasie wyrażenia.

Najprostsze podejścia to:

  • przypisanie do każdego rekordu zgody wersji szablonu (np. „newsletter_v3_2024-01-10”),
  • archiwizowanie „zrzutu” treści zgody – w formie pliku HTML lub PDF z datą wejścia w życie.

Gdy treść jest modyfikowana, zmienia się numer wersji, ale stare wersje pozostają w archiwum. Dzięki temu w razie sporu można pokazać: „w dniu X zgoda na newsletter wyglądała tak i była właśnie tak prezentowana w formularzu”.

W mniejszych firmach da się to obsłużyć poprzez prostą tabelę „Historia wersji” w tym samym narzędziu, gdzie trzymane są zgody. W większych – często jest to funkcja wbudowana w CMS lub CRM.

Stara maszyna do pisania z kartką privacy policy w kontekście RODO
Źródło: Pexels | Autor: Markus Winkler

Zbieranie zgód w praktyce: formularze, checkboxy, double opt‑in

Projekt formularza: minimalizm danych + jasne checkboxy

Formularz, w którym zbierane są zgody, powinien łączyć dwa porządki: marketingowy (konwersja) i prawny (zgodność). Im mniej pól obowiązkowych, tym więcej zapisów – ale nie może to iść w parze z chaosem w treściach zgód.

Kilka praktycznych zasad:

  • wyraźne rozróżnienie między danymi niezbędnymi do usługi (np. imię, e-mail do dostarczenia kursu) a danymi/zgodami dodatkowymi (newsletter, marketing),
  • osobne checkboxy dla różnych typów komunikacji, bez „zgody łączonej” na wszystko,
  • brak domyślnie zaznaczonych zgód – użytkownik musi sam zaznaczyć okienko,
  • krótki opis przy każdym checkboxie – bez odsyłania do ogólnej polityki prywatności w miejsce konkretu.

Mit: „skoro ktoś wypełnił formularz, to zgadza się na wszystko, co zrobimy z jego danymi”. Rzeczywistość: przetwarzanie danych musi mieć konkretną podstawę prawną. Samo „podanie danych” nie równa się automatycznej zgodzie na marketing czy przekazywanie danych partnerom.

Checkboxy marketingowe: jak je nazwać i gdzie umieścić

Opis przy checkboxie powinien mówić wprost, co użytkownik dostanie i jakim kanałem. Lepsze są konkrety niż ogólne formuły:

  • zamiast „Zgadzam się na przetwarzanie danych w celach marketingowych” – „Zgadzam się na otrzymywanie e-maili z ofertami i materiałami marketingowymi od [nazwa firmy].”,
  • zamiast „Zgadzam się na kontakt telefoniczny” – „Zgadzam się na kontakt telefoniczny w sprawie oferty [rodzaj usług/produktów].”.

Dobrze jest umieścić checkboxy blisko przycisku „Wyślij”/„Zapisz się”, tak aby użytkownik widział, na co się zgadza w momencie wysyłania formularza. Ukrywanie zgód „gdzieś na górze” strony albo w rozwijanym polu zmniejsza przejrzystość.

Double opt‑in: kiedy faktycznie pomaga, a kiedy jest przesadą

Double opt‑in (podwójne potwierdzenie) to mechanizm, w którym osoba po wypełnieniu formularza dostaje e-mail z linkiem „potwierdź zapis”. Zgoda jest traktowana jako pełna dopiero po kliknięciu w link.

Ma to kilka zalet:

  • pewność, że adres e-mail naprawdę należy do osoby, która go wpisała,
  • lepszy dowód na wyrażenie zgody – logi systemu mailingowego pokazują moment kliknięcia w link,
  • mniej błędnych czy „śmieciowych” adresów na liście.

Jednocześnie nie każde zastosowanie wymaga double opt‑in. Przy czysto transakcyjnych formularzach (np. zakup usługi, gdzie zgoda nie jest podstawą przetwarzania, tylko umowa) dodatkowy krok może niepotrzebnie utrudniać klientowi życie.

W newsletterach i typowym e-mail marketingu double opt‑in jest jednak rozsądnym standardem. Nawet jeśli prawo nie nakazuje wprost takiego mechanizmu, to przy sporach (np. osoba twierdzi, że nigdy się nie zapisywała) log potwierdzenia subskrypcji bardzo ułatwia obronę.

Dowód zgody: co tak naprawdę trzeba gromadzić

RODO nie wymaga przechowywania printscreenów każdego formularza, który ktoś wypełnił. W praktyce wystarczy zebrać tyle informacji, by dało się odtworzyć „historię zgody”:

  • identyfikator osoby (np. e-mail, numer klienta),
  • data i godzina złożenia zgody (plus IP lub inne dane techniczne, jeśli system je zapisuje),
  • rodzaj zgody i kanał zbierania (formularz X, landing Y, wersja Z treści),
  • data i godzina wycofania (jeśli nastąpiła) oraz kanał wycofania (link wypisu, e-mail, telefon).

Wiele systemów mailingowych i CRM robi to „z pudełka” – loguje zdarzenia typu „subskrypcja”, „zmiana preferencji”, „wypis”. Problem zaczyna się tam, gdzie część zgód zbiera się poza systemem (np. na papierze podczas eventów), a później dane są wprowadzane ręcznie. W takim scenariuszu przydaje się choćby pole „notatka”, gdzie można zapisać, że zgoda została zebrana np. na stoisku firmowym podczas konferencji w określonym dniu.

Wycofanie zgody: prostsze niż jej wyrażenie

Jedna z podstawowych zasad RODO mówi, że wycofanie zgody powinno być tak łatwe, jak jej udzielenie. W praktyce oznacza to, że jeśli ktoś zapisał się przez prosty formularz online, nie może być zmuszany do wysyłania tradycyjnego pisma pocztą, żeby się wypisać.

Praktyczne mechanizmy to m.in.:

  • link „wypisz się” w stopce każdego e-maila marketingowego,
  • prosty formularz online z wyborem, które zgody są wycofywane (np. tylko telefon, tylko SMS, wszystkie marketingowe),
  • możliwość zgłoszenia rezygnacji przez e-mail lub telefon do obsługi klienta – połączona z jasną procedurą aktualizacji zgód w systemie.

Gdzie przechowywać zgody: od Excela po CRM i system mailingowy

Minimalny „system zgód” w małej firmie: Excel + e-mail + polityka

Na starcie wielu przedsiębiorców i NGO-sów realnie nie potrzebuje zaawansowanego CRM. Kluczowe jest to, żeby zgody były:

  • w jednym miejscu (a nie w pięciu plikach na różnych komputerach),
  • powiązane z osobą (np. e-mail, ID klienta),
  • opisane tak, aby dało się zrozumieć, na co dokładnie dana osoba się zgodziła.

Prosty arkusz (Excel, Google Sheets, LibreOffice) może być wystarczający, jeśli jest sensownie zbudowany. Podstawowy schemat:

  • kolumny z identyfikatorem osoby (e-mail, numer klienta, telefon),
  • kolumna „rodzaj zgody” (newsletter, telefon, SMS, remarketing itp.),
  • data wyrażenia zgody + źródło (formularz X, event Y, zapis telefoniczny),
  • wersja treści zgody (np. „NL_v3_2024-01-10”),
  • data wycofania zgody (jeśli była),
  • kolumna „uwagi” na krótką notatkę o okolicznościach (np. „zgoda telefoniczna potwierdzona w mailu z dnia…”).

Mit: „Excel jest z definicji niezgodny z RODO”. Rzeczywistość: nie ma zakazu używania Excela. Problemem są bałagan, brak dostępu tylko dla upoważnionych osób i brak kopii zapasowych, a nie samo narzędzie. Arkusz może być legalny, o ile jest sensownie zabezpieczony (hasło, ograniczony dostęp, backup).

W praktyce ten model sprawdza się, dopóki wolumen zgód jest względnie mały i nie trzeba stale synchronizować ich między wieloma systemami (np. osobno e-mail marketing, osobno system obsługi zamówień).

Przechowywanie zgód w systemie mailingowym: plusy i pułapki

Większość systemów mailingowych (MailerLite, GetResponse, FreshMail, itp.) ma wbudowane mechanizmy:

  • zapisu i wypisu (subscribe / unsubscribe),
  • logowania momentu zapisu (czas, IP, formularz, lista),
  • zarządzania listami lub tagami (np. „zgoda na newsletter”, „zgoda na webinary”).

Ogromny plus: takie narzędzia automatycznie gromadzą „dowód zgody” w logach i potrafią go powiązać z konkretną osobą. Gdy ktoś się wypisze linkiem w stopce, system oznacza to zdarzenie i blokuje dalsze wysyłki marketingowe.

Najczęstsze problemy pojawiają się w momencie, gdy:

  • zgody zbierane są także poza systemem mailingowym (np. w sklepie internetowym),
  • pracownicy ręcznie dogrywają listy kontaktów (importują pliki CSV z różnych źródeł),
  • firma korzysta z kilku różnych narzędzi mailingowych równocześnie.

Mit: „skoro system mailingowy ma checkbox RODO w formularzu, to jestem już zabezpieczony”. Rzeczywistość: dostawca daje narzędzie, ale odpowiedzialność za treść zgody, jej wersjonowanie i prawidłowe mapowanie do celów przetwarzania zostaje po stronie administratora. Gotowy „checkbox RODO” potrafi być zbyt ogólny lub źle dopasowany do twojej sytuacji.

Dobrym nawykiem jest eksportowanie co jakiś czas (np. raz w miesiącu) listy subskrybentów wraz z historią zdarzeń i przechowywanie jej w bezpiecznym archiwum. To zabezpiecza na wypadek zmiany systemu mailingowego lub poważnej awarii.

CRM jako centralne miejsce praw marketingowych

Gdy sprzedaż i obsługa klienta zaczynają korzystać z kilku kanałów (telefon, e-mail, SMS, kampanie online), opieranie się wyłącznie na systemie mailingowym przestaje wystarczać. Wtedy naturalnym krokiem jest wykorzystanie CRM jako „źródła prawdy” o zgodach.

Typowy model działania:

  • każdy kontakt w CRM ma pola oznaczające konkretne zgody (np. „Zgoda e-mail marketing”, „Zgoda telefon”, „Zgoda SMS”),
  • system mailingowy i inne narzędzia „czytają” te pola poprzez integracje (API, wtyczkę),
  • zmiana zgody (np. wypis z newslettera) spływa z systemu mailingowego z powrotem do CRM i aktualizuje odpowiednie pola.

Jeśli CRM jest centralnym miejscem, trzeba pilnować dwóch rzeczy:

  • spójnej definicji pól – „Zgoda marketingowa e-mail” znaczy dokładnie to samo w CRM, w sklepie online i w systemie mailingowym,
  • jednokierunkowych lub jasno opisanych przepływów – żeby nie tworzyć pętli, w której jeden system nadpisuje zgody drugim w sposób niekontrolowany.

W praktyce dobrze działa model, w którym CRM jest nadrzędny, a narzędzia marketingowe jedynie odczytują statusy zgód i raportują zmiany (np. wypis). To upraszcza procedury przy zmianie dostawcy mailingu czy wdrażaniu nowego kanału komunikacji.

Łączenie wielu źródeł: sklep online, formularze, eventy

Im więcej kanałów, tym większe ryzyko, że zgody rozjadą się między systemami. Klasyczna sytuacja: klient przy zakupie zaznaczył zgody na newsletter i SMS, a podczas webinaru odznaczył telefony, ale systemy nie rozmawiają ze sobą.

W takich przypadkach przydaje się prosta zasada: jeden główny identyfikator osoby i jeden centralny rejestr zgód, do którego wszystkie kanały raportują zmiany. Najczęściej rolę identyfikatora pełni e-mail, w niektórych branżach – numer klienta lub telefon.

Przykładowy przepływ w małej organizacji:

  • sklep online i landing page korzystają z tego samego systemu mailingowego lub integracji z CRM,
  • zgody z eventów offline są raz w tygodniu wprowadzane ręcznie do CRM, z dopiskiem, skąd pochodzą,
  • report „nowe zgody + wypisy” jest regularnie przeglądany, aby namierzyć ewentualne błędy (np. zdublowane rekordy).

Mit: „jeśli ktoś raz dał zgodę na newsletter, mogę ją sobie kopiować między listami kampanii bez ograniczeń”. Rzeczywistość: kopiowanie jest w porządku, o ile dotyczy tego samego celu i zakresu (np. różne segmenty newslettera tej samej firmy). Nie można jednak pod pretekstem jednej zgody wrzucać danych do kampanii innej spółki czy zupełnie innego celu marketingowego.

Bezpieczeństwo i backup: zgody też są danymi osobowymi

Lista zgód to w praktyce lista osób, z którymi kontaktujesz się marketingowo. Utrata tego rejestru to nie tylko problem operacyjny, ale również ryzyko naruszenia ochrony danych, jeśli dojdzie do wycieku.

Podstawowe środki bezpieczeństwa, niezależnie od narzędzia:

  • dostęp tylko dla osób, które faktycznie muszą z tego korzystać (marketing, sprzedaż, obsługa klienta),
  • korzystanie z kont imiennych zamiast „wspólnych loginów” typu marketing@,
  • regularne kopie zapasowe – jeśli główny system padnie, musisz mieć możliwość odtworzenia informacji o zgodach.

W małych zespołach często wystarczy dostęp do Excela lub CRM dla 2–3 osób, ale z jasno ustalonym zakresem działań. Kto może importować listy? Kto może ręcznie zmieniać zgody? Kto odpowiada za przywrócenie danych z backupu, jeśli coś pójdzie nie tak?

Procedury aktualizacji zgód: co robić, gdy zmienia się treść lub zakres

Zmiana szablonu zgody (np. rozszerzenie zakresu komunikacji) rodzi pytanie: co z osobami, które wyraziły zgodę na starych zasadach? Najczęściej pojawia się pokusa: „po prostu zaktualizujemy politykę prywatności i wszystko będzie ok”.

W praktyce sensowny scenariusz wygląda tak:

  1. nowa treść zgody dostaje nowy numer wersji i wchodzi w życie dla wszystkich nowych zapisów,
  2. lista osób ze „starą” wersją jest odseparowana (np. tagiem / segmentem) w systemie,
  3. komunikat do tych osób informuje o zmianach i – jeśli zakres faktycznie się rozszerza – prosi o ponowne potwierdzenie (np. przez kliknięcie w link lub zaznaczenie nowego checkboxa przy logowaniu do konta).

Jeżeli rozszerzenie jest istotne (np. dotychczas tylko newsletter, teraz chcesz dzwonić i wysyłać SMS-y), bez nowej, wyraźnej zgody nie ma mowy o „dosztukowaniu” dodatkowych kanałów komunikacji.

Mit: „jak zaktualizuję politykę prywatności na stronie, to automatycznie obejmie wszystkich istniejących klientów”. Rzeczywistość: klauzule informacyjne można aktualizować, ale zgoda na marketing nie „rozciąga się” wstecz na inne cele czy kanały. Informacja a zgoda to dwie różne rzeczy.

Odnotowywanie zgód z rozmów telefonicznych i spotkań

Zgody nie muszą być wyłącznie „klikane”. Mogą być wyrażane ustnie – podczas rozmowy telefonicznej czy spotkania. Problem w tym, że jeśli nikt tego nie zapisze w systemie, to w razie sporu nie ma do czego się odwołać.

W praktyce da się to ogarnąć prostą procedurą:

  • skrypt rozmowy zawiera konkretną treść zgody, którą konsultant czyta klientowi,
  • po uzyskaniu zgody konsultant rejestruje ją w CRM w odpowiednim polu, zaznaczając kanał („zgoda telefoniczna”, data, godzina),
  • opcjonalnie – wysyła do klienta e-mail z potwierdzeniem i możliwością łatwego wycofania zgody.

W niektórych branżach rozmowy są nagrywane. To dodatkowy dowód, ale też dodatkowy obowiązek informacyjny. Samo nagranie bez odnotowania zgody w systemie to proszenie się o chaos – nikt nie będzie odsłuchiwał godzin nagrań, żeby ustalić, czy konkretny klient pozwolił na SMS-y.

Przechowywanie zgód a retencja danych: jak długo trzymać informacje

Zgoda nie oznacza „wiecznego” przechowywania danych. Okres przetwarzania trzeba powiązać z celem. Inny będzie dla newslettera, inny dla jednorazowego konkursu.

Praktyczny model zarządzania retencją zgód:

  • dla zgód marketingowych – przechowywanie danych tak długo, jak długo zgoda nie została wycofana, ale z okresowym przeglądem bazy (np. jeśli ktoś przez bardzo długi czas nie otwiera maili, można go „uśpić” i usunąć dane po określonym czasie),
  • dla zgód związanych z jedną akcją (konkurs, webinar) – z góry określony czas przechowywania, np. do zakończenia akcji + okres rozliczeń / przedawnienia roszczeń,
  • dla dowodów zgody – przechowywanie dłużej niż same dane operacyjne, jeśli jest realne ryzyko sporów (np. w sektorach silnie regulowanych).

Sensowne jest rozdzielenie: „aktywni odbiorcy” (na bieżącej liście marketingowej) oraz „archiwum dowodów zgód” (gdzie trzyma się ograniczony pakiet danych, konieczny wyłącznie do wykazania zgodności, np. zanonimizowany identyfikator + log w systemie). To pozwala nie pompować niepotrzebnie list wysyłkowych, a jednocześnie mieć podkładkę w razie kontroli.

Prosta architektura trzech filarów w praktyce przechowywania

Cały system przechowywania zgód można mentalnie rozbić na trzy filary, które współpracują ze sobą:

  • Repozytorium szablonów – miejsce (folder, CMS, wiki, notatnik w chmurze), gdzie są aktualne i archiwalne wersje treści zgód oraz klauzul informacyjnych, z datami obowiązywania.
  • Rejestr zgód – Excela, CRM, system mailingowy lub ich połączenie, z którego w każdej chwili możesz wyciągnąć listę: kto, na co, kiedy i jak się zgodził, a także kiedy się wypisał.
  • Mechanizm synchronizacji – integracje i procedury, które dbają o to, żeby zmiany w jednym miejscu (np. wypis przez link w mailu) od razu były widoczne w innych (CRM, sklep, baza call center).

W małej firmie wszystkie trzy filary mogą działać na bardzo prostych narzędziach: dokumenty w chmurze + arkusz + jeden system mailingowy. W większej – będą to osobne moduły i integracje. Logika pozostaje ta sama: jasne wzory zgód, jedno miejsce prawdy o statusie zgód i kontrolowane przepływy między systemami.

Najczęściej zadawane pytania (FAQ)

Czym jest system zgód RODO i po co go w ogóle wdrażać?

System zgód RODO to uporządkowany sposób zbierania, przechowywania i wyszukiwania informacji o tym, kto, kiedy, na co i jaką drogą wyraził zgodę. Zamiast pojedynczych maili, kartek, arkuszy i notatek, masz jedno „miejsce prawdy”, do którego możesz sięgnąć przy każdym żądaniu klienta czy pytaniu z UODO.

Jego głównym celem nie jest prawnicza perfekcja, tylko możliwość szybkiej, udokumentowanej reakcji: znalezienie konkretnej zgody, wypisanie z newslettera, pokazanie podstawy wysyłki SMS-a. Mit: „zgody mamy porozrzucane, ale przecież jakoś to działa”. Rzeczywistość: działa tylko do pierwszej skargi lub żądania usunięcia danych.

Czy mała firma naprawdę potrzebuje systemu zgód RODO?

Tak, bo przepisy nie robią zniżki za rozmiar firmy. Klient, który zgłasza skargę na spam, nie sprawdza, czy po drugiej stronie jest korporacja czy jednoosobowa działalność. Mała firma często ma większy problem przy wpadce: brak działu prawnego, brak specjalisty od RODO i mniejszy budżet na „gaszenie pożaru”.

Jednocześnie w małych organizacjach prosty system zgód da się wdrożyć niewielkim nakładem pracy – kilka przemyślanych szablonów, jedno miejsce przechowywania i jasna procedura na wypisywanie osób z komunikacji. Mit: „mały jest niewidoczny”. Rzeczywistość: newsletter do stu osób bez zgody to nadal naruszenie, tylko na mniejszą skalę.

Jakie zgody RODO muszę mieć szczególnie dobrze udokumentowane?

Najwięcej problemów i ryzyka generują zgody związane z marketingiem i HR, bo tu najczęściej klienci i kandydaci zadają pytania albo składają skargi. W praktyce chodzi głównie o:

  • zgody na newsletter i e-mail marketing,
  • zgody na marketing telefoniczny i SMS,
  • zgody na cookies marketingowe, remarketing i narzędzia reklamowe,
  • zgody rekrutacyjne (np. na przyszłe rekrutacje),
  • zgody na wizerunek w materiałach promocyjnych.

Dla tych obszarów kluczowe są trzy rzeczy: sensowna treść zgody, możliwość odtworzenia kto/kiedy/na co się zgodził oraz prosty sposób na zmianę lub wycofanie zgody. Bez tego system zgód istnieje tylko „na papierze”.

Kiedy zgoda RODO jest potrzebna, a kiedy wystarczy umowa lub obowiązek prawny?

Zgoda jest potrzebna tam, gdzie osoba ma realny wybór „tak/nie”, a odmowa nie powinna blokować głównej usługi. Klasyka: newsletter, dodatkowy marketing do klientów, zgody na zdjęcia, profilowanie marketingowe. Jeśli klient może spokojnie kupić produkt bez zapisu do newslettera, to właśnie newsletter powinien być „na zgodę”.

Nie trzeba natomiast zgody, gdy podstawą przetwarzania jest umowa lub obowiązek prawny – np. realizacja zamówienia, wystawienie faktury, przechowywanie dokumentów księgowych. Popularny błąd: dokładanie checkboxa „Wyrażam zgodę na przetwarzanie danych w celu realizacji zamówienia”. To nie pomaga, tylko generuje dodatkowy ślad, którym później trzeba zarządzać.

Jak praktycznie przechowywać zgody RODO, żeby dało się je łatwo znaleźć?

Najważniejsze jest jedno, spójne „źródło prawdy”. W praktyce oznacza to albo wybrane narzędzie (CRM, system mailingowy, aplikacja do rekrutacji), albo prostą bazę, do której spływają dane z różnych formularzy. Ważne, aby przy każdej osobie dało się odczytać: typ zgody, datę, kanał (formularz, mail, papier) i aktualny status (udzielona/wycofana).

Model „część w Excelu, część w skrzynce mailowej, część w segregatorze” działa do chwili, gdy ktoś żąda usunięcia danych albo pyta, na jakiej podstawie dostaje SMS-y. Mit: „znajdę w razie czego”. Rzeczywistość: szukanie jednej zgody potrafi zająć kilkadziesiąt minut i wciąż nie ma pewności, czy to najnowsza wersja.

Czy w relacjach B2B też potrzebuję zgód na marketing zgodnie z RODO?

Tak, jeśli przetwarzasz dane osoby fizycznej – imię i nazwisko, służbowy adres e-mail z imieniem i nazwiskiem, numer telefonu do konkretnej osoby. RODO nadal obowiązuje, nawet jeśli sprzedajesz wyłącznie firmom. Zgoda często będzie wymagana szczególnie przy mailingu i telemarketingu, a dodatkowo w grę wchodzą inne przepisy, np. prawo telekomunikacyjne.

Mit: „do firm można wysyłać wszystko bez zgód”. Rzeczywistość: adres typu jan.kowalski@firma.pl to nadal dane osobowe, a nie „bezimienny podmiot B2B”. System zgód powinien więc obejmować również kontakty biznesowe, przynajmniej w obszarze komunikacji marketingowej.

Jakie minimum powinien spełniać prosty system zgód RODO w małej lub średniej firmie?

Praktyczne minimum to kilka elementów, które faktycznie działają w codziennej pracy, a nie tylko w polityce prywatności. W szczególności:

  • lista typów zgód w firmie (newsletter, telefon, SMS, wizerunek, HR) i miejsc, gdzie są zbierane,
  • spójne szablony zgód i klauzul informacyjnych, bez zbędnych checkboxów „na zapas”,
  • jedno miejsce, gdzie można odtworzyć kto/kiedy/na co się zgodził,
  • prosty proces wypisania lub usunięcia danych z komunikacji marketingowej,
  • procedura przenoszenia zgód przy zmianie narzędzia (np. system mailingowy, CRM).

Kluczem nie jest liczba dokumentów, ale to, żeby osoba od marketingu czy sprzedaży wiedziała, gdzie kliknąć, gdy klient pyta o swoją zgodę albo ją wycofuje. Bez tego nawet najładniejsza „polityka RODO” nie uratuje sytuacji przy kontroli.

Najważniejsze punkty

  • Rozproszone zgody (maile, Excel, CRM, papiery) przy pierwszym żądaniu klienta lub kontroli z UODO zamieniają się w chaos, w którym odnalezienie jednej, aktualnej zgody potrafi sparaliżować firmę.
  • Mit, że „mała firma jest niewidoczna”, nie działa – pojedyncza skarga na niechciany newsletter czy SMS może dotknąć równie dobrze mikrofirmę, a ta ma zwykle mniej zasobów, żeby gasić pożary.
  • System zgód jest potrzebny tylko tam, gdzie faktycznie opierasz się na zgodzie jako podstawie przetwarzania (newsletter, marketing, wizerunek, część HR), a nie np. przy fakturach czy realizacji umowy – tam działają inne podstawy z RODO.
  • Dodawanie zgody tam, gdzie prawo jej nie wymaga (np. checkbox przy wystawianiu faktury) tworzy sztuczny obowiązek „opieki” nad zgodą i niepotrzebnie komplikuje życie przy późniejszym porządkowaniu danych.
  • Realnym celem jest prosty, utrzymywalny system: jasna lista typów zgód, spójne szablony, możliwość szybkiego udokumentowania „kto, kiedy, na co i jaką drogą” oraz sprawne wypisanie osoby z komunikacji marketingowej.
  • Przy zmianie narzędzi (CRM, system mailingowy, formularze) kluczowe jest przenoszenie nie tylko adresów, lecz także informacji o zgodach – inaczej traci się ciągłość udokumentowanej podstawy prawnej.
  • Największą różnicę robi praktyka, a nie gruba polityka RODO: osoba od marketingu czy sprzedaży musi dokładnie wiedzieć, gdzie sprawdzić status zgody klienta i jak zareagować na wycofanie zgody lub żądanie usunięcia danych.

Te artykuły mogą Cię zainteresować:

Poprzedni artykułJak przygotować bank treści: cytaty, zdjęcia, historie i statystyki w jednym miejscu
Magdalena Adamczyk
Magdalena Adamczyk
Magdalena Adamczyk specjalizuje się w pozyskiwaniu finansowania i przygotowaniu wniosków dla NGO oraz inicjatyw lokalnych. Na blogu pokazuje, jak czytać regulaminy, budować budżet, opisywać rezultaty i minimalizować ryzyka formalne. Pracuje na checklistach, wzorach i przykładach z naborów, a rekomendacje opiera na aktualnych wytycznych i praktyce rozliczeń. Zwraca uwagę na etykę wydatkowania środków, zgodność z celami projektu i jasną komunikację z partnerami. Jej teksty pomagają uporządkować proces od pomysłu do sprawozdania.