Zgody RODO na SMS i Email - Przewodnik Implementacji

Jak prawidłowo zbierać zgody na wysyłkę SMS marketingowych i kampanii emailowych zgodnie z RODO i polskim prawem

⚠️ WAŻNE: System Braxen obsługuje:
• SMS - TYLKO polskie numery telefonu w formacie +48XXXXXXXXX
• Email - kampanie marketingowe z pełną zgodą RODO i możliwością wypisania się

1. Wymagania Prawne i Kary

Kary za nieprzestrzeganie RODO i regulacji marketingowych:

Do 20 000 000 EUR lub 4% globalnego rocznego obrotu - w zależności która kwota jest wyższa (art. 83 ust. 5 RODO)
Do 10 000 000 EUR lub 2% globalnego rocznego obrotu - za mniejsze naruszenia (art. 83 ust. 4 RODO)
Ustawa o świadczeniu usług drogą elektroniczną (UŚDE) - kara do 3% przychodu za nielegalne SMS/email marketingowe
Prawo telekomunikacyjne - dodatkowe kary od UKE, możliwość blokady numeru przez operatora
UOKiK - kary za naruszenie zbiorowych interesów konsumentów (do 10% obrotu)

📋 Podstawy prawne

RODO (Rozporządzenie UE 2016/679) - ochrona danych osobowych
Ustawa o świadczeniu usług drogą elektroniczną - zgoda na marketing elektroniczny
Prawo telekomunikacyjne - regulacje SMS
Dyrektywa ePrivacy - prywatność komunikacji elektronicznej
Kodeks cywilny - ochrona dóbr osobistych

✅ Co JEST wymagane prawnie

Wyraźna zgoda opt-in - użytkownik musi AKTYWNIE zaznaczyć checkbox (nie może być domyślnie zaznaczony)
Rejestr zgód RODO:
- Data i godzina udzielenia zgody
- Adres IP użytkownika (dowód udzielenia zgody - Art. 7.1 RODO)
- Źródło zgody (formularz, API, import)
- Pełna treść zgody (co dokładnie użytkownik zaakceptował)
Informacja o administratorze danych - pełna nazwa firmy, adres, NIP
Cel przetwarzania - jasno określony (marketing SMS/email)
Prawo do wycofania zgody - musi być tak łatwe jak jej udzielenie
Email: każda wiadomość MUSI zawierać link "Wypisz się" w stopce
SMS: TYLKO polskie numery +48XXXXXXXXX (zagraniczne zablokowane w Braxen)
Możliwość realizacji praw RODO: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie danych

❌ Co jest ZABRONIONE (naruszenia RODO i UŚDE)

Wysyłka bez zgody - spam, każda wiadomość bez uprzedniej zgody
Pre-checked checkboxy - zgoda musi być aktywnym działaniem (opt-out jest nielegalny)
Domniemana zgoda - "jeśli nie odpiszesz, przyjmujemy zgodę"
Zgoda warunkowa - "aby kupić musisz zgodzić się na marketing"
Brak możliwości wypisania się - musi być w każdym emailu/SMS
Ukryty link unsubscribe - musi być widoczny i łatwy do znalezienia
Brak rejestracji zgód - administrator musi móc wykazać zgodę (Art. 7.1 RODO)
Wysyłka po wycofaniu zgody - użytkownik cofnął zgodę = natychmiastowy zakaz wysyłki
SMS na numery zagraniczne - zablokowane w Braxen zgodnie z polskim prawem
Brak informacji o administratorze - użytkownik musi wiedzieć kto przetwarza dane

⚖️ PAMIĘTAJ: Braxen automatycznie zapisuje wszystkie wymagane dane RODO (IP, data, źródło) przy każdym dodaniu kontaktu. System blokuje też wysyłkę na numery zagraniczne i wymusza checkbox zgody przed zapisem.

2. Jak Zbierać Zgody na Swojej Stronie

Zgody muszą być zbierane poprzez wyraźne zaznaczenie checkboxa - NIE MOGĄ być domyślnie zaznaczone!

Kluczowe elementy formularza zgody

Checkbox niezaznaczony domyślnie
Jasna informacja o celu (marketing SMS)
Dane administratora (nazwa firmy, adres)
Informacja o prawie do wycofania zgody
Link do polityki prywatności
Walidacja numeru: TYLKO +48XXXXXXXXX (polskie numery)
Zapisywanie IP, timestamp i źródła zgody

Po zebraniu zgody na swojej stronie, prześlij dane do Braxen przez:

Panel Braxen → Grupy kontaktów → Dodaj kontakt (zaznacz "Zgoda na SMS")
Import CSV → Dodaj kolumnę "sms_consent" z wartością "true"
API Braxen → Wyślij parametr hasSmsConsent: true

3. Przykładowe Klauzule RODO

Klauzula Podstawowa (minimalna)

Wyrażam zgodę na otrzymywanie informacji handlowych za pomocą SMS na podany przeze mnie numer telefonu +48 od [NAZWA FIRMY] zgodnie z art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Mam prawo wycofać zgodę w dowolnym momencie kontaktując się z firmą.

Klauzula Rozszerzona (zalecana)

Wyrażam zgodę na przetwarzanie mojego numeru telefonu przez [NAZWA FIRMY], [ADRES], [NIP], w celu otrzymywania informacji handlowych i marketingowych za pomocą wiadomości SMS, zgodnie z art. 6 ust. 1 lit. a) RODO oraz art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną.

Zostałem poinformowany, że:

Moje dane będą przetwarzane wyłącznie w celu wysyłki SMS marketingowych na polskie numery +48
Mam prawo wycofać zgodę w dowolnym momencie kontaktując się z firmą
Mam prawo dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania
Mam prawo wniesienia skargi do organu nadzorczego (UODO)

Więcej: Polityka Prywatności

Klauzula dla E-commerce

Wyrażam zgodę na otrzymywanie na podany przeze mnie polski numer telefonu +48 informacji marketingowych za pomocą SMS od [NAZWA SKLEPU], dotyczących produktów, promocji i nowości w ofercie.

Wiadomości mogą zawierać: kody rabatowe, informacje o produktach, przypomnienia o koszykach.

Mam prawo wycofać zgodę w każdej chwili kontaktując się: bok@sklep.pl

5. Rejestr Zgód w Braxen - Zgodność z RODO

System Braxen automatycznie rejestruje wszystkie dane wymagane przez RODO!

📋 Wymogi RODO - Art. 7 i Art. 30
Zgodnie z RODO administrator danych MUSI być w stanie WYKAZAĆ, że osoba udzieliła zgody. Braxen automatycznie zapisuje wszystkie niezbędne informacje do spełnienia tego wymogu.

Co zapisuje Braxen przy każdym kontakcie (WYMAGANE PRAWEM)

Data i godzina zgody (smsConsentDate) - wymóg Art. 7.1 RODO
Adres IP (smsConsentIpAddress) - dowód udzielenia zgody, wymóg Art. 7.1 RODO
User Agent przeglądarki (smsConsentUserAgent) - dodatkowe zabezpieczenie dowodowe
Numer telefonu - TYLKO polskie +48XXXXXXXXX
IP tworzenia kontaktu (createdFromIp) - rejestr czynności przetwarzania (Art. 30 RODO)
IP ostatniej aktualizacji (lastUpdatedFromIp) - pełna historia zmian

⚖️ DLACZEGO TO JEST WYMAGANE?
Art. 7.1 RODO: "Administrator musi być w stanie wykazać, że osoba udzieliła zgody"
Art. 30 RODO: Obowiązek prowadzenia rejestru czynności przetwarzania
UODO: Rekomenduje zapisywanie IP, daty i czasu jako minimalny standard dowodowy
Kary: Brak dowodów zgody = kara do 20 mln EUR lub 4% obrotu

Jak działa rejestr zgód w Braxen

Dodawanie kontaktów z zgodą SMS odbywa się przez:

1. Panel Braxen - Grupy kontaktów

Przejdź do Grupy kontaktów → Dodaj kontakt
Zaznacz checkbox "Zgoda na SMS"
System automatycznie zapisze:
- Datę i godzinę zgody
- Twój adres IP (jako administratora dodającego kontakt)
- User Agent przeglądarki
- Źródło: "manual"
Te dane są niezbędne dla zgodności z RODO i są zapisywane zawsze

2. Import CSV

Dodaj kolumnę sms_consent z wartością true
Tylko kontakty z polskimi numerami +48 zostaną zaimportowane
System zapisze: datę importu, IP, źródło: "csv_import"
UWAGA: przy imporcie zapisywane jest IP osoby importującej - to spełnia wymogi RODO jako dowód przetwarzania

3. API Braxen

Przy dodawaniu kontaktu przez API, wyślij parametr:

{
  "groupId": 1,
  "name": "Jan Kowalski",
  "phoneNumber": "+48123456789",
  "hasSmsConsent": true
}

System automatycznie zapisze: datę, IP wywołania API, źródło: "api"

Rejestr wycofania zgody

Data wycofania zgody (smsUnsubscribedAt)
Powód wycofania (smsUnsubscribeReason): 'user_request', 'gdpr_request', 'admin_action'
Każde wycofanie zgody jest automatycznie zapisywane w systemie

→ Przejdź do Dashboard RODO - Raporty i Statystyki

Walidacja numerów - TYLKO polskie +48

System automatycznie blokuje numery zagraniczne!

Akceptowany format: +48XXXXXXXXX (9 cyfr po +48)

Przykłady prawidłowych numerów:

+48123456789
+48501234567
+48601234567

6. Prawo do Wycofania Zgody

⚖️ WYMÓG RODO Art. 7.3: Cofnięcie zgody musi być tak samo łatwe jak jej udzielenie. Użytkownik MUSI mieć możliwość wycofania zgody w każdej chwili!

Dlaczego prawo do wycofania jest obowiązkowe?

To podstawowy wymóg prawny wynikający z:

RODO Art. 7.3 - odbiorca ma prawo cofnąć zgodę w każdej chwili tak łatwo, jak ją udzielił
Ustawy o świadczeniu usług drogą elektroniczną (UŚDE) - odbiorca musi mieć możliwość natychmiastowego i bezpłatnego wycofania zgody
Przepisy telekomunikacyjne - dla SMS
Dyrektywa ePrivacy - dla komunikacji elektronicznej

Konsekwencje braku możliwości wycofania zgody

Kary RODO - do 20 mln EUR lub 4% globalnego obrotu
Blokady - operatorzy mogą zablokować numer wysyłkowy (SMS) lub domenę (email)
UOKiK i UKE mogą nałożyć dodatkowe grzywny
Reputacja - utrata zaufania klientów i negatywne opinie

Jak Braxen obsługuje wycofanie zgody?

📧 Kampanie Email - Zaimplementowane

System automatycznie dodaje do każdego emaila:

Link "Wypisz się" w stopce każdego emaila
Kliknięcie linku prowadzi do strony rezygnacji z projektu
Po potwierdzeniu - kontakt jest automatycznie wypisywany z danego projektu
Rejestracja:
- Data wycofania zgody
- Projekt, z którego się wypisał
- IP i timestamp operacji
Kontakt NIE otrzyma już emaili z tego projektu
Może nadal otrzymywać emaile z innych projektów (jeśli tam ma zgodę)

📱 SMS - W trakcie wdrażania

⚠️ WAŻNE: Moduł wysyłki SMS jest obecnie w fazie wdrażania. Funkcjonalność automatycznego wypisywania się będzie dostępna wkrótce.

Planowane funkcjonalności:

Komenda STOP wysyłana w odpowiedzi na SMS
Automatyczne wypisanie z wszystkich kampanii SMS
Link w SMS do wypisania się (podobnie jak w emailach)

Obecnie: Wycofanie zgody SMS możliwe przez panel administracyjny (Dashboard SMS Consent) lub kontakt z administratorem systemu.

Co się dzieje po wycofaniu zgody?

Natychmiastowa reakcja - System oznacza kontakt jako wypisany z projektu/kampanii
Blokada wysyłki - Kontakt nie otrzyma już wiadomości z danego projektu
Rejestracja RODO:
- Data i godzina wycofania
- Sposób wycofania (link, email, telefon)
- IP i User Agent (dla dowodów)
- Projekt/kampania, której dotyczy

Ważne: Po wycofaniu zgody użytkownik może ją ponownie wyrazić w przyszłości. System Braxen automatycznie to obsługuje - każda zgoda jest niezależna i może być cofnięta osobno dla każdego projektu.

7. API - "Bezpieczny Port Dowodowy" (Proof Safe Harbor)

🔐 Braxen jako repozytorium dowodów zgód RODO
Jeśli Twoja aplikacja zbiera zgody RODO (np. SaaS, platforma e-commerce, CRM) - możesz przesłać pełny dowód zgody do Braxen. System zapisze wszystkie wymagane dane zgodnie z RODO Art. 7.1, tworząc kompletny audyt trail dla UODO.

Dlaczego przesyłać pełny dowód zgody do Braxen?

Centralne repozytorium dowodów - jedna baza wszystkich zgód z różnych systemów
Ochrona prawna - pełna dokumentacja w razie kontroli UODO
RODO Art. 7.1 - administrator MUSI udowodnić, że zgoda została udzielona
Audyt trail - IP, data, źródło, pełna treść zgody - wszystko w jednym miejscu
Integracja - Twoja aplikacja zbiera zgody, Braxen je archiwizuje i wysyła kampanie

API Endpoint: POST /api/contacts/add

URL: https://yourdomain.com/api/contacts/add

Autoryzacja: Header X-API-KEY: twoj_klucz_api

Content-Type: application/json

Parametry żądania - Minimalne (bez dowodu zgody)

{
  "groupId": 123,
  "name": "Jan",
  "lastName": "Kowalski",
  "phoneNumber": "+48123456789",
  "email": "jan@example.com",
  "hasSmsConsent": true
}

Parametry żądania - Pełny dowód zgody (ZALECANE dla SaaS)

{
  "groupId": 123,
  "name": "Jan",
  "lastName": "Kowalski",
  "phoneNumber": "+48123456789",
  "email": "jan@example.com",
  "hasSmsConsent": true,
  "consentDate": "2024-01-15T14:30:00+01:00",
  "consentIp": "198.51.100.42",
  "consentText": "Wyrażam zgodę na otrzymywanie SMS marketingowych od Braxen Sp. z o.o. z siedzibą w Warszawie, ul. Przykładowa 1, NIP: 1234567890. Zgoda jest dobrowolna i mogę ją wycofać w dowolnym momencie kontaktując się z administratorem."
}

Opis pól dowodu zgody

Pole	Typ	Wymagane	Opis
`groupId`	integer	✅ Tak	ID grupy kontaktów w Braxen
`name`	string	✅ Tak	Imię kontaktu (2-100 znaków)
`phoneNumber`	string	⚠️ Email lub telefon	TYLKO +48XXXXXXXXX (9 cyfr)
`hasSmsConsent`	boolean	Nie	Czy kontakt wyraził zgodę SMS (true/false)
`consentDate`	string	✅ Gdy hasSmsConsent=true	Data i czas zgody w formacie ISO 8601 (RODO Art. 7.1) Przykłady: `2024-01-15T14:30:00+01:00` lub `2024-01-15T14:30:00Z`
`consentIp`	string	✅ Gdy hasSmsConsent=true	IP użytkownika - dowód zgody (RODO Art. 7.1) Przykład: `198.51.100.42`
`consentText`	string	✅ Gdy hasSmsConsent=true	Pełna treść klauzuli - co dokładnie użytkownik zaakceptował (max 2000 znaków)

⚖️ WYMÓG RODO Art. 7.1: Administrator musi udowodnić, że osoba, której dane dotyczą, wyraziła zgodę.
Dlatego gdy hasSmsConsent=true, wymagane są 3 pola dowodu zgody:

consentDate - data/czas w formacie ISO 8601 (np. 2024-01-15T14:30:00+01:00)
consentIp - adres IP użytkownika (np. 198.51.100.42)
consentText - pełna treść zgody (co użytkownik zaakceptował)

Przykład odpowiedzi - sukces

{
  "success": true,
  "created": true,
  "message": "Kontakt został utworzony i dodany do grupy",
  "contact": [
    {
      "id": 12345,
      "name": "Jan",
      "lastName": "Kowalski",
      "phoneNumber": "+48123456789",
      "email": "jan@example.com",
      "hasSmsConsent": true,
      "smsConsentDate": "2026-01-13T14:22:10+00:00",
    }
  ]
}

Przykład odpowiedzi - błąd walidacji

{
  "success": false,
  "message": "Gdy hasSmsConsent=true, pole consentIp jest wymagane (RODO Art. 7.1 - dowód zgody)"
}

Scenariusz użycia - SaaS/E-commerce

Twoja aplikacja ma formularz rejestracji z checkbox zgody RODO:

Użytkownik zaznacza checkbox "Zgoda na SMS marketingowe"
Twoja aplikacja zapisuje zgodę w swojej bazie
Natychmiast po zapisie - wysyłasz pełny dowód zgody do Braxen API
Braxen zapisuje wszystkie dane: IP, datę, źródło, pełną treść klauzuli
W razie kontroli UODO - masz kompletny audyt trail w Braxen
Możesz wysyłać kampanie SMS przez Braxen mając pewność pełnej zgodności RODO

Co zapisuje Braxen?

System automatycznie rejestruje pełny audyt trail dla każdej zgody:

✅ Data i czas zgody (consentDate) - z dokładnością do sekundy w formacie ISO 8601
✅ Adres IP (consentIp) - dowód, że zgoda została udzielona z tego urządzenia
✅ Pełna treść klauzuli (consentText) - co dokładnie użytkownik zaakceptował
✅ Historia zmian - wszystkie edycje kontaktu z IP i datami
✅ Wycofania zgody - data, IP, powód wycofania

🛡️ Korzyści "Proof Safe Harbor":

Centralne repozytorium wszystkich zgód RODO z różnych systemów
Pełna dokumentacja wymagana przez UODO podczas kontroli
Automatyczna walidacja zgodności z RODO przed zapisem
Historia wszystkich operacji (zgoda, edycja, wycofanie) z IP i datami
Możliwość eksportu dowodów zgód w formacie JSON/CSV dla audytu

8. Checklist Zgodności RODO

✅ Sprawdź przed uruchomieniem kampanii SMS:

Formularz zgody - checkbox niezaznaczony domyślnie Klauzula RODO - zawiera dane administratora i cel przetwarzania Walidacja numeru - TYLKO polskie numery +48 (system automatycznie blokuje zagraniczne) Rejestr zgód - każdy kontakt w Braxen ma zapisaną zgodę z datą i źródłem Dodawanie kontaktów - przez Grupy kontaktów w panelu, Import CSV lub API Moduł SMS - jest w trakcie wdrażania (Dashboard SMS Consent dostępny w menu) Polityka prywatności - zaktualizowana o SMS marketing i prawo do wycofania zgody Testy - sprawdziłeś czy zgody są prawidłowo zapisywane w systemie

💡 Wskazówka: Stan checklisty jest zapisywany lokalnie w przeglądarce.

Potrzebujesz pomocy?