Cold mail a RODO i ustawa anty-spamowa — co musisz wiedzieć [2026]

Cold mail B2B w Polsce to gra prawnie szara, ale dobrze zdefiniowana. Ten artykuł pokazuje co jest legalne, co wymaga zgody, jakie elementy musi mieć każdy mail, oraz co realnie grozi za naruszenia. Bez prawniczego żargonu — konkrety i przykłady z polskiego rynku.

M
Mateusz Pakuła · CEO Elsii sp. z o.o.
·2 maja 2026·9 min czytania
Cold mail a RODO i ustawa anty-spamowa Polska 2026
TL;DR
Cold mail B2B do firm jest legalny w Polsce. Art. 10 UŚUDE nie wymaga zgody dla osób prawnych. Wymagania: dane nadawcy + link rezygnacji + jasny temat. Cold mail do osób fizycznych jest niezgodny z prawem bez wcześniejszej zgody. Adresy typu biuro@/kontakt@/info@ są bezpieczne, [email protected] są w szarej strefie.

Trzy regulacje, które trzeba znać

W Polsce cold mail jest regulowany przez 3 ustawy:

  1. Ustawa o świadczeniu usług drogą elektroniczną (UŚUDE) z 2002 r., art. 10 — zakaz niezamówionej informacji handlowej do osób fizycznych;
  2. Prawo telekomunikacyjne, art. 172 — wymóg zgody na komunikację marketingową do indywidualnych końcowych użytkowników;
  3. RODO (Rozporządzenie 2016/679) — przetwarzanie danych osobowych, podstawy prawne, obowiązki administratora.

Art. 10 UŚUDE — najważniejsza dla cold mail

„Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej..."

Kluczowe słowa: „osobą fizyczną". Firmy (osoby prawne — sp. z o.o., spółki cywilne, akcyjne, fundacje, stowarzyszenia, JDG dla celów zawodowych) nie podlegają temu zakazowi.

Co to znaczy w praktyce

Legalne (cold mail B2B do firm):

Nielegalne bez zgody (osoby fizyczne):

Szara strefa (zalecam ostrożność):

W szarej strefie najbezpieczniej:

  1. kontaktować adresy ogólne firmy zamiast imiennych;
  2. jeśli imienny — temat MUSI informować o handlowym charakterze;
  3. treść kierowana do firmy (nie „Cześć Janek" tylko „Dzień dobry, w sprawie współpracy z Państwa firmą");
  4. link rezygnacji w stopce.

Art. 172 prawa telekomunikacyjnego

Wymaga zgody na komunikację marketingową kierowaną do indywidualnych końcowych użytkowników telekomunikacji. To jest niezależnie od UŚUDE.

Adresy ogólne firm (biuro@, kontakt@) nie podlegają temu wymogowi — to nie są „indywidualni użytkownicy", tylko punkty kontaktowe firmy. Adresy imienne firmowe są w szarej strefie.

W praktyce: art. 172 jest egzekwowany prawie wyłącznie wobec sms-owej komunikacji masowej i robocallów. Cold mail B2B nie jest typowym celem.

RODO — przetwarzanie danych osobowych

Cold mail przetwarza dane osobowe (imię i nazwisko, mail, telefon, adres firmy). Zgodnie z RODO musisz mieć podstawę prawną.

Podstawa prawna: uzasadniony interes

Art. 6 ust. 1 lit. f RODO pozwala na przetwarzanie danych na podstawie uzasadnionego interesu administratora, o ile nie przeważają prawa i wolności osoby. W przypadku cold mail B2B:

  • Uzasadniony interes: kontaktowanie potencjalnych klientów B2B w sprawie usług/produktów;
  • Test proporcjonalności: dane pobrane z publicznych źródeł (CEIDG, KRS, strony WWW), użyte do kontaktu zgodnie z oczekiwaniami właściciela firmy, możliwość rezygnacji jednym kliknięciem;
  • Brak naruszenia praw: kontakt B2B w sprawie usług jest standardową praktyką gospodarczą.

Obowiązki administratora danych

  1. Klauzula informacyjna — przy pierwszym kontakcie poinformuj odbiorcę kim jesteś, jaką masz podstawę prawną, jak długo przechowujesz dane, jakie ma prawa;
  2. Prawo do usunięcia — link rezygnacji w mailu musi działać natychmiast, dane usunięte w ciągu 30 dni;
  3. Prawo do informacji — odbiorca może zapytać skąd masz jego dane, musisz odpowiedzieć w ciągu 30 dni;
  4. Rejestr czynności przetwarzania (RCPD) — udokumentowany proces;
  5. Bezpieczeństwo danych — szyfrowanie, kontrola dostępu;
  6. Powiadamianie o naruszeniach — w ciągu 72h do UODO jeśli dane wyciekły.

Co musi zawierać każdy cold mail

Minimum compliance dla polskiego cold mailingu B2B:

  1. Subject z handlowym charakterem — np. „Współpraca w sprawie X", „Pytanie o ofertę". Nie „Cześć!" ani „Pilne!" ani „WAŻNE";
  2. Treść z konkretną propozycją — co oferujesz, dla kogo, jak działa;
  3. Stopka z danymi nadawcy:
    • nazwa firmy (np. „Elsii sp. z o.o.");
    • NIP („NIP 7831811058");
    • adres siedziby;
    • telefon i mail kontaktowy;
  4. Link do rezygnacji — jeden klik, bez logowania, natychmiastowe wyłączenie;
  5. (Opcjonalnie) Klauzula informacyjna RODO — kim jesteś, podstawa prawna, prawa.

Co grozi za naruszenia

UODO (RODO)

Maksymalne kary: 20 mln EUR lub 4% rocznych obrotów (wyższa). W praktyce dla MSP kary 10-100k PLN za poważne naruszenia, ostrzeżenia za mniejsze.

UOKiK (czyny nieuczciwej konkurencji)

Maksymalne kary: 10% rocznych obrotów. Stosowane głównie wobec dużych spamerów, nie cold mail B2B.

Skargi w 2024 roku

  • UODO otrzymał ok. 50 skarg/rok związanych z cold mailingiem;
  • Większość dotyczy: brak linka rezygnacji, kontynuacja po rezygnacji, wysyłka do osób fizycznych;
  • Większość kończy się ostrzeżeniami i poleceniami zaprzestania;
  • Realne kary administracyjne za cold mail B2B: 2-5 przypadków rocznie (głównie nadużycia masowe).

Reputacja domeny

Większe ryzyko niż formalne kary: blokada domeny przez Gmail/Outlook za masowe wysyłki bez compliance. Domena jest „spalona" i trudno odbudować.

Praktyczne zalecenia dla polskiego cold mail B2B

  1. Wybierz adresy ogólne firmowe (biuro@, kontakt@, info@) — szara strefa minimalna;
  2. Zawsze dodawaj link rezygnacji jednym klikiem;
  3. Reaguj na rezygnacje natychmiast — globalna blacklista;
  4. Trzymaj logi wysyłek 12 mies. (do udowodnienia compliance);
  5. Nie kupuj baz — większość naruszeń RODO zaczyna się od kupowanej bazy;
  6. Skanuj na żywo z publicznych źródeł (Google Maps, strony WWW, CEIDG);
  7. Nie wysyłaj do gmail.com/wp.pl/onet.pl jako adres — to są osobiste konta;
  8. Subject ma jasno informować o handlowym charakterze;
  9. Stopka z pełnymi danymi firmy w każdym mailu;
  10. Klauzula informacyjna przynajmniej w pierwszym mailu (link „Jakie dane mam o Tobie?").

Jak Hermesmail to robi

Hermesmail jest zgodny ze wszystkimi powyższymi wymogami domyślnie — nic nie musisz konfigurować:

  • Skanuje wyłącznie publiczne źródła (Google Maps, strony WWW firm);
  • Każdy mail ma stopkę z danymi firmy klienta + link rezygnacji;
  • Filtruje adresy gmail.com/wp.pl/onet.pl/o2.pl jako osobiste (blacklist domyślny);
  • Subject generowany przez AI z jasnym handlowym charakterem;
  • Globalna blacklista po rezygnacji — żaden klient Hermesmail nie wyśle do tego adresu;
  • Logi wysyłek przechowywane 12 mies. dla compliance;
  • Klauzula RODO dostępna jako link w stopce.

Cold mail zgodny z prawem out of the box

Hermesmail respektuje RODO i UŚUDE domyślnie. Bez konfiguracji.

Wypróbuj Hermesmail za darmo →
M
Mateusz Pakuła
CEO Elsii sp. z o.o.
Powyższa treść nie stanowi porady prawnej. Konsultuj się z prawnikiem ds. ochrony danych przy ustalaniu szczegółowej procedury.
Kontakt: [email protected].
Powiązane artykuły
Cold mail B2B w 2026 — przewodnik Czy Hermesmail jest zgodny z RODO? Lemlist vs Hermesmail vs Apollo