Oprogramowanie CRM – jak prawidłowo zarządzać danymi klientów i zgodami marketingowymi?

Dla wielu małych i średnich firm arkusze Excela, notatniki i skrzynki mailowe pracowników to wciąż główne miejsce przechowywania wiedzy o klientach. Taki tryb prowadzenia działalności nieuchronnie prowadzi do chaosu informacyjnego i utraty cennych okazji do sprzedaży. Rozwiązaniem tego problemu są nowoczesne systemy do zarządzania relacjami z klientami, znane jako CRM (z ang. Customer Relationship Management).

CRM – wsparcie sprzedaży czy źródło problemów prawnych?

Na pierwszy rzut oka CRM może się wydawać kolejnym skomplikowanym oprogramowaniem, ale w rzeczywistości jest to bardzo przydatna, centralna bazy wiedzy, w której gromadzona jest cała historia relacji z klientem – od pierwszego zapytania po ostatnią fakturę.

Mimo oczywistych korzyści poziom wdrożenia tych systemów w Polsce jest alarmująco niski. Dane wskazują, że zaledwie 2,3% mikroprzedsiębiorstw i 8,7% małych firm aktywnie korzysta z oprogramowania typu CRM^[1]. Taki stan rzeczy może wynikać, m.in. z obawy przed skomplikowanymi wymogami prawnymi.

I jest to obawa uzasadniona. System CRM przetwarza najcenniejszy, ale i najbardziej wrażliwy zasób firmy: dane osobowe klientów. Przechowujemy w nim nie tylko adresy e-mail, ale także historię zakupów, notatki ze spotkań, a czasem nawet numery PESEL czy informacje o preferencjach zakupowych klienta. Niewłaściwa konfiguracja, brak odpowiedniej umowy z dostawcą czy błędne zbieranie zgód marketingowych to prosta droga do naruszenia zarówno unijnego RODO, jak i polskich przepisów, a co za tym idzie – realnego ryzyka nałożenia wysokiej kary pieniężnej i utraty zaufania klientów.

Potencjał biznesowy CRM jest ogromny, ale korzystanie z niego musi iść w parze ze świadomością prawną. Ten artykuł ma na celu praktyczne wyjaśnienie tego, jak zgodnie z prawem wdrożyć i użytkować oprogramowanie CRM.

Czym jest CRM i dlaczego Twoja firma go potrzebuje?

Jak wspomnieliśmy, system CRM to centralna, cyfrowa kartoteka, która gromadzi w jednym miejscu wszystkie informacje oraz całą historię interakcji firmy z jej klientami. Systemu CRM nie należy mylić ze zwykłą książką adresową. Jest to bowiem zintegrowana platforma, która rejestruje każdą interakcję z klientem: od zapytań ofertowych, przez e-maile, rozmowy telefoniczne, notatki ze spotkań, aż po historię zakupów i zgłoszenia serwisowe.

Dla sektora MŚP wdrożenie CRM przekłada się na cztery kluczowe korzyści biznesowe:

1. Centralizacja bazy i ograniczenie chaosu informacyjnego. To najważniejsza funkcja. Zamiast danych rozproszonych w wielu arkuszach Excela, system CRM pozwala zebrać wszystkie informacje o kliencie w jednym, uporządkowanym miejscu.
2. Zarządzanie lejkiem sprzedaży. System pozwala uporządkować i monitorować proces sprzedaży, dzieląc go na konkretne etapy (np. Nowy Lead -> Prezentacja -> Negocjacje -> Umowa). Dział sprzedaży dokładnie wie, jakie zadania ma wykonać, a menedżerowie mogą precyzyjniej monitorować wyniki finansowe.
3. Lepsza obsługa klienta. Gdy pracownik działu obsługi klienta odbiera telefon, od razu widzi w systemie historię poprzednich zgłoszeń i zakupów. Dzięki temu klient nie musi za każdym razem tłumaczyć swojej sprawy od nowa, co oszczędza jego czas i przekłada się na zadowolenie z obsługi.
4. Inteligentna segmentacja. CRM pozwala grupować klientów według różnych kryteriów (np. klienci VIP, klienci zagrożeni odejściem, klienci zainteresowani konkretną usługą). Umożliwia to prowadzenie bardziej spersonalizowanych i skuteczniejszych działań marketingowych.

Większość przedsiębiorców MŚP korzysta dziś z systemów CRM w modelu SaaS (Software as a Service), czyli Oprogramowania jako Usługi. Mówiąc najprościej – jest to model, w którym firma nie kupuje programu na własność, lecz "wynajmuje" do niego dostęp (najczęściej przez przeglądarkę internetową) w formie abonamentu. Zamiast więc kupować drogie licencje i własne serwery, przedsiębiorca płaci miesięczną lub roczną opłatę za korzystanie z gotowego narzędzia. Model ten zdominował rynek MŚP, ponieważ oferuje niski próg wejścia (brak dużych inwestycji początkowych), eliminuje koszty utrzymania infrastruktury IT (to dostawca dba o serwery, bezpieczeństwo i aktualizacje) oraz zapewnia elastyczność – system rośnie wraz z firmą i jest dostępny z dowolnego miejsca, także przez aplikacje mobilne.

Ten model ma jednak fundamentalne znaczenie dla obowiązków prawnych, które omówimy w dalszej części – przedsiębiorca powierza bowiem dane klientów zewnętrznemu dostawcy, co rodzi konkretne obowiązki wynikające z RODO.

Kto odpowiada za dane w CRM?

W momencie, gdy uruchamiasz system CRM i wprowadzasz do niego dane pierwszej osoby, stajesz się - w świetle prawa - Administratorem Danych Osobowych (ADO). Oznacza to, że to Ty, jako przedsiębiorca, decydujesz o celach i sposobach przetwarzania danych (np. "po co zbieram te dane?" i "co z nimi robię?"), i to Ty ponosisz pełną odpowiedzialność za zgodność tego procesu z prawem.

Dostawca oprogramowania CRM, szczególnie w popularnym modelu SaaS, działa natomiast jako Podmiot przetwarzający (Procesor). Przetwarza on dane (czyli w praktyce głównie przechowuje je na swoich serwerach) wyłącznie w Twoim imieniu i na Twoje polecenie. Zrozumienie tego podziału ról jest kluczowe, ponieważ RODO nakłada na Ciebie, jako Administratora, trzy fundamentalne obowiązki.

Obowiązek nr 1: Podstawa prawna (Art. 6 RODO)

Pierwszym i fundamentalnym obowiązkiem Administratora Danych (czyli Twojej firmy) jest zapewnienie legalności przetwarzania. Mówiąc wprost: nie wolno wprowadzić do systemu danych żadnego klienta, jeśli nie masz ku temu wyraźnej podstawy prawnej. Każdy wpis w CRM musi mieć swoje solidne oparcie w przepisach. Art. 6 RODO przedstawia zamknięty katalog takich podstaw, a w kontekście zarządzania relacjami z klientem, najważniejsze są:

• Dla aktywnego klienta: Umowa (art. 6 ust. 1 lit. b)

Jeśli klient coś od Ciebie kupuje, podstawą przetwarzania jego danych (jak imię, nazwisko, adres, NIP) jest konieczność wykonania umowy lub podjęcia działań przed jej zawarciem. Dotyczy to wszystkich operacji niezbędnych do realizacji zamówienia, wystawienia faktury czy obsługi posprzedażowej. Warto w tym miejscu dodać, że podstawa ta dotyczy wyłącznie tych danych, które są obiektywnie niezbędne do wykonania tej konkretnej umowy.

• Dla potencjalnego klienta (leada): Prawnie Uzasadniony Interes (art. 6 ust. 1 lit. f)

A co z marketingiem i budowaniem bazy potencjalnych klientów? Tutaj RODO również oferuje odpowiednią podstawę: Prawnie Uzasadniony Interes (PUI). Sam Motyw 47 RODO wprost wskazuje, że marketing bezpośredni może być uznany za taki uzasadniony interes. Oznacza to, że wolno Ci przetwarzać dane potencjalnego klienta w CRM (np. jego adres e-mail z publicznie dostępnej strony czy wizytówki), aby nawiązać relację i przedstawiać mu oferty dopasowane do jego profilu działalności. Tu jednak pojawia się kluczowy obowiązek. Powołanie się na PUI nie jest automatyczne i nie daje "prawa do wszystkiego". Musisz być w stanie udowodnić (np. podczas kontroli), że Twój interes (prowadzenie marketingu) w konkretnej sytuacji nie narusza w sposób znaczący praw i interesów tej osoby. Służy do tego tzw. Test Równowagi – jest to wewnętrzny dokument, w którym musisz przeanalizować i wykazać, dlaczego Twój interes jest w tym wypadku nadrzędny (np. „kontaktuję się z osobą w sprawach zawodowych, w zakresie jej obowiązków, a ona może się tego spodziewać i ma łatwą możliwość rezygnacji”).

• Dla działań dodatkowych: Zgoda klienta (art. 6 ust. 1 lit. a)

Jeśli Twoje działania wykraczają poza realizację umowy i typowy marketing (PUI) – na przykład chcesz udostępnić dane klienta partnerowi biznesowemu albo przetwarzasz dane wrażliwe - musisz uzyskać dobrowolną, konkretną, świadomą i jednoznaczną zgodę swojego klienta.

Obowiązek nr 2: Umowa powierzenia (Art. 28 RODO)

Ten obowiązek jest absolutnie kluczowy w modelu SaaS. Skoro dane Twoich klientów opuszczają Twoją firmę i trafiają na serwery dostawcy CRM (Procesora), RODO nakłada na Ciebie kategoryczny obowiązek sformalizowania tej relacji.

Drugim kluczowym obowiązkiem jest formalne uregulowanie relacji z dostawcą CRM. Art. 28 RODO stawia sprawę jasno: zawarcie z dostawcą pisemnej (także w formie elektronicznej) Umowy powierzenia przetwarzania danych (ang. Data Processing Agreement, DPA) jest Twoim absolutnym obowiązkiem. Nie jest to jedynie "dobra praktyka", lecz fundamentalny wymóg prawny, którego brak jest jednym z najczęściej karanych przez Prezesa UODO naruszeń. Taka umowa precyzyjnie reguluje, w jakim zakresie Procesor (dostawca CRM) może przetwarzać dane Twoich klientów, jakich konkretnych środków bezpieczeństwa musi używać oraz jakie ma szczegółowe obowiązki (np. jak ma pomagać w realizacji praw osób, których dane dotyczą).

Aby zobrazować powagę tego obowiązku posłużę się przykładem. W 2022 roku Prezes UODO ukarał Sułkowicki Ośrodek Kultury, m.in. za całkowity brak umowy powierzenia z firmą informatyczną, która zarządzała danymi^[2]. Skutek? Administrator nie tylko naruszył prawo, ale w praktyce utracił kontrolę i dostęp do danych swoich pracowników, których dotyczyło naruszenie. Brak DPA to jedno z najpoważniejszych i najłatwiejszych do wykrycia przez organ nadzorczy uchybień.

Obowiązek nr 3: Bezpieczeństwo danych (Art. 32 RODO)

Podpisanie umowy DPA to dopiero początek. Twoim obowiązkiem jako Administratora jest nie tylko jej zawarcie, ale także weryfikacja, czy Twój Procesor (dostawca CRM) faktycznie zapewnia wystarczające gwarancje bezpieczeństwa (zgodnie z art. 28 ust. 1 RODO).

Jeśli dojdzie do wycieku danych z winy Twojego dostawcy, UODO zapuka najpierw do Twoich drzwi. Zapyta nie tylko "czy miałeś umowę?", ale także "co zrobiłeś, aby zweryfikować tego dostawcę?".

Pokazuje to głośna sprawa Fortum Marketing and Sales Polska z 2022 roku. Doszło do wycieku danych z systemów firmy informatycznej (Procesora). Prezes UODO nałożył jednak gigantyczną karę (prawie 5 mln zł) na Administratora (Fortum), zarzucając mu, m.in. właśnie brak odpowiedniej weryfikacji i nadzoru nad podmiotem przetwarzającym^[3]. Wybór najtańszego lub najpopularniejszego dostawcy CRM bez sprawdzenia jego standardów bezpieczeństwa (np. certyfikatów ISO, procedur zarządzania incydentami) to działanie na własne ryzyko.

Pułapka marketingu: Dlaczego RODO to nie wszystko?

W tym miejscu dochodzimy do prawdopodobnie najczęstszego i najbardziej kosztownego błędu popełnianego przez polskich przedsiębiorców. Panuje powszechne, lecz błędne przekonanie, że skoro RODO w ramach Prawnie uzasadnionego interesu (PUI) pozwala przetwarzać dane potencjalnego klienta w celu marketingu bezpośredniego, to automatycznie daje to prawo do wysyłania mu ofert handlowych e-mailem lub SMS-em. Należy to bardzo mocno podkreślić: posiadanie podstawy z RODO (np. PUI) do przetwarzania danych jest kwestią całkowicie niezależną od obowiązku uzyskania odrębnej zgody na samą komunikację marketingową. Tego drugiego wymogu nie znajdziemy już w RODO, lecz w polskich ustawach sektorowych.

W polskim porządku prawnym mamy do czynienia z dychotomią dwóch niezależnych reżimów prawnych, które działają równolegle:

1. RODO (Ogólne Rozporządzenie o Ochronie Danych): Reguluje zasady samego przetwarzania danych osobowych. Mówi, czy w ogóle wolno Ci zapisać dane Pana Jana Kowalskiego w swoim systemie CRM (np. na podstawie PUI).
2. Prawo Komunikacji Elektronicznej (PKE): Ta nowa ustawa przejęła od Ustawy o świadczeniu usług drogą elektroniczna (UŚUDE) rolę regulowania wyłącznie zasad samej komunikacji marketingowej (e-mail, SMS) i wprowadza ogólny zakaz przesyłania spamu.

Problem polega na tym, że na wysłanie e-maila marketingowego potrzebujesz dwóch różnych podstaw prawnych: zgody na przetwarzanie danych z RODO (lub PUI) oraz odrębnej zgody na samą wysyłkę wynikającej właśnie z Prawa Komunikacji Elektronicznej. Przepisy te mówią jasno: na wysyłanie "niezamówionej informacji handlowej" musisz mieć odrębną, uprzednią zgodę odbiorcy (tzw. model opt-in).

Jak legalnie połączyć RODO z PKE?

Najczęściej rekomendowanym modelem prowadzenia marketingu w Polsce jest tzw. model hybrydowy (należy jednak pamiętać, że ostateczny wybór podstaw prawnych dla komunikacji zawsze zależy od konkretnego modelu biznesowego firmy, np. specyfiki branży B2C lub B2B). Polega on na rozdzieleniu podstaw prawnych:

1. Warstwa RODO (Przechowywanie danych): Dane leada w CRM (imię, nazwisko, firma, e-mail) przechowuje się na podstawie, np. Prawnie Uzasadnionego Interesu administratora (art. 6 ust. 1 lit. f RODO), co należy potwierdzić wewnętrznym Testem Równowagi (LIA).
2. Warstwa PKE (Wysyłka komunikacji): Sama wysyłka e-maila lub SMS-a marketingowego jest możliwa dopiero po zebraniu od tej osoby wyraźnej i odrębnej zgody na otrzymywanie informacji handlowych danym kanałem (zgodnie przepisami Prawa Komunikacji Elektronicznej).

Podsumowując ten kluczowy problem: o ile samo RODO dopuszcza marketing bezpośredni na podstawie PUI, o tyle polskie przepisy sektorowe (głównie Prawo Komunikacji Elektronicznej) są w tym zakresie znacznie bardziej rygorystyczne. W praktyce uniemożliwiają one marketing e-mailowy lub SMS-owy bez uzyskania odrębnej, wyraźnej zgody właśnie na tę formę komunikacji.

Ryzyko związane z brakiem weryfikacji takich zgód jest realne. W głośnej sprawie francuski organ nadzorczy (CNIL) nałożył karę 900 000 EUR na firmę SOLOCAL. Firma ta była brokerem danych i prowadziła kampanie marketingowe, m.in. z kupionych baz. CNIL ukarał ją nie tylko za wadliwe formularze zgody, ale także za to, że nie była w stanie udowodnić posiadania ważnej zgody od osób, do których kierowała marketing. To administrator (w tym przypadku SOLOCAL) ponosił pełną odpowiedzialność za weryfikację, czy zgody zebrane przez jego partnerów były legalne^[4].

Profilowanie i transfer danych – dwa kluczowe ryzyka prawne

Poza fundamentalnymi obowiązkami (jak np. zapewnienie umowy powierzenia), nowoczesne systemy CRM wiążą się z dwoma mniej oczywistymi, ale poważnymi ryzykami prawnymi. Dotyczą one zaawansowanych funkcji automatyzacji oraz lokalizacji geograficznej dostawcy oprogramowania.

Ryzyko 1: Profilowanie i Automatyzacja Marketingu ("Lead Scoring")

Nowoczesny CRM to nie tylko baza danych, ale też narzędzie do automatyzacji. Jedną z popularnych funkcji jest "lead scoring", czyli automatyczne przyznawanie punktów potencjalnym klientom (leadom) na podstawie ich zachowań (np. +10 pkt za wizytę na stronie cennika, +5 pkt za otwarcie e-maila). Tu pojawia się kluczowe rozróżnienie prawne:

• "Profilowanie zwykłe" (Wsparcie Działu Sprzedaży)
  Mówimy o nim wtedy, gdy system CRM jedynie wspiera pracownika w podejmowaniu decyzji, ale jej za niego nie podejmuje. Przykład: System analizuje aktywność klientów i automatycznie tworzy dla handlowca listę kontaktów ("scoring"), sugerując: "Tymi trzema osobami warto zająć się w pierwszej kolejności, bo mają najwięcej punktów". Ostateczna decyzja o tym, czy, kiedy i z jaką ofertą zadzwonić, należy jednak w całości do człowieka. Takie działanie, stanowiące jedynie wsparcie sprzedaży, jest zazwyczaj legalne i można je oprzeć na Prawnie Uzasadnionym Interesie (PUI) firmy.
• "Profilowanie kwalifikowane" (Ryzyko Art. 22 RODO)
  Ryzyko pojawia się, gdy nadajemy systemowi pełną autonomię decyzyjną. Wyobraźmy sobie regułę: "JEŻELI potencjalny klient uzyskał < 40 punktów, WTEDY automatycznie odrzuć jego zapytanie i nie przekazuj go do działu sprzedaży" LUB "JEŻELI potencjalny klient jest z lokalizacji X, WTEDY automatycznie zaoferuj mu cenę o 15% wyższą".

W tym momencie wchodzimy w reżim art. 22 RODO, który dotyczy wyłącznie zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę, której te dane dotyczą. Automatyczne odrzucenie zapytania, zablokowanie dostępu do usługi lub zróżnicowanie cenowe bez interwencji człowieka jest takim "istotnym wpływem".

RODO co do zasady zakazuje podejmowania takich decyzji, chyba że administrator uzyskał na to wyraźną, odrębną zgodę danej osoby lub jest to niezbędne do wykonania umowy. Korzystanie z zaawansowanych automatyzacji wymaga więc głębokiej analizy, czy system tylko wspiera pracownika, czy już go zastępuje w podejmowaniu istotnych decyzji.

Ryzyko 2: Transfer danych do USA (Problem "Schrems II")

Wielu z najlepszych i najpopularniejszych dostawców CRM na świecie (np. Salesforce, HubSpot, Microsoft Dynamics 365) to firmy amerykańskie. Korzystając z ich usług chmurowych dane Twoich polskich klientów mogą być fizycznie przesyłane i przechowywane na serwerach w Stanach Zjednoczonych. Z perspektywy RODO jest to transfer danych do państwa trzeciego.

W 2020 roku Trybunał Sprawiedliwości UE w głośnym wyroku "Schrems II" unieważnił poprzednią umowę regulującą transfer danych do USA (tzw. Tarczę Prywatności). Trybunał uznał, że amerykańskie przepisy o nadzorze (np. dające służbom wywiadowczym szeroki dostęp do danych) nie zapewniają Europejczykom wystarczającej ochrony.

Od tego czasu polski przedsiębiorca, który chce legalnie korzystać z amerykańskiego CRM, musi wybrać jedną z dwóch ścieżek:

• Ścieżka prosta i ryzykowna: Data Privacy Framework (DPF)
  W 2023 roku UE i USA wynegocjowały porozumienie Ramy Ochrony Danych UE-USA (DPF). Działa ono jak "decyzja o adekwatności"; jeśli amerykański dostawca CRM jest na liście DPF, możesz (teoretycznie) przesyłać mu dane tak, jakby był w Europie.

Ale uwaga: Traktowanie DPF jako stabilnej podstawy transferu jest bardzo ryzykowne. Decyzja Komisji Europejskiej o zatwierdzeniu DPF została zaskarżona do Trybunału Sprawiedliwości UE, a Europejska Rada Ochrony Danych (EROD) wyraziła poważne wątpliwości, czy DPF realnie chroni dane Europejczyków przed dostępem amerykańskich służb. Poleganie wyłącznie na DPF grozi tym, że z dnia na dzień (po ewentualnym wyroku unieważniającym) transfer danych stanie się nielegalny.

Twój obowiązek: Sprawdź, czy dostawca jest na liście DPF (na stronie https://www.dataprivacyframework.gov/list), ale traktuj to jako środek tymczasowy, a nie docelowe rozwiązanie.

• Ścieżka wymagająca: Standardowe Klauzule Umowne (SCC)

To obecnie najbezpieczniejszy i najbardziej stabilny mechanizm transferu danych do USA. Polega on na podpisaniu z dostawcą specjalnego wzoru umowy (SCC) zatwierdzonego przez Komisję Europejską.

Ważne: Samo podpisanie SCC to za mało. Wyrok "Schrems II" nałożył na Ciebie (jako Administratora Danych Osobowych) dodatkowy obowiązek przeprowadzenia Oceny Skutków Transferu (TIA). Jest to wewnętrzna analiza, w której musisz ocenić ryzyko (czy prawo USA nadal zagraża danym?) i udokumentować, jakie dodatkowe środki (np. silne szyfrowanie po stronie klienta, pseudonimizacja) zastosowałeś, aby to ryzyko zminimalizować.

Checklista wdrożenia CRM zgodnie z prawem

Wdrożenie systemu CRM to ważna decyzja, która oprócz korzyści biznesowych, niesie ze sobą konkretne obowiązki prawne. Zanim Twoja firma w pełni zacznie pracę na nowym systemie, warto odpowiedzieć sobie na 8 kluczowych pytań. Poniższa checklista pomoże uniknąć najpoważniejszych i najbardziej kosztownych pułapek.

1. Czy wiem, po co wdrażam CRM?
   Czy przed wyborem systemu zdefiniowałem konkretne cele biznesowe (np. uporządkowanie bazy, skrócenie procesu sprzedaży), które chcę osiągnąć?
2. Czy rozumiem swoją rolę?
   Czy jestem świadomy, że to ja, jako przedsiębiorca, jestem Administratorem Danych (ADO) i ponoszę pełną odpowiedzialność, a mój dostawca CRM w modelu SaaS jest tylko Procesorem?
3. Czy mam podpisaną umowę DPA?
   Czy zawarłem z dostawcą CRM pisemną Umowę Powierzenia Przetwarzania Danych (DPA) zgodną z wymogami art. 28 RODO? (Pamiętaj o przykładzie Sułkowickiego Ośrodka Kultury).
4. Czy zweryfikowałem dostawcę?
   Czy sprawdziłem standardy bezpieczeństwa mojego dostawcy, aby uniknąć odpowiedzialności za brak nadzoru? (Pamiętaj o przykładzie Fortum).
5. Czy wiem, na jakiej podstawie przetwarzam dane?
   Czy potrafię wskazać podstawę prawną z art. 6 RODO dla każdego rekordu w bazie (np. Umowa dla klienta, PUI dla leada)?
6. Czy odróżniam "przetwarzanie" od "wysyłania"?
   Czy rozumiem, że Prawnie Uzasadniony Interes (PUI) z RODO nie daje mi prawa do wysyłania e-maili i SMS-ów marketingowych? Czy zbieram odrębne, wyraźne zgody na komunikację zgodne z PKE? (Pamiętaj o przykładzie SOLOCAL).
7. Czy wiem, gdzie są moje dane?
   Czy sprawdziłem gdzie fizycznie przechowywane są dane moich klientów? Jeśli poza EOG (np. w USA), to czy wdrożyłem skuteczny mechanizm transferu - najlepiej Standardowe Klauzule Umowne (SCC) wraz z Oceną Skutków Transferu (TIA), lub czy mój dostawca jest na liście Data Privacy Framework (DPF)?
8. Czy mój CRM pozwala na realizację praw klientów?
   Czy mój system jest skonfigurowany tak, aby umożliwić mi szybką realizację żądań moich klientów (np. natychmiastowe wycofanie zgody marketingowej, obsługę prawa do bycia zapomnianym)?

Mateusz Świtalski

radca prawny, założyciel kancelarii SWITALSKI.LAW. Partner prawny dla biznesu w obszarze nowych technologii. Specjalizuje się w kompleksowej obsłudze regulacyjnej sektora FinTech, ze szczególnym uwzględnieniem rynku kryptoaktywów. Doradza m.in. w zakresie dostosowania do wymogów MiCA, DORA oraz AML. Posiada również bogate doświadczenie we wdrażaniu i audytowaniu systemów ochrony danych osobowych (RODO) w organizacjach.

---

^[1] Na podstawie: Raport Banku Gospodarzenia Krajowego "Cyfryzacja w sektorze MŚP – szanse i ograniczenia" (https://www.bgk.pl/files/public/Raporty/Raport_cyfryzacja_BGK.pdf, dostęp: 03.11.2025 r.)

^[2] https://uodo.gov.pl/decyzje/DKN.5131.29.2022 (dostęp: 30.10.2025)

^[3] https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020 (dostęp: 30.10.2025)

^[4] https://odoserwis.pl/a/2323/900-tysiecy-euro-kary-dla-solocal-za-brak-waznej-zgody-na-dzialania-marketingowe (dostęp: 30.10.2025)