Jeśli wysyłasz pocztę komercyjną, trzy ustawy wyznaczają minimalny standard tego, co jest zgodne z prawem: CAN-SPAM w Stanach Zjednoczonych, GDPR (wraz z przepisami ePrivacy) w Unii Europejskiej oraz CASL w Kanadzie. Różnią się w najważniejszej kwestii, czyli tego, czy potrzebujesz zgody przed wysyłką, ale zbiegają się we wspólnym rdzeniu: uczciwie się przedstaw, daj ludziom działający sposób na rezygnację i szybko realizuj takie prośby. Ten przewodnik wyjaśnia każdą z ustaw prostym językiem, opisuje kary za błędy i pokazuje, dlaczego te same praktyki, które utrzymują Cię w zgodzie z prawem, chronią Cię też przed folderem ze spamem.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
To praktyczny przegląd dla nadawców, a nie porada prawna. Egzekwowanie przepisów zależy od Twojej jurysdykcji, od Twoich odbiorców i od specyfiki Twojego programu wysyłkowego, dlatego traktuj poniższe treści jako mapę i skonsultuj się z wykwalifikowanym prawnikiem, zanim podejmiesz decyzje niosące realne ryzyko.
Trzy ustawy w pigułce
Najszybszym sposobem na zrozumienie swoich obowiązków jest zobaczenie, w czym ustawy się zgadzają, a gdzie się rozchodzą. Największa różnica dotyczy modelu zgody: CAN-SPAM działa na zasadzie opt-out (możesz najpierw wysłać e-mail, a potem przestać na żądanie), podczas gdy GDPR i CASL działają na zasadzie opt-in (zazwyczaj potrzebujesz zgody przed pierwszą wiadomością).
| Wymiar | CAN-SPAM (USA) | GDPR + ePrivacy (UE) | CASL (Kanada) |
|---|---|---|---|
| Model zgody | Opt-out | Opt-in (zgoda) | Opt-in (wyraźna lub domniemana) |
| Zakres | Wiadomości komercyjne | Dane osobowe mieszkańców UE | Komercyjne wiadomości elektroniczne |
| Wymagana identyfikacja nadawcy | Tak | Tak | Tak |
| Wymagana rezygnacja z subskrypcji | Tak | Tak | Tak |
| Fizyczny adres pocztowy | Tak | Niewymagany przez GDPR | Tak |
| Maksymalna kara | Do 53 088 USD za e-mail | Do 20 mln EUR lub 4% globalnego obrotu | Do 10 mln CAD za naruszenie |
CAN-SPAM: amerykański standard opt-out
CAN-SPAM dotyczy poczty komercyjnej wysyłanej do odbiorców w USA. Nie wymaga wcześniejszej zgody, dlatego często nazywa się ją ustawą opt-out, ale ustanawia twarde zasady tego, jak wysyłasz i jak pozwalasz ludziom zrezygnować. Egzekwuje ją Federalna Komisja Handlu (FTC), a kary sięgają 53 088 USD za pojedynczy e-mail zgodnie z korektą inflacyjną, która weszła w życie w styczniu 2025 roku. Ta kwota liczy się za wiadomość, a nie za kampanię, więc jedna niezgodna z prawem wysyłka do dużej listy oznacza poważne ryzyko finansowe.
Podstawowe obowiązki są proste:
- Nie używaj fałszywych ani wprowadzających w błąd informacji w nagłówkach. Pola
From,Tooraz dane routingu, w tym domena nadawcza, muszą dokładnie identyfikować nadawcę. - Nie stosuj zwodniczych tematów wiadomości. Temat musi odzwierciedlać treść wiadomości.
- Oznacz wiadomość jako reklamę, jeśli nią jest. Ustawa pozostawia swobodę co do sposobu, ale ujawnienie musi być jasne.
- Podaj ważny fizyczny adres pocztowy. Kwalifikuje się aktualny adres ulicy, zarejestrowana skrytka pocztowa lub adres komercyjnej agencji odbioru poczty (CMRA).
- Zapewnij czytelny mechanizm rezygnacji i realizuj prośby w ciągu 10 dni roboczych. Nie możesz pobierać opłaty, wymagać żadnych informacji poza adresem e-mail ani zmuszać odbiorcy do wykonania więcej niż jednego prostego kroku.
CAN-SPAM traktuje pocztę transakcyjną łagodnie: wiadomości czysto transakcyjne lub relacyjne są w dużej mierze zwolnione z zasad dotyczących treści, ale nadal nie mogą zawierać fałszywych informacji w nagłówkach.
GDPR: unijny standard zgody
GDPR reguluje przetwarzanie danych osobowych osób przebywających w UE, a adres e-mail powiązany z osobą jest daną osobową. W przypadku poczty marketingowej GDPR działa wspólnie z dyrektywą ePrivacy (wdrażaną na poziomie krajowym, na przykład jako PECR w Wielkiej Brytanii), która wprost odnosi się do marketingu elektronicznego. Praktycznym efektem jest reżim, w którym zgoda jest na pierwszym miejscu.
Zgodnie z GDPR zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, wyrażona poprzez wyraźne działanie potwierdzające. Wstępnie zaznaczone pola, milczenie czy bierność się nie liczą. Potrzebujesz podstawy prawnej do przetwarzania danych, a w przypadku marketingu na zimno tą podstawą jest niemal zawsze zgoda. W niektórych państwach członkowskich istnieje wąskie złagodzenie dla relacji business-to-business oraz ograniczony soft opt-in dla istniejących klientów w ramach ePrivacy, ale bezpieczne domyślne założenie brzmi: brak zgody, brak wysyłki.
GDPR przyznaje też osobom, których dane dotyczą, prawa bezpośrednio wpływające na Twój program pocztowy. Ludzie mogą pytać, jakie dane przechowujesz, żądać ich usunięcia i wycofać zgodę w dowolnym momencie, a wycofanie zgody musi być tak samo łatwe jak jej udzielenie. Musisz prowadzić rejestry potwierdzające, że zgoda została uzyskana.
Kary są wielopoziomowe. Najpoważniejsze naruszenia, w tym niezgodne z prawem przetwarzanie i braki w zakresie zgody, mogą sięgnąć 20 milionów EUR lub 4% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Mniej poważne uchybienia administracyjne są ograniczone do 10 milionów EUR lub 2%. Organy regulacyjne ważą charakter, wagę i czas trwania naruszenia, to, czy było ono niedbałe czy umyślne, oraz liczbę osób, których dotyczyło.
CASL: kanadyjski standard zgody
CASL dotyczy komercyjnych wiadomości elektronicznych wysyłanych do odbiorców w Kanadzie i jest jednym z najbardziej rygorystycznych obowiązujących reżimów. Podobnie jak GDPR działa na zasadzie opt-in, ale rozpoznaje dwa rodzaje zgody.
- Zgoda wyraźna to potwierdzające opt-in, ustne lub pisemne, bez wstępnie zaznaczonych pól. Nie wygasa; trwa do momentu, aż odbiorca ją wycofa.
- Zgoda domniemana wynika z relacji, najczęściej z istniejącej relacji biznesowej, takiej jak zakup, najem lub umowa w ciągu ostatnich dwóch lat, albo z zapytania w ciągu ostatnich sześciu miesięcy. Zgoda domniemana jest ograniczona czasowo i musisz umieć ją udowodnić.
Każda wiadomość komercyjna musi identyfikować nadawcę, zawierać ważne dane kontaktowe, które pozostają aktywne przez co najmniej 60 dni po wysyłce, oraz obejmować działający mechanizm rezygnacji, który realizujesz w ciągu 10 dni roboczych. Ciężar udowodnienia zgody zawsze spoczywa na nadawcy, dlatego zapisuj, kiedy i w jaki sposób każdy kontakt wyraził zgodę.
Kary są surowe: do 1 miliona CAD za naruszenie w przypadku osoby fizycznej i do 10 milionów CAD za naruszenie w przypadku organizacji. Członkowie zarządu i dyrektorzy mogą ponosić odpowiedzialność osobistą, a CASL przewiduje też prywatne prawo do powództwa, które pozwala odbiorcom dochodzić odszkodowań ustawowych.
Gdzie zgodność z prawem spotyka się z dostarczalnością
Przepisy o zgodności i zasady dostawców skrzynek pocztowych zostały napisane przez różnych ludzi z różnych powodów, ale pchają w tym samym kierunku. Wymagania dla masowych nadawców od Google, Yahoo i Microsoftu, które weszły w życie w 2024 roku, czytają się jak techniczne powtórzenie powyższych zasad prawnych, a spełnienie jednego pomaga spełnić drugie.
- Rezygnacja z subskrypcji. CAN-SPAM, GDPR i CASL wymagają łatwej rezygnacji. Gmail i Yahoo wymagają teraz od masowych nadawców (mniej więcej 5000 wiadomości dziennie lub więcej do Gmaila) obsługi rezygnacji jednym kliknięciem za pomocą nagłówków
List-UnsubscribeiList-Unsubscribe-Postopisanych w RFC 8058 oraz przetwarzania takich próśb w ciągu dwóch dni. Minimum prawne i minimum techniczne się zbiegły. Zobacz nasz przewodnik po nagłówku List-Unsubscribe, by poznać dokładną składnię nagłówka. - Uczciwa identyfikacja. CAN-SPAM zakazuje fałszowania nagłówków; dostawcy skrzynek egzekwują tę samą zasadę poprzez uwierzytelnianie. Opublikowanie SPF, DKIM i DMARC dowodzi, że wiadomość naprawdę pochodzi z Twojej domeny. Jeśli dopiero zaczynasz, zacznij od wyjaśnienia SPF, DKIM i DMARC, a następnie skonfiguruj politykę DMARC.
- Zgoda i skargi. Wysyłanie tylko do osób, które chciały otrzymywać wiadomości od Ciebie, to najlepszy sposób na utrzymanie wskaźnika skarg na spam poniżej progu 0,3%, który egzekwuje Gmail, a najlepiej poniżej 0,1%. Słabe praktyki dotyczące zgody objawiają się skargami, a to skargi doprowadzają do blokad. Pełny obraz znajdziesz w wymaganiach dla masowych nadawców e-maili.
Czysta, oparta na zgodzie lista wraz z uczciwym uwierzytelnianiem to zarazem droga zgodna z prawem i droga do skutecznej dostarczalności. Jeśli Twoja poczta trafia do spamu mimo dobrych intencji, nasza lista kontrolna najlepszych praktyk dostarczalności e-maili przeprowadzi Cię przez poprawki techniczne i higienę listy, które również zmniejszają ryzyko prawne, a dlaczego e-maile trafiają do spamu omawia najczęstsze przyczyny.
Praktyczna podstawa zgodności
Jeśli sprzedajesz we wszystkich trzech regionach, buduj według najbardziej rygorystycznego wspólnego mianownika, zamiast śledzić jurysdykcję każdego odbiorcy wiadomość po wiadomości:
- Zbieraj wyraźną, udokumentowaną zgodę opt-in, zanim dodasz kogokolwiek do listy marketingowej.
- Umieszczaj ważny fizyczny adres pocztowy w każdej wiadomości komercyjnej.
- Identyfikuj się dokładnie w nagłówku
Fromi uwierzytelniaj domenę wysyłkową. - Zapewnij rezygnację jednym kliknięciem i przetwarzaj usunięcia w ciągu dwóch dni roboczych, z dużym zapasem względem każdego terminu prawnego.
- Prowadź rejestry, kiedy, w jaki sposób i na co każdy kontakt wyraził zgodę.
- Monitoruj wskaźniki skarg i wyniki uwierzytelniania, aby problemy ujawniały się, zanim zauważy je organ regulacyjny lub dostawca skrzynki pocztowej.
Najczęściej zadawane pytania
Czy CAN-SPAM wymaga zgody przed wysłaniem e-maila?
Nie. CAN-SPAM to ustawa opt-out, więc możesz wysyłać pocztę komercyjną do odbiorcy w USA bez wcześniejszej zgody, pod warunkiem że uczciwie się przedstawisz, podasz fizyczny adres i zaoferujesz działającą rezygnację. Jest to najmniej rygorystyczny z trzech reżimów, ale kara za pojedynczy e-mail sięgająca 53 088 USD nadal sprawia, że niedbała wysyłka jest kosztowna.
Czy te ustawy dotyczą e-maili transakcyjnych, takich jak potwierdzenia i resetowanie hasła?
W dużej mierze nie. Wiadomości czysto transakcyjne i relacyjne są zwolnione z większości zasad dotyczących treści w ramach CAN-SPAM i nie są wiadomościami komercyjnymi w rozumieniu CASL, a GDPR nadal dopuszcza przetwarzanie na podstawie prawnej, takiej jak umowa. Mimo to poczta transakcyjna nigdy nie może zawierać fałszywych informacji w nagłówkach, a wmieszanie treści marketingowych do potwierdzenia może objąć całą wiadomość zasadami marketingowymi.
Która ustawa ma zastosowanie, jeśli moja lista ma odbiorców w wielu krajach?
Zazwyczaj obowiązuje prawo lokalizacji odbiorcy, więc pojedyncza kampania może jednocześnie podlegać CAN-SPAM, GDPR i CASL. Zamiast segmentować listę według jurysdykcji dla każdej zasady, większość nadawców buduje według najbardziej rygorystycznego standardu, co oznacza zgodę opt-in, uczciwą identyfikację, fizyczny adres i szybką obsługę rezygnacji wszędzie.
Zgodność z prawem i dostarczalność to to samo zadanie widziane z dwóch perspektyw: udowodnij, kim jesteś, wysyłaj tylko do osób, które tego chcą, i ułatw rezygnację. Uruchom bezpłatne skanowanie w SPFWise, aby potwierdzić, że Twoje rekordy SPF, DKIM i DMARC poprawnie uwierzytelniają domenę, dzięki czemu część zgodności dotycząca uczciwej identyfikacji będzie załatwiona jeszcze przed kolejną wysyłką.