Linki w SMS a RODO: Co PKE, ePrivacy i własna domena oznaczają dla Twojej kampanii

Linki w SMS w kontekście RODO to nie temat wyłącznie dla działu prawnego. Jeśli Twoja kampania zawiera skrócony URL, token śledzący albo link prowadzący przez zewnętrzny skracacz, sposób linkowania może wpływać na zgodność z PKE, RODO i ePrivacy.

Posiadanie własnej domeny w linku nie jest wymagane przez RODO. Wpływa ono jednak na poczucie odpowiedzialności, reputację nadawcy i kontrolę nad danymi. Kluczowe pytanie, na które musisz sobie tutaj odpowiedzieć brzmi „czy link pozwala śledzić konkretnego odbiorcę i czy użytkownik został o tym właściwie poinformowany?”.

❗ Artykuł ten ma charakter poglądowy i nie stanowi porady prawnej. Szczegóły kampanii, zgód i podstaw przetwarzania skonsultuj z radcą prawnym, kancelarią albo DPO właściwym dla Twojej jurysdykcji.

Dlaczego podejście do linkowania ma znaczenie jeszcze zanim wyślesz pierwszą kampanię

W kampaniach SMS link stanowi część procesu compliance, a nie jedynie element CTA. Może to wynikać z kwestii zgody marketingowej, sposobu śledzenia kliknięć, zakresu przetwarzanych danych i kontroli nad domeną, przez którą przechodzi użytkownik.

💡 Należy na to zwrócić szczególną uwagę po wejściu w życie Prawa Komunikacji Elektronicznej, czyli PKE, 10 listopada 2024 r. W praktyce oznacza to, że powinieneś wiedzieć nie tylko co wysyłasz, ale też jakie dane zbierasz po kliknięciu.

Jeśli chcesz poszerzyć kontekst tego czym są skrócone linki w SMS, zajrzyj do naszego osobnego artykułu. Tutaj skupiam się wyłącznie na warstwie zgodności obejmującej PKE, RODO, ePrivacy i wzorce analityki linków.

O tym, jak branded domena powinna wyglądać i zachowywać się w SMS, RCS oraz Viberze, przeczytasz w naszym przewodniku po wzorcach UX per kanał.

Co zrobić:

  • Sprawdź link przed wysyłką: domena, parametry, tokeny, przekierowania i cel.
  • Oddziel zwykłe linkowanie w kampanii od śledzenia konkretnego odbiorcy.

💡 Kluczowy wniosek: Link w SMS-ie może być prostym adresem w kampanii albo mechanizmem śledzenia i to ta różnica decyduje o ryzyku compliance.

Co PKE i RODO mówią o linkach w wiadomościach SMS

Linki w SMS w świetle RODO należy oddzielić od samej zgody na wysyłkę. PKE reguluje przede wszystkim zgodę na marketing bezpośredni w kanale komunikacji. RODO i ePrivacy dotyczą tego co dzieje się z danymi odbiorcy, zwłaszcza gdy link pozwala śledzić kliknięcie na poziomie konkretnej osoby.

Oznacza to, że zgodna kampania SMS musi odpowiedzieć na dwa pytania.

1. Czy posiadasz właściwą zgodę na wysłanie wiadomości marketingowej?
2. Czy link w tej wiadomości zbiera dane w sposób, który wymaga dodatkowej oceny prawnej lub informacyjnej?

linki w SMS RODO pytania

Art. 398 PKE: Zgoda przed marketingiem bezpośrednim

PKE czyli Prawo Komunikacji Elektronicznej obowiązuje od 10 listopada 2024 r. i zastąpiło wcześniejsze Prawo telekomunikacyjne. Dla nadawców kampanii kluczowy jest art. 398 PKE, który dotyczy marketingu bezpośredniego prowadzonego z użyciem m.in. SMS-ów i automatycznych systemów komunikacji.

W praktyce nie zaczynasz od linku, a od podstawy do kontaktu marketingowego. Jeśli SMS ma charakter marketingowy, zgoda na taki kontakt musi zostać zdobyta zanim zespół przejdzie do treści wiadomości, skróconego URL-a czy analityki kliknięć.

Dla przykładu, SMS z informacją o statusie zamówienia i linkiem do śledzenia dostawy będzie oceniany inaczej niż SMS z kodem rabatowym i linkiem do promocji. Sam fakt użycia linku nie przesądza jeszcze o charakterze wiadomości. Liczy się cel komunikatu i sposób wykorzystania danych.

Własna skrócona domena a publiczny skracacz linków w świetle RODO

RODO nie zakłada, że każda kampania musi używać własnej skróconej domeny. Różnica między nią a publicznym skracaczem dotyczy kontroli, przejrzystości i ograniczenia ryzyka.

Publiczny skracacz linków może utrudniać ocenę tego kto kontroluje link, jakie dane przechodzą przez narzędzie i jak wygląda dalsze przekierowanie. Własna domena nie rozwiązuje automatycznie wszystkich wymagań RODO, ale daje znacznie lepszy punkt wyjścia: marka kontroluje adres, może opisać proces przekierowania i łatwiej udokumentować to jakie dane zbierane są po kliknięciu.

Ma to szczególne znaczenie gdy link jest śledzący. go.marka.pl/oferta wygląda jak typowy link kampanii. go.marka.pl/oferta?uid=12345 może już wskazywać na pomiar zachowania konkretnego odbiorcy. W tej sytuacji własna domena wprowadza porządek techniczny, ale nie zwalnia z oceny podstawy prawnej, obowiązku informacyjnego i zasad minimalizacji danych.

Co zrobić:

  • Sprawdź zgodę na wysyłkę SMS przed oceną samego linku.
  • Oddziel zwykłe URL-e kampanijne od linków zawierających identyfikatory odbiorców.
  • Używaj własnej domeny jeśli chcesz mieć większą kontrolę nad przekierowaniem, reputacją i dokumentacją procesu.

💡 Kluczowy wniosek: PKE pozwala ocenić czy możesz wysłać komunikat marketingowy, natomiast RODO i ePrivacy określają co wolno zrobić z danymi po kliknięciu w link.

Kiedy skrócony link staje się technologią śledzącą

Skrócony link nie musi domyślnie być technologią śledzącą. Problem pojawia się gdy URL zawiera identyfikator pozwalający powiązać kliknięcie z konkretnym odbiorcą, urządzeniem, kontem lub rekordem w bazie.

W tym momencie link przestaje być jedynie przejściem do strony docelowej, a staje się narzędziem pomiaru zachowania użytkownika.

Wytyczne EDPB 2/2023: URL tracking poza klasycznymi cookies

EDPB czyli Europejska Rada Ochrony Danych w Wytycznych 2/2023 doprecyzowała zakres art. 5(3) dyrektywy ePrivacy. Płynący z tego wniosek dla marketerów jest prosty: technologie śledzące to nie tylko cookies.

W ocenie EDPB znaczenie mogą mieć również metody takie jak URL tracking, piksele, fingerprinting czy identyfikatory przekazywane przez link. W kampanii SMS oznacza to, że sama forma linku może wymagać analizy, jeśli pozwala ona śledzić zachowanie odbiorcy.

Przykład neutralny: go.marka.pl/oferta

Przykład wymagający większej uwagi: go.marka.pl/oferta?uid=12345

Pierwszy link prowadzi wszystkich odbiorców do tej samej kampanii. Drugi może pozwolić przypisać kliknięcie do konkretnej osoby. Wykracza to poza kwestie techniczne wchodząc w obszar compliance.

linki w sms rodo prywatność

Kiedy token w linku jest daną osobową

Zgodnie z art. 4 RODO dane osobowe obejmują informacje, które pozwalają zidentyfikować osobę bezpośrednio lub pośrednio. Token w linku może więc stać się daną osobową jeśli da się go powiązać z konkretnym użytkownikiem.

Nie musi to być e-mail, numer telefonu ani imię i nazwisko w samym URL-u. Wystarczy, że system po stronie nadawcy potrafi odczytać token i przypisać kliknięcie do konkretnego kontaktu.

Niższe ryzyko: go.marka.pl/oferta?utm_source=sms&utm_campaign=lato

Wyższe ryzyko: go.marka.pl/oferta?subscriber_id=12345

Pierwszy wariant skupia się na samej kampanii. Drugi może śledziź zachowanie konkretnego odbiorcy. UTM-y kampanijne i tokeny indywidualne trzeba tym samym traktować osobno.

Dobrą praktyką jest stosowanie tokenów nieczytelnych dla systemów zewnętrznych, rozwiązywanych server-side, z ograniczonym dostępem i określonym czasem retencji. Nie znosi to automatycznie obowiązków RODO, ale ogranicza ekspozycję danych w URL-ach, logach, narzędziach analitycznych i zrzutach ekranu.

Co zrobić:

  • Nie umieszczaj w linkach surowych danych osobowych takich jak e-mail, numer telefonu czy jawny identyfikator klienta.
  • Rozdziel UTM-y kampanijne od tokenów indywidualnych.
  • Jeśli token pozwala rozpoznać odbiorcę, potraktuj go jako element wymagający oceny RODO/ePrivacy.

💡 Kluczowy wniosek: Skrócony link staje się podatnością compliance kiedy zaczyna identyfikować odbiorcę, a nie tylko kierować go do strony kampanii.

Firmy z zasięgiem w USA: Dlaczego publiczne skracacze linków blokują rejestrację kampanii 10DLC

Jeśli wysyłasz SMS-y również na numery w USA, publiczny skracacz linków może zatrzymać Twoją kampanię już na etapie rejestracji. W systemie A2P 10DLC, czyli rejestrze biznesowych wysyłek SMS z amerykańskich numerów 10-cyfrowych, linki typu bit.ly czy tinyURL są traktowane jako ryzyko.

Nierzadko występującym problemem jest kod odrzucenia 30892. Pojawia się on kiedy przykładowe wiadomości (wymagane przy rejestracji kampanii) zawierają publiczny skracacz URL albo niezabezpieczony link. Problemu nie stanowi sama długość adresu, a brak jednoznacznej tożsamości nadawcy oraz wspólna reputacja domeny używanej przez wielu różnych nadawców.

Poprawny wzorzec wygląda tak:

⛔ bit.ly/x9Za → wysokie ryzyko odrzucenia
✅ go.marka.pl/oferta → własna domena powiązana z nadawcą

Własna domena nie zastępuje zgód, regulaminów ani oceny RODO/PKE, ale porządkuje kluczową warstwę tożsamości nadawcy. Jest to istotne zarówno dla odbiorcy, jak i dla systemów oceniających kampanie.

ObszarGłówne pytanie complianceRyzyko przy publicznym skracaczu
USA / 10DLCCzy kampania przejdzie rejestrację i reguły operatorów?Odrzucenie próbek wiadomości, np. kod 30892
UE / RODO / ePrivacyCzy link śledzi konkretnego odbiorcę i czy masz podstawę prawną?Niejasne przetwarzanie danych, brak kontroli nad trackingiem
Polska / PKECzy masz zgodę na marketing bezpośredni w kanale SMS?Ryzyko wysyłki bez właściwej zgody, niezależnie od domeny linku

Co zrobić:

  • Dla wysyłek na USA usuń publiczne skracacze z próbek wiadomości przed rejestracją 10DLC.
  • Używaj własnej domeny SMS, która jest spójna z marką i działa po HTTPS.
linki w sms rodo compliance

💡 Kluczowy wniosek: 10DLC pokazuje tę samą zasadę z innej perspektywy – im bardziej link ukrywa nadawcę, tym większe ryzyko operacyjne i compliance.

Bezpieczne wzorce analityki: Śledzenie linków w zgodzie z RODO

Analityka linków w SMS może być zgodna z zasadami minimalizacji danych jeśli mierzysz to co jest potrzebne do oceny kampanii, a nie automatycznie wszystko co da się powiązać z konkretną osobą.

Najbezpieczniejsze podejście to rozdzielenie analityki kampanijnej i śledzenia indywidualnego. Pierwsze odpowiada na pytanie, która kampania działa, drugie pokazuje, który odbiorca kliknął.

Więcej na temat raportowania dowiesz się z artykułu o analityce brandowanych linków.

UTM na poziomie kampanii vs. token indywidualny

UTM-y kampanijne zwykle opisują źródło ruchu, kanał albo nazwę kampanii. Jeśli są identyczne dla wszystkich odbiorców, nie wskazują same w sobie konkretnej osoby.

Przykład:

go.marka.pl/oferta?utm_source=sms&utm_campaign=lato

Inaczej wygląda link z identyfikatorem użytkownika:

go.marka.pl/oferta?uid=12345

albo:

go.marka.pl/oferta?subscriber_id=987

Uwzględnienie takich parametrów może pozwalać przypisać kliknięcie do konkretnego kontaktu w bazie. W tej sytuacji link staje się elementem przetwarzania danych osobowych i wymaga oceny podstawy prawnej, obowiązku informacyjnego, retencji oraz dostępu do danych.

Wzorzec linkuCo mierzyOcena compliance
utm_campaign=latoWynik kampaniiTypowy poziom kampanii, niższe ryzyko
subscriber_id=12345Zachowanie konkretnego odbiorcyTracking indywidualny, wymaga oceny RODO/ePrivacy
Opaque token, np. t=8f4a92Zależnie od konfiguracji: użytkownika lub kohortęBezpieczniejszy technicznie, ale nadal wymaga oceny, jeśli można go powiązać z osobą

💡 Dobrą praktyką jest unikanie surowych danych osobowych w URL-ach. Nie umieszczaj w linku adresu e-mail, numeru telefonu, imienia, nazwiska ani jawnego identyfikatora klienta. Jeśli chcesz mierzyć na poziomie odbiorcy, użyj tokenu nieczytelnego poza Twoim systemem i rozwiązywanego server-side.

linki w sms rodo analityka

Zgoda, minimalizacja danych i transparentność

Przed wysyłką wysyłką kampanii zadaj sobie trzy pytania:

1. Co mierzysz? Źródło kampanii to coś innego niż zachowanie konkretnego odbiorcy.

2. Po co to mierzysz? Jeśli wystarczy analiza kampanijna, nie planuj śledzenia indywidualnego.

3. Czy odbiorca został o tym poinformowany? Jeśli link pozwala mierzyć zachowanie osoby, polityka prywatności, treść zgód i dokumentacja kampanii powinny to odzwierciedlać. Szczegóły skonsultuj z DPO albo radcą prawnym.

Co zrobić:

  • Używaj UTM-ów kampanijnych tam, gdzie wystarczy analiza zbiorcza.
  • Nie umieszczaj surowych danych osobowych w URL-ach.
  • Dla tokenów indywidualnych ustal cel, podstawę prawną, retencję i dostęp do danych przed wysyłką.

💡 Kluczowy wniosek: Bezpieczna analityka linków zaczyna się od minimalizacji – najpierw mierz kampanię, a dopiero potem odbiorcę, jeśli masz do tego jasny cel i właściwą podstawę.

Lista kontrolna governance dla compliance, marketingu i IT

Sprawowanie kontroli nad linkami polega na tym, aby móc wyjaśnić kto kontroluje domenę, dokąd prowadzi link, jakie dane są zbierane i kto może zmienić przekierowanie po wysyłce.

W praktyce nie jest to zadanie jedynie dla compliance. Marketing odpowiada za treść, slug i parametry kampanii. IT lub security odpowiada za domenę, DNS i HTTPS. DPO lub zespół prawny ocenia podstawę przetwarzania, zgodę i obowiązek informacyjny.

Przed wysyłką sprawdź poniższe obszary:

  • Domena: czy link działa na domenie kontrolowanej przez markę?
  • HTTPS: czy cała ścieżka przekierowania jest zabezpieczona?
  • Cel linku: czy URL prowadzi do zatwierdzonej strony?
  • Parametry: czy link zawiera tylko UTM-y kampanijne, czy także tokeny indywidualne?
  • Dostęp: kto może tworzyć, edytować i wyłączać linki?
  • Retencja: jak długo przechowywane są kliknięcia i mapowanie tokenów?
  • Opt-out: czy linki rezygnacji z SMS są łatwe do przetestowania i nie mieszają się z linkami promocyjnymi?
  • Audyt: czy da się prześledzić kto utworzył link, kiedy i dokąd prowadził?

Jeśli każdy zespół używa własnego skracacza, governance szybko się rozprasza. Jeden wspólny zatwierdzony proces dla brandowanych linków ułatwia kontrolę domeny, przekierowań, tokenów i dokumentacji kampanii.

Jeśli ta sama domena obsługuje też routing do aplikacji mobilnej, governance powinien objąć również cele deferred deep linkingu, nie tylko strony webowe.

Co zrobić:

  • Ustal właścicieli: marketing, IT/security, DPO/compliance.
  • Korzystaj z jednego zatwierdzonego procesu tworzenia branded linków dla kampanii SMS.

💡 Kluczowy wniosek: Governance sprawia, że link w SMS-ie jest nie tylko krótki i mierzalny, ale też kontrolowany, udokumentowany i możliwy do obrony podczas przeglądu compliance.

Zadbaj o zgodność linków przed wysyłką

Linki w SMS-ach nie powinny być mało istotnym szczegółem dodawanym do kampanii na końcu procesu jej projektowania. Domena, parametry, tokeny, przekierowania i retencja danych wpływają na zaufanie odbiorcy, dostarczalność i ocenę compliance.

MessageFlow wspiera własne domeny w skróconych w kampaniach biznesowych, pomagając Ci zachować kontrolę nad linkami, analityką i spójnością nadawcy.

FAQ – Linki SMS a RODO

Tak, jeśli link pozwala przypisać kliknięcie do konkretnej osoby. Sam URL kampanii zwykle nie jest problemem. Link z indywidualnym tokenem, identyfikatorem klienta albo parametrem powiązanym z odbiorcą wymaga już oceny RODO i ePrivacy.

PKE, czyli Prawo Komunikacji Elektronicznej, obowiązuje od 10 listopada 2024 r. Dla kampanii SMS kluczowy jest art. 398 PKE, który dotyczy zgody na marketing bezpośredni. W praktyce zgoda na wysyłkę musi być uporządkowana przed analizą linków, UTM-ów i śledzenia kliknięć.

Polskie przepisy nie zakazują samego użycia publicznego skracacza. Problem dotyczy raczej kontroli nad domeną, reputacji nadawcy i przetwarzania danych przez zewnętrzne narzędzie. Dla firm wysyłających SMS-y na numery amerykańskie publiczne skracacze mogą jednal blokować rejestrację kampanii.

Token może być daną osobową, gdy pozwala zidentyfikować odbiorcę bezpośrednio lub pośrednio. Nie musi zawierać e-maila ani numeru telefonu. Wystarczy, że system nadawcy potrafi powiązać token z konkretnym kontaktem, kontem albo rekordem w bazie.

Ryzyko zależy od naruszenia: inna ocena dotyczy braku zgody marketingowej, a inna niewłaściwego przetwarzania danych osobowych. Możliwe są konsekwencje na gruncie PKE, RODO i przepisów o nieuczciwej konkurencji. Konkretne ryzyko skonsultuj z radcą prawnym albo DPO.

UTM-y kampanijne takie jak utm_source=sms albo utm_campaign=lato zwykle opisują kampanię, nie konkretną osobę. Inaczej wygląda sytuacja z parametrami typu uid albo subscriber_id. Jeśli parametr pozwala rozpoznać odbiorcę, wymaga osobnej oceny podstawy prawnej i obowiązku informacyjnego.

Roman Kozłowski

LinkedIn Profile Senior Content Creator

Specjalista ds. komunikacji B2B działający w obszarze CPaaS, przekładający możliwości technologiczne na klarowną komunikację dla marketerów i developerów. Pracuje w środowisku wspieranym przez AI, koncentrując się na pozycjonowaniu, precyzji i ocenie jakości treści tak, aby komunikacja była spójna, logiczna i posiadała wartość biznesową.

Zobacz więcej wpisów autora

Pozostańmy w kontakcie!

Zapisz się na nasz newsletter, aby otrzymywać aktualności produktowe, eksperckie artykuły blogowe oraz inne treści z obszaru komunikacji biznesowej prosto do swojej skrzynki.

"(wymagane)" oznacza pola wymagane

Acceptance(wymagane)

Zobowiązujemy się chronić Twoją prywatność. MessageFlow wykorzystuje podane informacje wyłącznie do kontaktowania się z użytkownikami w sprawie odpowiednich treści, produktów i usług. Użytkownik może w dowolnym momencie zrezygnować z subskrypcji tych wiadomości. Więcej informacji można znaleźć w naszej Polityce prywatności.

RSS