Does ePrivacy apply to AI-generated messages?

Yes. ePrivacy is technology-neutral — an AI sending a marketing email, SMS, or WhatsApp message is treated identically to a human sending one.

Does GDPR consent satisfy ePrivacy?

No. ePrivacy is lex specialis and requires separate compliance. GDPR consent does not automatically satisfy ePrivacy's prior opt-in requirement.

What about B2B outbound?

B2C always requires opt-in. B2B rules vary by Member State — some allow opt-out for corporate addresses, others (e.g. Germany) apply stricter rules.

Is the ePrivacy Regulation coming?

The standalone Regulation was withdrawn in February 2025. Targeted ePrivacy amendments are now part of the Digital Omnibus Package under negotiation.

Zgodność ePrivacy AI — Zgoda na wychodzące wiadomości AI

Ostatnia aktualizacja: 8 kwietnia 2026 · 8 min czytania · Przejrzane przez zespół zgodności Audact · Dyrektywa 2002/58/EC

Dyrektywa ePrivacy reguluje czynność wysyłania komunikacji elektronicznej. Dotyczy każdej wychodzącej wiadomości generowanej przez AI — e-mail, SMS, WhatsApp lub połączenie głosowe — niezależnie od tego, czy człowiek czy AI ją skomponował.

Czym jest Dyrektywa ePrivacy?

Dyrektywa ePrivacy (2002/58/EC) jest głównym prawem UE regulującym prywatność komunikacji elektronicznej. Jest lex specialis do GDPR — gdzie ePrivacy ma konkretną zasadę, ma pierwszeństwo przed GDPR.

W praktyce: ePrivacy reguluje wysyłanie komunikacji i dostęp do urządzenia. GDPR reguluje późniejsze przetwarzanie zebranych danych osobowych. Wymagają odrębnej zgodności — zgoda GDPR nie automatycznie spełnia wymogów ePrivacy i odwrotnie.

Dyrektywa ePrivacy vs Rozporządzenie ePrivacy: co zmienia się dla AI

Dyrektywa z 2002 r. (ze zmianami z 2009 r.) jest instrumentem prawnym transponowanym różnie w każdym Państwie Członkowskim, dlatego niemieckie TDDDG, holenderskie Telecommunicatiewet i brytyjskie PECR wyglądają powierzchownie podobnie, ale różnią się w szczegółach. Proponowane Rozporządzenie ePrivacy zastąpiłoby tę mozaikę jednym bezpośrednio stosowanym tekstem, zaostrzając zasady dotyczące plików cookie, ruchu maszynowego i przetwarzania metadanych. Po ośmiu latach impasu Komisja formalnie wycofała wniosek 11 lutego 2025 r.

Dla wdrożeniowców AI praktyczną konsekwencją jest to, że nic się nie zmienia natychmiast: Dyrektywa pozostaje w mocy, a ten sam reżim oparty na opt-in nadal ma zastosowanie do wychodzącej wiadomości AI. Jednak Pakiet Cyfrowy Omnibus zaproponowany w listopadzie 2025 r. zawiera ukierunkowane poprawki ePrivacy — w szczególności dotyczące zmęczenia zgodą na pliki cookie i podstaw uzasadnionego interesu dla analityki — które prawdopodobnie zostaną przyjęte w 2027 r. Dostawcy AI powinni projektować dzisiaj swoje pozyskiwanie zgody tak, aby podstawa prawna mogła być prze-mapowana bez ponownego zbierania zgody.

Kluczowe artykuły dla wdrożeniowców AI

Article 13 — Niechciana komunikacja

Wymaga wcześniejszej zgody opt-in przed wysłaniem bezpośredniego marketingu przez zautomatyzowane systemy wywołujące, e-mail, SMS, faks lub jakąkolwiek elektroniczną wiadomość. Jest to neutralne technologicznie: AI wysyłający marketingowy e-mail jest traktowany identycznie jak człowiek go wysyłający.

Chatbot AI inicjujący wiadomość WhatsApp → wymagana zgoda
AI wysyłający marketingowe e-maile → wymagana zgoda
Kampanie SMS generowane przez AI → wymagana zgoda
Wychodzące połączenia głosowe AI → wymagana zgoda

Article 13(2) — Wyjątek soft opt-in

Wyjątek umożliwiający marketing bez nowej zgody jeśli: (a) adres e-mail uzyskano w kontekście sprzedaży lub usługi, (b) marketing dotyczy podobnych produktów/usług i (c) łatwa rezygnacja jest zapewniona przy zbieraniu i w każdej wiadomości.

Article 5(3) — Pliki cookie i dostęp do urządzenia

Wymaga zgody przed przechowywaniem lub uzyskiwaniem dostępu do informacji na urządzeniu końcowym użytkownika. Dla chatbotów AI dotyczy to gdy chatbot umieszcza śledzące pliki cookie — nie samej rozmowy.

Zgoda na pliki cookie i śledzenie AI na podstawie ePrivacy

Article 5(3) jest neutralny technologicznie: dotyczy każdego przechowywania lub dostępu do informacji na urządzeniu końcowym użytkownika. Obejmuje klasyczne pliki cookie HTTP, ale również lokalne przechowywanie przeglądarki, biblioteki fingerprintingu i SDK, które silniki personalizacji AI osadzają na stronach i w aplikacjach mobilnych. Jeśli dane są następnie wprowadzane do modelu rekomendacji lub AI targetowania behawioralnego, podstawa prawna dla początkowego odczytu lub zapisu musi być nadal ważną zgodą klasy GDPR — przechwycony przed uruchomieniem skryptu. CNIL, Garante i holenderskie AP wszystkie potwierdziły, że 'odrzuć wszystkie' musi być tak łatwe jak 'akceptuj wszystkie'.

Dla agentów głosowych lub chatowych AI pytanie o pliki cookie jest zwykle ograniczone do otaczającej właściwości internetowej — ale web push zasilany AI, wiadomości w aplikacji i modele mowy na urządzeniu wyzwalają 5(3) w momencie gdy buforują stan. Audact traktuje każdą decyzję o zgodzie jako audytowalny zdarzenie, co pozwala klientom udowodnić ważność pliku cookie nawet gdy stos frontendowy się zmienia.

Wyłączenia B2B na podstawie ePrivacy dla komunikacji AI

Traktowanie B2B jest najbardziej fragmentaryczną częścią ePrivacy. Dyrektywa zezwala Państwom Członkowskim na zezwolenie na bezpośredni marketing do osób prawnych na zasadzie opt-out, ale tego nie wymaga. Brytyjskie PECR wyłącza korporacyjnych subskrybentów z rygorystycznego opt-in dla żywych połączeń i faksów (ale nie dla SMS ani e-mail do indywidualnych pracowników). Francja podobnie zezwala na marketing opt-out na adresy zawodowe pod warunkiem że wiadomość dotyczy pracy odbiorcy. Niemcy zajmują przeciwne stanowisko: §7 UWG wymaga wcześniejszej wyraźnej zgody nawet dla e-maili B2B, z bardzo wąskimi wyjątkami.

Dla wychodzących systemów AI praktyczna zasada jest prosta: globalny flag 'wyłączenie B2B' jest niezgodny z projektu. Silnik polityk musi rozwiązać kraj odbiorcy, kanał i charakter wiadomości przed każdym wysłaniem i zalogować tę decyzję dla regulatora. Audact dostarcza te zasady per jurysdykcja od razu.

B2B vs B2C

B2C zawsze wymaga opt-in. Traktowanie B2B różni się w zależności od Państwa Członkowskiego: niektóre (np. UK, Francja) zezwalają na kontakt z korporacyjnymi adresami e-mail na zasadzie opt-out dla produktów związanych z biznesem. Inne (np. Niemcy) stosują surowsze zasady. Silnik polityk Audact obsługuje te różnice per kraj automatycznie.

Egzekwowanie i kary

Egzekwowane przez krajowe organy (zazwyczaj Organy ochrony danych). Ponieważ ePrivacy jest Dyrektywą — nie Rozporządzeniem — kary różnią się w zależności od Państwa Członkowskiego:

Niemcy (TDDDG): Do €300.000
UK (PECR): Kary na podstawie PECR, z wyższymi karami możliwymi gdy naruszenia pokrywają się z GDPR
Holandia: Holenderski organ ochrony danych ostrzegł 50 organizacji w kwietniu 2025 r. za naruszenia plików cookie
Francja (CNIL): Rygorystyczne egzekwowanie, blokuje pliki cookie przed zgodą, zabrania dark patterns

EDPB potwierdził, że naruszenia ePrivacy mogą być uwzględniane w karach GDPR gdy ten sam organ egzekwuje oba.

Rozporządzenie ePrivacy — co się stało?

Samodzielne Rozporządzenie ePrivacy zostało formalnie wycofane przez Komisję Europejską 11 lutego 2025 r. po latach nieudanych negocjacji. Zamiast tego, ukierunkowane poprawki ePrivacy są teraz częścią Pakietu Cyfrowego Omnibus (zaproponowany w listopadzie 2025 r.), aktualnie w negocjacjach z oczekiwanym porozumieniem politycznym pod koniec 2026 r.

Jak Audact pomaga

Weryfikacja zgody: Silnik polityk weryfikuje status opt-in przed wysłaniem jakiejkolwiek wychodzącej komunikacji AI
Zasady per kraj: Wymogi zgody i opt-out specyficzne dla jurysdykcji egzekwowane automatycznie
Rejestrowanie dowodów: Każda kontrola zgody jest rejestrowana z kryptograficznymi dowodami dla audytów regulatora
Walidacja soft opt-in: Automatyczna weryfikacja że warunki Article 13(2) są spełnione przed zezwoleniem na komunikację

Często zadawane pytania

Czy ePrivacy dotyczy wiadomości generowanych przez AI?

Tak. ePrivacy jest neutralne technologicznie — AI wysyłający marketingowy e-mail, SMS lub wiadomość WhatsApp jest traktowany identycznie jak człowiek go wysyłający.

Czy zgoda GDPR spełnia ePrivacy?

Nie. ePrivacy jest lex specialis i wymaga odrębnej zgodności. Zgoda GDPR nie automatycznie spełnia wymogu wcześniejszego opt-in ePrivacy.

A co z wychodzącym B2B?

B2C zawsze wymaga opt-in. Zasady B2B różnią się w zależności od Państwa Członkowskiego — niektóre zezwalają na opt-out dla adresów korporacyjnych, inne (np. Niemcy) stosują surowsze zasady.

Czy Rozporządzenie ePrivacy nadchodzi?

Samodzielne Rozporządzenie zostało wycofane w lutym 2025 r. Ukierunkowane poprawki ePrivacy są teraz częścią Pakietu Cyfrowego Omnibus w negocjacjach.

Porównaj prawa zgodności AI UE

Prawo	Termin	Kto	Kara
EU AI Act Art. 50	2 sie 2026	Wszyscy wdrożeniowcy AI w UE	€7,5M / 1,5% obrotu
NL Telecomwet	1 lip 2026	Marketing wychodzący do konsumentów NL	€900k / 10% obrotu
GDPR	Obowiązuje	Każdy przetwarzający dane osobowe UE	€20M / 4% obrotu
DSA	Obowiązuje (luty 2024)	Pośrednicy i VLOP	6% globalnego obrotu
ePrivacy	Obowiązuje	Nadawcy komunikacji elektronicznej	Różni się w zależności od Państwa Członkowskiego

Powiązane zasoby zgodności

Zastrzeżenie: Ta strona ma wyłącznie charakter informacyjny i nie stanowi porady prawnej. Skonsultuj się z wykwalifikowanym doradcą prawnym w sprawie swoich konkretnych obowiązków zgodności.

← Powrót do strony głównej

Zgodność ePrivacy AI dla komunikacji elektronicznej