Przejdź do treści
Esc

Wpisz frazę, by przeszukać artykuły bloga.

RODO na stronie internetowej: co musi mieć Twoja witryna w 2026 roku?

W 2025 roku właściciel jednego z lokalnych sklepów internetowych dostał e-mail z Urzędu Ochrony Danych Osobowych. Klient sklepu złożył skargę. Nie mógł znaleźć informacji, komu sklep przekazuje jego dane przy wysyłce zamówienia. Sklep działał od trzech lat. Strona miała ładny design i dobre SEO. Nikt nie sprawdził, czy ma kompletną politykę prywatności. Sprawa skończyła się wyjaśnieniami i szybkimi poprawkami, ale równie dobrze mogła skończyć się karą. RODO na stronie internetowej to nie jednorazowa formalność. To lista konkretnych elementów, które trzeba mieć i regularnie sprawdzać.

Spis treści

  • Co to jest RODO na stronie internetowej?
  • Jakie elementy musi mieć strona, żeby być zgodna z RODO?
  • Czy strona musi mieć baner cookie?
  • Co musi zawierać polityka prywatności?
  • Jakie są kary za brak zgodności z RODO?
  • Kto odpowiada za RODO na stronie: firma czy agencja?
  • Jak wdrożyć RODO na istniejącej stronie krok po kroku
  • Najczęstsze pytania

Co to jest RODO na stronie internetowej?

RODO na stronie internetowej to zestaw obowiązków, które nakłada na właściciela witryny ogólne rozporządzenie o ochronie danych osobowych (Rozporządzenie UE 2016/679). W praktyce oznacza to, że każda strona zbierająca dane (przez formularz kontaktowy, newsletter, konto klienta czy pliki cookie) musi jasno informować, kto te dane zbiera, w jakim celu i jak długo je przechowuje.

Nie ma znaczenia, czy firma ma pięciu klientów czy pięć tysięcy. Obowiązek dotyczy każdej strony z formularzem, licznikiem odwiedzin albo sklepem, niezależnie od wielkości biznesu.

Jakie elementy musi mieć strona, żeby być zgodna z RODO?

Zgodna z RODO strona internetowa musi mieć siedem konkretnych elementów. Bez nich nawet estetyczna i szybka witryna zostaje formalnie niezgodna z przepisami.

ElementCo musi zawieraćGdzie umieścić
Polityka prywatnościCel przetwarzania, podstawę prawną, okres przechowywania danychOsobna podstrona, link w stopce
Baner cookieZgodę na cookies analityczne i marketingowe, opcję odmowyWidoczny przy pierwszej wizycie
Klauzula informacyjna przy formularzachKto zbiera dane, do czego służą, komu są przekazywaneBezpośrednio przy formularzu
Certyfikat SSLSzyfrowanie danych przesyłanych między użytkownikiem i serweremCała witryna (adres z https://)
Rejestr czynności przetwarzaniaWewnętrzny dokument, nie publikowany na stronieU administratora danych
Umowy powierzenia z dostawcamiUmowa z hostingiem, systemem mailingowym, systemem płatnościDokumentacja firmy
Procedura zgłaszania naruszeńKto zgłasza wyciek danych do UODO i w jakim terminieWewnętrzna procedura

Sklep internetowy ma dodatkowy obowiązek: musi jasno opisać, komu przekazuje dane przy realizacji zamówienia, na przykład firmie kurierskiej, operatorowi płatności czy systemowi księgowemu. To właśnie ten punkt najczęściej pojawia się w skargach klientów.

Tak, jeśli strona używa cookies innych niż technicznie niezbędne do jej działania. Baner cookie nie jest opcją do wyboru. To wymóg wynikający z RODO i ustawy Prawo telekomunikacyjne, obowiązkowy dla każdej strony z Google Analytics, pikselem Facebooka czy systemem remarketingu.

Baner musi dawać realny wybór, nie tylko iluzję wyboru:

  • Przycisk „Odrzuć" musi być tak widoczny jak przycisk „Zaakceptuj wszystkie".
  • Strona nie może ładować skryptów analitycznych czy marketingowych przed zgodą użytkownika.
  • Użytkownik musi móc zmienić decyzję w każdej chwili, nie tylko przy pierwszej wizycie.

Baner, który wymusza kliknięcie „Zaakceptuj", żeby zamknąć okno, jest tzw. dark pattern. UODO traktuje go jako brak zgodnej z prawem zgody, a nie jako zgodę.

Co musi zawierać polityka prywatności?

Polityka prywatności to dokument, który tłumaczy użytkownikowi w zrozumiałym języku, co dzieje się z jego danymi po wejściu na stronę. Musi odpowiadać na pięć pytań: kto zbiera dane, jakie dane, w jakim celu, jak długo je przechowuje i komu je przekazuje.

Konkretne elementy, które musi zawierać:

  • Dane administratora, czyli nazwę firmy, adres i dane kontaktowe.
  • Cele przetwarzania danych, na przykład realizację zamówienia, wysyłkę newslettera, statystyki odwiedzin.
  • Podstawę prawną przetwarzania: zgodę, umowę, obowiązek prawny lub prawnie uzasadniony interes.
  • Okres przechowywania danych: konkretny czas albo kryterium jego ustalenia.
  • Prawa użytkownika: dostęp do danych, poprawianie, usunięcie, przenoszenie, wniesienie sprzeciwu.
  • Informację o przekazywaniu danych firmom kurierskim, operatorom płatności, systemom mailingowym.

Generyczna polityka prywatności skopiowana z innej strony nie spełnia wymogu. Musi opisywać dokładnie te narzędzia i procesy, które faktycznie działają na danej witrynie.

Jakie są kary za brak zgodności z RODO?

Kara za naruszenie RODO może wynieść do 20 milionów euro albo 4% rocznego globalnego obrotu firmy, w zależności od tego, która wartość jest wyższa. W praktyce dla małych i średnich firm w Polsce kary UODO za braki na stronach internetowych zwykle są niższe, ale realne.

Skala naruszeniaTypowa reakcja UODOPrzykład
Drobne braki formalne (brak klauzuli przy formularzu)Wezwanie do wyjaśnień i poprawekFormularz kontaktowy bez informacji o administratorze
Brak polityki prywatności lub banera cookieDecyzja nakazująca usunięcie naruszenia, czasem kara finansowaSklep bez informacji o przekazywaniu danych kurierowi
Wyciek danych bez zgłoszenia do UODO w 72 godzinyWysoka kara finansowaBaza klientów wykradziona z niezabezpieczonego formularza

Najczęstszym skutkiem kontroli nie jest kara, ale wezwanie do wyjaśnień i naprawy w wyznaczonym terminie. To wciąż kosztuje czas, nadszarpuje reputację i, jeśli firma nie zareaguje, prowadzi do kolejnych, poważniejszych kroków.

Kto odpowiada za RODO na stronie: firma czy agencja?

Za zgodność z RODO odpowiada administrator danych, czyli właściciel firmy, nie agencja, która zbudowała stronę. Agencja odpowiada za techniczne wdrożenie elementów (SSL, baner cookie, formularz z klauzulą), ale treść polityki prywatności i decyzje o tym, jakie dane są zbierane i dlaczego, to odpowiedzialność biznesowa właściciela.

W praktyce dobra agencja przygotowująca stronę internetową powinna zapytać o to na etapie briefu: jakie formularze będą na stronie, czy planowany jest newsletter, czy sklep będzie przekazywał dane kurierowi i systemowi płatności. Bez tych informacji nie da się przygotować poprawnej dokumentacji.

Jak wdrożyć RODO na istniejącej stronie krok po kroku

Wdrożenie RODO na stronie, która już działa, zajmuje zwykle od kilku dni do dwóch tygodni, zależnie od liczby formularzy i integracji.

  1. Audyt strony: sprawdź, jakie dane zbiera każdy formularz, jakie skrypty analityczne i marketingowe są zainstalowane, czy jest certyfikat SSL.
  2. Lista dostawców: zidentyfikuj każdą firmę, która ma dostęp do danych, na przykład hosting, system mailingowy, operatora płatności, firmę kurierską.
  3. Umowy powierzenia: podpisz umowy powierzenia przetwarzania danych z każdym dostawcą z punktu 2.
  4. Polityka prywatności: napisz dokument opisujący konkretnie to, co dzieje się na tej stronie, nie kopiuj szablonu.
  5. Baner cookie: wdróż baner z realnym wyborem i blokadą skryptów przed zgodą.
  6. Klauzule przy formularzach: dodaj krótką informację o administratorze i celu przetwarzania przy każdym formularzu.
  7. Procedura na wypadek wycieku: ustal, kto w firmie zgłasza naruszenie do UODO i w jakim terminie.

Po wdrożeniu warto wrócić do tematu bezpieczeństwa strony internetowej jako całości. RODO i bezpieczeństwo techniczne to dwie strony tego samego problemu: ochrony danych klientów.

Najczęstsze pytania

Czy mała firma bez sklepu internetowego też musi mieć RODO na stronie?

Tak. Jeśli strona ma formularz kontaktowy, licznik Google Analytics albo zapis na newsletter, obowiązek dotyczy jej tak samo jak dużego sklepu. Skala firmy nie zmniejsza obowiązków, zmienia tylko skalę ryzyka kary.

Czy wystarczy gotowy szablon polityki prywatności z internetu?

Nie. Szablon nie opisuje konkretnych narzędzi i procesów działających na danej stronie, więc formalnie nie spełnia wymogu informowania użytkownika o rzeczywistym przetwarzaniu jego danych. Trzeba go dopasować do faktycznych integracji i formularzy.

Jak długo trzeba przechowywać dane z formularza kontaktowego?

Nie ma jednego sztywnego terminu. Zależy od celu przetwarzania. Dane z zapytania, które nie zakończyło się współpracą, zwykle powinny zostać usunięte po kilku miesiącach, jeśli firma nie ma innej podstawy prawnej do ich dalszego przechowywania.

Czy trzeba zgłaszać każdy wyciek danych do UODO?

Nie każdy, ale każdy, który stwarza ryzyko dla praw i wolności osób, których dane wyciekły, i to w ciągu 72 godzin od wykrycia. Bezpieczniej ocenić ryzyko z prawnikiem niż zakładać, że drobny incydent nie wymaga zgłoszenia.

W praktyce najczęściej wezwanie do wyjaśnień i termin na wdrożenie poprawek. Przy powtarzającym się braku reakcji lub przy dużej skali zbieranych danych ryzyko realnej kary finansowej rośnie.


Potrzebujesz pomocy z wdrożeniem RODO na stronie firmowej lub w sklepie internetowym? Sprawdź moją ofertę tworzenia stron internetowych. Zgodność z przepisami ustalamy już na etapie briefu.

Porozmawiajmy o Twoim projekcie

Opisz czego potrzebujesz – odezwiemy się w ciągu 24h z bezpłatną wyceną.

Bezpłatna wycena

lub napisz do nas bezpośrednio