RODO w e-commerce: niezbędny krok dla Twojego sklepu

Zanim zaczniesz wdrażać cokolwiek, musisz wiedzieć, jakie dane przetwarzasz. Typowy sklep e-commerce zbiera:

Dane podane przez klienta:
- Imię i nazwisko
- Adres e-mail
- Adres dostawy i rozliczeniowy
- Numer telefonu
- NIP (przy fakturach)

Dane zbierane automatycznie:
- Adres IP
- Pliki cookies (analityczne, marketingowe, funkcjonalne)
- Historia przeglądania i zamówień
- Dane z formularzy kontaktowych
- Dane z systemów płatności (przetwarza bramka, ale Ty je przekazujesz)

Na jakiej podstawie możesz je przetwarzać?

RODO wymaga podstawy prawnej. W e-commerce korzystasz głównie z trzech:
1. Wykonanie umowy (art. 6 ust. 1 lit. b) – przetwarzanie danych potrzebnych do realizacji zamówienia. Nie wymaga osobnej zgody.
2. Obowiązek prawny (art. 6 ust. 1 lit. c) – np. przechowywanie faktur przez 5 lat.
3. Zgoda (art. 6 ust. 1 lit. a) – na newsletter, marketing, cookies analityczne i reklamowe. Musi być dobrowolna, konkretna i możliwa do wycofania.

Kluczowa zasada: do realizacji zamówienia nie potrzebujesz zgody – masz podstawę w umowie. Zgoda jest potrzebna na działania wykraczające poza zamówienie (newsletter, remarketing, profilowanie).

Potrzebujesz pomocy przy wdrożeniu? Sprawdź naszą realizację sklepu internetowego.

Minimum, które musisz mieć na stronie w 2026 roku:

1. Polityka prywatności – musi zawierać:
- Kto jest administratorem danych (Twoja firma, adres, kontakt)
- Jakie dane zbierasz i w jakim celu
- Na jakiej podstawie prawnej
- Komu udostępniasz dane (kurierzy, bramki płatności, hosting, narzędzia analityczne)
- Jak długo przechowujesz dane
- Prawa klienta (dostęp, sprostowanie, usunięcie, przenoszenie)
- Informacja o profilowaniu (jeśli stosujesz)

2. Polityka cookies – informacja o plikach, ich kategoriach i czasie przechowywania. Może być częścią polityki prywatności lub osobnym dokumentem.

3. Regulamin sklepu – z zapisami o ochronie danych, procedurze reklamacji i prawach konsumenta.

4. Rejestr czynności przetwarzania – od 2026 roku UODO oczekuje uproszczonej dokumentacji nawet od mikrofirm. To wewnętrzny dokument (nie musi być na stronie) opisujący, jakie dane przetwarzasz, w jakim celu, komu je przekazujesz i jak je zabezpieczasz.

Gdzie umieścić dokumenty? Polityka prywatności i cookies – w stopce strony (link widoczny na każdej podstronie). Regulamin – dostępny przed finalizacja zamówienia i w stopce.

To pole minowe. Zle skonfigurowane zbieranie zgód to najczęstszy powód kar RODO w e-commerce.

Checkboxy w formularzu zamówienia:
- Zgoda na regulamin i politykę prywatności (wymagana, ale to nie jest "zgoda RODO" – to akceptacja warunków umowy)
- Zgoda na newsletter/marketing (osobny checkbox, NIEZAZNACZONY domyślnie)
- Zgoda na profilowanie (jeśli stosujesz rekomendacje produktowe)

Kazda zgoda musi być odrębną – jeden checkbox "zgadzam się na wszystko" jest niezgodny z RODO.

Cookie consent banner:
W 2026 roku wymagania sa jasne: użytkownik musi moc zaakceptować, odrzucić lub wybrać kategorie cookies. Przycisk "odrzuć" musi być tak samo widoczny jak "akceptuj" – chowanie go w ustawieniach to naruszenie.

Wtyczki WooCommerce do zarządzania zgodami:
- Complianz – najpopularniejsza, automatycznie skanuje cookies, generuje politykę, blokuje skrypty do momentu zgody. Darmowa wersja + Premium od ok. 45 EUR/rok.
- CookieYes – dobra alternatywa, prosta konfiguracja, darmowa do 100 stron. Premium od 89 USD/rok.
- GDPR Cookie Consent (WebToffee) – darmowa, podstawowa, ale działa.

Konfiguracja zajmuje 30–60 minut. Więcej szczegółów w poradniku jak zainstalować RODO w WordPress.

Potrzebujesz pomocy z RODO w sklepie? Skontaktuj się z nami – wdrożymy politykę prywatności, cookies i consent management.

RODO daje klientom konkretne prawa. Musisz umieć je zrealizować:

• Prawo dostępu – klient pyta "jakie dane macie o mnie?" Musisz odpowiedzieć w ciągu 30 dni.
• Prawo do sprostowania – klient chce zmienić adres lub dane. W WooCommerce – edycja konta klienta.
• Prawo do usoniecia ("bycie zapomnianym") – klient żąda usunięcia swoich danych. Uwaga: nie możesz usunąć danych potrzebnych do realizacji obowiązków prawnych (np. faktury przechowujesz 5 lat).
• Prawo do przenoszenia – klient chce otrzymać swoje dane w formacie czytelnym maszynowo (CSV, JSON).

W WooCommerce: Narzędzia > Dane osobowe > pozwala eksportować i usuwać dane klienta. To wbudowana funkcjonalność od WooCommerce 3.4.

Praktyczna wskazówka: Przygotuj szablon odpowiedzi na zapytania – większość zapytań jest podobna. Masz 30 dni na odpowiedź, ale szybka reakcja buduje zaufanie.

RODO wymaga "odpowiednich środków technicznych i organizacyjnych". Co to znaczy dla sklepu na WooCommerce?

Obowiązkowe minimum:
- SSL/TLS – certyfikat HTTPS na całej stronie. Brak SSL = brak szyfrowania danych przy zamówieniu = naruszenie.
- Silne hasła + 2FA – dla konta admina WordPress. Wtyczki: Wordfence, WP 2FA.
- Regularne backupy – automatyczne kopie bazy danych i plików. W razie awarii – możesz odtworzyć dane.
- Aktualizacje – WordPress, WooCommerce, wtyczki. Nieaktualizowany sklep to otwarte drzwi.

Procedura wycieku danych:
Jeśli dojdzie do wycieku (np. atak hakerski, wyciek bazy klientów) – masz 72 godziny na zgłoszenie incydentu do UODO. Jeśli wyciek zagraża prawom klientów – musisz też ich poinformować. Brak zgłoszenia to osobna kara.

Przygotuj procedurę zawczasu: Kto zgłasza, jakie dane zbierać o incydencie, jak powiadamiac klientów. Nie spisuj tego po fakcie.

Kary RODO nie sa abstrakcją – polskie firmy już je płacą:

• Morele.net – 2,83 mln zl (wyciek danych 2,2 mln klientów)
• Virgin Mobile – 1,97 mln zl (brak odpowiednich zabezpieczeń)
• Bisnode (Dun & Bradstreet) – 943 tys. zl (brak informacji o przetwarzaniu)

Kary mogą sięgnąć do 20 mln EUR lub 4% rocznego obrotu – obowiązuje wyzsza kwota.

Nowe w 2026: UODO zapowiedział intensyfikacje kontroli – nie tylko dużych firm, ale też mikroprzedsiębiorstw e-commerce. Kontrolę często wynikają ze skarg klientów (np. brak możliwości usoniecia danych, spam bez zgody). UOKiK również sprawdza zgodność regulaminów i consent bannerów.

Jak się przygotować? Miej aktualne dokumenty, działający consent banner, procedurę wycieku i możliwość realizacji praw klientów. To nie jest "na wszelki wypadek" – to standard prowadzenia sklepu w 2026 roku.