RODO w e-commerce: niezbędny krok dla Twojego sklepu

Zanim zaczniesz wdrazac cokolwiek, musisz wiedziec, jakie dane przetwarzasz. Typowy sklep e-commerce zbiera:

Dane podane przez klienta:
- Imie i nazwisko
- Adres e-mail
- Adres dostawy i rozliczeniowy
- Numer telefonu
- NIP (przy fakturach)

Dane zbierane automatycznie:
- Adres IP
- Pliki cookies (analityczne, marketingowe, funkcjonalne)
- Historia przegladania i zamowien
- Dane z formularzy kontaktowych
- Dane z systemow platnosci (przetwarza bramka, ale Ty je przekazujesz)

Na jakiej podstawie mozesz je przetwarzac?

RODO wymaga podstawy prawnej. W e-commerce korzystasz glownie z trzech:
1. Wykonanie umowy (art. 6 ust. 1 lit. b) – przetwarzanie danych potrzebnych do realizacji zamowienia. Nie wymaga osobnej zgody.
2. Obowiazek prawny (art. 6 ust. 1 lit. c) – np. przechowywanie faktur przez 5 lat.
3. Zgoda (art. 6 ust. 1 lit. a) – na newsletter, marketing, cookies analityczne i reklamowe. Musi byc dobrowolna, konkretna i mozliwa do wycofania.

Kluczowa zasada: do realizacji zamowienia nie potrzebujesz zgody – masz podstawe w umowie. Zgoda jest potrzebna na dzialania wykraczajace poza zamowienie (newsletter, remarketing, profilowanie).

Potrzebujesz pomocy przy wdrożeniu? Sprawdź naszą realizację sklepu internetowego.

Minimum, ktore musisz miec na stronie w 2026 roku:

1. Polityka prywatnosci – musi zawierac:
- Kto jest administratorem danych (Twoja firma, adres, kontakt)
- Jakie dane zbierasz i w jakim celu
- Na jakiej podstawie prawnej
- Komu udostepniasz dane (kurierzy, bramki platnosci, hosting, narzedzia analityczne)
- Jak dlugo przechowujesz dane
- Prawa klienta (dostep, sprostowanie, usuniecie, przenoszenie)
- Informacja o profilowaniu (jesli stosujesz)

2. Polityka cookies – informacja o plikach, ich kategoriach i czasie przechowywania. Moze byc czescia polityki prywatnosci lub osobnym dokumentem.

3. Regulamin sklepu – z zapisami o ochronie danych, procedurze reklamacji i prawach konsumenta.

4. Rejestr czynnosci przetwarzania – od 2026 roku UODO oczekuje uproszczonej dokumentacji nawet od mikrofirm. To wewnetrzny dokument (nie musi byc na stronie) opisujacy, jakie dane przetwarzasz, w jakim celu, komu je przekazujesz i jak je zabezpieczasz.

Gdzie umiescic dokumenty? Polityka prywatnosci i cookies – w stopce strony (link widoczny na kazdej podstronie). Regulamin – dostepny przed finalizacja zamowienia i w stopce.

To pole minowe. Zle skonfigurowane zbieranie zgod to najczestszy powod kar RODO w e-commerce.

Checkboxy w formularzu zamowienia:
- Zgoda na regulamin i polityke prywatnosci (wymagana, ale to nie jest "zgoda RODO" – to akceptacja warunkow umowy)
- Zgoda na newsletter/marketing (osobny checkbox, NIEZAZNACZONY domyslnie)
- Zgoda na profilowanie (jesli stosujesz rekomendacje produktowe)

Kazda zgoda musi byc odrebna – jeden checkbox "zgadzam sie na wszystko" jest niezgodny z RODO.

Cookie consent banner:
W 2026 roku wymagania sa jasne: uzytkownik musi moc zaakceptowac, odrzucic lub wybrac kategorie cookies. Przycisk "odrzuc" musi byc tak samo widoczny jak "akceptuj" – chowanie go w ustawieniach to naruszenie.

Wtyczki WooCommerce do zarzadzania zgodami:
- Complianz – najpopularniejsza, automatycznie skanuje cookies, generuje polityke, blokuje skrypty do momentu zgody. Darmowa wersja + Premium od ok. 45 EUR/rok.
- CookieYes – dobra alternatywa, prosta konfiguracja, darmowa do 100 stron. Premium od 89 USD/rok.
- GDPR Cookie Consent (WebToffee) – darmowa, podstawowa, ale dziala.

Konfiguracja zajmuje 30–60 minut. Wiecej szczegolow w poradniku jak zainstalowac RODO w WordPress.

Potrzebujesz pomocy z RODO w sklepie? Skontaktuj sie z nami – wdrozymy polityke prywatnosci, cookies i consent management.

RODO daje klientom konkretne prawa. Musisz umiec je zrealizowac:

• Prawo dostepu – klient pyta "jakie dane macie o mnie?" Musisz odpowiedziec w ciagu 30 dni.
• Prawo do sprostowania – klient chce zmienic adres lub dane. W WooCommerce – edycja konta klienta.
• Prawo do usoniecia ("bycie zapomnianym") – klient zada usuniecia swoich danych. Uwaga: nie mozesz usunac danych potrzebnych do realizacji obowiazkow prawnych (np. faktury przechowujesz 5 lat).
• Prawo do przenoszenia – klient chce otrzymac swoje dane w formacie czytelnym maszynowo (CSV, JSON).

W WooCommerce: Narzedzia > Dane osobowe > pozwala eksportowac i usuwac dane klienta. To wbudowana funkcjonalnosc od WooCommerce 3.4.

Praktyczna wskazowka: Przygotuj szablon odpowiedzi na zapytania – wiekszosc zapytan jest podobna. Masz 30 dni na odpowiedz, ale szybka reakcja buduje zaufanie.

RODO wymaga "odpowiednich srodkow technicznych i organizacyjnych". Co to znaczy dla sklepu na WooCommerce?

Obowiazkowe minimum:
- SSL/TLS – certyfikat HTTPS na calej stronie. Brak SSL = brak szyfrowania danych przy zamowieniu = naruszenie.
- Silne hasla + 2FA – dla konta admina WordPress. Wtyczki: Wordfence, WP 2FA.
- Regularne backupy – automatyczne kopie bazy danych i plikow. W razie awarii – mozesz odtworzyc dane.
- Aktualizacje – WordPress, WooCommerce, wtyczki. Nieaktualizowany sklep to otwarte drzwi.

Procedura wycieku danych:
Jesli dojdzie do wycieku (np. atak hakerski, wyciek bazy klientow) – masz 72 godziny na zgloszenie incydentu do UODO. Jesli wyciek zagraza prawom klientow – musisz tez ich poinformowac. Brak zgloszenia to osobna kara.

Przygotuj procedure zawczasu: Kto zglasza, jakie dane zbierac o incydencie, jak powiadamiac klientow. Nie spisuj tego po fakcie.

Kary RODO nie sa abstrakcja – polskie firmy juz je placa:

• Morele.net – 2,83 mln zl (wyciek danych 2,2 mln klientow)
• Virgin Mobile – 1,97 mln zl (brak odpowiednich zabezpieczen)
• Bisnode (Dun & Bradstreet) – 943 tys. zl (brak informacji o przetwarzaniu)

Kary moga siegnac do 20 mln EUR lub 4% rocznego obrotu – obowiazuje wyzsza kwota.

Nowe w 2026: UODO zapowiedzial intensyfikacje kontroli – nie tylko duzych firm, ale tez mikroprzedsiebiorstw e-commerce. Kontrole czesto wynikaja ze skarg klientow (np. brak mozliwosci usoniecia danych, spam bez zgody). UOKiK rowniez sprawdza zgodnosc regulaminow i consent bannerow.

Jak sie przygotowac? Miej aktualne dokumenty, dzialajacy consent banner, procedure wycieku i mozliwosc realizacji praw klientow. To nie jest "na wszelki wypadek" – to standard prowadzenia sklepu w 2026 roku.