Polityka prywatności sklepu internetowego – co musi zawierać w 2026 roku

Koszt polityki prywatności dla sklepu internetowego waha się od 0 zł (darmowy generator) do 2000-4000 zł za komplet dokumentów od prawnika. Cena zależy od jednej rzeczy: jak bardzo dokument ma być dopasowany do Twojego realnego procesu sprzedaży.

Na rynku funkcjonują cztery ścieżki i każda ma inny profil ryzyka. Gotowy wzór od prawnika kosztuje zwykle 150-400 zł i daje najlepszy stosunek ceny do bezpieczeństwa dla typowego sklepu. Indywidualny dokument pod konkretną działalność to 1500-4000 zł i ma sens przy nietypowych integracjach albo danych wrażliwych.

Poniżej orientacyjne widełki rynkowe (stan na 2026 rok) – traktuj je jako punkt odniesienia, nie cennik konkretnej kancelarii.

Ważna uwaga: to wiedza praktyczna z perspektywy agencji wdrażającej sklepy, a nie porada prawna. Przy danych wrażliwych albo wątpliwościach co do podstaw przetwarzania skonsultuj dokument z radcą prawnym od RODO.

Tak. Każdy sklep internetowy, który zbiera jakiekolwiek dane osobowe – a robi to przy pierwszym zamówieniu albo zapisie na newsletter – musi mieć politykę prywatności. Obowiązek wynika z art. 13 RODO (Ogólne rozporządzenie o ochronie danych), które obowiązuje w całej UE od maja 2018 roku.

Obowiązek nie zależy od wielkości sklepu ani formy działalności. JDG sprzedająca świeczki podlega tym samym przepisom co duża platforma z magazynem. Różnica jest w skali ryzyka i w tym, czy musisz powołać Inspektora Ochrony Danych (IOD).

Polityka prywatności a regulamin – to dwa różne dokumenty Regulamin sklepu reguluje warunki sprzedaży: zwroty, reklamacje, dostawy, prawo odstąpienia. Polityka prywatności dotyczy wyłącznie danych osobowych – tego, jak je zbierasz, w jakim celu i jak chronisz. To dwa oddzielne dokumenty, choć w stopce sklepu zwykle linkuje się je obok siebie.

W naszych wdrożeniach widzimy, że wielu właścicieli myli te pojęcia i wkleja do regulaminu fragmenty o cookies. To błąd – regulamin i polityka prywatności mają inne podstawy prawne i inny zakres.

Art. 13 RODO precyzyjnie określa, co musi znaleźć się w dokumencie. Poniżej elementy obowiązkowe – jeśli któregokolwiek brakuje, dokument formalnie nie spełnia obowiązku informacyjnego.

Dane administratora Pełna nazwa firmy, adres siedziby, NIP i dane kontaktowe. Jeśli prowadzisz JDG – imię, nazwisko i adres prowadzenia działalności. Klient musi wiedzieć, KTO przetwarza jego dane.

Dane Inspektora Ochrony Danych (IOD) Jeśli powołałeś IOD, podajesz imię, nazwisko i dane kontaktowe. Mały sklep zwykle nie ma obowiązku powołania IOD – chyba że przetwarza dane wrażliwe na dużą skalę.

Cele i podstawy prawne przetwarzania Konkretna lista celów: realizacja zamówienia, założenie konta, newsletter, remarketing, analityka, obsługa reklamacji. Dla każdego celu wskazujesz podstawę: zgoda (art. 6 ust. 1 lit. a), umowa (lit. b), obowiązek prawny (lit. c) lub uzasadniony interes (lit. f). Przykład: realizacja zamówienia – umowa; newsletter – zgoda; faktura VAT – obowiązek prawny.

Okres przechowywania, prawa klienta i odbiorcy Dokumentacja zamówienia – zwykle 5 lat (obowiązek podatkowy), konto klienta – do usunięcia, dane marketingowe – do wycofania zgody. Do tego prawa klienta: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie i sprzeciw, plus skarga do UODO. Wreszcie lista kategorii odbiorców: firma hostingowa, bramka płatności, kurier, narzędzia marketingowe. Wystarczą kategorie odbiorców, choć nazwy zwiększają przejrzystość.

Wybór ścieżki to przede wszystkim ocena ryzyka, nie ceny. Najtańszy dokument, który nie pasuje do Twojego sklepu, jest droższy niż wzór za 300 zł, bo nie chroni przed niczym.

Dla większości typowych sklepów WooCommerce optymalny jest gotowy wzór od prawnika za 150-400 zł, który uzupełniasz o własne dane. Indywidualny dokument za kilka tysięcy złotych ma sens, gdy przetwarzasz dane wrażliwe (np. sklep z suplementami) albo masz nietypowy proces, którego żaden szablon nie obejmie.

Największej ostrożności wymaga ChatGPT i inne modele AI. Potrafią napisać dokument, który wygląda profesjonalnie, ale halucynują podstawy prawne, mylą numery artykułów i nie wiedzą, jakie cookies realnie ustawia Twój sklep. Jeśli już używasz AI, traktuj wynik jak szkic do weryfikacji przez człowieka, nigdy jak dokument gotowy do publikacji.

Polityka prywatności to jeden z kilku dokumentów, które sklep powinien mieć. W praktyce kupuje się je w pakiecie, bo razem wychodzi taniej niż osobno.

Na komplet zgodności składają się: polityka prywatności, polityka cookies, regulamin sklepu, klauzule zgody w formularzach oraz rejestr czynności przetwarzania. Orientacyjne widełki rynkowe wyglądają tak:

Kalkulacja jest prosta. Komplet wzorów od prawnika za 400-900 zł to ułamek kosztu pierwszej kary albo sporu z klientem. Konfiguracja techniczna – podlinkowanie dokumentów, banner cookies, checkboxy zgód w checkoucie – to osobna warstwa; przy budowie sklepu z agencją zwykle wchodzi w zakres wdrożenia.

Jeśli zaczynasz od zera, warto od razu pomyśleć, jak dokumenty wpinają się w architekturę sklepu. Dobrze zaprojektowane sklepy internetowe traktują zgodność prawną jako część checklisty wdrożeniowej, a nie element doklejany w ostatniej chwili przed startem sprzedaży.

Polityka cookies może być częścią polityki prywatności, ale wygodniej trzymać ją osobno. Ważniejsze od tekstu jest to, co dzieje się technicznie w przeglądarce klienta.

Jakie cookies ustawia sklep WooCommerce WooCommerce domyślnie zapisuje cookies niezbędne do działania: - `woocommerce_cart_hash` i `woocommerce_items_in_cart` – koszyk - `wp_woocommerce_session_*` – sesja zakupowa - `wordpress_logged_in_*`, `wordpress_sec_*` – logowanie

Do tego dochodzi wszystko, co dodasz sam: Google Analytics 4, Meta Pixel, Hotjar, czat na żywo. To właśnie te cookies marketingowe i analityczne wymagają zgody.

Banner zgody musi działać zanim odpalisz skrypty Przepisy wymagają, żeby klient mógł zaakceptować LUB odrzucić cookies niefunkcjonalne, ZANIM zaczniesz je zbierać. To niuans, który większość sklepów łamie: banner jest, ale Google Analytics i tak ładuje się od razu po wejściu. To narusza zasadę uprzedniej zgody.

Popularne wtyczki consent management:
- Complianz – darmowa wersja plus płatne plany ok. 49 EUR/rok, automatyczny skan cookies
- CookieYes – darmowy do limitu podstron, prosty kreator
- CookieBot – darmowy do limitu podstron, automatyczne skanowanie i blokowanie skryptów

Co wpisać przy GA4 i Meta Pixel Dla Google Analytics 4: informację, że korzystasz z narzędzia do analizy ruchu i że dane mogą być przetwarzane przez Google poza UE na podstawie odpowiednich zabezpieczeń. Dla Meta Pixel: że używasz piksela do remarketingu, a dane trafiają do Meta Platforms Ireland. Bez tych wzmianek dokument jest niekompletny, nawet jeśli ma 10 stron.

Po przejrzeniu dziesiątek polskich sklepów widzimy w kółko te same usterki – w większości to kopiuj-wklej bez zrozumienia.

1. Kopiowanie z innej strony. Każdy sklep ma inne integracje, cele i proces zamówieniowy. Skopiowana polityka opisuje cudzy sklep – wymienia narzędzia, których nie masz, i pomija te, których używasz.

2. Brak aktualizacji. Dodałeś Meta Pixel pół roku temu, a w polityce go nie ma? To naruszenie. Każda nowa integracja wymaga aktualizacji dokumentu.

3. Pominięcie profilowania i remarketingu. Jeśli używasz GA4, Meta Pixel albo remarketingu Google Ads, musisz o tym poinformować. To forma profilowania, która wymaga oddzielnej wzmianki.

4. Ogólnikowe sformułowania. Zdanie typu dane mogą być udostępniane podmiotom trzecim to za mało. Trzeba określić, jakim kategoriom podmiotów i w jakim celu.

5. Brak procedury obsługi praw klienta. Klient pisze: usuń moje dane. Masz na to 30 dni. Bez procedury łatwo przegapić termin – a to kolejne naruszenie.

WordPress i WooCommerce mają wbudowane narzędzia, które robią większą część roboty – wystarczy je poprawnie skonfigurować.

Strona polityki i jej podpięcie W panelu WordPress wejdź w Ustawienia > Prywatność i wybierz lub utwórz stronę z polityką prywatności. WooCommerce wygeneruje szkielet z podstawowymi sekcjami – uzupełnij go o dane administratora, cele, odbiorców i cookies.

Dokument musi być dostępny w czterech miejscach:
- w stopce widocznej na każdej podstronie,
- w formularzu zamówienia (checkbox zgody, nigdy domyślnie zaznaczony),
- przy rejestracji konta,
- przy zapisie na newsletter.

Co grozi za brak dokumentu Brak polityki prywatności to naruszenie art. 13 RODO. Maksymalna kara przewidziana w rozporządzeniu to 20 mln EUR lub 4 procent rocznego obrotu. W polskiej praktyce UODO nakładał na mniejsze podmioty kary liczone w dziesiątkach tysięcy złotych. Częstszym realnym kosztem jest jednak utrata zaufania klienta widzącego sklep bez podstawowych dokumentów.

Jeśli budujesz sklep od podstaw i chcesz mieć komplet dokumentacji oraz poprawnie skonfigurowany consent od pierwszego dnia, napisz do nas – konfigurujemy warstwę techniczną zgodnie z RODO, a treść dokumentów zostawiamy w rękach prawnika.