RODO w sklepie internetowym – wymagania, koszty i kary w 2026 roku

RODO (GDPR) obowiazuje od maja 2018 roku, ale przepisy sa regularnie aktualizowane, a UODO (Urzad Ochrony Danych Osobowych) coraz aktywniej kontroluje e-commerce. Sprawdz, co dokladnie musisz miec ogarniate.

Rejestr czynnosci przetwarzania danych Kazdy sklep musi prowadzic rejestr opisujacy: jakie dane zbierasz (imie, adres, email, IP), w jakim celu (realizacja zamowienia, marketing), jak dlugo je przechowujesz i komu je udostepniasz. Nie musi byc skomplikowany – wystarczy tabela w Excelu.

Polityka prywatnosci i klauzule informacyjne Art. 13 RODO wymaga, zeby przy KAZDYM formularzu (rejestracja, zamowienie, newsletter) informowac klienta o przetwarzaniu danych. Polityka prywatnosci musi byc dostepna i aktualna. Wiecej o tym w naszym poradniku o polityce prywatnosci sklepu.

Zgody marketingowe Newsletter, remarketing na Facebooku, Google Ads – kazdy z tych kanalow wymaga oddzielnej, dobrowolnej zgody klienta. Zaznaczone z gory checkboxy sa niezgodne z RODO. Wazne: zgoda musi byc tak samo latwa do wycofania, jak do udzielenia.

Umowy powierzenia danych Kazdy podmiot, ktory przetwarza dane Twoich klientow (hosting, bramka platnosci, firma kurierska, narzedzie e-mail marketingowe) wymaga umowy powierzenia danych. W praktyce wiekszosc dostawcow (np. CyberFolks, Przelewy24, InPost) udostepnia gotowe umowy w panelu klienta.

Potrzebujesz minimum czterech dokumentow.

Polityka prywatnosci Dokument opisujacy kto jest administratorem danych, jakie dane sa zbierane, w jakim celu, jak dlugo i jakie prawa przysluguja klientowi. Musi zawierac dane kontaktowe administratora (lub IOD) i informacje o prawie do skargi do UODO.

Regulamin sklepu (aspekty RODO) Regulamin nie zastepuje polityki prywatnosci, ale musi zawierac informacje o ochronie danych osobowych – szczegolnie w kontekscie realizacji zamowien, reklamacji i prawa do odstapienia od umowy.

Banner cookies i consent management Od wejscia w zycie ePrivacy Directive (implementacja w Polsce od 2019) kazda strona musi informowac o plikach cookies i uzyskac zgode na te, ktore nie sa niezbedne (analytics, marketing). Popularne rozwiazania: CookieBot (darmowy do 100 stron), GDPR Cookie Consent (darmowa wtyczka WordPress), CookieYes.

Procedura obslugi praw klientow Klient moze zażadac: dostepu do swoich danych, ich sprostowania, usunicia (prawo do bycia zapomnianym), ograniczenia przetwarzania lub przeniesienia danych. Musisz miec procedure obslugi tych zadan – i odpowiadac w ciagu 30 dni.

Ile zaplacisz? Zalazy od tego, czy robisz to sam, czy z prawnikiem.

Samodzielnie – 0 do 500 zl Generatory polityki prywatnosci online (np. iubenda, Polityka Prywatnosci Generator) tworza dokumenty na podstawie ankiety. Darmowe wersje sa podstawowe, platne (100–300 zl) – bardziej szczegolowe. Plusy: szybko i tanio. Minusy: generyczne, moga nie uwzgledniac specyfiki Twojego sklepu.

Z prawnikiem – 1 000 do 5 000 zl Prawnik specjalizujacy sie w RODO przygotuje komplet dokumentow: polityke prywatnosci, klauzule informacyjne, rejestr, wzory umow powierzenia. Koszt zalezy od zlozonosci sklepu (liczba integracji, kanaly marketingowe). To najlepszy stosunek ceny do bezpieczenstwa.

Pelny audyt i wdrozenie – 3 000 do 15 000 zl Dla wiekszych sklepow (100+ zamowien dziennie, wiele integracji) pelny audyt RODO obejmuje: analize wszystkich procesow przetwarzania, ocen ryzyka, przygotowanie dokumentacji, szkolenie zespolu i wdrozenie procedur. Czesto wymagany, gdy sklep przetwarza dane wrazliwe (np. dane medyczne).

Inwestycja w RODO to zlamnkowek w porownaniu z potencjalna kara. Skontaktuj sie z nami – tworzymy sklepy WooCommerce z pelna dokumentacja prawna od pierwszego dnia.

Kary? Do 20 mln EUR albo 4% rocznego obrotu. Brzmi abstrakcyjnie, wiec popatrzmy na realne przypadki.

Kary dla malych firm UODO nie oszczedza malych przedsiebiorcow. Przykladowe kary z ostatnich lat: - Sklep internetowy z Krakowa: 25 000 zl za brak polityki prywatnosci i rejestru przetwarzania - Firma e-commerce z Warszawy: 50 000 zl za brak odpowiedzi na zadania dostepu do danych - Jednoosobowa dzialalnosc: 10 000 zl za niezglosenie naruszenia ochrony danych w 72h

Najwieksze kary UODO w Polsce W latach 2019–2025 UODO nalozyl kary laczne przekraczajace 64 mln zl. Najwieksza kara dla e-commerce: 2,8 mln zl (Morele.net za wyciek danych 2,2 mln klientow). Rekordowa kara ogolna: 4,9 mln zl (Fortum Marketing and Sales).

Zmiany regulacyjne 2026 UE pracuje nad Digital Omnibus Directive, ktora uprosci czesc obowiazkow RODO dla mikroprzedsiebiorcow (do 10 pracownikow i 2 mln EUR obrotu). Planowane wejscie w zycie: jesien 2026. Do tego czasu – pelne obowiazki RODO obowiazuja wszystkich.

Przelec te punkty i odhacz, co juz masz:

1. Polityka prywatnosci – aktualna, dostepna z kazdej podstrony (link w stopce)
2. Klauzule informacyjne – przy formularzu zamowienia, rejestracji, newslettera
3. Banner cookies – z mozliwoscia odrzucenia cookies marketingowych
4. Rejestr czynnosci przetwarzania – lista celw, danych, odbiorcow
5. Umowy powierzenia danych – z hostingiem, bramka platnosci, kurierem, narzedziem e-mail
6. Zgody marketingowe – oddzielne checkboxy (niezaznaczone domyslnie)
7. Procedura obslugi praw klientow – usuwanie, dostep, przenoszenie danych
8. Procedura zglaszania naruszen – zglosnie do UODO w 72h
9. Szkolenie zespolu – pracownicy musza znac zasady przetwarzania danych
10. Regularny przegld – aktualizacja dokumentow po kazdej zmianie w sklepie (nowa integracja, nowy kanal marketingowy)

Brakuje Ci ktoregos elementu? Nie ryzykuj kary – skontaktuj sie z nami po konsultacje.

Klienci czesto pytaja mnie, czy mogą samodzielnie wdrozyc RODO. Technicznie tak, ale prawnie – to ryzyko. Widzialem kary UOKiK za zle sformulowane klauzule zgody, ktore kosztowaly wielokrotnie wiecej niz konsultacja z prawnikiem. Minimum to audyt prawny za 2000-3000 zl, ktory zwroci sie przy pierwszej kontroli. Jesli potrzebujesz pomocy – napisz do nas.