RODO w sklepie internetowym – wymagania, koszty i kary w 2026 roku

RODO (GDPR) obowiązuje od mają 2018 roku, ale przepisy sa regularnie aktualizowane, a UODO (Urząd Ochrony Danych Osobowych) coraz aktywniej kontroluje e-commerce. Sprawdź, co dokładnie musisz mieć ogarniate.

Rejestr czynności przetwarzania danych Każdy sklep musi prowadzić rejestr opisujący: jakie dane zbierasz (imię, adres, email, IP), w jakim celu (realizacja zamówienia, marketing), jak długo je przechowujesz i komu je udostępniasz. Nie musi być skomplikowany – wystarczy tabela w Excelu.

Polityka prywatności i klauzule informacyjne Art. 13 RODO wymaga, żeby przy KAŻDYM formularzu (rejestracja, zamówienie, newsletter) informować klienta o przetwarzaniu danych. Polityka prywatności musi być dostępna i aktualna. Więcej o tym w naszym poradniku o polityce prywatności sklepu.

Zgody marketingowe Newsletter, remarketing na Facebooku, Google Ads – każdy z tych kanałów wymaga oddzielnej, dobrowolnej zgody klienta. Zaznaczone z góry checkboxy sa niezgodne z RODO. Ważne: zgoda musi być tak samo latwa do wycofania, jak do udzielenia.

Umowy powierzenia danych Każdy podmiot, który przetwarza dane Twoich klientów (hosting, bramka płatności, firma kurierska, narzędzie e-mail marketingowe) wymaga umowy powierzenia danych. W praktyce większość dostawców (np. CyberFolks, Przelewy24, InPost) udostępnia gotowe umowy w panelu klienta.

Potrzebujesz minimum czterech dokumentów.

Polityka prywatności Dokument opisujący kto jest administratorem danych, jakie dane sa zbierane, w jakim celu, jak długo i jakie prawa przysluguja klientowi. Musi zawierać dane kontaktowe administratora (lub IOD) i informacje o prawie do skargi do UODO.

Regulamin sklepu (aspekty RODO) Regulamin nie zastępuje polityki prywatności, ale musi zawierać informacje o ochronie danych osobowych – szczególnie w kontekście realizacji zamówień, reklamacji i prawa do odstąpienia od umowy.

Banner cookies i consent management Od wejścia w życie ePrivacy Directive (implementacja w Polsce od 2019) kazda strona musi informować o plikach cookies i uzyskać zgodę na te, które nie sa niezbędne (analytics, marketing). Popularne rozwiązania: CookieBot (darmowy do 100 stron), GDPR Cookie Consent (darmowa wtyczka WordPress), CookieYes.

Procedura obsługi praw klientów Klient może zażadac: dostępu do swoich danych, ich sprostowania, usunicia (prawo do bycia zapomnianym), ograniczenia przetwarzania lub przeniesienia danych. Musisz mieć procedurę obsługi tych zadan – i odpowiadać w ciągu 30 dni.

Ile zapłacisz? Zalazy od tego, czy robisz to sam, czy z prawnikiem.

Samodzielnie – 0 do 500 zl Generatory polityki prywatności online (np. iubenda, Polityka Prywatności Generator) tworzą dokumenty na podstawie ankiety. Darmowe wersje sa podstawowe, płatne (100–300 zl) – bardziej szczegółowe. Plusy: szybko i tanio. Minusy: generyczne, mogą nie uwzględniać specyfiki Twojego sklepu.

Z prawnikiem – 1 000 do 5 000 zl Prawnik specjalizujący się w RODO przygotuje komplet dokumentów: politykę prywatności, klauzule informacyjne, rejestr, wzory umów powierzenia. Koszt zależy od złożoności sklepu (liczba integracji, kanały marketingowe). To najlepszy stosunek ceny do bezpieczeństwa.

Pełny audyt i wdrożenie – 3 000 do 15 000 zl Dla większych sklepów (100+ zamówień dziennie, wiele integracji) pełny audyt RODO obejmuje: analizę wszystkich procesów przetwarzania, ocen ryzyka, przygotowanie dokumentacji, szkolenie zespołu i wdrożenie procedur. Często wymagany, gdy sklep przetwarza dane wrażliwe (np. dane medyczne).

Inwestycja w RODO to zlamnkowek w porównaniu z potencjalna kara. Skontaktuj się z nami – tworzymy sklepy WooCommerce z pelna dokumentacja prawna od pierwszego dnia.

Kary? Do 20 mln EUR albo 4% rocznego obrotu. Brzmi abstrakcyjnie, więc popatrzmy na realne przypadki.

Kary dla małych firm UODO nie oszczędza małych przedsiębiorców. Przykładowe kary z ostatnich lat: - Sklep internetowy z Krakowa: 25 000 zl za brak polityki prywatności i rejestru przetwarzania - Firma e-commerce z Warszawy: 50 000 zl za brak odpowiedzi na zadania dostępu do danych - Jednoosobowa działalność: 10 000 zl za niezglosenie naruszenia ochrony danych w 72h

Największe kary UODO w Polsce W latach 2019–2025 UODO nałożył kary łączne przekraczające 64 mln zl. Najwieksza kara dla e-commerce: 2,8 mln zl (Morele.net za wyciek danych 2,2 mln klientów). Rekordowa kara ogolna: 4,9 mln zl (Fortum Marketing and Sales).

Zmiany regulacyjne 2026 UE pracuje nad Digital Omnibus Directive, ktora uprości część obowiązków RODO dla mikroprzedsiebiorcow (do 10 pracowników i 2 mln EUR obrotu). Planowane wejście w życie: jesień 2026. Do tego czasu – pełne obowiązki RODO obowiązują wszystkich.

Przelec te punkty i odhacz, co już masz:

1. Polityka prywatności – aktualna, dostępna z każdej podstrony (link w stopce)
2. Klauzule informacyjne – przy formularzu zamówienia, rejestracji, newslettera
3. Banner cookies – z możliwością odrzucenia cookies marketingowych
4. Rejestr czynności przetwarzania – lista celw, danych, odbiorców
5. Umowy powierzenia danych – z hostingiem, bramka płatności, kurierem, narzędziem e-mail
6. Zgody marketingowe – oddzielne checkboxy (niezaznaczone domyślnie)
7. Procedura obsługi praw klientów – usuwanie, dostęp, przenoszenie danych
8. Procedura zgłaszania naruszeń – zglosnie do UODO w 72h
9. Szkolenie zespołu – pracownicy muszą znać zasady przetwarzania danych
10. Regularny przegld – aktualizacja dokumentów po każdej zmianie w sklepie (nowa integracja, nowy kanał marketingowy)

Brakuje Ci któregoś elementu? Nie ryzykuj kary – skontaktuj się z nami po konsultację.

Klienci często pytają mnie, czy mogą samodzielnie wdrożyć RODO. Technicznie tak, ale prawnie – to ryzyko. Widziałem kary UOKiK za zle sformułowane klauzule zgody, które kosztowaly wielokrotnie więcej niż konsultacja z prawnikiem. Minimum to audyt prawny za 2000-3000 zl, który zwróci się przy pierwszej kontroli. Jeśli potrzebujesz pomocy – napisz do nas.