RODO (GDPR) obowiązuje w Polsce od 25 maja 2018 roku i dotyczy każdego, kto przetwarza dane osobowe osób z Unii Europejskiej. W praktyce oznacza to niemal każdą stronę internetową: formularz kontaktowy zbiera imię i adres e-mail, komentarze zapisują IP, Google Analytics śledzi zachowanie, a sklep przechowuje dane do wysyłki. WordPress sam w sobie nie jest ani zgodny, ani niezgodny z RODO – to zestaw narzędzi, który można skonfigurować poprawnie albo zostawić dziurawym. W tym artykule pokazujemy, czego RODO wymaga od strony WWW od strony technicznej: jaką politykę prywatności przygotować, jak działają banery zgody na cookies i Consent Mode, jak zbierać zgody w formularzach oraz jak realizować prawo do usunięcia i eksportu danych. To materiał informacyjny, a nie porada prawna – treść dokumentów i zakres obowiązków warto skonsultować z prawnikiem lub inspektorem ochrony danych. Robimy [strony internetowe](/strony-internetowe/) i wdrożenia na [WordPress](/wordpress/) z myślą o zgodności z RODO już na etapie projektu, dlatego ten przewodnik traktujemy jako mapę całego tematu.
Krótka odpowiedź
Strona WordPress zgodna z RODO wymaga kilku elementów technicznych i organizacyjnych jednocześnie: czytelnej polityki prywatności i polityki cookies, baneru zgody, który technicznie blokuje skrypty śledzące (Google Analytics, Meta Pixel) do momentu wyrażenia zgody, checkboxów zgody w formularzach kontaktowych, mechanizmu wycofania zgody, możliwości eksportu i usunięcia danych użytkownika oraz umów powierzenia przetwarzania z dostawcami (hosting, narzędzia analityczne). Sam baner cookies nie wystarczy – kluczowe jest blokowanie skryptów przed zgodą oraz wdrożenie Google Consent Mode v2, jeśli korzystasz z reklam Google lub Meta.
WordPress ma wbudowane narzędzia do eksportu i usuwania danych w sekcji Narzędzia, a resztę realizują dedykowane wtyczki zgody.
Usługi KC Mobile
Sprawdź naszą ofertę
Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.
Co RODO wymaga od strony internetowej
RODO nie jest checkboxem, który się zaznacza, tylko zestawem zasad przetwarzania danych. Dla właściciela strony WWW najważniejsze jest zrozumienie, że dane osobowe to nie tylko imię i nazwisko – to również adres e-mail, numer telefonu, adres IP, identyfikatory cookies czy dane behawioralne zbierane przez narzędzia analityczne. Jeśli Twoja strona zbiera którekolwiek z nich, przetwarzasz dane osobowe i podlegasz RODO.
Z perspektywy strony internetowej RODO sprowadza się do kilku obowiązków. Po pierwsze, musisz mieć podstawę prawną przetwarzania – najczęściej jest to zgoda użytkownika (formularz, newsletter), wykonanie umowy (zamówienie w sklepie) lub uzasadniony interes administratora. Po drugie, musisz poinformować użytkownika, jakie dane zbierasz, w jakim celu, jak długo je przechowujesz i komu je przekazujesz – służy temu polityka prywatności. Po trzecie, musisz zapewnić użytkownikowi możliwość realizacji jego praw: dostępu do danych, sprostowania, usunięcia, przenoszenia oraz wycofania zgody w każdej chwili.
Osobnym, często mylonym z RODO wymogiem jest zgoda na pliki cookies. Reguluje ją dyrektywa ePrivacy oraz polskie Prawo telekomunikacyjne (art. 173), które wymaga zgody na przechowywanie informacji w urządzeniu użytkownika. W praktyce oba reżimy działają razem: cookies analityczne i marketingowe wolno załadować dopiero po wyrażeniu zgody. To właśnie dlatego sam tekst informacyjny o ciasteczkach to za mało – potrzebny jest realny mechanizm zgody.
Wolisz, żebyśmy zrobili to za Ciebie?
Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.
- Wdrożenie krok po kroku przez doświadczony zespół
- Konkretny timeline + cena dopasowana do projektu
- 18+ lat doświadczenia
Wolisz zlecić to nam? Strony internetowe od 3 000 zł – wycena w 24h →
Polityka prywatności i polityka cookies
Polityka prywatności to fundament zgodności – dokument, w którym informujesz użytkownika o przetwarzaniu danych. WordPress ma wbudowaną funkcję generowania szkicu polityki: w panelu znajdziesz *Ustawienia > Prywatność*, gdzie można utworzyć stronę polityki prywatności i skorzystać z gotowych podpowiedzi tekstowych. To jednak tylko punkt wyjścia – treść trzeba dopasować do realnego zakresu przetwarzania na Twojej stronie.
Dobra polityka prywatności na stronie WWW powinna zawierać co najmniej:
| Element | Co opisać |
|---|---|
| Administrator danych | Kto przetwarza dane (nazwa firmy, NIP, dane kontaktowe, ewentualny inspektor ochrony danych) |
| Zakres i cel | Jakie dane zbierasz (formularz, newsletter, komentarze, sklep) i po co |
| Podstawa prawna | Zgoda, umowa, uzasadniony interes – osobno dla każdego celu |
| Okres przechowywania | Jak długo trzymasz dane (np. do wycofania zgody, przez okres przedawnienia roszczeń) |
| Odbiorcy danych | Hosting, narzędzia analityczne, system mailingowy, bramka płatności |
| Prawa użytkownika | Dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw, skarga do PUODO |
| Cookies | Rodzaje plików, czas życia, cel, sposób zarządzania zgodą |
Politykę cookies można prowadzić jako osobny dokument albo jako sekcję polityki prywatności. Ważne, żeby opisać konkretne kategorie ciasteczek (niezbędne, analityczne, marketingowe, funkcjonalne), ich czas życia i to, które z nich pochodzą od podmiotów trzecich. Wtyczki zgody potrafią automatycznie skanować stronę i generować taką listę, co znacząco ułatwia utrzymanie aktualności dokumentu po dodaniu nowych skryptów.
Baner zgody na cookies i Consent Mode v2
Baner cookies to najbardziej widoczny element zgodności, ale jednocześnie najczęściej wdrażany błędnie. Kluczowa zasada brzmi: baner musi technicznie blokować skrypty śledzące przed wyrażeniem zgody (tzw. pre-consent blocking). Sam komunikat w stylu *Ta strona używa cookies* z przyciskiem OK nie spełnia wymogów RODO, jeśli Google Analytics czy Meta Pixel ładują się już przy wejściu na stronę, zanim użytkownik cokolwiek kliknął.
Poprawny baner powinien dawać trzy równorzędne opcje: akceptuj wszystkie, odrzuć wszystkie oraz ustawienia (granularny wybór kategorii). Przycisk odrzucenia musi być równie łatwo dostępny jak akceptacji – ukrywanie go w podmenu jest uznawane za tzw. dark pattern i bywa kwestionowane. Zgoda powinna być też możliwa do wycofania w każdej chwili, dlatego praktyką jest umieszczenie stałej ikony lub linku ponownie otwierającego ustawienia cookies.
Jeśli uruchamiasz reklamy w Google Ads albo kampanie Meta, dochodzi Google Consent Mode v2. To mechanizm, który przekazuje do narzędzi Google sygnał o stanie zgody użytkownika i odpowiednio dostosowuje zachowanie tagów. Od 2024 roku Consent Mode v2 jest praktycznym warunkiem korzystania z remarketingu i pełnego pomiaru konwersji w Europejskim Obszarze Gospodarczym. Większe wtyczki zgody (Complianz, Cookiebot, CookieYes) mają natywne wsparcie dla Consent Mode v2 i integrację z Google Tag Managerem, co pozwala wdrożyć go bez ręcznego kodowania.
Formularze kontaktowe, newsletter i zgody
Formularze to miejsce, w którym najczęściej zbierasz dane osobowe wprost. Każdy formularz kontaktowy, zapis na newsletter czy komentarz powinien mieć jasną informację, w jakim celu zbierasz dane i odesłanie do polityki prywatności. Jeśli przetwarzanie opiera się na zgodzie (np. marketing, newsletter), potrzebny jest osobny, niezaznaczony domyślnie checkbox – zgoda musi być dobrowolna i świadoma, a checkbox zaznaczony z góry jest nieważny.
Dobrą praktyką jest rozdzielenie zgód: osobna zgoda na kontakt zwrotny w sprawie zapytania, osobna na newsletter, osobna na profilowanie czy przekazanie danych partnerom. Jeden zbiorczy checkbox typu *akceptuję wszystko* jest ryzykowny, bo nie pozwala użytkownikowi wybrać zakresu. Popularne wtyczki formularzy – Contact Form 7, WPForms, Gravity Forms, Ninja Forms – mają wbudowane pola zgody RODO i ułatwiają prawidłowe ich osadzenie. Więcej o samych formularzach piszemy w artykule o formularzach kontaktowych w WordPress.
Pamiętaj też o rejestrze zgód. RODO wymaga rozliczalności, czyli możliwości wykazania, że i kiedy użytkownik wyraził zgodę. Wtyczki formularzy oraz systemy mailingowe zwykle zapisują datę, treść zgody i znacznik czasu. Warto również ograniczyć dane zbierane w formularzu do niezbędnego minimum (zasada minimalizacji danych) – jeśli do odpowiedzi wystarczy e-mail, nie wymagaj numeru telefonu jako pola obowiązkowego.
Dane w bazie, wtyczkach i logach
Łatwo zapomnieć, że dane osobowe żyją nie tylko w formularzach, ale w całej bazie danych WordPress i w wielu wtyczkach. Komentarze zapisują adres e-mail i IP autora. Wtyczki antyspamowe i statystyki przechowują adresy IP odwiedzających. Wtyczki sklepowe (WooCommerce) trzymają pełne dane do zamówienia: adres, telefon, historię zakupów. Systemy cache i CDN mogą buforować strony z danymi. Backupy przechowują kopie wszystkiego.
Z perspektywy RODO oznacza to kilka praktycznych działań. Po pierwsze, inwentaryzacja – warto wiedzieć, które wtyczki przetwarzają dane osobowe i gdzie je zapisują. Po drugie, ograniczenie czasu przechowywania – logi, statystyki i stare zamówienia nie powinny leżeć bezterminowo. Po trzecie, anonimizacja IP tam, gdzie to możliwe, na przykład w Google Analytics czy wtyczkach statystyk.
Osobną kwestią jest bezpieczeństwo. RODO wymaga adekwatnych środków ochrony danych, a włamanie na stronę z wyciekiem danych klientów to nie tylko problem techniczny, ale i obowiązek zgłoszenia naruszenia do PUODO w ciągu 72 godzin. Dlatego zabezpieczenie strony – aktualizacje, silne hasła, kopie zapasowe, certyfikat SSL – jest częścią zgodności z RODO. Szerzej omawiamy to w artykule o zabezpieczaniu strony WordPress.
Prawo do bycia zapomnianym i eksport danych
RODO daje użytkownikom konkretne prawa, które administrator musi umieć zrealizować. Najważniejsze z perspektywy strony WWW to prawo dostępu (użytkownik może zażądać kopii swoich danych), prawo do przenoszenia (eksport danych w czytelnym formacie) oraz prawo do usunięcia, czyli prawo do bycia zapomnianym.
WordPress ma te mechanizmy wbudowane natywnie. W sekcji *Narzędzia > Eksportuj dane osobowe* oraz *Narzędzia > Usuń dane osobowe* można wyszukać dane po adresie e-mail lub nazwie użytkownika, wygenerować paczkę z eksportem albo usunąć dane. Proces wykorzystuje weryfikację przez e-mail, co potwierdza tożsamość osoby składającej żądanie. Wiele wtyczek – w tym WooCommerce i popularne wtyczki formularzy – integruje się z tym mechanizmem i dołącza swoje dane do eksportu lub kasowania.
W praktyce warto przygotować prosty proces obsługi żądań: kanał kontaktowy (np. adres e-mail do spraw RODO), weryfikacja tożsamości, realizacja w terminie do miesiąca oraz odnotowanie żądania. Pamiętaj o niuansach: części danych nie wolno usunąć od ręki, jeśli istnieje inna podstawa prawna do ich przechowywania – na przykład faktury sklepowe podlegają obowiązkowi archiwizacji podatkowej. Dlatego prawo do bycia zapomnianym nie jest bezwzględne i często wymaga oceny case-by-case.
Hosting, przetwarzanie w UE i umowy powierzenia
Kiedy korzystasz z zewnętrznych dostawców – hostingu, narzędzi analitycznych, systemu mailingowego, bramki płatności – oni przetwarzają dane osobowe w Twoim imieniu. RODO nazywa ich procesorami i wymaga zawarcia z nimi umowy powierzenia przetwarzania danych (DPA). Większość profesjonalnych dostawców udostępnia gotowy wzór umowy powierzenia do akceptacji w panelu – warto sprawdzić, czy masz ją podpisaną z hostingiem i z każdym kluczowym narzędziem.
Drugi istotny temat to lokalizacja przetwarzania. Najbezpieczniej, gdy dane są przetwarzane na serwerach w Unii Europejskiej lub Europejskim Obszarze Gospodarczym – wtedy nie pojawia się problem transferu poza UE. Transfery do państw trzecich (np. USA) są możliwe, ale wymagają odpowiednich mechanizmów, takich jak standardowe klauzule umowne lub certyfikacja w ramach EU-US Data Privacy Framework. Wybierając hosting, warto rozważyć dostawcę z serwerami w UE – omawiamy to w artykule o wyborze hostingu pod WordPress.
Z perspektywy technicznej szczególnej uwagi wymagają narzędzia ładowane z zewnętrznych domen: Google Fonts serwowane z serwerów Google, mapy, widżety czy czcionki z CDN mogą przekazywać adres IP użytkownika za granicę już przy załadowaniu strony. Często rozwiązaniem jest hostowanie takich zasobów lokalnie, na własnym serwerze, co eliminuje niekontrolowany transfer danych.
Wtyczki RODO i checklista wdrożenia
Rynek oferuje kilka sprawdzonych wtyczek do zarządzania zgodami. Complianz jest ceniony za kreator dokumentów, automatyczne skanowanie cookies i obsługę różnych reżimów prawnych. Cookiebot oferuje natywne wsparcie Consent Mode v2, TCF v2.2 i integrację z GTM. CookieYes to popularna alternatywa z bezpłatnym planem dla mniejszych stron. Wybór zależy od skali strony, liczby skryptów trzecich i tego, czy prowadzisz reklamy. Więcej kontekstu o doborze rozszerzeń znajdziesz w artykule o WordPress i naszej bazie wiedzy.
Praktyczna checklista wdrożenia RODO na stronie WordPress:
| Krok | Co zrobić |
|---|---|
| 1. Polityka prywatności | Przygotuj i opublikuj aktualny dokument, podlinkuj w stopce i formularzach |
| 2. Polityka cookies | Opisz kategorie ciasteczek, czas życia i podmioty trzecie |
| 3. Baner zgody | Wdróż wtyczkę z pre-consent blocking i opcją odrzucenia równie łatwą jak akceptacji |
| 4. Consent Mode v2 | Skonfiguruj, jeśli korzystasz z Google Ads, Analytics lub Meta Pixel |
| 5. Formularze | Dodaj niezaznaczone checkboxy zgody, ogranicz pola do minimum, włącz rejestr zgód |
| 6. Prawa użytkownika | Przetestuj eksport i usuwanie danych w Narzędziach, ustal kanał żądań RODO |
| 7. Umowy powierzenia | Podpisz DPA z hostingiem i kluczowymi narzędziami, sprawdź lokalizację danych |
| 8. Bezpieczeństwo | SSL, aktualizacje, backupy, silne hasła, anonimizacja IP gdzie możliwe |
Zgodność z RODO to nie jednorazowe zadanie, tylko proces – po każdej zmianie na stronie (nowy skrypt, nowa wtyczka, nowy formularz) warto zweryfikować, czy nie pojawiło się nowe przetwarzanie danych. Jeśli wolisz, żebyśmy zajęli się tym za Ciebie, zaprojektujemy i wdrożymy stronę z myślą o RODO od podstaw – skontaktuj się z nami, a my przeprowadzimy Cię przez cały proces techniczny. Pamiętaj jednak, że ostateczna ocena prawna zakresu obowiązków powinna należeć do prawnika.
Wspomniane narzędzia
Potrzebujesz pomocy z WordPress?
Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 18+ lat doświadczenia.
Najczęściej zadawane pytania
Czy sam baner cookies wystarczy do zgodności z RODO?
Czy WordPress ma wbudowane narzędzia do RODO?
Czym jest Google Consent Mode v2 i czy go potrzebuję?
Jak zrealizować prawo do bycia zapomnianym w WordPress?
Czy muszę podpisać umowę z firmą hostingową pod kątem RODO?
Czy ten artykuł to porada prawna?
Potrzebujesz pomocy?
Wolisz, żebyśmy zrobili to za Ciebie?
Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.
- Wdrożenie krok po kroku przez doświadczony zespół
- Konkretny timeline + cena dopasowana do projektu
- 18+ lat doświadczenia
Wolisz zlecić to nam? Strony internetowe od 3 000 zł – wycena w 24h →