Przejdź do treści

RODO WordPress - dostosowanie strony do przepisów GDPR

Opublikowano: 17 stycznia 2026 | Zaktualizowano: 15 czerwca 2026

RODO (GDPR) obowiązuje w Polsce od 25 maja 2018 roku i dotyczy każdego, kto przetwarza dane osobowe osób z Unii Europejskiej. W praktyce oznacza to niemal każdą stronę internetową: formularz kontaktowy zbiera imię i adres e-mail, komentarze zapisują IP, Google Analytics śledzi zachowanie, a sklep przechowuje dane do wysyłki. WordPress sam w sobie nie jest ani zgodny, ani niezgodny z RODO – to zestaw narzędzi, który można skonfigurować poprawnie albo zostawić dziurawym. W tym artykule pokazujemy, czego RODO wymaga od strony WWW od strony technicznej: jaką politykę prywatności przygotować, jak działają banery zgody na cookies i Consent Mode, jak zbierać zgody w formularzach oraz jak realizować prawo do usunięcia i eksportu danych. To materiał informacyjny, a nie porada prawna – treść dokumentów i zakres obowiązków warto skonsultować z prawnikiem lub inspektorem ochrony danych. Robimy [strony internetowe](/strony-internetowe/) i wdrożenia na [WordPress](/wordpress/) z myślą o zgodności z RODO już na etapie projektu, dlatego ten przewodnik traktujemy jako mapę całego tematu.

Krótka odpowiedź

Strona WordPress zgodna z RODO wymaga kilku elementów technicznych i organizacyjnych jednocześnie: czytelnej polityki prywatności i polityki cookies, baneru zgody, który technicznie blokuje skrypty śledzące (Google Analytics, Meta Pixel) do momentu wyrażenia zgody, checkboxów zgody w formularzach kontaktowych, mechanizmu wycofania zgody, możliwości eksportu i usunięcia danych użytkownika oraz umów powierzenia przetwarzania z dostawcami (hosting, narzędzia analityczne). Sam baner cookies nie wystarczy – kluczowe jest blokowanie skryptów przed zgodą oraz wdrożenie Google Consent Mode v2, jeśli korzystasz z reklam Google lub Meta.

WordPress ma wbudowane narzędzia do eksportu i usuwania danych w sekcji Narzędzia, a resztę realizują dedykowane wtyczki zgody.

Usługi KC Mobile

Sprawdź naszą ofertę

Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.

Co RODO wymaga od strony internetowej

RODO nie jest checkboxem, który się zaznacza, tylko zestawem zasad przetwarzania danych. Dla właściciela strony WWW najważniejsze jest zrozumienie, że dane osobowe to nie tylko imię i nazwisko – to również adres e-mail, numer telefonu, adres IP, identyfikatory cookies czy dane behawioralne zbierane przez narzędzia analityczne. Jeśli Twoja strona zbiera którekolwiek z nich, przetwarzasz dane osobowe i podlegasz RODO.

Z perspektywy strony internetowej RODO sprowadza się do kilku obowiązków. Po pierwsze, musisz mieć podstawę prawną przetwarzania – najczęściej jest to zgoda użytkownika (formularz, newsletter), wykonanie umowy (zamówienie w sklepie) lub uzasadniony interes administratora. Po drugie, musisz poinformować użytkownika, jakie dane zbierasz, w jakim celu, jak długo je przechowujesz i komu je przekazujesz – służy temu polityka prywatności. Po trzecie, musisz zapewnić użytkownikowi możliwość realizacji jego praw: dostępu do danych, sprostowania, usunięcia, przenoszenia oraz wycofania zgody w każdej chwili.

Osobnym, często mylonym z RODO wymogiem jest zgoda na pliki cookies. Reguluje ją dyrektywa ePrivacy oraz polskie Prawo telekomunikacyjne (art. 173), które wymaga zgody na przechowywanie informacji w urządzeniu użytkownika. W praktyce oba reżimy działają razem: cookies analityczne i marketingowe wolno załadować dopiero po wyrażeniu zgody. To właśnie dlatego sam tekst informacyjny o ciasteczkach to za mało – potrzebny jest realny mechanizm zgody.

Wolisz, żebyśmy zrobili to za Ciebie?

Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.

  • Wdrożenie krok po kroku przez doświadczony zespół
  • Konkretny timeline + cena dopasowana do projektu
  • 18+ lat doświadczenia

Wolisz zlecić to nam? Strony internetowe od 3 000 zł – wycena w 24h →

Polityka prywatności i polityka cookies

Polityka prywatności to fundament zgodności – dokument, w którym informujesz użytkownika o przetwarzaniu danych. WordPress ma wbudowaną funkcję generowania szkicu polityki: w panelu znajdziesz *Ustawienia > Prywatność*, gdzie można utworzyć stronę polityki prywatności i skorzystać z gotowych podpowiedzi tekstowych. To jednak tylko punkt wyjścia – treść trzeba dopasować do realnego zakresu przetwarzania na Twojej stronie.

Dobra polityka prywatności na stronie WWW powinna zawierać co najmniej:

ElementCo opisać
Administrator danychKto przetwarza dane (nazwa firmy, NIP, dane kontaktowe, ewentualny inspektor ochrony danych)
Zakres i celJakie dane zbierasz (formularz, newsletter, komentarze, sklep) i po co
Podstawa prawnaZgoda, umowa, uzasadniony interes – osobno dla każdego celu
Okres przechowywaniaJak długo trzymasz dane (np. do wycofania zgody, przez okres przedawnienia roszczeń)
Odbiorcy danychHosting, narzędzia analityczne, system mailingowy, bramka płatności
Prawa użytkownikaDostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw, skarga do PUODO
CookiesRodzaje plików, czas życia, cel, sposób zarządzania zgodą

Politykę cookies można prowadzić jako osobny dokument albo jako sekcję polityki prywatności. Ważne, żeby opisać konkretne kategorie ciasteczek (niezbędne, analityczne, marketingowe, funkcjonalne), ich czas życia i to, które z nich pochodzą od podmiotów trzecich. Wtyczki zgody potrafią automatycznie skanować stronę i generować taką listę, co znacząco ułatwia utrzymanie aktualności dokumentu po dodaniu nowych skryptów.

Formularze kontaktowe, newsletter i zgody

Formularze to miejsce, w którym najczęściej zbierasz dane osobowe wprost. Każdy formularz kontaktowy, zapis na newsletter czy komentarz powinien mieć jasną informację, w jakim celu zbierasz dane i odesłanie do polityki prywatności. Jeśli przetwarzanie opiera się na zgodzie (np. marketing, newsletter), potrzebny jest osobny, niezaznaczony domyślnie checkbox – zgoda musi być dobrowolna i świadoma, a checkbox zaznaczony z góry jest nieważny.

Dobrą praktyką jest rozdzielenie zgód: osobna zgoda na kontakt zwrotny w sprawie zapytania, osobna na newsletter, osobna na profilowanie czy przekazanie danych partnerom. Jeden zbiorczy checkbox typu *akceptuję wszystko* jest ryzykowny, bo nie pozwala użytkownikowi wybrać zakresu. Popularne wtyczki formularzy – Contact Form 7, WPForms, Gravity Forms, Ninja Forms – mają wbudowane pola zgody RODO i ułatwiają prawidłowe ich osadzenie. Więcej o samych formularzach piszemy w artykule o formularzach kontaktowych w WordPress.

Pamiętaj też o rejestrze zgód. RODO wymaga rozliczalności, czyli możliwości wykazania, że i kiedy użytkownik wyraził zgodę. Wtyczki formularzy oraz systemy mailingowe zwykle zapisują datę, treść zgody i znacznik czasu. Warto również ograniczyć dane zbierane w formularzu do niezbędnego minimum (zasada minimalizacji danych) – jeśli do odpowiedzi wystarczy e-mail, nie wymagaj numeru telefonu jako pola obowiązkowego.

Dane w bazie, wtyczkach i logach

Łatwo zapomnieć, że dane osobowe żyją nie tylko w formularzach, ale w całej bazie danych WordPress i w wielu wtyczkach. Komentarze zapisują adres e-mail i IP autora. Wtyczki antyspamowe i statystyki przechowują adresy IP odwiedzających. Wtyczki sklepowe (WooCommerce) trzymają pełne dane do zamówienia: adres, telefon, historię zakupów. Systemy cache i CDN mogą buforować strony z danymi. Backupy przechowują kopie wszystkiego.

Z perspektywy RODO oznacza to kilka praktycznych działań. Po pierwsze, inwentaryzacja – warto wiedzieć, które wtyczki przetwarzają dane osobowe i gdzie je zapisują. Po drugie, ograniczenie czasu przechowywania – logi, statystyki i stare zamówienia nie powinny leżeć bezterminowo. Po trzecie, anonimizacja IP tam, gdzie to możliwe, na przykład w Google Analytics czy wtyczkach statystyk.

Osobną kwestią jest bezpieczeństwo. RODO wymaga adekwatnych środków ochrony danych, a włamanie na stronę z wyciekiem danych klientów to nie tylko problem techniczny, ale i obowiązek zgłoszenia naruszenia do PUODO w ciągu 72 godzin. Dlatego zabezpieczenie strony – aktualizacje, silne hasła, kopie zapasowe, certyfikat SSL – jest częścią zgodności z RODO. Szerzej omawiamy to w artykule o zabezpieczaniu strony WordPress.

Prawo do bycia zapomnianym i eksport danych

RODO daje użytkownikom konkretne prawa, które administrator musi umieć zrealizować. Najważniejsze z perspektywy strony WWW to prawo dostępu (użytkownik może zażądać kopii swoich danych), prawo do przenoszenia (eksport danych w czytelnym formacie) oraz prawo do usunięcia, czyli prawo do bycia zapomnianym.

WordPress ma te mechanizmy wbudowane natywnie. W sekcji *Narzędzia > Eksportuj dane osobowe* oraz *Narzędzia > Usuń dane osobowe* można wyszukać dane po adresie e-mail lub nazwie użytkownika, wygenerować paczkę z eksportem albo usunąć dane. Proces wykorzystuje weryfikację przez e-mail, co potwierdza tożsamość osoby składającej żądanie. Wiele wtyczek – w tym WooCommerce i popularne wtyczki formularzy – integruje się z tym mechanizmem i dołącza swoje dane do eksportu lub kasowania.

W praktyce warto przygotować prosty proces obsługi żądań: kanał kontaktowy (np. adres e-mail do spraw RODO), weryfikacja tożsamości, realizacja w terminie do miesiąca oraz odnotowanie żądania. Pamiętaj o niuansach: części danych nie wolno usunąć od ręki, jeśli istnieje inna podstawa prawna do ich przechowywania – na przykład faktury sklepowe podlegają obowiązkowi archiwizacji podatkowej. Dlatego prawo do bycia zapomnianym nie jest bezwzględne i często wymaga oceny case-by-case.

Hosting, przetwarzanie w UE i umowy powierzenia

Kiedy korzystasz z zewnętrznych dostawców – hostingu, narzędzi analitycznych, systemu mailingowego, bramki płatności – oni przetwarzają dane osobowe w Twoim imieniu. RODO nazywa ich procesorami i wymaga zawarcia z nimi umowy powierzenia przetwarzania danych (DPA). Większość profesjonalnych dostawców udostępnia gotowy wzór umowy powierzenia do akceptacji w panelu – warto sprawdzić, czy masz ją podpisaną z hostingiem i z każdym kluczowym narzędziem.

Drugi istotny temat to lokalizacja przetwarzania. Najbezpieczniej, gdy dane są przetwarzane na serwerach w Unii Europejskiej lub Europejskim Obszarze Gospodarczym – wtedy nie pojawia się problem transferu poza UE. Transfery do państw trzecich (np. USA) są możliwe, ale wymagają odpowiednich mechanizmów, takich jak standardowe klauzule umowne lub certyfikacja w ramach EU-US Data Privacy Framework. Wybierając hosting, warto rozważyć dostawcę z serwerami w UE – omawiamy to w artykule o wyborze hostingu pod WordPress.

Z perspektywy technicznej szczególnej uwagi wymagają narzędzia ładowane z zewnętrznych domen: Google Fonts serwowane z serwerów Google, mapy, widżety czy czcionki z CDN mogą przekazywać adres IP użytkownika za granicę już przy załadowaniu strony. Często rozwiązaniem jest hostowanie takich zasobów lokalnie, na własnym serwerze, co eliminuje niekontrolowany transfer danych.

Wtyczki RODO i checklista wdrożenia

Rynek oferuje kilka sprawdzonych wtyczek do zarządzania zgodami. Complianz jest ceniony za kreator dokumentów, automatyczne skanowanie cookies i obsługę różnych reżimów prawnych. Cookiebot oferuje natywne wsparcie Consent Mode v2, TCF v2.2 i integrację z GTM. CookieYes to popularna alternatywa z bezpłatnym planem dla mniejszych stron. Wybór zależy od skali strony, liczby skryptów trzecich i tego, czy prowadzisz reklamy. Więcej kontekstu o doborze rozszerzeń znajdziesz w artykule o WordPress i naszej bazie wiedzy.

Praktyczna checklista wdrożenia RODO na stronie WordPress:

KrokCo zrobić
1. Polityka prywatnościPrzygotuj i opublikuj aktualny dokument, podlinkuj w stopce i formularzach
2. Polityka cookiesOpisz kategorie ciasteczek, czas życia i podmioty trzecie
3. Baner zgodyWdróż wtyczkę z pre-consent blocking i opcją odrzucenia równie łatwą jak akceptacji
4. Consent Mode v2Skonfiguruj, jeśli korzystasz z Google Ads, Analytics lub Meta Pixel
5. FormularzeDodaj niezaznaczone checkboxy zgody, ogranicz pola do minimum, włącz rejestr zgód
6. Prawa użytkownikaPrzetestuj eksport i usuwanie danych w Narzędziach, ustal kanał żądań RODO
7. Umowy powierzeniaPodpisz DPA z hostingiem i kluczowymi narzędziami, sprawdź lokalizację danych
8. BezpieczeństwoSSL, aktualizacje, backupy, silne hasła, anonimizacja IP gdzie możliwe

Zgodność z RODO to nie jednorazowe zadanie, tylko proces – po każdej zmianie na stronie (nowy skrypt, nowa wtyczka, nowy formularz) warto zweryfikować, czy nie pojawiło się nowe przetwarzanie danych. Jeśli wolisz, żebyśmy zajęli się tym za Ciebie, zaprojektujemy i wdrożymy stronę z myślą o RODO od podstaw – skontaktuj się z nami, a my przeprowadzimy Cię przez cały proces techniczny. Pamiętaj jednak, że ostateczna ocena prawna zakresu obowiązków powinna należeć do prawnika.

Wspomniane narzędzia

GDPR Cookie Compliance CookieYes Complianz WP GDPR Compliance Contact Form 7

Potrzebujesz pomocy z WordPress?

Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 18+ lat doświadczenia.

Najczęściej zadawane pytania

Czy sam baner cookies wystarczy do zgodności z RODO?
Nie. Sam komunikat o ciasteczkach nie spełnia wymogów, jeśli skrypty śledzące ładują się przed zgodą. Baner musi technicznie blokować analitykę i marketing do momentu akceptacji, dawać równorzędną opcję odrzucenia oraz możliwość wycofania zgody. Potrzebujesz też polityki prywatności i obsługi praw użytkownika – baner to tylko jeden element układanki.
Czy WordPress ma wbudowane narzędzia do RODO?
Tak, częściowo. WordPress oferuje generator szkicu polityki prywatności w Ustawieniach oraz natywny eksport i usuwanie danych osobowych w sekcji Narzędzia, z weryfikacją przez e-mail. Wiele wtyczek, w tym WooCommerce, integruje się z tym mechanizmem. Baner zgody i blokowanie skryptów wymagają jednak dodatkowej wtyczki – tego WordPress domyślnie nie robi.
Czym jest Google Consent Mode v2 i czy go potrzebuję?
Consent Mode v2 to mechanizm przekazujący do narzędzi Google informację o stanie zgody użytkownika i dostosowujący zachowanie tagów. Jest praktycznie niezbędny, jeśli korzystasz z Google Ads, Google Analytics lub remarketingu w Europejskim Obszarze Gospodarczym. Popularne wtyczki zgody, jak Complianz, Cookiebot czy CookieYes, wspierają go natywnie i ułatwiają konfigurację przez GTM.
Jak zrealizować prawo do bycia zapomnianym w WordPress?
Skorzystaj z sekcji Narzędzia > Usuń dane osobowe, gdzie wyszukasz dane po e-mailu lub nazwie użytkownika i usuniesz je po weryfikacji. Pamiętaj, że nie wszystkie dane wolno skasować od ręki – faktury podlegają obowiązkowi archiwizacji podatkowej, więc prawo do usunięcia nie jest bezwzględne. Warto przygotować prosty proces obsługi żądań z terminem do miesiąca.
Czy muszę podpisać umowę z firmą hostingową pod kątem RODO?
Tak. Hosting przetwarza dane osobowe w Twoim imieniu jako procesor, więc RODO wymaga umowy powierzenia przetwarzania danych (DPA). Większość profesjonalnych dostawców udostępnia gotowy wzór do akceptacji w panelu. Warto też wybrać hosting z serwerami w Unii Europejskiej, aby uniknąć problemu transferu danych poza UE.
Czy ten artykuł to porada prawna?
Nie. To materiał informacyjny opisujący techniczną stronę dostosowania strony WordPress do RODO. Zakres obowiązków, treść polityki prywatności i ocena podstaw prawnych zależą od specyfiki działalności i powinny zostać skonsultowane z prawnikiem lub inspektorem ochrony danych. My odpowiadamy za poprawne wdrożenie techniczne.
#wordpress#rodo#gdpr#cookies#prywatnosc
Zdjęcie autora: Krzysztof Czapnik
O autorze

Krzysztof Czapnik

Founder & Technical Lead, KC Mobile

18 lat WordPress + 12 lat WooCommerce. Specjalizuję się w technicznej stronie e-commerce: automatyzacje WooCommerce, Google Ads dla SMB, migracje sklepów i optymalizacja konwersji.

Potrzebujesz pomocy z tym tematem? Napisz – odpowiem osobiście w 24h.

Potrzebujesz pomocy?

Wolisz, żebyśmy zrobili to za Ciebie?

Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.

  • Wdrożenie krok po kroku przez doświadczony zespół
  • Konkretny timeline + cena dopasowana do projektu
  • 18+ lat doświadczenia

Wolisz zlecić to nam? Strony internetowe od 3 000 zł – wycena w 24h →

Bezpłatna wycena