RODO compliance dla e-commerce w 2026: checklist 12 punktów

Większość właścicieli polskich sklepów online nie wie, że ma naruszenia RODO. Nie dlatego, że są niedbali — po prostu nikt im nie powiedział co konkretnie muszą mieć. "Zainstaluj cookie banner" to za mało. Piszemy o 12 punktach, które sprawdzam przy każdym audycie sklepu.

Kilka słów o kontekście: RODO (Rozporządzenie 2016/679) obowiązuje od maja 2018. Ale dopiero od 2021-2022 UODO zaczął nakładać realne kary, w tym pierwsze kary powyżej 1 miliona zł dla polskich firm. Kara za naruszenie może wynieść do 20 milionów euro lub 4% rocznego obrotu — w zależności które jest wyższe. Dla małego sklepu istotniejsza jest reputacja niż kwota — jeden artykuł o "sklepie łamiącym RODO" może zrujnować lata budowania zaufania.

Co się zmieniło w 2025/2026

W 2025 EROD (Europejska Rada Ochrony Danych) wydała wytyczne dotyczące dark patterns w cookie bannerach — czyli praktyk, które utrudniają odrzucenie cookies. Dotyczy to sklepów, które mają:

• Tylko jeden przycisk "Akceptuj" bez opcji odrzucenia
• Przycisk "Odrzuć" ukryty w podmenu lub znacznie mniejszy
• Pre-checked pola dla trackerów marketingowych
• Brak możliwości zmiany zgód po pierwszym wyborze

Takie banners są naruszeniem RODO i podstawą do skargi. Jeśli Twój sklep ma którąkolwiek z tych cech, zmień to teraz.

12 punktów które MUSZĄ być

1. 01
   Cookie banner z realną opcją odmowy

   Przycisk "Odrzuć wszystkie" musi być tak samo widoczny jak "Akceptuj". Brak tego = naruszenie. Sprawdź używając Chrome incognito na mobile.
2. 02
   Polityka prywatności — aktualna i szczegółowa

   Musi zawierać: kto jest administratorem danych, jakie dane zbierasz, na jakiej podstawie prawnej, jak długo przechowujesz, komu przekazujesz (np. Stripe, Google Analytics), jakie prawa ma użytkownik.
3. 03
   Regulamin sklepu

   Osobny dokument od polityki prywatności. Zawiera warunki zakupu, zwroty, reklamacje. Wymóg prawa konsumenckiego, nie tylko RODO.
4. 04
   Checkbox zgody przy rejestracji i zamówieniu

   Oddzielny, niepre-zaznaczony checkbox dla: zgody na przetwarzanie danych zakupowych, zgody na marketing (jeśli senduje newsletter). Jeden checkbox nie może obejmować dwóch celów.
5. 05
   Rejestr czynności przetwarzania

   Wewnętrzny dokument (nie publiczny) opisujący co robisz z danymi. Wymagany dla firm przetwarzających dane na dużą skalę lub regularne przetwarzanie danych wrażliwych.
6. 06
   Google Analytics 4 — prawidłowa konfiguracja

   GA4 domyślnie zbiera dane IP i może wysyłać dane osobowe. Wymagane: anonimizacja IP, consent mode v2, brak aktywacji GA4 przed przyjęciem cookies przez użytkownika.
7. 07
   Meta Pixel (jeśli używasz) — zgoda przed aktivacją

   Meta Pixel to tracker marketingowy. Może działać dopiero po expresowej zgodzie użytkownika na marketing. Uruchomienie Pixela bez zgody = naruszenie.
8. 08
   Dane osobowe w URL i cache

   Imię, email czy numer zamówienia w URL? To może być logowane przez serwery, CDN, Google Search Console. Sprawdź, czy Twój sklep nie wystawia danych w query params.
9. 09
   Bezpieczny transfer danych płatności

   Numery kart i dane płatności nigdy nie powinny trafiać na Twój serwer — obsługuje to dostawca płatności (Stripe, Przelewy24). Sprawdź certyfikat SSL (https) i czy checkout jest na domenie zaufanego dostawcy.
10. 10
    Czas retencji danych

    Jak długo przechowujesz dane zamówień i klientów? Nie możesz trzymać ich wiecznie. Polityka retencji musi być zdefiniowana i przestrzegana. Klient ma prawo żądać usunięcia danych (prawo do bycia zapomnianym).
11. 11
    Procedura naruszenia danych (data breach)

    Jeśli nastąpi wyciek, masz 72 godziny na zgłoszenie do UODO (jeśli naruszenie stwarza ryzyko). Miej zdefiniowany proces: kto się zajmuje, jak informujesz klientów.
12. 12
    Prawa użytkownika — jak je realizujesz

    Użytkownik ma prawo dostępu do danych, korekty, usunięcia, przeniesienia, ograniczenia przetwarzania. Musisz mieć mechanizm do obsługi takich wniosków w 30 dni. Email contact@twojafirma.pl to minimum.

Co najczęściej pomijają sklepy

Z mojej obserwacji przy audytach: 90% sklepów ma punkt 1 (cookie banner), ale połowa z nich robi go źle (dark pattern). Punkty 8 (dane w URL) i 11 (procedura breach) pomija praktycznie nikt poza dużymi graczami. A punkty 5 i 10 — retencja i rejestr — to często kompletna terra incognita.

Jak audytować sklep w 30 minut

Krok 1: Otwórz stronę w incognito na telefonie. Czy cookie banner się pojawia? Czy ma równie widoczny przycisk odmowy jak akceptacji?

Krok 2: DevTools → Network → odczekaj 3 sekundy. Czy widzisz requesty do google-analytics.com, facebook.com, przed akceptacją cookies? Jeśli tak — naruszenie.

Krok 3: Kliknij w politykę prywatności. Czy jest dłuższa niż 3 zdania? Czy wspomina o Google Analytics, ciasteczkach, prawach użytkownika?

Krok 4: Przejdź do formularza rejestracji. Czy jest osobny checkbox dla marketingu? Czy nie jest pre-zaznaczony?

Krok 5: Sprawdź URL po zalogowaniu. Czy widzisz email lub inne dane osobowe w adresie strony?

Polecane narzędzia

• Lexora live-check (lexora.com.pl) — automatyczny skan 47 punktów kontrolnych RODO. Raport z priorytetami. Własne narzędzie, które stosuję przy każdym projekcie Sprintly.
• cookiebot.com/en/cookie-checker/ — sprawdza jakie cookies ustawia strona i czy są zakolejkowane przed zgodą.
• Chrome DevTools → Privacy Sandbox — pokazuje które dane są zbierane w trybie "before consent".
• UODO.gov.pl — oficjalne wytyczne, w tym orzeczenia i kary. Warto przeglądać raz na kwartał.

Kara którą widziałem na własne oczy

Klient przyszedł do mnie po tym jak dostał pismo od UODO. Jego sklep WooCommerce uruchamiał Meta Pixel bez zgody użytkownika — Pixel był aktywowany przy każdym wejściu na stronę, zanim ktokolwiek kliknął cokolwiek w cookie banner. To klasyczny dark pattern. UODO wszczął postępowanie wyjaśniające. Klient miał szczęście — sprawa skończyła się na upomnieniu i nakazie naprawy w 30 dni, bo szybko wdrożył poprawki.

Poprawki zajęły mi 4 godziny: przebudowa cookie bannera, dodanie consent mode v2 do GA4, opóźnienie Pixela do momentu expresowej zgody. Koszt prawnika byłby wielokrotnie wyższy. A koszt ewentualnej kary — do 10 000 euro w przypadku tego sklepu przy rocznym obrocie 250 000 zł.