Strona internetowa zgodna z RODO – kompletny przewodnik

7 sierpnia 2025

Strona internetowa zgodna z RODO – kompletny przewodnik

Witryna zgodna z RODO to nie tylko wymóg prawny, ale także element budowania zaufania użytkowników. Każdy serwis zbiera informacje użytkowników przez formularze kontaktowe, newsletter czy system komentarzy. To wystarczy, żeby stać się administratorem z pełnymi obowiązkami wynikającymi z RODO.

Rzeczywistość 2024: UODO nałożyło rekordowe kary za naruszenie przepisów. Właściciel witryny musi sprawdzić zgodność swojego serwisu z wymogami ochrony prywatności.

Polityka prywatności w serwisie

Polityka prywatności nie może być „uniwersalnym” dokumentem. Administrator musi opisywać rzeczywiste przetwarzanie informacji w swojej witrynie. Dokument powinien zawierać wszystkie wymagane informacje:

• tożsamość i kontakt do administratora – pełne dane firmy lub przedsiębiorcy,
• cele przetwarzania informacji – dokładnie po co zbierać dane (kontakt, newsletter, analityka),
• podstawa prawna – zgoda, prawnie uzasadniony interes, obowiązek prawny,
• okres przechowywania – konkretne terminy zamiast „odpowiedni okres”,
• prawa użytkownika – dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie,
• przekazywanie informacji – komu i dlaczego (hosting, narzędzia analityczne).

Obowiązek informacyjny – klauzule RODO w witrynie

Kluczowa zasada: Klauzula informacyjna musi pojawić się przy każdym formularzu w serwisie.

Administrator musi informować o przetwarzaniu bezpośrednio przy zbieraniu informacji. Szkoły są dwie:

• pierwsza każe podać wszystkie informacje pod formularzem, w kilku polach zgodny – jest to bezpieczne ale psuje wygląd witryny,
• druga – ogranicza się do krótkiej informacji i odsyła do polityki prywatności.

Bez względu na wybór musisz poinformować użytkownika o tym:

• kto jest administratorem,
• w jakim celu informacje są zbierane i przetwarzane,
• jak długo będą przechowywane przez administratora,
• komu mogą być przekazywane,
• jakie są prawa użytkownika.

Praktycznie: W witrynie użyj formularzy kontaktowych z wtyczkami, które mają wbudowane wsparcie dla obowiązku informacyjnego lub takie, które łatwo je wdrożyć.

Zgodę na przetwarzanie informacji

Zgoda na przetwarzanie jest wymagana, gdy nie ma innej podstawy prawnej. Administrator witryny może uzyskać zgodę przez:

• zaznaczenie checkboxa (nigdy domyślnie zaznaczonego),
• wpisanie informacji do formularzu kontaktowego po zapoznaniu się z klauzulą informacyjną,
• aktywne potwierdzenie chęci otrzymywania newslettera

Zgodę powinny być: świadome, dobrowolne, odwoływalne, konkretne i udokumentowane przez administratora.

Newsletter zgodny z RODO w witrynie

Właściwe pozyskiwanie informacji do newslettera:

• aktywne działanie użytkownika – zaznaczenie checkboxa lub wpisanie adresu e-mail,
• double opt-in – potwierdzenie subskrypcji przez link w e-mailu (przy okazji chroni przed botami i żartownisiami),
• jasne informowanie – o czym będzie newsletter i jak często będzie wysyłany,
• latwe wycofania zgody – link do wypisania w każdym e-mailu newslettera.

Właściciel witryny może wykorzystać popularne narzędzia które mają wbudowane mechanizmy zgodności z przepisami RODO. Osobiście polecam MailerLite – ich serwery są w EOG, co nieco ułatwia sprawę.

Pliki cookies w serwisie – wymagają zgody

Klasyfikacja plików cookies:

• niezbędne pliki cookies – działanie witryny (nie wymagają zgody użytkownika),
• funkcjonalne pliki – zapamiętywanie ustawień (wymagają zgody),
• analityczne pliki cookies – Google Analytics (wymagają zgody użytkownika),
• marketingowe pliki cookies – remarketing, social media (wymagają zgody).

Okienka cookies i banery zgody

Każdy serwis musi wyświetlać banner cookies, który pozwala użytkownikom:

• zaakceptować wszystkie pliki cookies – jednym kliknięciem
• odrzucić nieobowiązkowe cookies – pozostawiając tylko niezbędne
• dostosować ustawienia – wybór konkretnych kategorii plików
• latwo wycofać zgodę – w każdym momencie przez ustawienia witryny

Popularne rozwiązania do zarządzania zgodami:

• CookieBot (30-225 zł/mies.) – profesjonalne skanowanie i klasyfikacja cookies,
• CookieYes (9-50 euro/mies.) – łatwa konfiguracja dla małych witryn,
• OneTrust – dla dużych firm z wieloma serwisami,

Osobiście długo byłem zwolennikiem CookieBota. Ostatnio przekonałem się do narzędzia CookieYes, ze względu na inny sposób rozliczeń – zamiast płacić od pewnego poziomu podstron, płacisz za ruch na stronie (do 5000 osłon w miesiącu – bezpłatni).

Google Consent Mode v2 (CM2)

Od marca 2025 każdy serwis używający narzędzi Google musi być zgodny z Google Consent Mode v2. To nowy standard, który:

• przekazuje sygnały zgody – do wszystkich usług Google (Analytics, Ads, Tag Manager),
• respektuje wybory użytkowników – jeśli odmówią cookies analitycznych, Google nie będzie ich śledzić,
• wykorzystuje modelowanie danych – Google może szacować dane bez cookies, gdy użytkownik odmówi zgody,
• zwiększa dokładność pomiarów – lepsze dane niż całkowite blokowanie śledzenia.

Większość nowoczesnych narzędzi do cookies (CookieBot, CookieYes) już obsługuje CM2. Pełna lista dostępna jest tutaj: https://cmppartnerprogram.withgoogle.com/

Google Analytics w serwisie:

• włącz anonimizację IP w swojej witrynie,
• ustaw okres przechowywania informacji (max 26 miesięcy),
• wyklucz zbieranie wrażliwych informacji,
• podpisz umowę DPA z Google jako administrator.

Hosting zgodny z RODO – umowy powierzenia

Kiedy właściciel witryny potrzebuje umowy powierzenia:

Gdy dostawca hostingu ma faktyczny dostęp do informacji w serwisie:

• administruje bazą informacji,
• zarządza aplikacjami przetwarzającymi dane,
• świadczy usługi backup z dostępem do informacji,
• ma uprawnienia administratora systemu operacyjnego.

Czyli w praktyce – zawsze.

Co musi zawierać umowa powierzenia przetwarzania:

• przedmiot i cele przetwarzania informacji,
• kategorie informacji przetwarzanych w serwisie,
• obowiązki podmiotu przetwarzającego,
• środki bezpieczeństwa w witrynie

Tip: Serwery w UE są bezpieczniejsze z punktu widzenia zgodności z RODO.

Zabezpieczenia witryny – ochrona prywatności

Minimum bezpieczeństwa w każdej witrynie:

• certyfikat SSL – szyfrowanie komunikacji (podstawowy wymóg),
• silne hasła – do panelu administracyjnego serwisu + 2FA,
• aktualizacje – system i wszystkich wtyczek w witrynie – co zwiększa bezpieczeństwo,
• kopie zapasowe – pozwalają odzyskać utracone dane,
• monitoring – bieżące wykrywanie zagrożeń.

Administrator witryny musi sprawdzić, czy wszystkie zabezpieczenia są zgodne z wymogami ochrony prywatności.

Prawa użytkowników w serwisie zgodnym z RODO

RODO w witrynie oznacza, że musisz zapewnić realizację wszystkich praw użytkowników:

Podstawowe prawa użytkowników:

• prawo dostępu – użytkownik może żądać informacji o tym, jakie dane są przetwarzane
• prawo do sprostowania – możliwość poprawienia nieprawidłowych informacji
• prawo do usunięcia (prawo do bycia zapomnianym) – usunięcie informacji w określonych przypadkach
• prawo do ograniczenia przetwarzania – tymczasowe wstrzymanie niektórych operacji
• prawo do przenoszenia – otrzymanie informacji w ustrukturyzowanym formacie

Praktyczna realizacja w serwisie:

Nowoczesne systemy CMS (WordPress, Drupal) mają wbudowane narzędzia do obsługi RODO:

• eksport informacji – automatyczne generowanie plików z informacjami użytkownika,
• usuwanie informacji – bezpieczne usuwanie na żądanie użytkownika,
• formularz kontaktowy – z możliwością zgłaszania żądań RODO,
• panel użytkownika – gdzie każdy może zarządzać swoimi informacjami (szczególnie w przylądku sklepu internetowego).

Sklep internetowy – dodatkowe wymagania RODO

Sklep internetowy musi spełniać dodatkowe wymagania dotyczące ochrony danych osobowych:

Dane klientów w sklepie internetowym:

• imię i nazwisko klienta,
• adres e-mail do komunikacji,
• numer telefonu dla potrzeb dostawy,
• adres dostawy i fakturowania,
• historia zamówień i preferencje.

Klauzule informacyjne w sklepie:

• przy rejestracji konta użytkownika,
• podczas składania zamówienia,
• przy zapisie do newslettera sklepu internetowego,
• w formularzach opinii o produktach.

Każda strona e-commerce musi posiadać politykę prywatności dostosowaną do specyfiki sklepu internetowego [oraz regulamin].

Najczęstsze błędy w witrynach

W polityce prywatności:

• używanie szablonów zamiast opisu rzeczywistego przetwarzania w serwisie,
• nieaktualizowana polityka po zmianach w witrynie,
• brak konkretnych terminów przechowywania informacji,
• nieprawidłowe podstawy prawne dla plików cookies.

W zarządzaniu zgodami:

• domyślnie zaznaczone checkboxy w formularzach,
• brak możliwości cofnięcia zgody w serwisie,
• wszystkie pliki cookies traktowane jako niezbędne,
• brak dokumentowania zgód użytkowników.

Inne błędy:

• niepodpisana umowa powierzenia z dostawcą hostingu,
• brak lub nieaktualny certyfikat SSL w witrynie,
• brak zaszyfrowanych kopii zapasowych informacji,
• przechowywanie informacji bez określonego terminu.

Lista kontrolna RODO dla każdej strony internetowej

Poniższa lista kontrolna pomoże ci wdrożyć wszystkie wymagania i utrzymać zgodność w długim okresie. Zacznij od punktów „do zrobienia natychmiast” – to podstawowe zabezpieczenia, które możesz wdrożyć już dziś. Następnie przejdź do zadań długoterminowych, które wymagają więcej czasu i planowania.

Do zrobienia natychmiast:

• sprawdź ważność certyfikatu SSL na stronie www,
• zaktualizuj politykę prywatności na stronie internetowej,
• wdróż banner cookies z możliwością odrzucenia zgody,
• dodaj klauzule informacyjne RODO do wszystkich formularzy,
• skonfiguruj Google Consent Mode v2 dla narzędzi analitycznych.

W drugiej kolejności:

• podpisz umowy powierzenia z dostawcami IT,
• wdróż automatyczne usuwanie starych danych osobowych,
• przeszkol zespół z przepisów RODO,
• przeprowadź audyt zgodności strony internetowej,
• sprawdź, czy sklep internetowy spełnia wszystkie wymagania.

Orientacyjne koszty zgodności z RODO

Podstawowe koszty dla serwisu:

• certyfikat SSL: 50-500 zł/rok (w ramach naszego hostingu możesz skorzystać z bezpłatnego certyfikatu SSL),
• narzędzie do cookies: 0-600 euro/rok,
• konsultacje prawne: 150-400 zł/h,
• profesjonalna polityka prywatności – od 500 – 1500 zł,
• całkowite koszty implementacji: zwykle od 3000-8000 zł (w zależności od wielkości witryny).

Pamiętaj: Kara za naruszenie przepisów RODO może wynieść do 20 mln euro lub 4% rocznego obrotu. Inwestycja w zgodność z RODO zwraca się szybko.

Przygotowanie na kontrolę UODO

Dokumentacja wymagana podczas kontroli:

• rejestr czynności przetwarzania informacji,
• polityka prywatności w witrynie,
• procedury reagowania na naruszenia ochrony prywatności,
• umowy powierzenia z wszystkimi dostawcami IT,
• dokumentacja szkoleń zespołu z zakresu RODO,
• potwierdzenie zgód użytkowników serwisu.

W praktyce – właściciel witryny powinien regularnie sprawdzać zgodność z RODO i dokumentować wszystkie działania związane z ochroną prywatności użytkowników.

Przestrzegam również przed organizacjami, które strasząc potencjalnym zgłoszeniem do UODO próbują wyłudzić od Was pieniądze. Jeśli dostaniecie taką wiadomość – najlepiej skontaktować się z dobrym prawnikiem, który będzie w stanie zweryfikować sprawę.

Podsumowanie

Witryna zgodna z RODO to podstawa profesjonalnej działalności online. Kluczowe elementy to właściwa polityka prywatności w serwisie, prawidłowe zarządzanie plikami cookies z CM2, bezpieczne formularze kontaktowe oraz regularne audyty zgodności.

Każdy serwis musi spełniać wymogi ochrony prywatności – od prostego bloga po zaawansowany sklep online. Nie zwlekaj z wdrożeniem – okres „łagodnej interpretacji” RODO definitywnie się skończył…

Autor wpisu – Kamil Jędryczka