RODO (Rozporządzenie o Ochronie Danych Osobowych) — po angielsku GDPR (General Data Protection Regulation) — to europejskie rozporządzenie, które od 25 maja 2018 roku reguluje, jak firmy i strony internetowe zbierają, przechowują i przetwarzają dane osobowe użytkowników. Dotyczy każdej strony internetowej, która zbiera jakiekolwiek dane od osób z UE — niezależnie od tego, czy strona stoi w Polsce, USA czy Japonii.
W tym poradniku wyjaśniam co RODO oznacza w praktyce dla właściciela strony internetowej, jakie masz obowiązki, jak dodać politykę prywatności, banner cookies i formularz zgody — i jakie kary grożą za nieprzestrzeganie.
Co to są dane osobowe w rozumieniu RODO?
Dane osobowe to wszelkie informacje, które pozwalają zidentyfikować konkretną osobę — bezpośrednio lub pośrednio:
- Bezpośrednie: imię i nazwisko, PESEL, numer dowodu, zdjęcie
- Pośrednie: adres email (jan.kowalski@firma.pl = identyfikowalny), adres IP, numer telefonu, adres zamieszkania, identyfikator cookies, lokalizacja GPS
- Wrażliwe (szczególne): dane o zdrowiu, orientacji seksualnej, poglądach politycznych, religii, przynależności związkowej, dane biometryczne — podlegają surowszym regułom
Kluczowe: adres email i adres IP to dane osobowe w rozumieniu RODO. Jeżeli Twoja strona zbiera emaile (newsletter, formularz kontaktowy, rejestracja) lub używa Google Analytics (który zbiera IP) — podlegasz RODO.
Kogo dotyczy RODO?
- Każdą firmę i osobę, która przetwarza dane osobowe osób z UE — niezależnie od siedziby firmy
- Każdą stronę internetową, która zbiera dane użytkowników z UE: formularze, newsletter, cookies, analityka, komentarze, e-commerce
- Każdy sklep internetowy sprzedający do UE
- Freelancerów i JDG — jeśli zbierasz dane klientów (emaile, faktury, umowy)
Wyjątki: przetwarzanie danych wyłącznie do celów osobistych/domowych (np. prywatna lista kontaktów). Ale jeśli prowadzisz stronę — nawet bloga — z formularzem kontaktowym lub analityką, RODO Cię dotyczy.
7 obowiązków właściciela strony WWW
1. Polityka prywatności
Każda strona musi mieć politykę prywatności — dokument wyjaśniający:
- Kto jest administratorem danych (Twoja firma, imię, adres, email kontaktowy)
- Jakie dane zbierasz (email, imię, IP, cookies)
- W jakim celu (newsletter, obsługa zamówień, analityka, marketing)
- Na jakiej podstawie prawnej (zgoda, umowa, prawnie uzasadniony interes, obowiązek prawny)
- Komu udostępniasz dane (hosting, Google Analytics, MailChimp, Facebook Pixel)
- Jak długo przechowujesz dane (np. „do czasu wycofania zgody”, „5 lat od ostatniego zamówienia”)
- Jakie prawa ma użytkownik (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw)
- Czy dane są przekazywane poza UE (np. Google Analytics → serwery USA)
Gdzie umieścić: osobna podstrona (np. /polityka-prywatnosci), link w stopce każdej strony, link przy formularzach i checkboxach zgody.
WordPress: Ustawienia → Prywatność → WordPress generuje szablon polityki prywatności, który musisz dostosować do Twojej strony.
2. Banner cookies (informacja o cookies)
Jeżeli Twoja strona używa cookies (a 99% stron używa — Google Analytics, Facebook Pixel, wtyczki cache, sesje logowania), musisz:
- Poinformować użytkownika o cookies przed ich ustawieniem
- Uzyskać zgodę na cookies niefunkcjonalne (analityka, marketing, reklamy) — PRZED ich aktywacją
- Dać możliwość odrzucenia cookies (nie tylko „akceptuję”!)
- Dać możliwość zmiany preferencji później
Dobre rozwiązania (WordPress):
- CookieYes — darmowa wtyczka, automatycznie skanuje cookies, generuje banner z akceptacją/odrzuceniem per kategoria
- Complianz — zaawansowana, konfiguruje cookies + politykę prywatności + rejestr przetwarzania
- CookieBot — płatna (darmowa do 100 podstron), bardzo profesjonalna
Częsty błąd: banner z jednym przyciskiem „OK” bez opcji odrzucenia. To nie jest zgodne z RODO — użytkownik musi mieć realny wybór (akceptuj / odrzuć / konfiguruj).
3. Zgody przy formularzach
Każdy formularz zbierający dane osobowe (kontaktowy, newsletter, rejestracja, zamówienie) musi mieć:
- Checkbox zgody — niezaznaczony domyślnie (!) z treścią np. „Wyrażam zgodę na przetwarzanie moich danych osobowych w celu [cel]. Administratorem danych jest [firma]. Polityka prywatności.”
- Link do polityki prywatności
- Informacja o celu — osobna zgoda na każdy cel (np. osobna na newsletter, osobna na kontakt handlowy)
Częsty błąd: jeden checkbox na „akceptuję regulamin, politykę prywatności i zgodę na marketing” — to niedozwolone. Zgody muszą być osobne i konkretne.
4. Prawo do usunięcia danych (prawo do bycia zapomnianym)
Użytkownik ma prawo zażądać usunięcia swoich danych — i musisz to zrobić „bez zbędnej zwłoki” (max 30 dni). Obejmuje to: dane z formularzy, komentarze, konto użytkownika, dane z newslettera, dane z zamówień (po upływie okresu przechowywania).
WordPress od wersji 4.9.6 ma wbudowane narzędzia: Narzędzia → Usuń dane osobowe — wpisujesz email, WordPress wysyła potwierdzenie, po kliknięciu → dane usunięte.
5. Prawo do eksportu danych (przenoszenie)
Użytkownik może zażądać kopii swoich danych w formacie nadającym się do odczytu maszynowego. WordPress: Narzędzia → Eksportuj dane osobowe → generuje plik ZIP z danymi użytkownika (profil, komentarze, zamówienia).
6. Rejestr czynności przetwarzania
Firmy powyżej 250 pracowników (lub przetwarzające dane wrażliwe) muszą prowadzić rejestr czynności przetwarzania — dokument opisujący: jakie dane, w jakim celu, na jakiej podstawie, jak długo, komu udostępniane. Dla małych firm: formalnie nieobowiązkowy, ale zalecany (w razie kontroli UODO).
7. Umowy powierzenia (DPA) z dostawcami
Jeżeli Twoje dane przechodzą przez zewnętrzne usługi (hosting, Google Analytics, MailChimp, Facebook), musisz mieć z nimi umowę powierzenia przetwarzania danych (Data Processing Agreement). Większość dostawców ma gotowe DPA do podpisania online:
- Google: automatycznie akceptowane w ustawieniach Analytics/Ads
- MailChimp / Brevo: DPA w ustawieniach konta
- Hosting (home.pl, nazwa.pl, cyber_Folks): DPA w regulaminie lub osobny dokument
Google Analytics a RODO — jak to pogodzić
Google Analytics zbiera adresy IP i cookies — to dane osobowe. Jak być zgodnym z RODO:
- Nie ładuj GA przed zgodą — banner cookies musi blokować skrypt Analytics dopóki użytkownik nie zaakceptuje cookies analitycznych. Wtyczki jak CookieYes/Complianz robią to automatycznie.
- Włącz anonimizację IP — w GA4 jest domyślnie włączona (Google nie przechowuje pełnego IP). Sprawdź w ustawieniach.
- Podpisz DPA z Google — w Admin GA → Account Settings → Data Processing Amendment → zaakceptuj.
- Serwer w UE — GA4 pozwala wybrać region przechowywania danych (EU). Wybierz, żeby dane nie wychodziły poza UE.
Alternatywa: Plausible Analytics lub Matomo — analityka bez cookies, zgodna z RODO „out of the box”, nie wymaga bannera cookies. Plausible: $9/mc, Matomo: self-hosted (darmowy) lub chmurowy.
Kary za nieprzestrzeganie RODO
| Naruszenie | Kara maksymalna |
|---|---|
| Mniej poważne (brak rejestru, brak DPA, brak powiadomienia o naruszeniu) | Do 10 mln EUR lub 2% rocznego obrotu |
| Poważne (brak zgody, przetwarzanie bez podstawy prawnej, brak praw użytkownika) | Do 20 mln EUR lub 4% rocznego obrotu |
W praktyce: UODO (Urząd Ochrony Danych Osobowych) nakładał kary w Polsce od kilku tysięcy do kilku milionów złotych. Dla małej firmy nawet kara 10 000 zł jest dotkliwa. A poza karami: utrata zaufania klientów i reputacji.
Checklista RODO dla strony internetowej
- ✅ Polityka prywatności — osobna podstrona, link w stopce, aktualna treść
- ✅ Banner cookies — z opcją akceptacji, odrzucenia i konfiguracji per kategoria
- ✅ Blokowanie skryptów przed zgodą — GA, Facebook Pixel, reklamy nie ładują się bez zgody
- ✅ Zgody przy formularzach — osobne checkboxy na każdy cel, link do polityki
- ✅ SSL/HTTPS — szyfrowanie danych w transporcie (wymagane RODO)
- ✅ Umowy powierzenia (DPA) — z hostingiem, GA, email marketing, CDN
- ✅ Narzędzia eksportu/usunięcia danych — WordPress: Narzędzia → Eksport/Usuń dane osobowe
- ✅ Regulamin sklepu (jeśli e-commerce) — zgodny z RODO, prawem konsumenckim
- ✅ Procedura na wypadek naruszenia — kogo powiadomić (UODO w 72h), jak poinformować użytkowników
Najczęściej zadawane pytania
Czy blog osobisty podlega RODO?
Jeśli zbierasz dane (komentarze z emailem, formularz kontaktowy, Google Analytics, cookies) — tak. Jedyny wyjątek: blog wyłącznie do użytku prywatnego/domowego bez danych osób trzecich. W praktyce: każdy publiczny blog podlega RODO.
Czy muszę mieć IOD (Inspektora Ochrony Danych)?
Obowiązek IOD dotyczy: organów publicznych, firm przetwarzających dane na dużą skalę (big data, profilowanie), firm przetwarzających dane wrażliwe na dużą skalę. Typowa mała firma / blog / sklep internetowy: nie musi mieć IOD, ale może wyznaczyć dobrowolnie.
Co jeśli moja strona jest poza UE?
Jeżeli Twoja strona jest skierowana do użytkowników z UE (język, waluta, domena .pl/.eu, reklamy targetowane na UE) — RODO Cię dotyczy, niezależnie od siedziby firmy. Google (USA), Meta (USA), Amazon (USA) — wszyscy podlegają RODO, bo obsługują użytkowników UE.
Czy WordPress jest zgodny z RODO „out of the box”?
Częściowo — WordPress od wersji 4.9.6 ma: generator polityki prywatności, narzędzia eksportu/usunięcia danych, checkbox zgody w komentarzach. Ale nie ma: bannera cookies, blokowania skryptów przed zgodą, rejestru przetwarzania. Do tego potrzebujesz wtyczki (CookieYes, Complianz).
Czy mogę używać Google Analytics bez zgody?
W UE: nie (jeśli GA ustawia cookies, co robi domyślnie). Musisz uzyskać zgodę PRZED załadowaniem skryptu GA. Alternatywa: przejdź na analitykę bez cookies (Plausible, Matomo z wyłączonymi cookies) — wtedy zgoda nie jest wymagana.
Podsumowanie
RODO dotyczy każdej strony zbierającej dane osobowe (email, IP, cookies) od użytkowników z UE. Minimum: polityka prywatności + banner cookies z opcją odrzucenia + zgody przy formularzach + SSL + DPA z dostawcami. Na WordPressie: zainstaluj CookieYes lub Complianz (banner cookies + blokowanie skryptów), wypełnij politykę prywatności (Ustawienia → Prywatność) i dodaj checkboxy do formularzy. 2-3 godziny pracy — a unikasz kar do 20 mln EUR i budujesz zaufanie użytkowników.
