Większość artykułów o RODO jest napisana przez prawników dla prawników — niezrozumiała i odstraszająca. Pokażę Ci, co dokładnie musi być na Twojej witrynie WWW, żeby spełnić wymogi RODO i nie dostać mandatu 20 mln EUR (max kara). Krótko, bez prawniczej mistyki, z konkretnymi wtyczkami WordPress.
⚠️ Disclaimer: nie jestem prawnikiem. Ten poradnik to podsumowanie praktyki branżowej, a nie porada prawna. W razie wątpliwości skonsultuj się z prawnikiem ds. ochrony danych.
W skrócie
- RODO (GDPR po angielsku) obowiązuje w UE od 2018, dotyczy każdej witryny obsługującej dane osobowe Europejczyków.
- Minimum dla witryny: polityka prywatności, cookie banner, klauzula informacyjna w formularzach.
- Sklep WooCommerce: dodatkowo regulamin, prawo do zapomnienia, eksport danych.
- Kara: do 20 mln EUR lub 4% globalnego obrotu (zwykle <50 000 zł dla małej firmy).
Co RODO uważa za „dane osobowe”
To każda informacja, która pozwala zidentyfikować osobę:
– Imię, nazwisko
– Email
– Numer telefonu
– Adres IP (TAK, IP to dane osobowe)
– Cookies tracking
– ID użytkownika
– Zdjęcie
– Numer NIP (dla osób fizycznych prowadzących działalność)
Nie są danymi osobowymi:
– Dane firm (NIP firmy, KRS)
– Anonimizowane statystyki
– Adresy IP zaszyfrowane
Pięć obowiązków każdej witryny WWW
Obowiązek 1: Polityka prywatności
Najważniejszy dokument. Musi być:
– Łatwo dostępny (link w stopce)
– Napisany prosto (nie po prawniczemu)
– W języku użytkownika (po polsku dla polskich)
Zawartość obowiązkowa:
- Kto jest administratorem danych — Twoja firma, dane kontaktowe
- Jakie dane zbierasz — imię, email, IP, cookies
- W jakim celu — kontakt, marketing, realizacja zamówienia
- Podstawa prawna — zgoda, umowa, prawnie uzasadniony interes
- Komu udostępniasz — InPost (dostawa), Przelewy24 (płatności), Google (Analytics)
- Jak długo przechowujesz — np. 5 lat dla faktur
- Prawa użytkownika — dostęp, sprostowanie, usunięcie, sprzeciw, przenoszenie
- Jak skontaktować się z DPO (jeśli jest wymagany)
Generatory polityki prywatności:
– Iubenda — płatne, ale automatyczne i ciągle aktualizowane
– Termly — freemium
– GIODO/UODO wzory — darmowe wzory bezpośrednio od UODO
WordPress wbudowany generator: Ustawienia → Prywatność. WP ma automatyczny szablon, który podstawia Twoje dane firmowe.
Obowiązek 2: Cookie banner / consent
Strona, która używa cookies (każdy WP korzystający z Google Analytics, Pixel Meta, livechata…) musi wyświetlać banner zgody przed załadowaniem cookies.
RODO + ePrivacy wymagają:
✅ Zgoda aktywna — użytkownik klika „Akceptuję”, banner sam się nie zamyka
✅ Granularność — użytkownik może zaakceptować „tylko niezbędne”, „Analytics”, „marketing” osobno
✅ Łatwe odwołanie — link „Zmień zgody” zawsze dostępny
✅ Brak cookies przed zgodą — Google Analytics i Pixel ŁADUJĄ SIĘ DOPIERO PO ZGODZIE
❌ NIE WOLNO:
– Pre-checked boxów („zgadzam się” zaznaczone domyślnie)
– „Klikając cokolwiek na stronie, akceptujesz cookies”
– Cookies wczytywane przed zgodą
– Banner zasłaniający całą stronę bez X (utrudnianie odmowy)
Wtyczki cookie banner WP:
- Cookiebot (płatny) — najpełniejszy, automatycznie wykrywa cookies, scan, audyt
- Iubenda Cookie Solution (płatny)
- CookieYes (freemium) — darmowy plan dla małych witryn
- Complianz (freemium) — darmowy, polski język wsparty
- Borlabs Cookie (płatny, niemiecki) — najlepszy w technicznym detalu
Obowiązek 3: Klauzula informacyjna w formularzach
Każdy formularz na stronie (kontaktowy, zapis na newsletter, zamówienie) musi mieć klauzulę informacyjną przy wysyłaniu.
Treść minimum:
„Administratorem Twoich danych osobowych jest [Nazwa Firmy], z siedzibą w [Adres]. Dane będą przetwarzane w celu [obsługi zapytania / wysyłki newslettera]. Masz prawo do dostępu, sprostowania i usunięcia danych. Pełna polityka prywatności: [link].”
W praktyce:
- Dla formularza kontaktowego: krótka wersja + link do polityki
- Dla newslettera: wymaganą zgoda (checkbox), informacja o celu (email marketing), prawo do wypisania
- Dla rejestracji konta: pełna zgoda na regulamin i politykę
Wtyczki polskie wspierające:
– Fluent Forms — ma natywne pola „GDPR Agreement”
– WPForms Pro — analogicznie
– Contact Form 7 — wymaga ręcznego dodania checkboxa
Obowiązek 4: Prawo do zapomnienia + dostępu + przenoszenia
Użytkownik może w dowolnej chwili zażądać:
- Prawo dostępu — „Pokaż mi, jakie macie moje dane”
- Prawo do sprostowania — „Zmień mój email”
- Prawo do usunięcia („prawo do zapomnienia”) — „Usuń wszystkie moje dane”
- Prawo do przenoszenia — „Eksportuj moje dane do CSV”
- Prawo do sprzeciwu — „Nie chcę otrzymywać marketingu”
WordPress ma to wbudowane: Narzędzia → Eksport danych osobowych / Wyczyść dane osobowe.
Procedura:
1. Użytkownik prosi (mailem) o dane / usunięcie
2. Wpisujesz jego email w narzędziu
3. Otrzymuje email z linkiem do potwierdzenia
4. Po potwierdzeniu — dostęp / usunięcie
Termin: masz 30 dni na odpowiedź (RODO art. 12).
Obowiązek 5: Zgłaszanie naruszeń (data breach)
Jeśli wyciekły dane (włamanie, ujawnienie maila, błąd ludzki), masz 72 godziny na:
- Zgłoszenie do UODO (uodo.gov.pl, formularz)
- Powiadomienie poszkodowanych (jeśli wysokie ryzyko)
- Udokumentowanie naruszenia
Brak zgłoszenia w 72 h = dodatkowa kara.
Specyficzne wymagania dla WooCommerce
Sklep online to „więcej danych” niż wizytówka. Dodatkowo:
Regulamin sklepu
Polskie prawo (UOKiK) wymaga regulaminu zawierającego:
– Dane sprzedawcy
– Proces składania zamówienia
– Czas wysyłki
– Prawo do odstąpienia (14 dni)
– Reklamacje
– Pozasądowe rozwiązywanie sporów (ODR)
Wzór: uokik.gov.pl ma darmowe wzory.
Anonimizacja po realizacji zamówienia
Po zrealizowaniu zamówienia + okresie ustawowym (zwykle 5 lat dla faktur) — masz obowiązek usunąć lub anonimizować dane klienta.
WordPress → Ustawienia → Prywatność: „Personal data retention” — automatyczna anonimizacja po X dniach.
Profilowanie i marketing automation
Jeśli używasz Mailchimp / GetResponse / segmentów Pixela Meta = profilujesz. Musisz:
– Informować w polityce
– Mieć osobną zgodę na marketing
– Pozwalać na opt-out w każdej chwili
Najczęstsze błędy
❌ „Klikając, zgadzasz się na cookies” — to nie jest zgoda RODO
❌ Polityka prywatności pisana 5 lat temu, nigdy nie aktualizowana
❌ Cookies tracking (GA, Pixel) ładowane PRZED akceptacją
❌ Polityka prywatności po angielsku dla polskiej witryny
❌ Brak procedury reagowania na żądania użytkowników
❌ Zapominanie o RODO przy formularzu newslettera (najczęstszy)
Co dalej
W tym tygodniu:
- Sprawdź, czy masz politykę prywatności (link w stopce?)
- Wejdź na własną stronę incognito — sprawdź, czy cookies ładują się przed Twoją zgodą (DevTools → Application → Cookies)
- Sprawdź formularze — czy mają checkbox zgody
- Zaplanuj audyt (samodzielny lub z prawnikiem) raz na rok
Wdrażamy compliance RODO w pakiecie wdrożenia — generator polityki, cookie banner, audyt formularzy, dokumentacja DPO. Zobacz pakiety.
