RODO / Polityka prywatności

Co to jest?

RODO (Rozporządzenie o Ochronie Danych Osobowych) - prawo unijne - wymusza na Tobie posiadanie tego dokumentu i przestrzeganie konkretnych zasad.

Masz formularz kontaktowy? Newsletter? Google Analytics? Zwykłe pliki cookies? Zbierasz dane osobowe. I musisz o tym informować.

Dlaczego to ważne dla Ciebie?

W 2025 roku UODO nałożył ponad 64 miliony złotych kar za naruszenia RODO. Pięciokrotność całego 2024 roku. Poczta Polska, ING Bank, McDonald's Polska - każdy po kilkanaście-kilkadziesiąt milionów.

"To duże firmy, mnie to nie dotyczy." Błąd. W 2024 roku UODO ukarało prawie tyle samo jednoosobowych działalności co spółek. 27 kar w jednym roku - to 27 firm, które musiały zapłacić od kilkuset złotych do milionów. Plus koszty prawników. Plus stracony czas. Plus stres.

8000 skarg wpłynęło do UODO w 2024 roku. Każda skarga to potencjalna kontrola. Złożyć ją może każdy - Twój niezadowolony klient, konkurencja, były pracownik. UODO czasem daje szansę na poprawę, czasem od razu wali karą. Nie wiesz, na co trafisz.

Brak polityki prywatności lub rażące błędy? Otwierasz drzwi na oścież. Kontrola może przyjść w każdej chwili - losowo albo na donos.

Jest jeszcze coś. Klienci zaczynają patrzeć na to, jak firmy traktują ich dane. Przejrzysta polityka prywatności pokazuje, że działasz poważnie. Firmy z porządną dokumentacją budują większe zaufanie. Ale to obserwacja, nie twarde badanie.

Jak sprawdzić czy Twoja strona jest zgodna?

Zacznij od prostego testu. Wejdź na swoją stronę i odpowiedz na pytania:

Test manualny (5 minut):

Czy na stronie jest link do polityki prywatności widoczny bez przewijania? Typowe miejsca to stopka strony lub menu główne.

Czy przy każdym formularzu (kontakt, newsletter, zamówienie) jest informacja o przetwarzaniu danych i checkbox ze zgodą?

Czy pojawia się baner o plikach cookies, który pozwala ODMÓWIĆ, a nie tylko "zaakceptować wszystko"?

Czy po kliknięciu "Polityka prywatności" widzisz konkretny dokument, a nie pustą stronę lub błąd 404?

Narzędzia online (bezpłatne):

Zeskanuj swoją stronę pod kątem cookies. Narzędzia takie jak Cookiebot Cookie Checker (cookiebot.com/en/cookie-checker), 2GDPR.com lub Cookie-Script Scanner (cookie-script.com/cookie-scanner) pokażą Ci jakie pliki cookies używa Twoja strona i czy wymagają zgody użytkownika.

Te skanery wykryją też, czy masz cookies reklamowe lub analityczne uruchamiane PRZED wyrażeniem zgody - co jest naruszeniem.

Checklist elementów polityki prywatności:

Art. 13 RODO wymaga podania konkretnych informacji. Nie wszystkie dotyczą każdej strony - część jest warunkowa ("gdy ma to zastosowanie"). Sprawdź czy Twoja polityka ma te, które Cię dotyczą:

• Dane administratora (Twoje imię/nazwisko lub nazwa firmy, adres, kontakt)
• Cele przetwarzania danych (po co zbierasz dane - np. realizacja zamówienia, newsletter)
• Podstawy prawne przetwarzania (na jakiej podstawie - zgoda, umowa, prawnie uzasadniony interes)
• Kategorie danych (jakie dane zbierasz - imię, email, telefon, adres IP)
• Okres przechowywania danych (jak długo trzymasz dane)
• Odbiorcy danych (komu przekazujesz dane - np. firmie hostingowej, kurierowi)
• Prawa użytkownika (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie)
• Informacja o prawie do skargi do UODO
• Informacja czy podanie danych jest obowiązkowe
• Informacja o przekazywaniu danych poza UE (jeśli dotyczy - np. używasz Google Analytics)
• Informacja o profilowaniu (jeśli stosujesz)
• Informacja o zautomatyzowanym podejmowaniu decyzji (jeśli stosujesz)

Jeśli brakuje któregokolwiek z elementów, które Cię dotyczą - polityka jest dziurawa. A dziurawa polityka to żadna polityka.

Jak to działa? (dla ciekawskich)

RODO to rozporządzenie unijne, które obowiązuje bezpośrednio w Polsce od 25 maja 2018 roku. Nie potrzebowało osobnej ustawy - po prostu zaczęło obowiązywać.

Prawo traktuje jako dane osobowe wszystko, co pozwala zidentyfikować konkretną osobę. To oczywiste rzeczy jak imię i nazwisko, ale też adres IP, identyfikator urządzenia, pliki cookies, historia przeglądania czy lokalizacja.

Dlatego nawet prosta strona-wizytówka, która używa Google Analytics do liczenia odwiedzin, przetwarza dane osobowe. Adres IP odwiedzającego to dana osobowa. Cookie analityczny to dana osobowa.

Od 10 listopada 2024 roku obowiązuje w Polsce nowe Prawo Komunikacji Elektronicznej (PKE), które zastąpiło stare Prawo Telekomunikacyjne. Zmienia ono zasady dotyczące cookies - niektóre pliki analityczne mogą być używane bez zgody, ale pod ścisłymi warunkami (m.in. dane nie mogą być przechowywane dłużej niż 25 miesięcy i nie mogą być przekazywane osobom trzecim).

System kar jest dwupoziomowy. Za mniej poważne naruszenia: do 10 milionów euro lub 2% rocznego obrotu. Za poważne: do 20 milionów euro lub 4% obrotu. Liczy się kwota wyższa.

Co to znaczy dla Ciebie? Mała firma z obrotem 500 tysięcy złotych rocznie teoretycznie ryzykuje karę 20 milionów euro. W praktyce kary są proporcjonalne - ale "proporcjonalna" kara dla małej firmy to nadal kwota, która boli. Kilka tysięcy złotych plus prawnik plus nerwy.

Co dalej?

Polityka prywatności i zgodność z RODO to nie jest projekt "zrób sam na podstawie szablonu z internetu". To obszar prawny. Błędy kosztują. Dosłownie - w złotówkach.

Irytuje mnie, gdy widzę reklamy "Pełna zgodność RODO za 99 zł!" albo "Generator polityki prywatności - gotowe w 5 minut!". Bzdura. Darmowe generatory wyplują dokument, który wygląda profesjonalnie. Ale czy pasuje do TWOJEJ sytuacji? Czy uwzględnia TWOJE formularze, TWOJE narzędzia analityczne, TWÓJ sposób przetwarzania danych? Nie. To jak kupowanie garnituru "one size fits all" na rozprawę sądową - niby ubrany, ale wszyscy widzą, że coś nie gra.

Co zrobić:

Skontaktuj się ze specjalistą RODO lub prawnikiem, który przeprowadzi audyt Twojej strony i przygotuje dokumentację dopasowaną do Twojej działalności. Koszt takiej usługi zaczyna się od około 2000 zł i rośnie zależnie od złożoności. To ułamek potencjalnej kary.

Jeśli masz wykonawcę strony - zapytaj go czy w zakresie usługi jest przygotowanie polityki prywatności i mechanizmu zgód na cookies. Profesjonalni wykonawcy oferują to w pakiecie lub jako dodatek.

Pytania do specjalisty:

Jakie dane osobowe zbiera moja strona? (możesz nie wiedzieć o wszystkich)

Czy moje formularze są poprawnie skonstruowane pod kątem RODO?

Czy baner cookies spełnia aktualne wymogi prawne?

Czy muszę prowadzić rejestr czynności przetwarzania?

Czy potrzebuję umów powierzenia z dostawcami (hosting, maile, CRM)?

Co się stanie jeśli zignorujesz temat:

Kontrola UODO może przyjść w każdej chwili - losowo albo na skargę. Nie wiesz kiedy, nie wiesz czy. Ale wiesz jedno: brak polityki prywatności lub rażące błędy to zaproszenie do kary. Gdy kontrola przyjdzie - a przy 8000 skarg rocznie szanse rosną - chcesz być przygotowany.

Scenariusz optymistyczny: dostajesz upomnienie i czas na poprawę. Scenariusz pesymistyczny: kara finansowa plus koszty prawnika plus miesiące stresu. Obu scenariuszy unikniesz, jeśli ogarniesz temat teraz.

Im dłużej zwlekasz, tym więcej danych przetwarzasz niezgodnie z prawem. Każdy dzień bez poprawnej dokumentacji to kolejny dzień ryzyka.