RODO na stronie internetowej – co musisz wiedzieć w 2026 roku

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (GDPR), obowiązuje w Polsce i całej Unii Europejskiej od 25 maja 2018 roku. Mimo upływu lat wiele firm wciąż ma problemy z prawidłowym dostosowaniem swoich stron internetowych do wymogów prawa. W 2026 roku organy nadzorcze coraz aktywniej egzekwują przepisy, a kary za naruszenia potrafią być dotkliwe. Ten poradnik pomoże Ci zrozumieć, co musisz zrobić, by Twoja strona była zgodna z RODO.

Czym jest RODO i dlaczego dotyczy Twojej strony?

RODO to zbiór przepisów regulujących sposób, w jaki firmy zbierają, przechowują i przetwarzają dane osobowe mieszkańców Unii Europejskiej. Dane osobowe to wszelkie informacje, które pozwalają zidentyfikować konkretną osobę – imię, nazwisko, adres e-mail, numer telefonu, adres IP, pliki cookies identyfikujące użytkownika.

Jeśli Twoja strona internetowa:

• posiada formularz kontaktowy
• zbiera adresy e-mail (np. newsletter)
• korzysta z Google Analytics lub innych narzędzi analitycznych
• używa plików cookies do śledzenia użytkowników
• umożliwia rejestrację konta lub zakupy

– to przetwarza dane osobowe i podlega przepisom RODO. Praktycznie każda firmowa strona internetowa musi być z nimi zgodna.

Zgoda na cookies – jak prawidłowo skonfigurować baner?

Jednym z najbardziej widocznych elementów zgodności z RODO jest baner informujący o plikach cookies. Niestety, wiele stron wciąż implementuje go nieprawidłowo.

Jakie cookies wymagają zgody?

Nie wszystkie pliki cookies wymagają zgody użytkownika. Rozróżniamy:

• Cookies niezbędne (techniczne) – konieczne do działania strony (np. sesja logowania, koszyk sklepu). Nie wymagają zgody.
• Cookies analityczne – np. Google Analytics. Wymagają zgody, choć istnieją konfiguracje, które zmniejszają ten wymóg (anonimizacja IP).
• Cookies marketingowe – do śledzenia i retargetingu (np. Facebook Pixel). Zawsze wymagają wyraźnej zgody.
• Cookies preferencji – zapamiętujące ustawienia użytkownika. Zazwyczaj wymagają zgody.

Wymagania dotyczące banera cookie

Prawidłowy baner cookie musi spełniać następujące warunki:

• Być wyświetlany przed załadowaniem jakichkolwiek niezbędnych cookies
• Oferować równie łatwy sposób na odmowę jak na akceptację zgody
• Nie stosować manipulacyjnych wzorców (np. szarego przycisku do odmowy, braku opcji odmowy)
• Pozwalać na granularny wybór kategorii cookies
• Umożliwiać wycofanie zgody w dowolnym momencie
• Pamiętać wybór użytkownika przez odpowiedni czas

W 2026 roku organy nadzorcze szczególnie zwracają uwagę na tzw. dark patterns – manipulacyjne techniki projektowania banerów, które mają na celu wymuszenie zgody. Baner z jednym przyciskiem „Akceptuj wszystko” bez możliwości odmowy lub z ukrytą opcją odrzucenia jest niezgodny z RODO.

Narzędzia do zarządzania zgodami

Do prawidłowego zarządzania zgodami na cookies warto skorzystać z platformy CMP (Consent Management Platform). Popularne rozwiązania to Cookiebot, CookieYes, Usercentrics czy OneTrust. Automatycznie skanują one stronę w poszukiwaniu cookies, generują odpowiedni baner i przechowują dowody zgód użytkowników.

Polityka prywatności – co musi zawierać?

Polityka prywatności to obowiązkowy dokument na każdej stronie, która przetwarza dane osobowe. Musi być napisana jasnym, zrozumiałym językiem – nie prawniczym żargonem – i łatwo dostępna dla użytkowników.

Obowiązkowe elementy polityki prywatności

• Administrator danych – pełna nazwa firmy, adres, dane kontaktowe, NIP
• Inspektor ochrony danych (IOD) – jeśli firma jest zobowiązana do jego powołania
• Cel i podstawa prawna przetwarzania – dlaczego i na jakiej podstawie prawnej zbierasz dane
• Zakres przetwarzanych danych – jakie konkretnie dane są zbierane
• Czas przechowywania danych – jak długo dane będą przechowywane
• Odbiorcy danych – komu dane mogą być przekazywane (np. zewnętrzni dostawcy usług)
• Prawa osób, których dane dotyczą – prawo dostępu, poprawiania, usunięcia, przenoszenia danych
• Informacja o cookies – rodzaje plików cookies i cel ich stosowania
• Przekazywanie danych poza EOG – np. do USA przez korzystanie z usług Google

Gdzie umieścić politykę prywatności?

Link do polityki prywatności powinien być łatwo dostępny z każdej strony witryny – zazwyczaj umieszcza się go w stopce (footer). Dodatkowo powinien być widoczny w miejscach zbierania danych, np. przy formularzach kontaktowych i formularzach zapisu do newslettera.

Formularze kontaktowe a RODO

Każdy formularz kontaktowy na stronie zbiera dane osobowe (imię, e-mail, treść wiadomości) i musi być zgodny z RODO.

Wymagania dla formularzy kontaktowych

• Klauzula informacyjna – przy formularzu musi znajdować się informacja o tym, kto jest administratorem danych, w jakim celu są zbierane i jak długo będą przechowywane
• Zgoda na przetwarzanie – checkbox z treścią zgody (nie może być domyślnie zaznaczony)
• Link do polityki prywatności – w treści zgody lub bezpośrednio przy formularzu
• Minimalizacja danych – zbieraj tylko te dane, które są niezbędne (nie pytaj o dane, których nie potrzebujesz)
• Bezpieczne przesyłanie – formularz musi działać przez protokół HTTPS

Przykładowa treść zgody przy formularzu

Prawidłowa klauzula przy formularzu kontaktowym może wyglądać następująco: Wyrazam zgodę na przetwarzanie moich danych osobowych przez [Nazwa firmy] z siedzibą w [adres] w celu udzielenia odpowiedzi na moje zapytanie. Dane będą przechowywane przez okres niezbędny do obsługi korespondencji. Mam prawo dostępu do swoich danych, ich poprawiania, usunięcia oraz wycofania zgody. Więcej informacji w Polityce Prywatności.

Google Analytics a RODO – jak zachować zgodność?

Google Analytics to najpopularniejsze narzędzie analityczne na świecie, ale jego użycie na stronach europejskich przez lata budziło kontrowersje prawne. Dane o adresach IP użytkowników były przez długi czas przesyłane na serwery Google w USA, co – zdaniem europejskich organów nadzorczych – było niezgodne z RODO.

Google Analytics 4 i nowe podejście

Google Analytics 4 (GA4) wprowadził szereg zmian mających na celu poprawę zgodności z RODO:

• Domyślne skracanie adresów IP przed ich przechowywaniem
• Możliwość konfiguracji regionów, w których dane nie będą zbierane
• Tryb zgody (Consent Mode), który dostosowuje zbieranie danych do wyrażonej przez użytkownika zgody
• Krótszy domyślny czas przechowywania danych (do 14 miesięcy)

Jak prawidłowo skonfigurować GA4?

Aby Google Analytics 4 był zgodny z RODO, należy:

• Wdrożyć Google Consent Mode v2, który wstrzymuje śledzenie przed wyrażeniem zgody
• Włączyć anonimizację danych w ustawieniach GA4
• Skonfigurować retencję danych na możliwie krótki okres
• Nie wysyłać do Google Analytics danych, które mogłyby identyfikować konkretnych użytkowników (np. e-maile, numery telefonów)
• Podpisać umowę DPA (Data Processing Agreement) z Google – robi się to automatycznie poprzez akceptację warunków korzystania z usługi
• Uwzględnić Google Analytics w polityce prywatności i informacji o cookies

Newsletter i RODO – zasady zbierania zgód

Wysyłanie newsletterów i e-mail marketingu to obszar, w którym RODO nakłada szczególne wymogi. Zbieranie adresów e-mail i wysyłanie wiadomości handlowych bez odpowiedniej zgody to jedno z najczęstszych naruszeń.

Zasady zbierania zgód na newsletter

• Wyraźna zgoda – użytkownik musi aktywnie wyrazić zgodę (np. zaznaczyć checkbox). Wstępnie zaznaczony checkbox jest niezgodny z RODO.
• Double opt-in – najlepsza praktyka to wysyłanie e-maila potwierdzającego subskrypcję. Stanowi dowód na wyrażenie zgody.
• Oddzielne zgody – zgoda na newsletter musi być oddzielona od zgody na inne działania (np. nie można łączyć jej ze zgodą na regulamin sklepu)
• Łatwa rezygnacja – w każdym e-mailu musi znajdować się link do rezygnacji z subskrypcji, który działa jednym kliknięciem
• Przechowywanie zgód – musisz być w stanie udowodnić, kiedy i w jaki sposób dana osoba wyraziła zgodę

Stare listy mailingowe

Jeśli posiadasz listy e-mailowe zebrane przed wprowadzeniem RODO lub bez odpowiednich zgód, masz kilka opcji: przeprowadzić kampanię re-opt-in (prosząc o ponowne wyrażenie zgody), usunąć osoby bez ważnej zgody lub – w niektórych przypadkach – powołać się na tzw. uzasadniony interes jako podstawę prawną komunikacji.

Kary za naruszenia RODO – ile ryzykujesz?

RODO przewiduje dwa poziomy kar finansowych:

• Do 10 milionów euro lub 2% rocznego obrotu – za mniej poważne naruszenia, np. brak odpowiedniej dokumentacji, niespełnienie obowiązku informacyjnego
• Do 20 milionów euro lub 4% rocznego obrotu – za poważne naruszenia, np. przetwarzanie danych bez podstawy prawnej, naruszenie podstawowych zasad RODO

Dla małych i średnich firm kary są oczywiście proporcjonalnie niższe, ale nawet kilka tysięcy złotych to dotkliwa sankcja. W Polsce Urząd Ochrony Danych Osobowych (UODO) regularnie nakłada kary na firmy różnej wielkości – od małych e-commerce po duże korporacje.

Poza karami finansowymi naruszenia RODO mogą skutkować:

• Utratą reputacji i zaufania klientów
• Roszczeniami odszkodowawczymi ze strony poszkodowanych osób
• Nakazem zaprzestania przetwarzania danych
• Publicznym upomnieniem ze strony UODO

Praktyczna checklista RODO dla strony internetowej

Poniżej znajdziesz praktyczną checklistę, która pomoże Ci sprawdzić, czy Twoja strona spełnia podstawowe wymogi RODO:

Podstawy prawne

• Zidentyfikowałem wszystkie miejsca na stronie, w których zbierane są dane osobowe
• Dla każdego procesu przetwarzania danych mam określoną podstawę prawną (zgoda, umowa, uzasadniony interes, obowiązek prawny)
• Mam aktualną politykę prywatności, dostępną ze stopki strony

Cookies i śledzenie

• Na stronie działa baner cookie z możliwością wyboru kategorii
• Baner jest wyświetlany przed załadowaniem niezbędnych cookies
• Użytkownik może równie łatwo odmówić jak zaakceptować cookies
• Wdrożyłem Google Consent Mode v2 (jeśli używam GA4)

Formularze

• Przy każdym formularzu kontaktowym widnieje klauzula informacyjna RODO
• Checkboxy ze zgodami nie są domyślnie zaznaczone
• Formularz działa przez HTTPS
• Zbieramy tylko dane niezbędne do obsługi zapytania

Newsletter i e-mail marketing

• Zgoda na newsletter jest oddzielna od innych zgód
• Stosuje double opt-in do potwierdzania subskrypcji
• Każdy e-mail zawiera link do rezygnacji z subskrypcji
• Przechowuję dowody wyrażonych zgód

Bezpieczeństwo danych

• Strona działa przez HTTPS (certyfikat SSL)
• Dostęp do CMS chroniony jest silnym hasłem i (najlepiej) dwuetapową weryfikacją
• Regularnie aktualizuję oprogramowanie strony (CMS, wtyczki, motywy)
• Wiem, jak postąpić w przypadku naruszenia bezpieczeństwa danych (obowiązek zgłoszenia do UODO w ciągu 72 godzin)

Zmiany w przepisach 2026 – na co zwrócić uwagę?

W 2026 roku obowiązują przepisy doprecyzowane przez wytyczne Europejskiej Rady Ochrony Danych (EDPB) oraz wyroki krajowych organów nadzorczych. Szczególną uwagę warto zwrócić na:

• ePrivacy Regulation – prace nad nowym rozporządzeniem dotyczącym prywatności w komunikacji elektronicznej wciąż trwają, ale jego wejście w życie jest coraz bliższe
• Rygorystyczniejsze podejście do dark patterns – EDPB wydało szczegółowe wytyczne dotyczące manipulacyjnych wzorców UX w banerach cookies
• AI Act a RODO – jeśli Twoja strona korzysta z narzędzi AI przetwarzających dane użytkowników, musisz uwzględnić wymogi AI Act w polityce prywatności
• Lokalizacja danych – coraz więcej firm decyduje się na korzystanie z europejskich serwerów i dostawców usług, aby uniknąć problemów z transferem danych do USA

Podsumowanie

Zgodność z RODO na stronie internetowej to nie jednorazowe zadanie, ale ciągły proces. Przepisy i ich interpretacje ewoluują, narzędzia analityczne są aktualizowane, a sposób zbierania zgód musi być regularnie weryfikowany.

Kluczowe zasady, o których warto pamiętać:

• Zbieraj tylko te dane, które są naprawdę niezbędne
• Badz transparentny wobec użytkowników – mów im, co i dlaczego zbierasz
• Zapewnij prawdziwą, łatwą do wykonania możliwość odmowy i wycofania zgód
• Regularnie przeglądaj i aktualizuj swoją politykę prywatności
• Dbaj o bezpieczeństwo przechowywanych danych

Potrzebujesz pomocy w dostosowaniu swojej strony internetowej do wymogów RODO lub chcesz zbudować nową, bezpieczną witrynę od podstaw? Skontaktuj się z nami – pomożemy Ci stworzyć stronę, która jest nie tylko piękna, ale i w pełni zgodna z przepisami prawa.