EN
EN
kwiecień 2024

RODO w branży e-commerce

8 minut
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Spis treści

RODO w e-commerce – co musisz wdrożyć, żeby nie ryzykować kar i utraty zaufania klientów

Prowadzisz sklep internetowy? Przetwarzasz dane klientów, kontrahentów, pracowników. RODO nakłada na Ciebie konkretne obowiązki: od uzyskania zgód, przez dokumentację, po zgłaszanie naruszeń w 72 godziny. Kary za uchybienia sięgają 20 mln EUR lub 4% rocznego obrotu. Poniżej znajdziesz listę wymogów, plan wdrożenia i zasady, które pozwolą Ci działać zgodnie z przepisami bez zatrzymywania biznesu.

Dlaczego RODO dotyczy każdego e-commerce

Sklep online zbiera dane przy każdym zamówieniu, rejestracji konta, zapisie na newsletter czy kontakcie z obsługą. To oznacza, że jesteś administratorem danych osobowych – i ponosisz odpowiedzialność za sposób ich przetwarzania.

Świadomość konsumentów rośnie. Klienci sprawdzają polityki prywatności, zgłaszają żądania usunięcia danych i składają skargi do UODO. Jeśli nie masz uporządkowanych procesów, ryzykujesz nie tylko karę finansową, ale też utratę klientów.

Zgoda na przetwarzanie danych – jak ją prawidłowo zbierać

Zgoda to jedna z podstaw przetwarzania danych w RODO. Żeby była ważna, musi spełniać konkretne warunki:

  • Jednoznaczność – użytkownik aktywnie zaznacza checkbox lub klika przycisk. Domyślnie zaznaczone pola i milczące akceptacje nie działają.
  • Świadomość – przed wyrażeniem zgody użytkownik musi wiedzieć, na co się zgadza (cel, zakres, administrator).
  • Dobrowolność – nie możesz uzależniać realizacji zamówienia od zgody na marketing.
  • Możliwość wycofania – użytkownik musi mieć prosty sposób na cofnięcie zgody w dowolnym momencie (np. link w stopce maila, ustawienia konta).

Zasada decyzji: Jeśli zbierasz zgodę na więcej niż jeden cel (np. realizacja zamówienia + newsletter + profilowanie), każdy cel wymaga osobnego checkboxa.

Obowiązek informacyjny – co musisz przekazać i komu

Obowiązek informacyjny dotyczy nie tylko klientów. Obejmuje każdą osobę, której dane przetwarzasz: kontrahentów, dostawców, pracowników, współpracowników.

Jako administrator musisz poinformować te osoby o:

  1. Tożsamości administratora – nazwa firmy i dane kontaktowe.
  2. Inspektorze ochrony danych (IOD) – jeśli go powołałeś (lub masz taki obowiązek), podaj dane kontaktowe.
  3. Celach i podstawie prawnej przetwarzania – np. wykonanie umowy, zgoda, prawnie uzasadniony interes.
  4. Czasie przechowywania danych – konkretny okres lub kryterium jego ustalenia.
  5. Odbiorcach danych – firmy hostingowe, systemy płatności, kurierzy, narzędzia analityczne – każdy podmiot, który przetwarza dane Twoich użytkowników.
  6. Przekazywaniu danych poza EOG – jeśli korzystasz np. z usług amerykańskich dostawców (Google Analytics, Mailchimp).
  7. Zautomatyzowanym podejmowaniu decyzji i profilowaniu – jeśli stosujesz algorytmy wpływające na ofertę lub warunki dla użytkownika.
  8. Prawach osoby, której dane dotyczą – pełna lista praw (patrz sekcja niżej).
  9. Prawie do skargi – możliwość zgłoszenia się do UODO.
  10. Dobrowolności lub obowiązku podania danych – i konsekwencjach ich niepodania.
  11. Źródle danych – jeśli pozyskujesz dane pośrednio (np. od partnera biznesowego).

Co zrobić: Przygotuj klauzulę informacyjną i umieść ją w widocznym miejscu – przy formularzu zamówienia, rejestracji, kontaktu. Osobne klauzule przygotuj dla pracowników i kontrahentów.

Prawa użytkowników – na jakie żądania musisz być gotowy

RODO daje osobom, których dane przetwarzasz, pięć praw, które musisz umieć zrealizować:

  • Prawo dostępu – użytkownik może zapytać, jakie jego dane przetwarzasz, i zażądać ich kopii.
  • Prawo do usunięcia danych („bycie zapomnianym") – jeśli dane nie są już potrzebne do celu, w którym je zebrałeś, użytkownik może żądać ich usunięcia.
  • Prawo do sprostowania – użytkownik zgłasza, że jego dane są nieprawidłowe – musisz je poprawić.
  • Prawo do ograniczenia przetwarzania – w określonych sytuacjach (np. spór o prawidłowość danych) użytkownik może żądać „zamrożenia" przetwarzania.
  • Prawo do przenoszenia danych – użytkownik może zażądać swoich danych w formacie nadającym się do przekazania innemu administratorowi (np. plik CSV/JSON).

Co wdrożyć: Przygotuj procedurę obsługi żądań – kto je przyjmuje, w jakim terminie odpowiadasz (maksymalnie 30 dni), jak weryfikujesz tożsamość wnioskodawcy.

Bezpieczeństwo danych i zgłaszanie naruszeń

Środki ochrony, które musisz wdrożyć

RODO nie narzuca konkretnych narzędzi, ale wymaga, żeby zabezpieczenia były adekwatne do ryzyka. W praktyce e-commerce oznacza to minimum:

  • Szyfrowanie danych (SSL/TLS na stronie, szyfrowanie baz danych)
  • Uwierzytelnianie wieloskładnikowe (MFA) dla panelu administracyjnego
  • Regularne kopie zapasowe i testowanie procedur odtwarzania
  • Ograniczenie dostępu do danych – tylko osoby, które faktycznie ich potrzebują
  • Szkolenia dla zespołu – pracownicy i podwykonawcy muszą wiedzieć, jak postępować z danymi

Procedura zgłaszania naruszeń

Jeśli dojdzie do naruszenia ochrony danych (np. wyciek, nieautoryzowany dostęp, utrata danych):

  1. Zgłoś incydent do UODO – masz na to 72 godziny od wykrycia.
  2. Oceń ryzyko dla osób, których dane dotyczą – jeśli ryzyko naruszenia ich praw jest wysokie, musisz poinformować również te osoby.
  3. Podejmij działania naprawcze – usuń przyczynę, ogranicz skutki, udokumentuj przebieg zdarzenia.

Na co zwraca uwagę UODO: Terminowość zgłoszenia, transparentność komunikacji i rzetelność działań naprawczych. Te trzy elementy wpływają na ocenę sprawy i wysokość ewentualnej kary. Sprawna reakcja pozwala ograniczyć straty finansowe i wizerunkowe.

Jak wdrożyć RODO w e-commerce – plan w 3 krokach

Krok 1: Audyt danych

Zacznij od przeglądu tego, co już masz. Audyt odpowiada na pytania:

  • Jakie dane osobowe zbierasz i w jakim celu?
  • Kto ma do nich dostęp?
  • Jak długo je przechowujesz?
  • Gdzie są przechowywane (serwery, chmura, narzędzia zewnętrzne)?
  • Jakie ryzyka generuje obecny sposób przetwarzania?

Audyt wskaże luki i niezgodności. Powtarzaj go cyklicznie – minimum raz w roku.

Krok 2: Dokumentacja

Przygotuj i wdróż zestaw dokumentów:

  • Polityka ochrony danych osobowych – wewnętrzne zasady przetwarzania danych
  • Klauzule informacyjne – osobne dla klientów, pracowników, kontrahentów
  • Rejestr czynności przetwarzania – obowiązkowy wykaz wszystkich procesów przetwarzania
  • Rejestr kategorii czynności – jeśli działasz jako podmiot przetwarzający
  • Umowy powierzenia przetwarzania – z każdym dostawcą, który przetwarza dane w Twoim imieniu (hosting, płatności, narzędzia marketingowe)
  • Procedura obsługi naruszeń – krok po kroku: kto zgłasza, komu, w jakim terminie
  • Procedura realizacji praw – jak obsługujesz żądania dostępu, usunięcia, przeniesienia danych

Krok 3: Środki techniczne i organizacyjne

Dobierz zabezpieczenia adekwatne do skali działalności i rodzaju danych:

  • Szyfrowanie danych w transmisji i w spoczynku
  • Silne hasła + MFA dla kont z dostępem do danych
  • Kopie zapasowe z regularnym testowaniem odtwarzania
  • Ograniczenie dostępu według zasady minimalnych uprawnień
  • Szkolenia dla całego zespołu – nie tylko IT

RODO a technologia: CRM, AI, Big Data

Systemy CRM i automatyzacja marketingu

Jeśli korzystasz z CRM, narzędzi marketing automation lub analityki, sprawdź:

  • Czy masz ważną podstawę prawną dla każdego procesu przetwarzania danych w tych systemach?
  • Czy użytkownik może łatwo zarządzać swoimi zgodami (wycofać, zmienić zakres)?
  • Czy system umożliwia eksport i usunięcie danych na żądanie użytkownika?

AI i Big Data – szanse i ryzyka

Algorytmy AI i analiza dużych zbiorów danych pozwalają personalizować ofertę i optymalizować procesy. Jednocześnie tworzą dodatkowe obowiązki:

  • Transparentność – musisz umieć wyjaśnić użytkownikowi, jak działa profilowanie i jakie ma dla niego skutki.
  • Brak dyskryminacji – Twoje algorytmy nie mogą prowadzić do nieuczciwego różnicowania oferty.
  • Prawo sprzeciwu – użytkownik może sprzeciwić się profilowaniu automatycznemu. Musisz mieć mechanizm obsługi takiego żądania.

Jeśli wykorzystujesz AI do analizy ryzyka związanego z ochroną danych, możesz szybciej identyfikować zagrożenia i reagować na incydenty. To działa na Twoją korzyść – zarówno operacyjnie, jak i w kontakcie z UODO.

RODO a marketing w e-commerce

E-mail marketing

Wysyłka wiadomości marketingowych wymaga wyraźnej zgody odbiorcy. W praktyce:

  • Stosuj mechanizm double opt-in – użytkownik potwierdza zapis klikając link w mailu weryfikacyjnym.
  • Przechowuj dowód udzielenia zgody (data, treść zgody, adres IP).
  • W każdym mailu umieść widoczny link do wypisania się.

Personalizacja i profilowanie

Jeśli personalizujesz ofertę na podstawie zachowań użytkownika (historia zakupów, przeglądane produkty):

  • Poinformuj o tym w klauzuli informacyjnej.
  • Daj użytkownikowi możliwość wyłączenia profilowania.
  • Jeśli profilowanie prowadzi do automatycznych decyzji (np. indywidualna cena, odmowa usługi), użytkownik ma prawo żądać interwencji człowieka.

Kary za naruszenie RODO – ile ryzykujesz

Nieprzestrzeganie przepisów RODO wiąże się z konkretnymi konsekwencjami finansowymi:

Próg kary Kwota
Maksymalna kara kwotowa do 20 000 000 EUR
Maksymalna kara procentowa do 4% całkowitego rocznego światowego obrotu
Zastosowanie wyższa z dwóch kwot

Kary dotyczą każdego podmiotu przetwarzającego dane osobowe w ramach działalności gospodarczej – sklepów online, platform marketplace, firm SaaS i każdego innego biznesu działającego w sieci.

Zasada decyzji: Jeśli nie masz wdrożonej dokumentacji RODO, procedur obsługi naruszeń i mechanizmu realizacji praw użytkowników – zaplanuj audyt i wdrożenie zanim pojawi się kontrola lub incydent. Koszt uporządkowania procesów jest zawsze niższy niż koszt kary i utraty reputacji.

Często zadawane pytania

Jakie obowiązki RODO musi wdrożyć sklep internetowy, żeby nie ryzykować kar i utraty zaufania klientów? Sklep internetowy musi wdrożyć prawidłowe zbieranie zgód na przetwarzanie danych, klauzule informacyjne przy każdym formularzu, procedurę obsługi żądań użytkowników (dostęp, usunięcie, przeniesienie danych), dokumentację wewnętrzną (rejestr czynności przetwarzania, umowy powierzenia, politykę ochrony danych) oraz adekwatne środki techniczne – szyfrowanie, MFA, kopie zapasowe i ograniczenie dostępu. Brak tych elementów oznacza ryzyko kary do 20 mln EUR lub 4% rocznego obrotu, a koszt uporządkowania procesów jest zawsze niższy niż koszt kary i utraty reputacji.


Jak poprawnie zbierać zgody marketingowe w e-commerce, żeby były ważne zgodnie z RODO? Zgoda musi być jednoznaczna (aktywne zaznaczenie checkboxa – domyślnie zaznaczone pola nie działają), świadoma (użytkownik wie, na co się zgadza), dobrowolna (nie można uzależniać realizacji zamówienia od zgody na marketing) i odwołalna w prosty sposób, np. linkiem w stopce maila. Jeśli zbierasz zgodę na więcej niż jeden cel – np. newsletter i profilowanie – każdy cel wymaga osobnego checkboxa. Przy e-mail marketingu stosuj mechanizm double opt-in i przechowuj dowód udzielenia zgody (datę, treść, adres IP).


Co musi zawierać klauzula informacyjna RODO w sklepie internetowym? Klauzula informacyjna musi zawierać: tożsamość administratora i dane kontaktowe, dane IOD (jeśli powołany), cele i podstawę prawną przetwarzania, czas przechowywania danych, odbiorców danych (hosting, płatności, kurierzy, narzędzia analityczne), informację o przekazywaniu danych poza EOG, informację o profilowaniu i zautomatyzowanym podejmowaniu decyzji, prawa osoby, której dane dotyczą, prawo do skargi do UODO, informację o dobrowolności podania danych oraz źródło danych, jeśli pozyskujesz je pośrednio. Umieść ją w widocznym miejscu przy formularzu zamówienia, rejestracji i kontaktu, a osobne klauzule przygotuj dla pracowników i kontrahentów.


Jakie prawa użytkownika musi obsłużyć e-commerce zgodnie z RODO i w jakim terminie? E-commerce musi realizować pięć praw: prawo dostępu do danych i ich kopii, prawo do usunięcia danych („bycie zapomnianym"), prawo do sprostowania nieprawidłowych danych, prawo do ograniczenia przetwarzania oraz prawo do przenoszenia danych w formacie nadającym się do przekazania innemu administratorowi (np. CSV/JSON). Na realizację każdego żądania masz maksymalnie 30 dni – przygotuj procedurę określającą, kto przyjmuje żądania, jak weryfikujesz tożsamość wnioskodawcy i w jaki sposób dokumentujesz odpowiedź.


Co trzeba zrobić po naruszeniu danych w e-commerce i kiedy trzeba zgłosić je do UODO? Po wykryciu naruszenia ochrony danych (wyciek, nieautoryzowany dostęp, utrata danych) masz 72 godziny na zgłoszenie incydentu do UODO. Jeśli ryzyko naruszenia praw osób, których dane dotyczą, jest wysokie – musisz poinformować również te osoby. Równolegle podejmij działania naprawcze: usuń przyczynę, ogranicz skutki i udokumentuj przebieg zdarzenia – UODO ocenia terminowość zgłoszenia, transparentność komunikacji i rzetelność działań naprawczych, co wpływa na wysokość ewentualnej kary.

Zostaw numer telefonu
Odezwiemy się najszybciej jak to możliwe.


    Administratorem Twoich danych osobowych jest Sawaryn i Partnerzy sp. k. z siedzibą w Warszawie (00-040), przy ul. Warecka 4/6 lok. 6. Twoje dane osobowe będą przetwarzane w celu odpowiedzi na przesłane zapytanie oraz archiwizacji formularza. Więcej informacji znajdziesz w naszym
    Regulaminie
    i
    Polityce Prywatności.



    Udostępnij artykuł:
    Generic selectors
    Exact matches only
    Search in title
    Search in content
    Post Type Selectors
    Spis treści
    Proponowane artykuły
    DSA – konstytucja Internetu
    Unia Europejska reguluje prawa w Internecie kolejnym aktem – tym...
    Dyrektywa towarowa i cyfrowa – co się zmieni od 1 stycznia 2023?
    Wraz z dyrektywą Omnibus do polskiego porządku prawnego wchodzą również...
    Jakie zmiany wprowadza dyrektywa cyfrowa?
    Dyrektywa cyfrowa wprowadza do polskiego porządku prawnego nową definicję –...
    1 2 3 4 5