RODO a Strona Internetowa: Przewodnik 2026

Każda strona internetowa, która zbiera, przechowuje lub przetwarza dane osobowe odwiedzających — adres e-mail w formularzu kontaktowym, adres IP w logach serwera, identyfikator cookie, dane konta użytkownika — podlega RODO. To nie jest opcja, to obowiązek prawny od 2018 roku, a UODO (Urząd Ochrony Danych Osobowych) w 2026 roku wzmocnił swoje działania kontrolne wobec polskich stron www. Ten przewodnik pokazuje, co dokładnie musisz wdrożyć na swojej stronie, żeby uniknąć kary do 20 milionów euro lub 4% rocznego globalnego obrotu (art. 83 RODO).

Czy RODO dotyczy Twojej strony www?

Tak, jeśli Twoja strona spełnia choćby jeden z poniższych warunków:

• Posiada formularz kontaktowy (zbierasz imię, e-mail, telefon)
• Wysyła newsletter lub komunikaty marketingowe
• Używa Google Analytics, Meta Pixel lub innych narzędzi analitycznych/reklamowych
• Pozwala na rejestrację konta użytkownika
• Sprzedaje produkty lub usługi online (e-commerce)
• Loguje adresy IP w logach serwera (co robi praktycznie każdy hosting)
• Używa plików cookies innych niż technicznie niezbędne

Nawet zwykła strona wizytówka małej firmy podlega RODO, jeśli ma formularz kontaktowy lub Google Analytics. Nie ma minimalnego progu wielkości firmy — jednoosobowa działalność gospodarcza ma takie same obowiązki jak korporacja, choć z proporcjonalnymi sankcjami.

Sprawdź szczegóły w naszym przewodniku Kogo dotyczy RODO.

10 obowiązków właściciela strony www

1. Polityka prywatności

To najważniejszy dokument zgodności. Musi zawierać 12 obowiązkowych elementów wymienionych w art. 13 i 14 RODO: dane administratora, cele przetwarzania, podstawy prawne, odbiorcy danych, okresy przechowywania, prawa osób, których dane dotyczą, transfery poza EOG, dane kontaktowe IOD (jeśli dotyczy), itp.

Polityka musi być dostępna z każdej strony (zwykle link w stopce), napisana prostym językiem (nie żargonem prawnym) i aktualna. Pełna lista wymagań w naszym artykule Polityka prywatności: 12 mentions UODO.

2. Polityka cookies (osobny dokument)

Polityka cookies to odrębny dokument od polityki prywatności. Opisuje wszystkie cookies używane na stronie (nazwę, cel, czas życia, emitenta), zasady wycofania zgody i sposoby zarządzania preferencjami w przeglądarce.

Szczegóły w Polityka cookies: zasady UODO i sankcje.

3. Baner cookies zgody (consent management)

Każda strona używająca cookies nieistotnych (analityka, reklama, media społecznościowe) musi wyświetlać baner zgody przed instalacją tych cookies. Wymagania:

• Przyciski “Akceptuj” i “Odmów” o jednakowej wielkości i widoczności
• Brak pre-zaznaczonych checkboxów
• Możliwość szczegółowej zgody (per cel: analityka, reklama, marketing, itp.)
• Brak instalacji cookies przed otrzymaniem zgody
• Możliwość wycofania zgody w każdej chwili

Możesz użyć darmowego rozwiązania jak WebLegal CCB — instaluje się w 1 linijce kodu, automatycznie blokuje 37+ trackerów, dostępny w 30 językach.

4. Zgoda na newsletter/marketing

Zapisanie się na newsletter wymaga wyraźnej, dobrowolnej, świadomej i jednoznacznej zgody (art. 4 pkt 11 RODO). W praktyce:

• Niezaznaczone domyślnie pole wyboru w formularzu zapisu
• Double opt-in zalecany (e-mail potwierdzający)
• Osobne pole dla każdej kategorii komunikacji (np. nowości produktowe vs oferty partnerskie)
• Łatwe wypisanie przy każdym e-mailu

Pamiętaj o prowadzeniu dowodu zgody: data, godzina, IP, treść klauzuli.

5. Bezpieczeństwo danych (art. 32 RODO)

Twoja strona musi wdrożyć odpowiednie środki techniczne i organizacyjne:

• HTTPS na całej stronie (nie tylko stronie płatności)
• Silne hasła dla kont administratora (12+ znaków, MFA)
• Aktualizacje CMS, wtyczek i zależności
• Szyfrowane kopie zapasowe z testami przywracania
• Kontrola dostępu ograniczona do osób potrzebujących

Pełną checklistę znajdziesz w Plan działania RODO w 10 krokach.

6. Prawa użytkowników (art. 15-22 RODO)

Każdy użytkownik ma 6 praw, których Twoja strona musi umożliwić wykonanie:

• Dostęp do swoich danych (art. 15)
• Sprostowanie błędnych danych (art. 16)
• Usunięcie (“prawo do bycia zapomnianym”, art. 17)
• Ograniczenie przetwarzania (art. 18)
• Przenoszenie danych do innego administratora (art. 20)
• Sprzeciw wobec przetwarzania (art. 21)

Praktycznie: dedykowany e-mail (np. iod@twojastrona.pl) lub formularz, odpowiedź w ciągu miesiąca, dokumentacja każdego zgłoszenia.

7. Rejestr czynności przetwarzania (art. 30 RODO)

Obowiązkowy dla wszystkich firm zatrudniających 250+ pracowników, lub przetwarzających dane wrażliwe regularnie, lub przetwarzających dane mogące powodować ryzyko dla osób (co obejmuje praktycznie każdą stronę z formularzem). W praktyce: dotyczy 99% stron www.

Rejestr to dokument (arkusz Excel wystarczy) opisujący: cele przetwarzania, kategorie danych, kategorie osób, odbiorców, transfery poza UE, okresy przechowywania, środki bezpieczeństwa.

8. Transfery danych poza EOG

Jeśli korzystasz z usług hostowanych poza Europejskim Obszarem Gospodarczym — Google Analytics, Mailchimp, AWS w USA, hosting w Indiach — musisz uregulować te transfery zgodnie z rozdziałem V RODO:

• Decyzja o adekwatności Komisji Europejskiej (np. UK, Japonia, Kanada w pewnym zakresie)
• Standardowe klauzule umowne (SCC) Komisji Europejskiej
• Wiążące reguły korporacyjne (BCR)

Po wyroku Schrems II (2020) transfery do USA wymagają dodatkowych zabezpieczeń. Sprawdź Google Analytics i RODO dla zgodnych alternatyw.

9. Procedura zgłaszania naruszeń (art. 33 RODO)

W przypadku naruszenia danych (wyciek, atak hakerski, błędne wysłanie e-maili) musisz zgłosić incydent do UODO w ciągu 72 godzin od jego wykrycia. Jeśli naruszenie stwarza wysokie ryzyko dla osób, musisz je również poinformować (art. 34).

Przygotuj wstępną procedurę zanim incydent się zdarzy: kto wykrywa, kto raportuje, jaki formularz UODO, jaki szablon komunikacji do użytkowników.

10. Mentions legales i identyfikacja firmy

Niezależnie od RODO, polskie prawo wymaga, aby strona www identyfikowała wyraźnie firmę-właściciela: pełna nazwa, adres siedziby, NIP, REGON, KRS (dla spółek), adres e-mail kontaktowy. Brak tych informacji może powodować dodatkowe sankcje (do 75 000 zł). Sprawdź Mentions legales: kara 75 000 € przy braku.

Najczęstsze błędy stron www w 2026

Z analizy 1000+ kontrolowanych stron www przez UODO i inne europejskie organy nadzorcze w 2024-2026:

1. Cookies analityczne ładowane przed zgodą — 73% przypadków (Google Analytics na pierwszej stronie)
2. Brak przycisku “Odmów” w banerze cookies (lub mniej widoczny niż “Akceptuj”) — 58%
3. Polityka prywatności pełna żargonu prawnego lub kopia-wklejka z wzorca — 42%
4. Brak rejestru czynności przetwarzania — 38%
5. Newsletter z pre-zaznaczonym checkboxem lub bez double opt-in — 27%
6. Brak procedury zgłaszania naruszeń — 22%
7. Transfery do USA bez SCC (np. Mailchimp używany bez umowy) — 19%

Sankcje w Polsce: realne przykłady

UODO wydał w latach 2023-2025 ponad 100 publicznych decyzji o nałożeniu kar. Przykłady:

• Sklep internetowy ukarany 200 000 zł za brak zgody na cookies marketingowe (2024)
• Spółka usługowa ukarana 1,5 mln zł za przeciek danych 80 000 klientów z formularza kontaktowego (2024)
• Pracodawca ukarany 80 000 zł za umieszczanie na stronie www zdjęć pracowników bez zgody (2025)
• Stowarzyszenie ukarane 10 000 zł za brak polityki prywatności (2024)

Pełną listę znajdziesz w Top 15 kar RODO.

Jak sprawdzić zgodność swojej strony w 30 sekund

Najszybszy sposób, żeby ocenić swoją stronę: darmowy skaner RODO WebLegal. Wpisujesz URL, otrzymujesz wynik 0-100 i listę konkretnych problemów do naprawienia.

Skaner sprawdza:

• Obecność i jakość polityki prywatności
• Obecność i konfigurację banera cookies
• Trackery ładowane przed zgodą
• Identyfikację firmy (NIP, REGON, adres)
• HTTPS i podstawowe środki bezpieczeństwa

Przeskanuj swoją stronę za darmo →

FAQ

Czy mała firma jednoosobowa też podlega RODO?

Tak. RODO nie ma progu wielkości firmy. Jednoosobowa działalność z formularzem kontaktowym musi spełniać te same wymagania co korporacja. Sankcje są jednak proporcjonalne do rozmiaru firmy.

Czy potrzebuję IOD (Inspektora Ochrony Danych)?

IOD jest obowiązkowy tylko dla: organów publicznych, firm przetwarzających dane wrażliwe na dużą skalę regularnie, firm prowadzących systematyczny monitoring osób na dużą skalę. Większość stron www nie potrzebuje IOD, ale powinna wyznaczyć osobę kontaktową ds. RODO.

Jak długo musi być przechowywana zgoda na cookies?

Zgoda jest ważna maksymalnie 13 miesięcy. Po tym okresie musisz ponownie poprosić użytkownika o zgodę. Dowód zgody (data, IP, treść) musisz przechowywać przez okres możliwego zaskarżenia (do 6 lat).

Czy używanie Google Analytics jest legalne w Polsce?

Tak, ale z warunkami: zgoda użytkownika przed instalacją cookies, anonimizacja IP (anonymizeIp), wyłączenie udostępniania danych Google Ads, podpisana umowa SCC z Google. Wiele organów nadzorczych w UE (CNIL, austriacki DSB) uznało standardową konfigurację Google Analytics za niezgodną — używaj alternatyw jak Plausible lub Matomo dla pewności.

Co jeśli mam tylko stronę wizytówkę bez formularzy?

Nawet bez formularzy strona zwykle używa cookies analitycznych lub Google Fonts (które wysyłają IP do USA). Musisz mieć minimum: politykę prywatności, baner cookies, identyfikację firmy. Jeśli używasz wyłącznie cookies technicznie niezbędnych (np. tylko sesja), baner zgody nie jest wymagany.

Co robić w przypadku kontroli UODO?

UODO zwykle wysyła pisemne wezwanie z listą pytań i dokumentów do dostarczenia (np. polityka prywatności, rejestr czynności, dowody zgody). Masz określony termin (zwykle 14-30 dni) na odpowiedź. Współpraca z UODO znacznie zmniejsza sankcję — odmowa współpracy może doprowadzić do maksymalnej kary.

Ile kosztuje doprowadzenie strony do zgodności z RODO?

Zależnie od rozmiaru i złożoności strony: od 0 zł (samodzielnie z darmowymi narzędziami jak WebLegal) do kilkudziesięciu tysięcy złotych (audyt prawny + customowe wdrożenie). Dla większości małych stron www realistyczny budżet to 500-2000 zł rocznie.