Obowiązki RODO dla stron internetowych: Co naprawdę musisz wiedzieć
Polityka prywatności, zgoda na cookies, nota prawna - trzy obowiązki, które musi spełniać każda strona internetowa. Wyjaśnione przystępnie dla dyrektorów i zarządów, bez żargonu prawniczego.
Czym jest polityka prywatności - i dlaczego każda strona jej potrzebuje?
Polityka prywatności informuje odwiedzających Twoją stronę o tym, jakie dane osobowe są zbierane, dlaczego to się dzieje i jakie prawa im przysługują. Brzmi abstrakcyjnie, ale jest bardzo konkretne: gdy ktoś odwiedza Twoją stronę, serwer zapisuje adres IP. To są dane osobowe. Już to samo sprawia, że każda strona podlega RODO.
Ogólne rozporządzenie o ochronie danych (RODO) obowiązuje w całej UE od maja 2018 roku. Zobowiązuje każdego operatora strony - czy to korporację, MŚP, stowarzyszenie czy fundację - do posiadania pełnej polityki prywatności. Jeśli jest brakująca lub nieaktualna, grożą upomnienia i kary finansowe.
Ważne: polityka prywatności to nie to samo co nota prawna (impressum). Nota prawna określa, kto odpowiada za stronę. Polityka prywatności reguluje sposób obchodzenia się z danymi (na mocy RODO). Oba dokumenty są obowiązkowe i muszą istnieć jako osobne strony.
Najczęstsze błędy w politykach prywatności
W praktyce widzimy wciąż te same problemy. Wiele z nich jest łatwo do uniknięcia - jeśli wiesz, na co zwracać uwagę.
Nieaktualne szablony
Wiele stron nadal korzysta z polityk prywatności z 2018 roku lub wcześniejszych. Od tego czasu zmieniły się przepisy (nowe orzeczenia dotyczące Google Fonts, Analytics, zaktualizowane przepisy ePrivacy). Szablon sprzed trzech lat prawie na pewno nie jest już zgodny z prawem.
Brakujące informacje
RODO wymaga konkretnych informacji: nazwa administratora, dane kontaktowe inspektora ochrony danych (jeśli dotyczy), podstawa prawna każdego przetwarzania, okresy przechowywania i prawa osób, których dane dotyczą. Brak któregokolwiek z nich oznacza, że polityka jest niekompletna.
Kopiuj-wklej bez dostosowania
Polityka prywatności musi odpowiadać Twojej rzeczywistej stronie. Jeśli korzystasz z Google Analytics, ale wspominasz tylko Facebook Pixel, to problem. Jeśli nie korzystasz z żadnych narzędzi analitycznych, ale piszesz o nich trzy akapity, to równie źle.
Puste lub ukryte strony
Niektóre strony mają link do polityki prywatności w stopce, ale strona za nim jest pusta lub prowadzi donikąd. Organy nadzoru sprawdzają to systematycznie - a specjaliści od prawa jeszcze dokładniej.
Zgoda na cookies: dlaczego prosty komunikat nie wystarcza
Cookies to małe pliki tekstowe, które strony zapisują na urządzeniu odwiedzającego. Niektóre są technicznie niezbędne (np. koszyk w sklepie online). Inne służą analityce lub marketingowi - i tu staje się to prawnie istotne.
Dyrektywa ePrivacy (wdrożona w każdym państwie członkowskim UE) wymaga, aby przed ustawieniem nieistotnych plików cookie odwiedzający aktywnie wyraził zgodę. Oznacza to, że baner z tekstem "Ta strona używa cookies - OK" nie jest wystarczający. Odwiedzający musi mieć prawdziwy wybór - z możliwością odrzucenia poszczególnych kategorii.
W praktyce potrzebujesz platformy zarządzania zgodami (CMP). To narzędzie wyświetla baner cookie przy pierwszej wizycie z co najmniej dwiema opcjami: "Zaakceptuj wszystkie" i "Tylko niezbędne". Dopiero po wyrażeniu zgody mogą być ustawiane śledzące pliki cookie. Bez działającego CMP każde śledzenie na Twojej stronie jest niezgodne z prawem.
Uwaga: osadzone filmy YouTube, Google Maps i przyciski mediów społecznościowych również ustawiają pliki cookie. Jeśli osadzasz takie treści, potrzebujesz zgody lub rozwiązania dwuklikowego, które ładuje się dopiero po zatwierdzeniu. Temat bezpieczeństwa stron internetowych jest bezpośrednio z tym związany - niebezpieczne integracje mogą również powodować problemy z ochroną danych.
Lepsze rozwiązanie: strona, która w ogóle nie potrzebuje banera cookie
Istnieje alternatywa: zbuduj swoją stronę tak, aby w ogóle nie ustawiała nieistotnych plików cookie. Bez śledzenia, bez zewnętrznych czcionek, bez osadzeń firm trzecich - wtedy nie potrzebujesz ani banera, ani CMP. To oszczędza pieniądze (narzędzia CMP kosztują 50-500 EUR miesięcznie), poprawia czas ładowania i sprawia, że zgodność z RODO staje się trywialna.
Brzmi nierealistycznie? gosign.de jest dowodem: zero cookies, zero banerów, Lighthouse 100/100, pełna analityka dzięki narzędziom bez cookies. Szczegóły wyjaśniamy tutaj:
Strona bez cookie bannera - jak to zrobićRODO, dyrektywa ePrivacy, Akt o usługach cyfrowych - które prawo reguluje co?
Trzy warstwy regulacyjne, trzy obszary odpowiedzialności. Dla operatorów stron internetowych ważne jest zrozumienie różnic - ponieważ naruszenia każdego z nich mogą być karane osobno.
| Regulacja | Reguluje | Obowiązek strony |
|---|---|---|
| RODO | Przetwarzanie danych osobowych | Polityka prywatności, rejestr przetwarzania, prawa osób |
| Dyrektywa ePrivacy | Dostęp do urządzeń końcowych (cookies, fingerprinting) | Zgoda na cookies przed ustawieniem nieistotnych plików |
| Akt o usługach cyfrowych | Obowiązki informacyjne usług cyfrowych | Nota prawna z pełnymi danymi dostawcy |
Lista kontrolna: 8 punktów, które musi spełnić każda strona
Niezależnie od branży, wielkości czy formy prawnej - te osiem punktów to minimum dla każdej strony działającej w UE.
Polityka prywatności - obecna i aktualna
Pełna polityka ze wszystkimi wymaganymi przez RODO informacjami. Przeglądaj co najmniej raz w roku i aktualizuj po zmianach prawnych.
Nota prawna - kompletna
Nazwa, adres, e-mail, telefon, osoby uprawnione do reprezentacji, numer rejestrowy (jeśli dotyczy), NIP. Na osobnej stronie, dostępna w maksymalnie dwóch kliknięciach.
Baner cookie z prawdziwym opt-in
Brak wstępnie zaznaczonego "Zaakceptuj wszystkie". Równoważne opcje zgody i odmowy. Nieistotne pliki cookie mogą być ustawiane dopiero po wyrażeniu zgody.
Szyfrowanie SSL/TLS aktywne
Cała strona musi być dostępna przez HTTPS. Bez szyfrowania dane z formularzy przesyłane są jawnym tekstem - wyraźne naruszenie RODO.
Formularze kontaktowe z informacją o ochronie danych
Każdy formularz wymaga informacji o przetwarzaniu danych i linku do polityki prywatności. W przypadku danych wrażliwych (aplikacje o pracę, zdrowie) wymagana jest osobna zgoda.
Umowy powierzenia przetwarzania danych (DPA) podpisane
Dla każdego zewnętrznego dostawcy z dostępem do danych osobowych (hosting, poczta e-mail, narzędzia analityczne) musi istnieć umowa DPA. Bez DPA przetwarzanie danych jest niezgodne z prawem.
Brak niekontrolowanych integracji firm trzecich
Google Fonts hostowane lokalnie. Filmy YouTube osadzane tylko z rozwiązaniem dwuklikowym. Żadnych zewnętrznych pikseli śledzących bez zgody. Każde połączenie z firmą trzecią musi być udokumentowane w polityce prywatności.
Dostępny dostęp do informacji prawnych
Polityka prywatności i nota prawna muszą być dostępne dla wszystkich - w tym osób z niepełnosprawnościami. Od czerwca 2025 roku Europejski Akt o Dostępności wymaga cyfrowej dostępności dla wielu stron.
Sprawdź ochronę danych na swojej stronie - 30 minut, bezpłatnie.
Sprawdzimy Twoją stronę pod kątem zgodności z RODO i pokażemy, gdzie potrzebne są działania.
Zamów audyt prywatności25 lat doświadczenia - 800+ projektów - hamburska praktyka ochrony danych
Gosign to hamburska agencja cyfrowa z 25-letnim doświadczeniem w tworzeniu stron internetowych, TYPO3 i integracji AI. Przeprowadzamy audyty stron pod kątem zgodności z RODO, wdrażamy rozwiązania zgodne z ochroną danych i wspieramy firmy, fundacje i instytucje publiczne w spełnianiu wszystkich wymogów prawnych.
Ostatnia aktualizacja: marzec 2026
Najczęściej zadawane pytania o ochronę danych na stronach internetowych
Czy każda strona internetowa potrzebuje polityki prywatności?
Tak, bez wyjątku. Od maja 2018 roku (RODO) każda strona internetowa przetwarzająca dane osobowe - a każda strona robi to choćby przez logi serwera - musi mieć pełną politykę prywatności.
Czy prosty komunikat o cookies jest wystarczający?
Nie. Zgodnie z dyrektywą ePrivacy (wdrożoną w każdym państwie UE) potrzebujesz prawdziwej zgody przed ustawieniem nieistotnych plików cookie. Prosty baner z przyciskiem OK nie jest zgodny z prawem.
Czy organizacje non-profit są zwolnione z RODO?
Nie. RODO dotyczy wszystkich organizacji przetwarzających dane osobowe - niezależnie od formy prawnej. Fundacje i stowarzyszenia również muszą mieć pełną politykę prywatności.
Umów bezpłatną konsultację
30 minut ze specjalistą Gosign, bez zobowiązań.