RODO dla sklepów internetowych: co musisz zrobić (a co możesz pominąć)
Zgodność i Prawo

RODO dla sklepów internetowych: co musisz zrobić (a co możesz pominąć)

David Miller Opublikowano: 2026-06-15 Utworzono: 2026-02-28 Zaktualizowano: 2026-05-28 Zgodność i Prawo
63 wyświetleń 7 min czytania

RODO obowiązuje od maja 2018 roku, ale wielu właścicieli sklepów wciąż traktuje je albo jako przerażające prawne pole minowe, albo jako coś, co mogą zignorować, ponieważ są „zbyt mali, żeby to miało znaczenie". Obie postawy są błędne. RODO jest poważne, ale dla typowego sklepu PrestaShop wymagania praktyczne są do opanowania. Oddzielmy to, co musisz zrobić, od tego, co możesz rozsądnie odłożyć na później.

Czego RODO faktycznie wymaga

W swojej istocie RODO mówi: informuj ludzi, jakie dane o nich zbierasz, dlaczego je zbierasz, chroń je i daj im kontrolę nad ich informacjami. To jest zasada. Konkretne wymagania dla sklepów internetowych:

1. Polityka prywatności (Obowiązkowa)

Potrzebujesz polityki prywatności, która wyjaśnia prostym, zrozumiałym językiem:

  • Jakie dane osobowe zbierasz (imiona, e-maile, adresy, informacje o płatnościach, dane przeglądania)
  • Dlaczego zbierasz każdy rodzaj danych (realizacja zamówień, marketing, analityka)
  • Jak długo je przechowujesz
  • Komu je udostępniasz (operatorzy płatności, przewoźnicy, dostawcy usług analitycznych)
  • Jak klienci mogą uzyskać dostęp do swoich danych, je zmienić lub usunąć
  • Twoje dane kontaktowe w sprawach dotyczących ochrony danych

Nie musi to być napisane przez prawnika, choć przegląd przez prawnika jest pomocny. Musi być zrozumiałe dla zwykłego człowieka — nie ukryte za prawniczym żargonem.

Jeśli Twój sklep używa plików cookie wykraczających poza te ściśle niezbędne do funkcjonowania sklepu, potrzebujesz zgody przed ustawieniem tych plików cookie. Oznacza to:

  • Ściśle niezbędne pliki cookie (sesja, koszyk, logowanie) — zgoda nie jest wymagana
  • Pliki cookie analityczne (Google Analytics, Matomo) — wymagana zgoda
  • Pliki cookie marketingowe (Facebook Pixel, Google Ads, retargeting) — wymagana zgoda
  • Pliki cookie preferencji (język, waluta) — dyskusyjne, ale ogólnie traktowane jako niezbędne

Twój baner cookie musi oferować prawdziwy wybór — widoczny przycisk „Akceptuj" i równie widoczną opcję „Odrzuć" lub „Zarządzaj preferencjami". Dark patterns (ukrywanie opcji odrzucenia, stosowanie mylącego języka, wstępne zaznaczanie pól) są wyraźnie niezgodne z przepisami.

3. Zgoda na marketing (Obowiązkowa)

Nie możesz automatycznie dodawać klientów do swojej listy mailingowej. Zapis do newslettera musi być świadomym, aktywnym działaniem — niezaznaczone pole wyboru, które klient aktywnie zaznacza, lub osobny formularz zapisu. Wstępnie zaznaczone pola „zapisz się do newslettera" podczas realizacji zamówienia są niezgodne z przepisami.

Możesz wysyłać klientom e-maile dotyczące ich zamówień (e-maile transakcyjne) bez dodatkowej zgody. Możesz również wysyłać istniejącym klientom e-maile o podobnych produktach w ramach „uzasadnionego interesu" w większości krajów UE — ale musisz oferować łatwą opcję rezygnacji z subskrypcji.

4. Prawa dostępu do danych i ich usunięcia (Obowiązkowe)

Klienci mają prawo do:

  • Dostępu: Żądania kopii wszystkich danych, które o nich przechowujesz
  • Sprostowania: Żądania poprawienia niedokładnych danych
  • Usunięcia: Żądania usunięcia ich danych („prawo do bycia zapomnianym")
  • Przenoszenia: Żądania danych w formacie nadającym się do odczytu maszynowego

PrestaShop 1.7+ zawiera moduł RODO, który obsługuje podstawowe żądania eksportu i usuwania danych z poziomu konta klienta. Upewnij się, że jest zainstalowany i skonfigurowany.

5. Bezpieczeństwo danych (Obowiązkowe)

Musisz wdrożyć „odpowiednie środki techniczne i organizacyjne" w celu ochrony danych osobowych. Dla sklepu internetowego oznacza to:

  • Szyfrowanie SSL/TLS na całej stronie (HTTPS wszędzie)
  • Silne hasła i ograniczony dostęp administracyjny
  • Regularne aktualizacje oprogramowania (rdzeń PrestaShop, moduły, oprogramowanie serwera)
  • Bezpieczne przetwarzanie płatności (zgodność z PCI DSS — zwykle obsługiwane przez bramkę płatności)
  • Bezpiecznie przechowywane kopie zapasowe bazy danych

Nie potrzebujesz infrastruktury bezpieczeństwa klasy enterprise. Potrzebujesz rozsądnych środków odpowiednich do danych, które przetwarzasz. Dla większości sklepów podstawowe praktyki bezpieczeństwa sklepu spełniają to wymaganie.

Co prawdopodobnie możesz pominąć

Inspektor Ochrony Danych (IOD)

IOD jest wymagany tylko wtedy, gdy przetwarzasz dane osobowe na dużą skalę jako główną działalność lub przetwarzasz szczególne kategorie danych (zdrowie, przekonania religijne itp.). Typowy sklep internetowy sprzedający produkty konsumenckie nie potrzebuje IOD. Powinieneś mieć kogoś odpowiedzialnego za ochronę danych, ale nie musi to być formalna rola IOD.

Ocena skutków dla ochrony danych (DPIA)

Oceny DPIA są wymagane dla przetwarzania, które może powodować wysokie ryzyko dla osób — profilowanie na dużą skalę, systematyczne monitorowanie miejsc publicznych lub przetwarzanie danych wrażliwych. Standardowy sklep e-commerce przetwarzający zamówienia i wysyłający e-maile marketingowe zazwyczaj nie potrzebuje DPIA.

Istnieje błędne przekonanie, że potrzebujesz indywidualnej zgody na każde pojedyncze cookie. W praktyce grupowanie plików cookie według celu (niezbędne, analityczne, marketingowe) i uzyskiwanie zgody na kategorię jest akceptowane przez większość organów ochrony danych. Nie potrzebujesz osobnego pola wyboru dla każdego pojedynczego cookie.

Natychmiastowe usunięcie wszystkich danych na żądanie

Prawo do usunięcia ma wyjątki. Możesz przechowywać dane niezbędne do:

  • Realizacji otwartego zamówienia
  • Obowiązków prawnych (dokumentacja podatkowa — zazwyczaj 7-10 lat w zależności od kraju)
  • Dochodzenia lub obrony roszczeń prawnych

Gdy klient żąda usunięcia, usuwasz jego dane marketingowe i osobiste informacje o koncie, ale możesz zachować zanonimizowane dane zamówień do celów księgowych i podatkowych.

Popularne nieporozumienia

„RODO dotyczy tylko firm z UE"

Błąd. RODO dotyczy każdej firmy, która przetwarza dane mieszkańców UE, niezależnie od tego, gdzie firma ma siedzibę. Jeśli sprzedajesz klientom z UE ze sklepu z siedzibą w USA, RODO dotyczy tych transakcji.

„Małe sklepy są zwolnione"

Nie ma zwolnienia ze względu na wielkość. Niektóre obowiązki (jak rejestr czynności przetwarzania) mogą być uproszczone dla małych organizacji, ale podstawowe zasady — zgoda, przejrzystość, bezpieczeństwo, prawa osób, których dane dotyczą — obowiązują wszystkich.

„Potrzebujemy zgody na cookies przed załadowaniem jakiejkolwiek strony"

Ściśle niezbędne pliki cookie (zarządzanie sesją, funkcjonalność koszyka, tokeny bezpieczeństwa) nie wymagają zgody. Twój sklep może się załadować i działać, zanim użytkownik dokona wyboru dotyczącego plików cookie. Czego nie możesz robić, to ładować skrypty analityczne lub marketingowe przed uzyskaniem zgody.

„Adresy IP nie są danymi osobowymi"

TSUE (Trybunał Sprawiedliwości Unii Europejskiej) orzekł, że adresy IP są danymi osobowymi. Oznacza to, że rejestrowanie adresów IP, w tym do celów analitycznych, stanowi przetwarzanie danych osobowych w rozumieniu RODO.

Praktyczna lista kontrolna zgodności

  1. Napisz lub zaktualizuj swóją politykę prywatności. Udostępnij ją z każdej strony (link w stopce).
  2. Wdróż odpowiedni baner zgody na pliki cookie z prawdziwymi opcjami akceptacji/odrzucenia.
  3. Upewnij się, że zapis do newslettera wymaga aktywnej zgody (nie jest wstępnie zaznaczony).
  4. Zainstaluj i skonfiguruj moduł RODO PrestaShop do eksportu i usuwania danych.
  5. Sprawdź, czy Twój sklep używa HTTPS wszędzie.
  6. Przejrzyj, które podmioty trzecie otrzymują dane klientów (analityka, płatności, wysyłka) i wymień je w swojej polityce prywatności.
  7. Ustal okresy przechowywania danych — nie przechowuj danych w nieskończoność bez powodu.
  8. Stwórz prosty proces obsługi żądań dostępu do danych i ich usunięcia.
  9. Sprawdź swój regulamin sklepu, aby upewnić się, że odwołuje się do Twojej polityki prywatności.

Ta lista kontrolna obejmuje 90% tego, czego typowy mały i średni sklep e-commerce potrzebuje do zgodności z RODO. Jeśli przetwarzasz nietypowe dane, sprzedajesz produkty z ograniczeniami wiekowymi lub działasz w silnie regulowanych sektorach (zdrowie, finanse), możesz potrzebować dodatkowych środków — i tutaj porada prawna jest warta inwestycji.

RODO nie zniknie, a egzekwowanie przepisów się nasila. Ale zgodność dla większości sklepów internetowych nie jest przytłaczającym obciążeniem, jakim jest często przedstawiana. Traktuj dane osobowe odpowiedzialnie, bądź transparentny wobec swoich klientów i daj im kontrolę nad ich informacjami. To jest zarówno dobra praktyka biznesowa, jak i zgodność z RODO.

Tagi: PrestaShop RODO SEO
Udostępnij ten wpis:
David Miller

David Miller

Ponad dekada praktycznego doświadczenia z PrestaShop. David tworzy wydajne moduły e-commerce skupione na SEO, optymalizacji zamówień i zarządzaniu sklepem. Pasjonat czystego kodu i mierzalnych rezultatów.

Spodobał Ci się ten artykuł?

Otrzymuj nasze najnowsze porady, przewodniki i aktualizacje modułów prosto na swoją skrzynkę.

Powiązane posty

Sprzedaż na odległość: prawo do odstąpienia od umowy i co musisz wiedzieć

Sprzedaż na odległość: prawo do odstąpienia od umowy i co musisz wiedzieć

Dostępność sklepów online: co Europejski Akt Dostępności oznacza dla Ciebie

Dostępność sklepów online: co Europejski Akt Dostępności oznacza dla Ciebie

Bezpieczeństwo produktów i oznakowanie CE: co musi wiedzieć sprzedawca e-commerce

Bezpieczeństwo produktów i oznakowanie CE: co musi wiedzieć sprzedawca e-commerce

Komentarze

Brak komentarzy. Bądź pierwszy!

Bądź pierwszy: zadaj pytanie albo podziel się przydatną opinią.

Do góry