RODO na stronie firmowej 2026, krok po kroku
Spis treści 32 sekcji
- 18 elementów RODO na stronie firmowej w 2026
- A) Polityka prywatności i klauzule (5 punktów)
- 1. Polityka prywatności zgodna z art. 13 RODO
- 2. Klauzula informacyjna przed każdym formularzem
- 3. Zgody w formularzach (osobne checkboxy)
- 4. Klauzula opt-out w mailingach
- 5. Stopka strony z danymi administratora
- B) Cookies i analytics (3 punkty)
- 6. Cookie consent banner z opt-in
- 7. Google Analytics 4 za zgodą użytkownika
- 8. Skrypty śledzące (Facebook, Hotjar, Microsoft Clarity)
- C) Bezpieczeństwo techniczne (5 punktów)
- 9. HTTPS z certyfikatem SSL aktualnym
- 10. Szyfrowanie danych w bazie i w kopiach zapasowych
- 11. Anonimizacja logów serwera po 30 dniach
- 12. Nagłówki bezpieczeństwa (HSTS, X-Frame-Options, X-Content-Type-Options, CSP)
- 13. Ograniczenie liczby wysyłek formularza (ochrona przed spamem i botami)
- D) Obowiązki organizacyjne (5 punktów)
- 14. Inspektor Ochrony Danych (IOD): kiedy obowiązkowy
- 15. Rejestr czynności przetwarzania (RPD)
- 16. Procedura realizacji praw osoby
- 17. Umowy o powierzeniu przetwarzania danych (UoPPD)
- 18. Procedura na wypadek wycieku danych
- Mapa kar RODO w Polsce 2026
- Najczęstsze błędy RODO na polskich stronach 2026
- Błąd 1: Polityka prywatności skopiowana od konkurencji
- Błąd 2: Banner cookies, który naciąga na zgodę
- Błąd 3: Brak HTTPS na całej stronie
- Błąd 4: Formularz bez pola zgody RODO
- Błąd 5: Google Analytics bez zgody
- Lokal360 i RODO
- Materiały do dalszej lektury
Wszystkie wpisy 101 wpisów
Pozycjonowanie 5
Spacery 360° 23
- Co to jest Trusted Photographer Google: pełen przewodnik 2026
- Ile kosztuje spacer 360 w Polsce 2026: pełen cennik rynkowy
- Ile kosztuje spacer 360° w Warszawie 2026? Realne ceny i 6 czynników
- Jak Google indeksuje spacery 360° w wynikach Map i Wyszukiwarki 2026
- Kiedy spacer 360° nie ma sensu? 7 sytuacji, w których odradzamy
- Spacer 360 dla pensjonatu w Pieninach, kompletny przykład
- Spacer 360° czy film wideo restauracji? Porównanie kosztów i wyników
- Matterport czy Street View, który spacer wybrać 2026
- Spacer 360 dla biura i coworkingu, ROI 2026
- Spacer 360 dla gabinetu lekarskiego, zaufanie pacjentów
- Spacer 360 dla kancelarii prawnej, jak buduje zaufanie
- Spacer 360 dla przedszkola lub żłobka, decyzja rodzica
- Spacer 360 dla sklepu i showroomu, sprzedaż 2026
- Spacer Premium vs Express 2026, który wybrać
- Zaufany Fotograf Google: kim jest i czy warto z nim pracować
- Spacer wirtualny vs reklamy 2026, co się bardziej opłaca
- Spacer wirtualny a pozycja w Google Maps, co wpływa na widoczność
- Masala: 25 000 wyświetleń mapowych w 5 miesięcy bez reklam
- Jak wygląda sesja 360° w restauracji? Krok po kroku
- Spacer wirtualny czy zdjęcia, co lepiej dla małej firmy
- Ile kosztuje spacer wirtualny? Pełen cennik i pakiety 2026
- Czy spacer wirtualny w Google Maps się opłaca?
- 5 pytań, które musisz zadać przed zamówieniem spaceru 360°
Trendy 2026 17
- GEO i AEO: jak być cytowanym przez ChatGPT i AI w 2026
- Panoramy 360 w reklamach Meta 2026, format i ROI
- Chatbot AI dla małej firmy 2026, kiedy ma sens i ile kosztuje
- 10 dodatków AI dla strony firmy 2026, gotowe zamiast budować
- Agencja vs freelancer, przewodnik dla CEO w 2026
- Dlaczego SaaS robi z Ciebie zakładnika, i jak się od tego uwolnić
- AI a tworzenie aplikacji w 2026, co to oznacza dla małej firmy
- Software house vs freelancer z Claude Code w 2026
- E-E-A-T 2026, co Google sprawdza, żeby uznać Twoją firmę za wiarygodną
- WordPress vs strona statyczna 2026, co kosztuje mniej w 5 lat
- Opinie Google 2026: jak budować i zarządzać
- Voice search i AI search 2026, jak trafić do Asystenta Google
- Google AI Overviews a lokalna firma, jak nie zniknąć z wyników w 2026
- PageSpeed jako ranking factor 2026, co liczy Google
- Mobile-first 2026, dlaczego Google ocenia stronę z telefonu
- Google Business Profile 2026, pełna lista funkcji
- SEO lokalne 2026, jak być pierwszym w Mapach
Branże 16
- Strona dla szkoły językowej 2026, jak rekrutować
- Strona dla galerii sztuki, wirtualne zwiedzanie i bilety online
- Strona dla warsztatu samochodowego, jak zbudować zaufanie online
- Strona dla biura nieruchomości 2026, jak generuje leady
- Strona dla salonu masażu i SPA 2026, jak zapełnia grafik
- Strona dla gabinetu weterynaryjnego, zaufanie właściciela online
- Strona dla kawiarni 2026, jak buduje grupę stałych gości
- Strona dla salonu fryzjerskiego i barber shopu 2026
- Strona dla restauracji fine-dining, atmosfera i rezerwacja stolika
- Strona dla piekarni rzemieślniczej, jak sprzedać świeżość online
- Strona dla studia jogi i fitnessu 2026
- Strona dla kliniki stomatologicznej, jak rozbroić strach pacjenta
- Strona dla pensjonatu i hotelu butikowego, ucieczka od Booking
- Strona dla gabinetu medycznego, podologia, estetyka i fizjoterapia
- Strona dla sali weselnej 2026, co liczy się dla par
- Jak zwiększyć rezerwacje w restauracji 2026, 8 działań
Rezerwacje 11
- Własny CRM dla małej firmy 2026, ile naprawdę kosztuje
- Jak zacząć własny system rezerwacji, przewodnik dla małej firmy 2026
- Alternatywa dla Calendly, własny system dla freelancerów
- Alternatywa dla Restaumatic, własny system rezerwacji stolika
- Ile zaoszczędzę rezygnując z SaaS, kalkulator dla małej firmy
- Alternatywa dla ZnanyLekarz, własny system rejestracji wizyt
- Migracja z SaaS na własny system, przewodnik krok po kroku
- Alternatywa dla Booksy 2026, własny system bez prowizji za 3 999 zł
- Powiadomienia rezerwacji SMS vs email w 2026
- Ile kosztuje system rezerwacji online 2026
- Jak nie płacić prowizji Booking.com, i nie stracić przy tym rezerwacji
Strony www 7
- Mam stronę a klientów nie ma, 6 powodów dlaczego
- Strona ładuje się wolno, 7 przyczyn i jak je rozpoznać
- Domena i hosting dla małej firmy 2026, ile ma kosztować
- Strona internetowa w 7 dni, jak to możliwe
- Jak wybrać firmę do strony internetowej w 2026
- Ile kosztuje strona dla małej firmy 2026, rozkład cen
- Strona dla domku letniskowego 2026, jak buduje rezerwacje
Strony internetowe 6
SEO 6
- RODO a SaaS, czyje są dane klientów na Booking i ZnanyLekarz
- Audyt SEO strony, co Google sprawdza w 2026
- Core Web Vitals 2026. LCP, CLS, INP w praktyce dla małej firmy
- JSON-LD dla lokalnej firmy, przykład LocalBusiness
- Schema.org dla małej firmy, co to i czemu Google to lubi
- Negatywne opinie Google: jak reagować z głową
Własne systemy 4
AI w marketingu 3
W skrócie: RODO na stronie firmowej w 2026 wymaga 18 elementów: polityka prywatności (11 punktów z art. 13 RODO), banner zgody na cookies z aktywną zgodą, zgody w formularzach, klauzule informacyjne, HTTPS, anonimizacja logów serwera. Kary do 100 000 zł dla małej firmy. Google Analytics 4 legalny od 2024 przy aktywnej zgodzie. Prawo do usunięcia danych: 30 dni na realizację.
18 elementów RODO na stronie firmowej w 2026
Lokal360 sprawdza strony klientów pod kątem zgodności z RODO. Lista 18 punktów obowiązkowych:
A) Polityka prywatności i klauzule (5 punktów)
1. Polityka prywatności zgodna z art. 13 RODO
Osobna podstrona /polityka-prywatnosci/ z 11 obowiązkowymi sekcjami:
| Sekcja | Treść |
|---|---|
| Administrator | Pełna nazwa firmy, adres, NIP, kontakt email |
| Cele przetwarzania | Lista celów (kontakt, marketing, sprzedaż, statystyka) |
| Podstawa prawna | Art. 6 ust. 1 lit. a (zgoda) albo b (umowa) albo f (prawnie uzasadniony interes) |
| Odbiorcy danych | Hosting (np. dhosting), bramka płatności (P24), analytics (Google), inne podwykonawcy |
| Transfer poza UE | Jeśli korzystasz z Google Analytics: trans-atlantyckie ramy EU-US |
| Okres przechowywania | Per cel, np. kontakt 1 rok, marketing 3 lata, księgowość 5 lat |
| Prawa osoby | Dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie |
| Prawo do skargi | „Masz prawo wnieść skargę do UODO” + adres |
| Źródło danych | Jeśli zbierasz z innych źródeł niż osoba |
| Automatyczne decydowanie | Jeśli używasz (np. AI ocenia zapytania klientów) |
| IOD kontakt | Jeśli powołany |
2. Klauzula informacyjna przed każdym formularzem
Krótka klauzula (3-5 zdań) przed kliknięciem „Wyślij”:
Administratorem Twoich danych jest [Firma]. Dane przetwarzamy w celu odpowiedzi na Twoje zapytanie, na podstawie art. 6 ust. 1 lit. b RODO. Masz prawo dostępu, sprostowania, usunięcia. [Pełna polityka prywatności →]
3. Zgody w formularzach (osobne checkboxy)
Każda zgoda osobno, nie pre-checked:
<label>
<input type="checkbox" name="consent_rodo" required>
Zgadzam się na przetwarzanie moich danych osobowych w celu rezerwacji wizyty *
</label>
<label>
<input type="checkbox" name="consent_marketing">
Zgadzam się na otrzymywanie informacji marketingowych emailem (opcjonalne)
</label>Dla danych wrażliwych (zdrowie, religia, biometria) dodatkowa zgoda osobno.
4. Klauzula opt-out w mailingach
Każdy email marketingowy musi mieć link „Wypisz się” w stopce. Brak = naruszenie RODO + ustawa o świadczeniu usług drogą elektroniczną.
5. Stopka strony z danymi administratora
W stopce: nazwa firmy, adres, NIP, kontakt. Plus link do polityki prywatności.
B) Cookies i analytics (3 punkty)
6. Cookie consent banner z opt-in
Banner przed załadowaniem cookies marketingowych. Wymagane elementy:
- Tekst: „Używamy cookies dla [cele]. Czy akceptujesz?”
- Przycisk „Akceptuję wszystkie”
- Przycisk „Odrzucam” (równie widoczny jak Akceptuję)
- Przycisk „Ustawienia” z kategoriami (niezbędne, funkcjonalne, analytics, marketing)
- Link do polityki prywatności
Nielegalne praktyki w 2026 (skarżone przez UODO):
- Dark pattern (przycisk Odrzucam ukryty albo szary)
- Pre-checked checkboxy
- „Akceptuję” jako jedyna opcja na widocznym miejscu
7. Google Analytics 4 za zgodą użytkownika
Google Analytics 4 jest legalny w UE od stycznia 2024 (na podstawie porozumienia o przekazywaniu danych UE-USA). Wymagane:
- Zgoda przed załadowaniem skryptu GA4
- Anonimizacja adresu IP w GA4 (włączysz w ustawieniach usługi)
- Wyłączone Google Signals (chyba że masz osobną zgodę)
- Informacja o GA4 w polityce prywatności
8. Skrypty śledzące (Facebook, Hotjar, Microsoft Clarity)
Każdy taki skrypt wymaga osobnej zgody w bannerze cookies. Wpisz go w polityce prywatności jako odbiorcę danych.
C) Bezpieczeństwo techniczne (5 punktów)
9. HTTPS z certyfikatem SSL aktualnym
Bezwzględnie wymagane. Strona bez HTTPS w 2026 jest oznaczana przez przeglądarki jako „niebezpieczna”, klient odbija. Plus naruszenie RODO (transmisja danych w czystym tekście).
10. Szyfrowanie danych w bazie i w kopiach zapasowych
Baza danych z danymi osobowymi musi być zaszyfrowana. Bazy MySQL i PostgreSQL większość polskich hostingów szyfruje automatycznie (m.in. dhosting, nazwa.pl, home.pl). Kopie zapasowe też zaszyfrowane.
11. Anonimizacja logów serwera po 30 dniach
Logi serwera (zapisy odwiedzin i błędów) zawierają adresy IP. RODO wymaga anonimizacji albo usunięcia, gdy nie są już potrzebne (zwykle 30 dni dla zapisów odwiedzin, 90 dni dla błędów). Robi to zaplanowane zadanie na hostingu, które automatycznie czyści logi.
12. Nagłówki bezpieczeństwa (HSTS, X-Frame-Options, X-Content-Type-Options, CSP)
Standardowe nagłówki bezpieczeństwa w konfiguracji serwera:
Strict-Transport-Security: max-age=31536000
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy: [...]13. Ograniczenie liczby wysyłek formularza (ochrona przed spamem i botami)
Formularz kontaktu ze 100 wysyłkami na minutę to ryzyko wycieku danych. Potrzebne zabezpieczenia: ochrona przed podszywaniem się, ukryte pole na boty, limit wysyłek i mechanizm reCAPTCHA, jeśli formularz jest publicznie dostępny.
D) Obowiązki organizacyjne (5 punktów)
14. Inspektor Ochrony Danych (IOD): kiedy obowiązkowy
RODO wymaga IOD w 3 sytuacjach:
- Podmiot publiczny (urząd, szkoła publiczna, szpital NFZ)
- Dane wrażliwe na dużą skalę (zdrowie, religia, biometria, orientacja seksualna)
- Systematyczne monitorowanie osób na dużą skalę (firmy ochroniarskie, agencje rekrutacyjne)
Mała firma w Polsce zazwyczaj NIE potrzebuje IOD obowiązkowo. Granica: klinika dentystyczna z 1000+ pacjentów rocznie potrzebuje, salon fryzjerski z 200 klientkami nie.
15. Rejestr czynności przetwarzania (RPD)
Obowiązkowy dla firm 250+ osób ALBO przetwarzających dane wrażliwe ALBO przetwarzających dane systematycznie. Lista wszystkich celów przetwarzania z polami:
- Nazwa czynności
- Cel
- Podstawa prawna
- Kategorie osób
- Kategorie danych
- Odbiorcy
- Okres przechowywania
- Środki techniczne i organizacyjne
Lokal360 dostarcza wzór RPD w pakiecie opieki nad stroną.
16. Procedura realizacji praw osoby
Klient żąda usunięcia danych, masz 30 dni na realizację. Procedura:
- Weryfikacja tożsamości proszącego (email albo dokument)
- Sprawdzenie podstaw prawnych do dalszego przetwarzania (księgowość 5 lat, podatki 5 lat)
- Usunięcie z systemów (baza, kopie zapasowe, logi po anonimizacji)
- Potwierdzenie w formie pisemnej
Brak realizacji = grzywna UODO.
17. Umowy o powierzeniu przetwarzania danych (UoPPD)
Każdy podwykonawca przetwarzający dane (hosting, bramka płatności, mailing) musi mieć UoPPD. Lista typowych:
- Hosting (dhosting, nazwa.pl)
- Bramka płatności (Przelewy24, Stripe)
- Mailing (Brevo, MailChimp)
- Analytics (Google Analytics)
- CRM (HubSpot, Pipedrive)
- Chat (Tidio, Intercom)
Lokal360 dostarcza wzory UoPPD w pakiecie opieki.
18. Procedura na wypadek wycieku danych
Jeśli dojdzie do naruszenia (wyciek, włamanie, zgubiony laptop z bazą), procedura:
- W 72 godziny zgłoś do UODO (formularz online)
- W tym samym czasie zawiadom osoby, których dane wyciekły (jeśli ryzyko jest wysokie)
- Zachowaj dowody (logi, zrzuty ekranu, raport z zabezpieczeń)
- Wprowadź środki zaradcze
Mapa kar RODO w Polsce 2026
| Naruszenie | Kara administracyjna UODO | Notatka |
|---|---|---|
| Brak polityki prywatności | 5000-50 000 zł | Mała firma |
| Brak cookie consent | 10 000-100 000 zł | Plus kara UOKiK osobno |
| Wysłanie marketingu bez zgody | 5000-200 000 zł | Per kampania |
| Wyciek danych wrażliwych | 50 000-500 000 zł | Plus odpowiedzialność cywilna |
| Brak realizacji prawa do bycia zapomnianym | 10 000-100 000 zł | Per zgłoszenie |
| Niewłaściwa zgoda (pre-checked) | 20 000-200 000 zł | UODO orzeczenia 2024-2025 |
| Brak HTTPS przy formularzach | 5000-50 000 zł | Kategoryzowane jako brak środków |
Plus kara cywilna od osoby, której dane zostały naruszone (zwykle 1000-50 000 zł odszkodowania).
Najczęstsze błędy RODO na polskich stronach 2026
Pięć błędów, które widzimy w polskich przeglądach:
Błąd 1: Polityka prywatności skopiowana od konkurencji
Klient kopiuje politykę prywatności z innej strony. Nie pasuje do tego, jak naprawdę przetwarza dane. Naprawa: własna polityka prywatności napisana pod realne procesy firmy.
Błąd 2: Banner cookies, który naciąga na zgodę
„Akceptuję wszystkie” duży zielony przycisk, „Odrzucam” mały szary tekst. UODO w 2024 nałożyło 5 kar po 100 000 zł na firmy stosujące takie naciąganie (dark pattern). Naprawa: oba przyciski równie widoczne, „Odrzucam” na pierwszym planie.
Błąd 3: Brak HTTPS na całej stronie
Strona główna ma HTTPS, ale strona kontaktu działa na zwykłym HTTP. Klient wysyła dane bez szyfrowania. Naprawa: HTTPS na wszystkich podstronach, z automatycznym przekierowaniem na wersję szyfrowaną.
Błąd 4: Formularz bez pola zgody RODO
Klient wysyła zapytanie, brak pola zgody. To naruszenie. Naprawa: zgoda jako wymagana, osobno na dane osobowe i osobno na marketing.
Błąd 5: Google Analytics bez zgody
Google Analytics ładowany na każdej stronie bez zgody klienta. To naruszenie. Naprawa: ładowanie GA4 dopiero po akceptacji cookies marketingowych.
Lokal360 i RODO
Lokal360 standardowo wdraża 18 z 18 elementów RODO:
| Element | W standardzie Lokal360 |
|---|---|
| Polityka prywatności | TAK, indywidualna per klient |
| Klauzula informacyjna formularzy | TAK |
| Zgody osobne | TAK |
| Banner zgody na cookies | TAK (własny albo Klaro) |
| HTTPS | TAK, certyfikat SSL Let’s Encrypt |
| Nagłówki bezpieczeństwa | TAK, wbudowane w konfigurację serwera |
| Anonimizacja logów | Procedura w opiece nad stroną |
| Google Analytics 4 za zgodą | TAK, skrypt ładowany dopiero po zgodzie |
| Umowy o powierzeniu danych z podwykonawcami | Wzór dostarczany w pakiecie |
| Procedura realizacji praw | Wzór dostarczany |
Plus opieka miesięczna (149 zł/mc) zawiera przegląd RODO co 12 miesięcy oraz aktualizacje przy zmianach prawnych.
Materiały do dalszej lektury
- Lokal360, opieka nad stroną (pakiet z przeglądem RODO)
- Lokal360, strona firmowa (RODO w standardzie)
- UODO, oficjalna strona (wzory i orzecznictwo)
- GDPR oficjalny tekst PL (pełny tekst)
- Bramka płatności vs prowizje (model klient = merchant a RODO)
Igor Biały
Twórca Lokal360 · spacery 360°, strony, systemy
