Strony www, technicznie

RODO na stronie firmowej 2026, krok po kroku

· aktualizacja: ·11 min czytania
Spis treści 41 sekcji
  1. 18 elementów RODO na stronie firmowej w 2026
  2. A) Polityka prywatności i klauzule (5 punktów)
  3. 1. Polityka prywatności zgodna z art. 13 RODO
  4. 2. Klauzula informacyjna przed każdym formularzem
  5. 3. Zgody w formularzach (osobne checkboxy)
  6. 4. Klauzula opt-out w mailingach
  7. 5. Stopka strony z danymi administratora
  8. B) Cookies i analytics (3 punkty)
  9. 6. Cookie consent banner z opt-in
  10. 7. Google Analytics 4 za zgodą użytkownika
  11. 8. Skrypty śledzące (Facebook, Hotjar, Microsoft Clarity)
  12. C) Bezpieczeństwo techniczne (5 punktów)
  13. 9. HTTPS z certyfikatem SSL aktualnym
  14. 10. Szyfrowanie danych w bazie i w kopiach zapasowych
  15. 11. Anonimizacja logów serwera po 30 dniach
  16. 12. Nagłówki bezpieczeństwa (HSTS, X-Frame-Options, X-Content-Type-Options, CSP)
  17. 13. Ograniczenie liczby wysyłek formularza (ochrona przed spamem i botami)
  18. D) Obowiązki organizacyjne (5 punktów)
  19. 14. Inspektor Ochrony Danych (IOD): kiedy obowiązkowy
  20. 15. Rejestr czynności przetwarzania (RPD)
  21. 16. Procedura realizacji praw osoby
  22. 17. Umowy o powierzeniu przetwarzania danych (UoPPD)
  23. 18. Procedura na wypadek wycieku danych
  24. Jak działają kary RODO
  25. Najczęstsze błędy RODO na polskich stronach 2026
  26. Błąd 1: Polityka prywatności skopiowana od konkurencji
  27. Błąd 2: Banner cookies, który naciąga na zgodę
  28. Błąd 3: Brak HTTPS na całej stronie
  29. Błąd 4: Formularz bez pola zgody RODO
  30. Błąd 5: Google Analytics bez zgody
  31. Lokal360 i RODO
  32. Materiały do dalszej lektury
  33. Często zadawane pytania
  34. Czego wymaga RODO na stronie firmowej w 2026?
  35. Jakie kary grożą za brak RODO compliance?
  36. Czy mała firma musi mieć IOD (Inspektor Ochrony Danych)?
  37. Co powinno być w polityce prywatności?
  38. Czy cookie consent banner jest wymagany?
  39. Czy mogę używać Google Analytics 4 zgodnie z RODO?
  40. Co zrobić jeśli klient prosi o usunięcie danych?
  41. Zastrzeżenie
Wszystkie wpisy 132 wpisów
Strony www, technicznie 21
Spacery 360° 25
Własne systemy zamiast SaaS 24
Strony dla branż 20
AI i trendy 2026 17
Widoczność lokalna (SEO + GBP) 14
Marketing i sprzedaż 11

W skrócie: RODO na stronie firmowej w 2026 wymaga 18 elementów: polityka prywatności (11 punktów z art. 13 RODO), banner zgody na cookies z aktywną zgodą, zgody w formularzach, klauzule informacyjne, HTTPS, anonimizacja logów serwera. Karę ustala UODO indywidualnie (art. 83 RODO), według wagi naruszenia. Google Analytics 4 legalny od 2024 przy aktywnej zgodzie. Prawo do usunięcia danych: 30 dni na realizację.

18 elementów RODO obowiązkowych na stronie
art. 83 RODO, podstawa kar ustalanych indywidualnie
30 dni na realizację prawa do usunięcia danych

18 elementów RODO na stronie firmowej w 2026

Lokal360 sprawdza strony klientów pod kątem zgodności z RODO. Lista 18 punktów obowiązkowych:

A) Polityka prywatności i klauzule (5 punktów)

1. Polityka prywatności zgodna z art. 13 RODO

Osobna podstrona /polityka-prywatnosci/ z 11 obowiązkowymi sekcjami:

SekcjaTreść
AdministratorPełna nazwa firmy, adres, NIP, kontakt email
Cele przetwarzaniaLista celów (kontakt, marketing, sprzedaż, statystyka)
Podstawa prawnaArt. 6 ust. 1 lit. a (zgoda) albo b (umowa) albo f (prawnie uzasadniony interes)
Odbiorcy danychHosting (np. dhosting), bramka płatności (P24), analytics (Google), inne podwykonawcy
Transfer poza UEJeśli korzystasz z Google Analytics: trans-atlantyckie ramy EU-US
Okres przechowywaniaPer cel, np. kontakt 1 rok, marketing 3 lata, księgowość 5 lat
Prawa osobyDostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie
Prawo do skargi„Masz prawo wnieść skargę do UODO” + adres
Źródło danychJeśli zbierasz z innych źródeł niż osoba
Automatyczne decydowanieJeśli używasz (np. AI ocenia zapytania klientów)
IOD kontaktJeśli powołany

2. Klauzula informacyjna przed każdym formularzem

Krótka klauzula (3-5 zdań) przed kliknięciem „Wyślij”:

Administratorem Twoich danych jest [Firma]. Dane przetwarzamy w celu odpowiedzi na Twoje zapytanie, na podstawie art. 6 ust. 1 lit. b RODO. Masz prawo dostępu, sprostowania, usunięcia. [Pełna polityka prywatności →]

3. Zgody w formularzach (osobne checkboxy)

Każda zgoda osobno, nie pre-checked:

<label>
  <input type="checkbox" name="consent_rodo" required>
  Zgadzam się na przetwarzanie moich danych osobowych w celu rezerwacji wizyty *
</label>
<label>
  <input type="checkbox" name="consent_marketing">
  Zgadzam się na otrzymywanie informacji marketingowych emailem (opcjonalne)
</label>

Dla danych wrażliwych (zdrowie, religia, biometria) dodatkowa zgoda osobno.

4. Klauzula opt-out w mailingach

Każdy email marketingowy musi mieć link „Wypisz się” w stopce. Brak = naruszenie RODO + ustawa o świadczeniu usług drogą elektroniczną.

5. Stopka strony z danymi administratora

W stopce: nazwa firmy, adres, NIP, kontakt. Plus link do polityki prywatności.

B) Cookies i analytics (3 punkty)

Banner przed załadowaniem cookies marketingowych. Elementy (wymagane oznaczone, reszta rekomendowana):

  • Tekst: „Używamy cookies dla [cele]. Czy akceptujesz?” (wymagane)
  • Przycisk „Akceptuję wszystkie” (wymagane)
  • Przycisk „Odrzucam” równie widoczny jak „Akceptuję” (wymagane)
  • Przycisk „Ustawienia” z kategoriami: niezbędne, funkcjonalne, analytics, marketing (rekomendowane, bo daje konkretną, szczegółową zgodę)
  • Link do polityki prywatności (wymagane)

Nielegalne praktyki w 2026 (skarżone przez UODO):

  • Dark pattern (przycisk Odrzucam ukryty albo szary)
  • Pre-checked checkboxy
  • „Akceptuję” jako jedyna opcja na widocznym miejscu

7. Google Analytics 4 za zgodą użytkownika

Google Analytics 4 jest legalny w UE od stycznia 2024 (na podstawie porozumienia o przekazywaniu danych UE-USA). Wymagane:

  • Zgoda przed załadowaniem skryptu GA4
  • Anonimizacja adresu IP w GA4 (włączysz w ustawieniach usługi)
  • Wyłączone Google Signals (chyba że masz osobną zgodę)
  • Informacja o GA4 w polityce prywatności

8. Skrypty śledzące (Facebook, Hotjar, Microsoft Clarity)

Każdy taki skrypt wymaga osobnej zgody w bannerze cookies. Wpisz go w polityce prywatności jako odbiorcę danych.

C) Bezpieczeństwo techniczne (5 punktów)

9. HTTPS z certyfikatem SSL aktualnym

Bezwzględnie wymagane. Strona bez HTTPS w 2026 jest oznaczana przez przeglądarki jako „niebezpieczna”, klient odbija. Plus naruszenie RODO (transmisja danych w czystym tekście).

10. Szyfrowanie danych w bazie i w kopiach zapasowych

Baza danych z danymi osobowymi musi być zaszyfrowana. Bazy MySQL i PostgreSQL większość polskich hostingów szyfruje automatycznie (m.in. dhosting, nazwa.pl, home.pl). Kopie zapasowe też zaszyfrowane.

11. Anonimizacja logów serwera po 30 dniach

Logi serwera (zapisy odwiedzin i błędów) zawierają adresy IP. RODO wymaga anonimizacji albo usunięcia, gdy nie są już potrzebne (zwykle 30 dni dla zapisów odwiedzin, 90 dni dla błędów). Robi to zaplanowane zadanie na hostingu, które automatycznie czyści logi.

12. Nagłówki bezpieczeństwa (HSTS, X-Frame-Options, X-Content-Type-Options, CSP)

Standardowe nagłówki bezpieczeństwa w konfiguracji serwera:

Strict-Transport-Security: max-age=31536000
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy: [...]

13. Ograniczenie liczby wysyłek formularza (ochrona przed spamem i botami)

Formularz kontaktu ze 100 wysyłkami na minutę to ryzyko wycieku danych. Potrzebne zabezpieczenia: ochrona przed podszywaniem się, ukryte pole na boty, limit wysyłek i mechanizm reCAPTCHA, jeśli formularz jest publicznie dostępny.

D) Obowiązki organizacyjne (5 punktów)

14. Inspektor Ochrony Danych (IOD): kiedy obowiązkowy

RODO wymaga IOD w 3 sytuacjach:

  1. Podmiot publiczny (urząd, szkoła publiczna, szpital NFZ)
  2. Dane wrażliwe na dużą skalę (zdrowie, religia, biometria, orientacja seksualna)
  3. Systematyczne monitorowanie osób na dużą skalę (firmy ochroniarskie, agencje rekrutacyjne)

Mała firma w Polsce zazwyczaj NIE potrzebuje IOD obowiązkowo. Obowiązek zależy od realnej skali przetwarzania danych szczególnych, a nie od okrągłego progu liczby pacjentów czy klientów. Klinika przetwarzająca dane o zdrowiu na dużą skalę może potrzebować IOD, salon fryzjerski zazwyczaj nie. To ocena indywidualna, w razie wątpliwości skonsultuj ją z radcą prawnym lub specjalistą RODO.

15. Rejestr czynności przetwarzania (RPD)

Obowiązkowy dla firm 250+ osób ALBO przetwarzających dane wrażliwe ALBO przetwarzających dane systematycznie. Lista wszystkich celów przetwarzania z polami:

  • Nazwa czynności
  • Cel
  • Podstawa prawna
  • Kategorie osób
  • Kategorie danych
  • Odbiorcy
  • Okres przechowywania
  • Środki techniczne i organizacyjne

Lokal360 dostarcza wzór RPD w pakiecie opieki nad stroną.

16. Procedura realizacji praw osoby

Klient żąda usunięcia danych, masz 30 dni na realizację. Procedura:

  1. Weryfikacja tożsamości proszącego (email albo dokument)
  2. Sprawdzenie podstaw prawnych do dalszego przetwarzania (księgowość 5 lat, podatki 5 lat)
  3. Usunięcie z systemów (baza, kopie zapasowe, logi po anonimizacji)
  4. Potwierdzenie w formie pisemnej

Brak realizacji = grzywna UODO.

17. Umowy o powierzeniu przetwarzania danych (UoPPD)

Każdy podwykonawca przetwarzający dane (hosting, bramka płatności, mailing) musi mieć UoPPD. Lista typowych:

  • Hosting (dhosting, nazwa.pl)
  • Bramka płatności (Przelewy24, Stripe)
  • Mailing (Brevo, MailChimp)
  • Analytics (Google Analytics)
  • CRM (HubSpot, Pipedrive)
  • Chat (Tidio, Intercom)

Lokal360 dostarcza wzory UoPPD w pakiecie opieki.

18. Procedura na wypadek wycieku danych

Jeśli dojdzie do naruszenia (wyciek, włamanie, zgubiony laptop z bazą), procedura:

  1. W 72 godziny zgłoś do UODO (formularz online)
  2. W tym samym czasie zawiadom osoby, których dane wyciekły (jeśli ryzyko jest wysokie)
  3. Zachowaj dowody (logi, zrzuty ekranu, raport z zabezpieczeń)
  4. Wprowadź środki zaradcze

Jak działają kary RODO

RODO nie ma taryfikatora „tyle za to naruszenie”. UODO nie publikuje sztywnej listy kwot za dany typ uchybienia. Kara jest ustalana indywidualnie, według wagi naruszenia, jego charakteru, czasu trwania, liczby osób i tego, czy firma współpracowała z organem (art. 83 ust. 2 RODO).

RODO przewiduje dwa górne pułapy:

  • do 10 mln euro albo 2 procent rocznego światowego obrotu (art. 83 ust. 4), za naruszenia obowiązków administratora, np. brak odpowiednich zabezpieczeń czy braki w rejestrze czynności.
  • do 20 mln euro albo 4 procent rocznego światowego obrotu (art. 83 ust. 5), za naruszenia zasad przetwarzania i praw osób, np. przetwarzanie bez podstawy prawnej czy niezrealizowanie praw osoby.

Bierze się wartość wyższą z dwóch (kwota albo procent obrotu). W praktyce kary dla małych polskich firm bywają dużo niższe niż te pułapy, bo są ważone skalą działalności. Do tego dochodzi możliwa odpowiedzialność cywilna wobec osoby, której dane naruszono (art. 82 RODO), niezależna od kary administracyjnej.

Najczęstsze błędy RODO na polskich stronach 2026

Pięć błędów, które widzimy w polskich przeglądach:

Błąd 1: Polityka prywatności skopiowana od konkurencji

Klient kopiuje politykę prywatności z innej strony. Nie pasuje do tego, jak naprawdę przetwarza dane. Naprawa: własna polityka prywatności napisana pod realne procesy firmy.

Błąd 2: Banner cookies, który naciąga na zgodę

„Akceptuję wszystkie” duży zielony przycisk, „Odrzucam” mały szary tekst. Takie naciąganie na zgodę (dark pattern) organy ochrony danych traktują jako brak ważnej zgody, bo zgoda nie jest wtedy dobrowolna ani świadoma. Naprawa: oba przyciski równie widoczne, „Odrzucam” na pierwszym planie.

Błąd 3: Brak HTTPS na całej stronie

Strona główna ma HTTPS, ale strona kontaktu działa na zwykłym HTTP. Klient wysyła dane bez szyfrowania. Naprawa: HTTPS na wszystkich podstronach, z automatycznym przekierowaniem na wersję szyfrowaną.

Błąd 4: Formularz bez pola zgody RODO

Klient wysyła zapytanie, brak pola zgody. To naruszenie. Naprawa: zgoda jako wymagana, osobno na dane osobowe i osobno na marketing.

Błąd 5: Google Analytics bez zgody

Google Analytics ładowany na każdej stronie bez zgody klienta. To naruszenie. Naprawa: ładowanie GA4 dopiero po akceptacji cookies marketingowych.

Lokal360 i RODO

Lokal360 standardowo wdraża 18 z 18 elementów RODO:

ElementW standardzie Lokal360
Polityka prywatnościTAK, indywidualna per klient
Klauzula informacyjna formularzyTAK
Zgody osobneTAK
Banner zgody na cookiesTAK (własny albo Klaro)
HTTPSTAK, certyfikat SSL Let’s Encrypt
Nagłówki bezpieczeństwaTAK, wbudowane w konfigurację serwera
Anonimizacja logówProcedura w opiece nad stroną
Google Analytics 4 za zgodąTAK, skrypt ładowany dopiero po zgodzie
Umowy o powierzeniu danych z podwykonawcamiWzór dostarczany w pakiecie
Procedura realizacji prawWzór dostarczany

Plus opieka miesięczna (149 zł/mc) zawiera przegląd RODO co 12 miesięcy oraz aktualizacje przy zmianach prawnych.

Materiały do dalszej lektury

Często zadawane pytania

Czego wymaga RODO na stronie firmowej w 2026?

RODO na stronie firmowej w 2026 wymaga 18 elementów: 1) polityka prywatności zgodna z art. 13 RODO, 2) cookie consent banner z opcją odrzucenia, 3) klauzule zgód w formularzach (osobno dane osobowe, osobno marketing), 4) klauzula informacyjna przed każdym formularzem, 5) HTTPS z certyfikatem SSL, 6) szyfrowanie danych w transmisji i spoczynku, 7) logi serwera z anonimizacją po 30 dniach, 8) IOD jeśli przetwarzasz dane szczególne na dużą skalę (ocena indywidualna), plus 10 dodatkowych.

Jakie kary grożą za brak RODO compliance?

RODO nie ma taryfikatora kwot za dany typ naruszenia. Karę ustala UODO (Urząd Ochrony Danych Osobowych) indywidualnie według wagi naruszenia (art. 83 ust. 2 RODO), w granicach dwóch pułapów: do 10 mln euro albo 2 procent rocznego światowego obrotu (art. 83 ust. 4) oraz do 20 mln euro albo 4 procent obrotu (art. 83 ust. 5), zależnie od rodzaju naruszenia. Dla małej firmy kary są ważone skalą działalności i bywają znacznie niższe. Do tego dochodzi możliwa odpowiedzialność cywilna wobec osoby, której dane naruszono (art. 82 RODO). Nad zgodami na cookies czuwa UODO oraz Prezes UKE (Urząd Komunikacji Elektronicznej), nie UOKiK.

Czy mała firma musi mieć IOD (Inspektor Ochrony Danych)?

Mała firma w Polsce zazwyczaj nie musi mieć IOD obowiązkowo. RODO wymaga IOD (art. 37) tylko gdy: 1) firma jest podmiotem publicznym (urząd), 2) główna działalność polega na przetwarzaniu danych szczególnych (zdrowie, biometria, religia) na dużą skalę, 3) główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę. To ocena indywidualna wagi i skali przetwarzania, a nie sztywny próg liczby pacjentów czy klientów. Klinika przetwarzająca dane o zdrowiu na dużą skalę może potrzebować IOD, ale decyduje realna skala, nie okrągła liczba pacjentów. W razie wątpliwości skonsultuj to z radcą prawnym lub specjalistą RODO.

Co powinno być w polityce prywatności?

Polityka prywatności zgodna z art. 13 RODO musi zawierać 11 elementów: 1) tożsamość i kontakt administratora, 2) cele przetwarzania i podstawa prawna, 3) prawnie uzasadniony interes (jeśli ten powód), 4) odbiorcy danych, 5) transfer poza UE jeśli ma miejsce, 6) okres przechowywania, 7) prawa osoby (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie), 8) prawo do skargi do UODO, 9) źródło danych (jeśli z innych źródeł niż osoba), 10) automatyczne decydowanie, 11) IOD kontakt.

Tak, jeśli strona używa cookies innych niż niezbędne. Niezbędne cookies (sesja, koszyk, login) nie wymagają zgody. Cookies marketingowe (Google Analytics, Facebook Pixel, Hotjar, retargeting) wymagają opt-in zgody przed załadowaniem. Banner powinien mieć opcję „Akceptuję wszystkie”, równie łatwą opcję „Odrzucam” i link do polityki prywatności. Rekomendowaną praktyką jest też panel „Ustawienia” z kategoriami (niezbędne, funkcjonalne, analytics, marketing).

Czy mogę używać Google Analytics 4 zgodnie z RODO?

Tak, z zastrzeżeniami. GA4 jest legalny w UE od stycznia 2024 (po wprowadzeniu trans-atlantyckiego ramowego porozumienia EU-US Data Privacy Framework). Wymagane: 1) opt-in zgoda przed załadowaniem skryptu GA4, 2) anonimizacja IP w GA4 (włącz w panelu), 3) wyłączone Google Signals i Advertising Features (chyba że masz osobną zgodę), 4) wpisana informacja w polityce prywatności o GA4.

Co zrobić jeśli klient prosi o usunięcie danych?

Masz 30 dni na realizację „prawa do bycia zapomnianym” (art. 17 RODO). Procedura: 1) zweryfikuj tożsamość proszącego (email albo dokument), 2) sprawdź czy dane można usunąć (czy nie ma podstaw prawnych do dalszego przetwarzania, np. księgowość 5 lat), 3) usuń dane z systemów (baza, kopie zapasowe, logi po anonimizacji), 4) potwierdź klientowi w formie pisemnej. Brak realizacji = grzywna UODO.

Zastrzeżenie

To nie jest porada prawna. Nie jestem radcą prawnym. Skonsultuj swój przypadek z radcą prawnym lub specjalistą RODO.


IB

Igor Biały

Twórca Lokal360 · spacery 360°, strony, systemy

Nowszy wpis: Core Web Vitals 2026. LCP, CLS, INP w praktyce dla małej firmy Blog Starszy wpis: Strona dla domku letniskowego 2026, jak buduje rezerwacje

O autorze

Igor Biały · twórca Lokal360

Twórca Lokal360

Koduję od 16. roku życia (z czasem doszła fotografia, a potem spacery 360°), od 2025 z nowoczesnym, zautomatyzowanym warsztatem. 150+ wykonanych spacerów 360° na Google Maps. Prowadzę Lokal360 (uruchomione wiosną 2026): strony internetowe, własne systemy rezerwacji, spacery 360°, opieka. Solo, bez agencji, z nowoczesnym warsztatem.

IB

Masz pytanie po przeczytaniu?

Zostaw numer, oddzwonię w ciągu 24 h. Powiem wprost, co ma sens w Twoim przypadku. Bez zobowiązań.

Zostaw numer, oddzwonię zwykle w kilka godzin:

Dodaj firmę, miasto, email (opcjonalnie)

Twoje dane idą wyłącznie do mnie. Polityka prywatności