+48 692 004 515

  kancelaria@maniszewska.pl

Menu
e-commerce

RODO w e-commerce — kompletny przewodnik po obowiązkach sklepu internetowego

Prowadzenie sklepu internetowego wiąże się z intensywnym przetwarzaniem danych osobowych na każdym etapie — od rejestracji konta, przez realizację zamówienia, po marketing i obsługę posprzedażową. Jednocześnie e-commerce to sektor, w którym UODO i europejskie organy nadzorcze coraz aktywniej prowadzą kontrole, a klienci coraz częściej korzystają ze swoich praw wynikających z RODO.

W tym artykule omawiam wszystkie kluczowe obowiązki RODO, które musi spełnić sklep internetowy — od polityki prywatności, przez cookies i newsletter, po profilowanie i obsługę żądań klientów.

Jakie dane przetwarza sklep internetowy?

Typowy sklep internetowy przetwarza zróżnicowane kategorie danych osobowych:

Dane rejestracyjne — imię, nazwisko, adres e-mail, hasło, numer telefonu (przy zakładaniu konta).

Dane transakcyjne — adres dostawy, adres do faktury, NIP (dla firm), dane płatności (choć same dane karty zazwyczaj przetwarza operator płatności, nie sklep).

Dane behawioralne — historia zamówień, przeglądane produkty, czas spędzony na stronie, kliknięcia, zawartość koszyka. Te dane są zbierane przez narzędzia analityczne (Google Analytics, Hotjar) i systemy rekomendacji.

Dane marketingowe — zgody na newsletter, preferencje komunikacyjne, segmentacja klientów.

Dane z obsługi klienta — korespondencja e-mail, czat, reklamacje, zwroty.

Dane z cookies — identyfikatory cookies, adres IP, dane o urządzeniu i przeglądarce. Szczegółowy poradnik o cookies i banerze zgód znajdziesz w osobnym artykule.

Zakres przetwarzanych danych jest szeroki — a każda kategoria wymaga odrębnej analizy pod kątem podstawy prawnej, celu i okresu przechowywania.

Podstawy prawne przetwarzania w e-commerce

Sklep internetowy korzysta z kilku podstaw prawnych jednocześnie:

Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — przetwarzanie danych niezbędnych do realizacji zamówienia: imię, nazwisko, adres dostawy, dane kontaktowe, dane do faktury. To podstawowa podstawa prawna dla większości operacji w e-commerce.

Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — przechowywanie danych dla celów podatkowych i rachunkowych (Ordynacja podatkowa, ustawa o rachunkowości). Faktury i dokumenty księgowe muszą być przechowywane przez 5 lat od końca roku podatkowego.

Zgoda (art. 6 ust. 1 lit. a RODO) — newsletter, marketing e-mailowy, cookies analityczne i marketingowe. Zgoda musi być dobrowolna — nie może być warunkiem złożenia zamówienia.

Uzasadniony interes (art. 6 ust. 1 lit. f RODO) — marketing bezpośredni wobec własnych klientów (ale tylko w ograniczonym zakresie i z prawem do sprzeciwu), dochodzenie roszczeń, zapobieganie oszustwom, analityka biznesowa na zanonimizowanych danych.

Najczęstszy błąd: powoływanie się na zgodę tam, gdzie właściwą podstawą jest wykonanie umowy. Jeśli dane są niezbędne do realizacji zamówienia, nie trzeba prosić klienta o „zgodę na przetwarzanie danych w celu realizacji zamówienia” — podstawą jest umowa, nie zgoda.

Polityka prywatności — co musi zawierać

Każdy sklep internetowy musi posiadać politykę prywatności spełniającą wymagania art. 13 RODO. Polityka powinna obejmować:

Tożsamość i dane kontaktowe administratora — pełna nazwa firmy, adres, NIP, dane kontaktowe.

Dane kontaktowe IOD — jeśli powołany.

Cele i podstawy prawne przetwarzania — oddzielnie dla każdego celu: realizacja zamówień (umowa), marketing (zgoda), księgowość (obowiązek prawny), cookies (zgoda lub uzasadniony interes).

Odbiorcy danych — firmy kurierskie, operatorzy płatności, hosting, dostawca systemu sklepowego, biuro rachunkowe, narzędzia analityczne, platformy marketingowe.

Transfer danych poza EOG — jeśli korzystasz z Google Analytics, Mailchimp, Facebook Pixel, Stripe — dane trafiają do USA. Podaj mechanizm transferu (DPF, SCC). Więcej o transferze danych poza EOG przeczytasz w naszym przewodniku.

Okresy przechowywania — konkretne dla każdego celu: dane zamówienia (czas realizacji + okres przedawnienia roszczeń + okres przechowywania dokumentów podatkowych), newsletter (do wycofania zgody), konto klienta (do usunięcia konta + okres archiwizacji).

Prawa klienta — dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, wycofanie zgody.

Prawo do skargi do UODO.

Informacja o profilowaniu — jeśli sklep stosuje rekomendacje produktowe lub segmentację klientów.

Informacja o cookies — krótka informacja z odesłaniem do pełnej polityki cookies.

Forma i dostępność: Polityka prywatności musi być łatwo dostępna — link w stopce strony, widoczny na każdej podstronie. Powinna być napisana zrozumiałym językiem, nie prawniczym żargonem.

Newsletter i marketing e-mailowy

Newsletter to jedno z najczęstszych źródeł problemów RODO w e-commerce. Zasady:

Zgoda na newsletter musi być dobrowolna — nie może być warunkiem złożenia zamówienia ani otrzymania rabatu. Checkbox „Chcę otrzymywać newsletter” nie może być domyślnie zaznaczony (pre-ticked box). Klient musi aktywnie zaznaczyć checkbox.

Double opt-in — rekomendowana praktyka polegająca na wysłaniu e-maila z linkiem potwierdzającym subskrypcję. Chroni przed zapisami bez wiedzy osoby i stanowi dowód wyrażenia zgody.

Treść zgody musi być konkretna — zamiast ogólnego „zgadzam się na marketing” napisz: „Chcę otrzymywać newsletter z informacjami o nowych produktach i promocjach na podany adres e-mail.”

Wycofanie zgody musi być łatwe — każdy e-mail musi zawierać link „Wypisz się” / „Unsubscribe”. Wycofanie zgody musi być tak samo proste jak jej udzielenie.

Dokumentacja zgód — musisz być w stanie wykazać, kiedy i jak klient wyraził zgodę (data, treść zgody, adres IP, metoda). Platforma mailingowa powinna przechowywać te dane.

Marketing wobec własnych klientów — art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną pozwala na wysyłkę informacji handlowej drogą elektroniczną bez zgody, jeśli dane zostały pozyskane w związku ze sprzedażą produktu lub usługi, informacja dotyczy podobnych produktów/usług, klient nie sprzeciwił się i był poinformowany o możliwości sprzeciwu. To ograniczony wyjątek — wymaga starannej analizy.

Cookies w sklepie internetowym

Sklepy internetowe stosują zazwyczaj wiele rodzajów cookies — od niezbędnych po marketingowe. Obowiązki:

Cookies niezbędne (sesja, koszyk, logowanie) — nie wymagają zgody.

Cookies analityczne (Google Analytics, Hotjar) — wymagają zgody przed uruchomieniem.

Cookies marketingowe (Facebook Pixel, Google Ads remarketing, piksele afiliacyjne) — wymagają zgody. To cookies o najwyższym ryzyku prawnym.

Baner cookies musi oferować równoważne opcje — „Akceptuję”, „Odmawiam” (lub „Tylko niezbędne”), „Ustawienia”. Skrypty muszą być zablokowane do momentu uzyskania zgody (prior blocking).

Google Consent Mode v2 — jeśli korzystasz z Google Analytics lub Google Ads, skonfiguruj Google Consent Mode v2, który dostosowuje działanie tagów Google do decyzji użytkownika w banerze cookies.

Konto klienta — rejestracja i zakupy bez rejestracji

Zakupy bez rejestracji — RODO nie wymaga wprost oferowania zakupów bez rejestracji, ale zasada minimalizacji danych (art. 5 ust. 1 lit. c) silnie wspiera tę opcję. Jeśli klient chce kupić produkt, nie powinien być zmuszony do zakładania konta — dane zbierane powinny być ograniczone do minimum niezbędnego do realizacji zamówienia.

Konto klienta — rejestracja konta wymaga klauzuli informacyjnej w momencie rejestracji. Klient powinien mieć możliwość usunięcia konta (prawo do usunięcia danych — art. 17 RODO), przy czym administrator może zachować dane niezbędne do celów rachunkowych lub dochodzenia roszczeń.

Przechowywanie haseł — hasła muszą być przechowywane w formie zahashowanej (nie jawnej). Brak odpowiedniego zabezpieczenia haseł to naruszenie art. 32 RODO.

Profilowanie i rekomendacje produktowe

Wiele sklepów internetowych stosuje systemy rekomendacji produktów, personalizację treści, segmentację klientów lub dynamiczne ceny. To jest profilowanie w rozumieniu RODO (art. 4 pkt 4).

Obowiązki przy profilowaniu:

Informowanie klientów — klauzula informacyjna musi zawierać informację o profilowaniu, jego logice i konsekwencjach (art. 13 ust. 2 lit. f RODO). Jak napisać prawidłową klauzulę informacyjną opisujemy w osobnym artykule.

Podstawa prawna — profilowanie do celów marketingowych może opierać się na uzasadnionym interesie administratora (art. 6 ust. 1 lit. f), ale klient ma prawo do sprzeciwu (art. 21 RODO). Profilowanie prowadzące do automatycznych decyzji o skutkach prawnych (np. automatyczna odmowa kredytu, dynamiczne ceny dyskryminujące) podlega art. 22 RODO.

DPIA — jeśli profilowanie odbywa się na dużą skalę, konieczne jest przeprowadzenie DPIA.

Prawo do sprzeciwu — klient może sprzeciwić się profilowaniu do celów marketingowych, a administrator musi zaprzestać przetwarzania.

Procesory w e-commerce — z kim zawrzeć umowę powierzenia

Sklep internetowy korzysta z wielu dostawców usług, z którymi musi zawrzeć umowę powierzenia przetwarzania danych:

Dostawca platformy sklepowej (np. Shoper, PrestaShop w chmurze, Shopify) — przetwarza dane klientów na Twoim serwerze lub w chmurze.

Firma hostingowa — przechowuje dane na serwerze.

Operator płatności (np. Przelewy24, PayU, Stripe, Tpay) — przetwarza dane płatności. Uwaga: operator płatności może być odrębnym administratorem w zakresie przetwarzania danych płatniczych — konieczna analiza regulaminu.

Firma kurierska / Poczta Polska — przetwarza dane adresowe. Tu sytuacja jest złożona — firmy kurierskie mogą być odrębnymi administratorami w zakresie usługi przewozowej.

Platforma mailingowa (np. Mailchimp, GetResponse, FreshMail) — przetwarza adresy e-mail subskrybentów.

Biuro rachunkowe — przetwarza dane z faktur i dokumentów księgowych.

Narzędzia analityczne (Google Analytics, Hotjar) — przetwarzają dane behawioralne użytkowników.

System CRM — przetwarza dane klientów.

Dostawca chatbota / livechatu — przetwarza dane z konwersacji.

Z każdym z tych podmiotów sprawdź, czy masz podpisaną umowę powierzenia (lub DPA w regulaminie usługi) i czy obejmuje ona wszystkie wymagane elementy z art. 28 RODO. Przewodnik po umowach powierzenia znajdziesz tutaj.

Prawa klientów — najczęstsze żądania w e-commerce

Prawo do usunięcia danych (art. 17 RODO) — klient żąda usunięcia konta i wszystkich danych. Sklep może odmówić usunięcia danych, które musi przechowywać na podstawie przepisów prawa (faktury — 5 lat, dokumenty gwarancyjne — okres gwarancji). Powinien jednak usunąć konto, dane marketingowe i dane behawioralne.

Prawo dostępu (art. 15 RODO) — klient żąda informacji o tym, jakie dane sklep posiada. Sklep ma miesiąc na odpowiedź i musi udostępnić kopię danych w formacie elektronicznym.

Prawo do przenoszenia danych (art. 20 RODO) — klient żąda wydania swoich danych w formacie nadającym się do odczytu maszynowego (np. CSV, JSON). Dotyczy danych, które klient sam podał i które są przetwarzane automatycznie na podstawie zgody lub umowy.

Prawo do sprzeciwu wobec marketingu (art. 21 RODO) — klient sprzeciwia się profilowaniu lub marketingowi bezpośredniemu. Sprzeciw wobec marketingu jest bezwzględny — sklep musi natychmiast zaprzestać.

Wycofanie zgody na newsletter — natychmiast skuteczne, nie wymaga uzasadnienia.

Obsługa reklamacji i zwrotów a RODO

Obsługa reklamacji i zwrotów wiąże się z przetwarzaniem danych osobowych — danych klienta, informacji o produkcie, korespondencji:

Podstawa prawna — wykonanie obowiązków wynikających z umowy i przepisów prawa (ustawa o prawach konsumenta, Kodeks cywilny).

Okres przechowywania — dane z reklamacji powinny być przechowywane przez okres przedawnienia roszczeń (zazwyczaj 6 lat od zakończenia reklamacji).

Klauzula informacyjna — jeśli dane reklamacyjne są zbierane przez odrębny formularz, należy podać klauzulę informacyjną.

Bezpieczeństwo danych w e-commerce

Sklepy internetowe są częstym celem ataków cybernetycznych — dlatego bezpieczeństwo danych ma szczególne znaczenie:

Certyfikat SSL/TLS — szyfrowanie transmisji danych między przeglądarką klienta a serwerem. Obowiązkowe dla każdego sklepu.

Szyfrowanie danych w bazie — dane osobowe w bazie danych powinny być szyfrowane (at rest).

Bezpieczne przechowywanie haseł — hashowanie z solą (bcrypt, Argon2). Nigdy nie przechowuj haseł w jawnej postaci.

Regularne aktualizacje — platform sklepowych, wtyczek, bibliotek. Nieaktualne oprogramowanie to najczęstsza przyczyna włamań.

Kopie zapasowe — regularne, testowane pod kątem odtwarzalności.

Kontrola dostępu — ograniczenie dostępu do panelu administracyjnego, MFA dla administratorów.

Monitoring bezpieczeństwa — wykrywanie nietypowej aktywności (np. masowe pobieranie danych klientów).

PCI DSS — jeśli sklep bezpośrednio przetwarza dane kart płatniczych (co jest rzadkie — zazwyczaj robi to operator płatności).

Checklist RODO dla sklepu internetowego

  1. Przygotuj politykę prywatności spełniającą art. 13 RODO — umieść link w stopce.
  2. Wdróż baner cookies z prior blocking — równoważne opcje akceptacji i odmowy.
  3. Przygotuj politykę cookies z tabelą cookies.
  4. Skonfiguruj newsletter zgodnie z RODO — checkbox opt-in, double opt-in, link wypisania.
  5. Oferuj zakupy bez rejestracji — minimalizacja danych.
  6. Przygotuj klauzule informacyjne przy formularzach — rejestracja, kontakt, newsletter.
  7. Zawrzyj umowy powierzenia ze wszystkimi dostawcami.
  8. Określ okresy retencji danych — dla każdego celu.
  9. Wdróż procedurę obsługi żądań klientów — dostęp, usunięcie, przenoszenie, sprzeciw.
  10. Zabezpiecz dane technicznie — SSL, szyfrowanie bazy, hashowanie haseł, kopie zapasowe.
  11. Jeśli stosujesz profilowanie — poinformuj o tym w polityce prywatności i oceń potrzebę DPIA.
  12. Zidentyfikuj transfery danych poza EOG — przeprowadź TIA.
  13. Przygotuj RCP — uwzględnij wszystkie procesy e-commerce. Jak prowadzić RCP opisujemy w osobnym artykule.
  14. Przeszkol pracowników obsługi klienta — jak reagować na żądania RODO.
  15. Regularnie aktualizuj oprogramowanie sklepowe i testuj bezpieczeństwo.

Potrzebujesz audytu RODO dla sklepu internetowego?

E-commerce to sektor o wysokim ryzyku RODO — dużo danych, dużo procesów, dużo dostawców, dużo cookies. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont przeprowadzamy audyty RODO dedykowane sklepom internetowym — od polityki prywatności i cookies, przez newsletter i profilowanie, po umowy z dostawcami i bezpieczeństwo danych.

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — sprawdzimy, czy Twój sklep jest zgodny z RODO.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts