Checklista RODO dla strony — co naprawdę dotyczy twojej witryny | Scanthra

Scanthra · 7 min czytania · Zaktualizowano Maj 2026

Kogo dotyczy RODO?

Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie (UE) 2016/679), znane jako RODO (GDPR), stosuje się zawsze, gdy przetwarzasz dane osobowe osób fizycznie przebywających w UE/EOG — nawet jeśli twoja firma jest zarejestrowana gdzie indziej. Sklep z USA sprzedający Niemcom, polski freelancer z francuskimi klientami, szwajcarska firma konsultingowa zbierająca leady z UE — wszyscy są w zakresie.

„Dane osobowe" są szerszym pojęciem, niż większość ludzi zakłada: imię i nazwisko, e-mail, adres IP, identyfikatory cookies, odciski cyfrowe urządzeń. Dlatego niemal każda strona internetowa je przetwarza.

1. Polityka prywatności (Art. 13)

Musisz poinformować użytkowników, jakie dane zbierasz, w jakim celu, na jakiej podstawie prawnej, przez jak długo i jakie mają prawa. Prostym językiem, na stronie linkowanej z każdej innej podstrony (stopka to standardowe miejsce).

Minimalna zawartość:

• Tożsamość administratora danych i dane kontaktowe.
• Cele przetwarzania i podstawa prawna (zgoda / umowa / uzasadniony interes / obowiązek prawny).
• Kategorie danych i odbiorcy (dostawcy analityki, mailer, hosting).
• Okresy przechowywania danych.
• Prawa osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw) i sposób ich wykonywania.
• Czy dane są przekazywane poza UE/EOG i jakie stosuje się zabezpieczenia (standardowe klauzule umowne, decyzja o odpowiednim stopniu ochrony).
• Prawo do złożenia skargi do organu nadzorczego.

2. Baner cookies (ePrivacy + RODO)

Pliki cookies niebędące niezbędnymi (analityczne, reklamowe, piksele marketingowe) wymagają uprzedniej, świadomej i dobrowolnej zgody. Fala egzekwowania przepisów w UE w latach 2024–2025 doprecyzowała, co to oznacza w praktyce:

• „Odrzuć wszystkie" musi być tak łatwe jak „Akceptuj wszystkie" — na tym samym ekranie, z tym samym wyeksponowaniem. Żadnych ciemnych wzorców.
• Żadnego śledzenia przed dokonaniem wyboru przez użytkownika. Nie uruchamiaj Google Analytics przy ładowaniu strony.
• Niezbędne ciasteczka (cookie) (sesja, CSRF, preferencje językowe) nie wymagają zgody — ale bądź szczery(-a) co do tego, które naprawdę są niezbędne.
• Pytaj ponownie co 6–12 miesięcy; zgoda nie jest wieczna.

Większość platform zarządzania zgodą (Cookiebot, Iubenda, darmowe alternatywy takie jak Klaro) robi to poprawnie od razu po instalacji. Najczęstszy błąd audytowy to uruchamianie GTM przed udzieleniem zgody przez baner.

3. Kanał żądań od osób, których dane dotyczą

Użytkownik musi móc zażądać dostępu do swoich danych, ich sprostowania lub usunięcia. Masz 30 dni na odpowiedź (Art. 12(3)). Dla większości małych stron prosty formularz lub adres e-mail wystarczy — liczy się to, że kanał istnieje, jest łatwy do znalezienia i jest monitorowany.

Scanthra ma własny formularz żądania usunięcia danych jako publiczny przykład.

4. HTTPS wszędzie (Art. 32)

Artykuł 32 wymaga „odpowiednich środków technicznych" ochrony danych osobowych. Formularz logowania, formularz kontaktowy lub koszyk przesyłany przez HTTP to najłatwiejszy do wykazania brak „odpowiednich środków". Nowoczesny TLS / SSL (szyfrowanie połączenia) jest darmowy (Let's Encrypt) i jednokomendowy w większości konfiguracji. Zobacz nasz przewodnik po TLS po szczegóły.

5. Plan raportowania naruszeń (Art. 33–34)

Jeśli naruszenie może skutkować ryzykiem dla praw i wolności osób fizycznych, musisz powiadomić organ nadzorczy w ciągu 72 godzin od uzyskania informacji o naruszeniu. Jeśli ryzyko jest wysokie, musisz też poinformować dotknięte osoby „bez zbędnej zwłoki".

Wymagania na poziomie strony internetowej:

• Strona lub link w stopce wyjaśniający, jak użytkownicy mogą zgłosić problem z bezpieczeństwem (zobacz nasz przewodnik po security.txt).
• Wewnętrzny plan działania określający, „jaki rodzaj incydentu wyzwala powiadomienie w 72 godziny" — żebyś nie tracił(-a) pierwszych 24 godzin na dyskutowanie.
• Konto w portalu swojego organu nadzorczego (np. UODO, CNIL, BfDI, Garante, AEPD) — zarejestrowane, zanim będziesz go potrzebować.

6. Rejestr czynności przetwarzania (Art. 30)

Nie jest widoczny na stronie, ale wynika z jej funkcji. Musisz prowadzić pisemny rejestr każdego sposobu przetwarzania danych osobowych: formularza kontaktowego, newslettera, systemu rezerwacji, analityki, piksela remarketingowego, czatu wsparcia. Każdy wpis zawiera cel, kategorie, odbiorców, okres przechowywania i środki bezpieczeństwa.

Wystarczy prosta tabela w arkuszu kalkulacyjnym. Chodzi o to, żeby ją mieć — kary w wysokości 100 000 euro nakładane przez różne organy ochrony danych w ostatnich dwóch latach często wymieniają „brak rejestru z Art. 30" jako czynnik zaostrzający.

7. Transfery międzynarodowe (Rozdz. V)

Jeśli twoja analityka, mailer lub CRM (system zarządzania treścią klientów) jest w USA (Google Analytics, HubSpot, Mailchimp, Klaviyo), przekazujesz dane osobowe poza UE. Od 10 lipca 2023 roku Ramowe Porozumienie o Ochronie Danych UE–USA zapewnia decyzję o odpowiednim stopniu ochrony dla uczestniczących firm z USA. W przeciwnym razie potrzebujesz standardowych klauzul umownych podpisanych z dostawcą i najlepiej oceny skutków transferu.

Większość dużych dostawców SaaS ma „Aneks do umowy o przetwarzaniu danych RODO" do pobrania jednym kliknięciem. Podpisz go i zachowaj kopię.

Audyt strony w 30 minut

1. Otwórz politykę prywatności ze stopki. Czy obejmuje wszystkie siedem punktów z Art. 13?
2. Wejdź na swoją stronę w oknie incognito. Czy baner wyświetla „Odrzuć wszystkie" z równą widocznością?
3. Otwórz zakładkę sieciową zanim klikniesz w baner. Czy jakiekolwiek żądania analityczne/marketingowe już się uruchamiają? Nie powinny.
4. Znajdź kanał żądań usunięcia. Czy dotrzesz do niego w dwóch kliknięciach ze strony głównej?
5. Wejdź na swoją stronę przez HTTP (np. http://twojastrona.pl) — czy przekierowuje na HTTPS?
6. Otwórz /.well-known/security.txt. Czy istnieje?

Jak pomaga Scanthra

Mapa zgodności Scanthra w raporcie PDF oznacza każde wykrycie artykułem RODO, którego dotyczy (najczęściej Art. 32). Problemy bezpośrednio związane z RODO — brak HTTPS, brak nagłówków bezpieczeństwa, ujawnione dane logowania, brak security.txt — są oznaczane zarówno pod kątem technicznego wpływu, jak i aspektu zgodności z przepisami.

Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. W sprawie wiążącej interpretacji RODO skonsultuj się z kwalifikowanym prawnikiem lub krajowym organem ochrony danych.