W jednym zdaniu. Polityka prywatności to publiczny dokument, w którym administrator realizuje obowiązek informacyjny z art. 13 i 14 RODO wobec użytkowników strony — musi zawierać administratora, cele i podstawy prawne, odbiorców, transfery, okresy retencji, prawa osób oraz zasady cookies zgodne z Prawem komunikacji elektronicznej.
Polityka prywatności to nie ozdobnik w stopce, lecz dokument prawny, który UODO potrafi zweryfikować w kilka minut, porównując deklaracje z rzeczywistym działaniem strony. Poniżej znajdziesz kompletny wzór sekcja po sekcji, z wariantami dla sklepu internetowego i B2B SaaS, oraz listę błędów, które najczęściej wychodzą podczas kontroli. Kluczowa zasada brzmi: polityka ma opisywać to, co naprawdę robisz z danymi — a nie to, co brzmi bezpiecznie.
Najważniejsze punkty
- Polityka prywatności realizuje obowiązek informacyjny z art. 13 i 14 RODO.
- Musi być napisana językiem zwięzłym, przejrzystym i zrozumiałym (art. 12 ust. 1).
- Zasady cookies reguluje dziś Prawo komunikacji elektronicznej (PKE), które zastąpiło art. 173 Prawa telekomunikacyjnego.
- Każdy cel przetwarzania wymaga wskazania odrębnej podstawy prawnej z art. 6.
- Najczęstszy błąd: kopiowanie cudzej polityki i brak realnych okresów retencji.
- Polityka prywatności i polityka cookies mogą być jednym dokumentem lub dwoma — ważna jest kompletność, nie forma.
Struktura wzoru: sekcja po sekcji
Dobra polityka prywatności ma logiczny układ, który prowadzi czytelnika od “kto” do “co możesz z tym zrobić”. Oto sekcje, których pominięcie kończy się niekompletnością:
1. Administrator danych. Pełna nazwa, adres, NIP i dane kontaktowe. Jeśli powołałeś inspektora ochrony danych — jego adres e-mail. To sekcja, w której użytkownik ma jednoznacznie ustalić, kto odpowiada za jego dane.
2. Cele i podstawy prawne. Serce polityki. Dla każdego celu (obsługa zamówień, newsletter, formularz kontaktowy, analityka) wskaż odrębną podstawę z art. 6 RODO: wykonanie umowy (lit. b), obowiązek prawny (lit. c), prawnie uzasadniony interes (lit. f) lub zgoda (lit. a). Ogólnikowe “przetwarzamy dane w celach związanych z działalnością” nie spełnia wymogu przejrzystości.
3. Odbiorcy danych. Kategorie podmiotów, którym udostępniasz dane: dostawca hostingu, operator płatności, firma kurierska, narzędzie do e-mail marketingu, biuro rachunkowe. Nie musisz wymieniać nazw, ale kategorie muszą być konkretne.
4. Transfery poza EOG. Jeśli korzystasz z narzędzi amerykańskich (Google Analytics, Meta Pixel, Mailchimp), dane mogą trafiać poza EOG. Wskaż mechanizm legalizujący — decyzję o adekwatności (Data Privacy Framework) lub standardowe klauzule umowne. Szczegóły omawiam w tekście o transferach danych poza EOG.
5. Okresy przechowywania. Konkretne terminy dla każdego celu: dane zamówienia — 5 lat (ustawa o rachunkowości), newsletter — do wycofania zgody, formularz kontaktowy — czas obsługi sprawy. “Przez czas niezbędny” bez kryterium to czerwona flaga dla kontrolera.
6. Prawa osób. Dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, skarga do Prezesa UODO (uodo.gov.pl). Wskaż, jak z nich skorzystać — kanał kontaktu.
7. Cookies i technologie śledzące. Odrębna, obszerna sekcja — patrz niżej.
Kolejność tych sekcji nie jest przypadkowa. Użytkownik, który wchodzi na politykę, zwykle szuka jednej konkretnej odpowiedzi: “co się dzieje z moim adresem e-mail” albo “czy moje dane trafiają do reklamodawców”. Dokument napisany hermetycznym językiem prawniczym, w którym kluczowa informacja tonie w akapicie o “należytej staranności administratora”, nie spełnia wymogu przejrzystości z art. 12 ust. 1 — nawet jeśli formalnie zawiera wszystkie elementy. Przejrzystość to nie tylko kompletność, ale i czytelność: krótkie akapity, konkretne przykłady, brak żargonu.
Sekcja cookies zgodna z PKE
Od wejścia w życie Prawa komunikacji elektronicznej (PKE) podstawą wymogu zgody na cookies nie jest już art. 173 Prawa telekomunikacyjnego, lecz przepisy PKE. Dla użytkownika i administratora reguła pozostaje jednak zbieżna z RODO: przechowywanie lub odczyt informacji z urządzenia użytkownika (poza cookies ściśle niezbędnymi) wymaga uprzedniej, dobrowolnej zgody.
W polityce opisz kategorie cookies (niezbędne, funkcjonalne, analityczne, marketingowe), cel każdej z nich, okres przechowywania i sposób wycofania zgody. Sama polityka nie zastępuje jednak mechanizmu zbierania zgody — potrzebujesz do tego bannera. Reguły omawiam szerzej w tekstach o zgodzie na pliki cookies oraz o cookies a Prawie telekomunikacyjnym i PKE. Warto zweryfikować aktualne brzmienie przepisów PKE, bo to obszar świeżo znowelizowany.
Warianty: e-commerce i B2B SaaS
Nie ma jednej uniwersalnej polityki — układ zależy od modelu biznesowego.
Sklep internetowy. Dominują cele związane z zamówieniem: realizacja umowy sprzedaży, obsługa płatności i dostawy, rozpatrywanie reklamacji i odstąpień, obsługa konta klienta oraz — za odrębną zgodą — newsletter i remarketing. Retencja podporządkowana jest przepisom podatkowym i terminom przedawnienia roszczeń. Praktyczne aspekty przetwarzania w handlu online opisuję w przewodniku o RODO w e-commerce.
B2B SaaS. Tu polityka dotyczy dwóch warstw: danych użytkowników strony marketingowej (leady, formularze, analityka) oraz danych przetwarzanych w samej aplikacji. Kluczowe jest rozróżnienie ról — wobec danych klientów biznesowych dostawca SaaS jest zwykle procesorem, a warunki reguluje umowa powierzenia, nie polityka prywatności. Polityka na stronie opisuje więc głównie warstwę marketingowo-sprzedażową, a szczegóły przetwarzania w aplikacji trafiają do dokumentacji kierowanej do klienta biznesowego (DPA, opis subprocesorów, informacja o lokalizacji danych). Klient korporacyjny podczas due diligence będzie oczekiwał obu warstw — publicznej polityki i dokumentacji powierzenia — więc rozdzielenie ich od początku porządkuje proces sprzedaży i skraca audyt bezpieczeństwa prowadzony przez dział zakupów kontrahenta.
Trzy błędy, które kosztują
Po pierwsze — kopiowanie cudzej polityki. Skopiowany dokument opisuje procesy, których u Ciebie nie ma, i pomija te, które prowadzisz; to podanie użytkownikowi nieprawdziwych informacji, czyli naruszenie obowiązku z art. 13. Po drugie — brak realnych okresów retencji, zastępowany formułami-wydmuszkami. Po trzecie — rozjazd między polityką a rzeczywistością: polityka mówi o Google Analytics, którego już nie używasz, albo milczy o pikselu Meta, który działa. Kontroler zestawia deklarację z kodem strony w kilka minut, a rozbieżność między nimi jest jednym z najłatwiej wykazywalnych naruszeń — nie wymaga analizy wewnętrznych procesów, wystarczy otworzyć zakładkę z narzędziami deweloperskimi przeglądarki.
Warto też pamiętać, że polityka prywatności jest dokumentem żywym. Zmiana dostawcy hostingu, dodanie płatności ratalnych, wdrożenie chatbota, nowe narzędzie analityczne — każda z tych zmian technicznych ma odzwierciedlenie w tym, kto przetwarza dane i na jakiej podstawie. Polityka, której nie aktualizowano od wdrożenia w 2018 r., niemal na pewno nie opisuje już rzeczywistości. Dobrą praktyką jest przegląd polityki przy każdej istotnej zmianie w architekturze strony oraz co najmniej raz w roku, z odnotowaniem daty ostatniej aktualizacji w samym dokumencie.
Utrzymanie polityki w zgodzie z rzeczywistością wymaga, by wynikała z tego samego źródła co rejestr czynności przetwarzania — gdy zmienia się cel lub dostawca, oba dokumenty muszą się zaktualizować razem. Platformy takie jak Legiscope generują politykę z danych rejestru, więc jedna zmiana propaguje się spójnie, zamiast żyć własnym życiem w edytorze tekstu.
FAQ
Czy polityka prywatności jest obowiązkowa dla każdej strony?
Praktycznie tak — jeśli strona zbiera jakiekolwiek dane osobowe (formularz, konto, analityka, cookies), administrator ma obowiązek informacyjny z art. 13/14 RODO, a polityka prywatności jest standardowym sposobem jego realizacji. Nawet prosta strona wizytówka z formularzem kontaktowym potrzebuje polityki.
Czy polityka prywatności i polityka cookies to ten sam dokument?
Mogą być jednym dokumentem lub dwoma osobnymi — RODO ani PKE tego nie przesądzają. Ważne, by łącznie zawierały wszystkie wymagane informacje: o przetwarzaniu danych (RODO) oraz o cookies i zgodzie (PKE). Rozdzielenie bywa czytelniejsze dla użytkownika, bo zasady cookies zwykle wymagają częstszej aktualizacji niż reszta polityki.
Czy mogę użyć generatora polityki prywatności?
Generator to punkt wyjścia, nie gotowy dokument. Wygenerowaną politykę musisz dostosować do realnych celów, podstaw, dostawców i okresów retencji — inaczej powielisz błąd kopiowania cudzej treści. Generator nie wie, jakich narzędzi używasz, z kim współpracujesz ani jak długo faktycznie trzymasz dane.
Źródła: RODO w EUR-Lex (CELEX 32016R0679) · UODO · EDPB — wytyczne dot. przejrzystości
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial