W jednym zdaniu. E-commerce jest najczęściej sankcjonowanym sektorem przez UODO (28% wszystkich kar w 2025 r.), a kanonicznym precedensem pozostaje sprawa Morele.net (2,8 mln zł) za niedostateczne środki bezpieczeństwa i niezgłoszenie naruszenia w terminie.
Najważniejsze punkty
- Top sektor enforcement: 28% sumy kar UODO 2025.
- Klasyczna triada problemów: cookies, bezpieczeństwo, marketing.
- Newsletter: zgoda + ePrivacy + UŚUDE (ustawa o świadczeniu usług drogą elektroniczną).
- Profilowanie i rekomendacje: interes uzasadniony + sprzeciw.
- Płatności online: zakres danych ograniczony (PayU, Przelewy24 jako procesorzy).
- Transfery do USA: AWS, Shopify, Klaviyo wymagają DPF lub SCC.
1. E-commerce — wielowarstwowa regulacja
E-sklep podlega: RODO + ustawa o świadczeniu usług drogą elektroniczną (z 18 lipca 2002 r.) + ustawa o prawach konsumenta (z 30 maja 2014 r.) + Prawo telekomunikacyjne (cookies) + ustawa o prawach pacjenta (apteki internetowe) + ustawa AML (płatności). Klauzula informacyjna musi obejmować wszystkie warstwy. Pokrewne branże opisuję osobno — handel detaliczny, hotele i gastronomię oraz agencje marketingowe obsługujące sklepy.
2. Czynności przetwarzania w e-commerce
| Czynność | Cel | Podstawa |
|---|---|---|
| Konto klienta | umożliwienie zakupów | umowa |
| Zakup gościnny | jednorazowa transakcja | umowa |
| Faktura | obowiązek księgowy | obowiązek prawny |
| Newsletter | marketing | zgoda |
| Cookies analityczne | analityka | zgoda |
| Cookies marketingowe | reklama | zgoda |
| Rekomendacje | personalizacja | interes uzasadniony / zgoda |
| Reklamacje | obsługa posprzedażowa | umowa + obowiązek prawny |
3. Newsletter — wymagania pełne
Newsletter wymaga:
- Zgoda RODO (art. 6 ust. 1 lit. a) — dobrowolna, granularna.
- Zgoda ePrivacy/UŚUDE (art. 10) — na komunikację elektroniczną.
- Double opt-in — link aktywacyjny w e-mailu (dowód).
- Łatwe wycofanie — link w każdym mailu, jedno kliknięcie.
- Klauzula informacyjna — przed checkboxem (link).
Soft opt-in: dla podobnych produktów własnych do istniejących klientów — ostrożnie, sprzeczne interpretacje.
4. Cookies i tracking
Standard rynkowy 2026: CMP (Cookiebot, OneTrust, Iubenda) + Google Consent Mode v2 + lista wszystkich tagów (Meta, TikTok, Pinterest, Google Ads). Brak zgody = brak załadowania tagu. Banner musi mieć równoważne przyciski “Akceptuj” i “Odrzuć” na pierwszym poziomie.
5. Sprawa Morele.net — szczegółowo
Decyzja DKN.5130.2484.2019 z 10 września 2019 r. Mechanizm naruszenia: błąd w systemie autoryzacji rat (przesyłanie hasła w URL), pozwalający na pobranie 2,2 mln rekordów (login, hasło, imię, nazwisko, telefon, dokument tożsamości, dane bankowe). UODO: brak adekwatnych środków bezpieczeństwa (art. 32), niezgłoszenie naruszenia w terminie (33-dniowe opóźnienie). Kara: 2 830 410 zł. WSA utrzymał decyzję (II SA/Wa 2559/19).
6. Sprawa ID Finance Poland
Pożyczki online: konfiguracja ElasticSearch bez uwierzytelnienia, ekspozycja 5 mln rekordów (dane klientów). Kara 1 069 850 zł (DKN.5112.36.2020). Lekcja: dostawca cloud nie zwalnia z odpowiedzialności za bezpieczeństwo. Domyślne ustawienia są niebezpieczne — wymagają konfiguracji security-first.
7. Profilowanie i rekomendacje
Profile zakupowe oparte na historii (algorithm recommendations) — interes uzasadniony z prawem sprzeciwu (art. 21 ust. 2). Profilowanie marketingowe na podstawie zachowań cross-site — zwykle wymaga zgody. AI-driven personalization: DPIA + transparentność algorytmu (motyw 71 RODO).
8. Płatności i procesorzy
Bramki płatnicze (PayU, Przelewy24, Stripe, Tpay) są zwykle procesorami w zakresie pośredniczenia transakcji + administratorami w zakresie zapobiegania oszustwom (PSD2). Wymagana umowa powierzenia. Sklep nie powinien przechowywać danych kart kredytowych (PCI DSS), tylko tokeny od bramki.
9. Transfery do państw trzecich
Typowe transfery e-commerce: Shopify (USA — DPF), Klaviyo (USA — DPF), Mailchimp (USA — DPF), AWS (USA — DPF), Google Analytics (USA — DPF), Meta Pixel (USA — DPF), Cloudflare (USA — DPF). Po DPF (10 lipca 2023 r.) większość problemów Schrems II zostało rozwiązanych dla certyfikowanych dostawców. Weryfikacja certyfikacji: dataprivacyframework.gov. Pełne zasady opisujemy w przewodniku po transferach danych poza EOG.
10. Klauzula informacyjna na stronie
Standard: ikona “RODO” lub link w stopce → “Polityka prywatności”. Treść: administrator, IOD lub kontakt RODO, cele i podstawy (per czynność), kategorie odbiorców (procesorzy, państwa trzecie), retencja, prawa (z opisem), źródło danych (jeśli inne niż osoba), profilowanie i decyzje automatyczne. Język prosty, struktura warstwowa (TL;DR + szczegóły).
11. Reklamacje i prawa konsumentów
RODO + ustawa o prawach konsumenta: dane reklamacji przechowywane do rozliczenia + okres rękojmi (6 lat dla roszczeń wynikających z umowy). Reklamacje rozpatrywane w 30 dni (RODO i UPK). Dane osoby zgłaszającej skargę — minimum konieczne (imię, kontakt, opis), bez nadmiarowych pól.
12. Checklista e-commerce
- RCP z 8-15 czynnościami.
- Polityka prywatności + polityka cookies.
- CMP z log zgody.
- Newsletter z double opt-in.
- Klauzule informacyjne na każdym formularzu.
- Umowy powierzenia z dostawcami SaaS.
- TOMs zgodne z art. 32 (MFA, szyfrowanie, kopie).
- Procedura naruszeń 72h.
- Audyt bezpieczeństwa raz w roku.
- Szkolenie zespołu min. raz w roku. Zobacz GDPR e-commerce.
13. Sprawy enforcement e-commerce — pełna lista 2020-2025
| Podmiot | Rok | Kwota (PLN) | Główny zarzut |
|---|---|---|---|
| Morele.net | 2019 | 2 830 410 | brak zabezpieczeń, 33-dniowe opóźnienie zgłoszenia |
| ID Finance Poland | 2020 | 1 069 850 | ekspozycja ElasticSearch, 5 mln rekordów |
| Cyfrowy Polsat | 2023 | 1 136 975 | błędna wysyłka, brak procedur |
| sklep elektroniki | 2024 | 240 000 | zbieranie PESEL przy newsletterze |
| platforma marketplace | 2024 | 380 000 | brak CMP, ładowanie tagów bez zgody |
| ClickQuickNow | 2019 | 201 559 | utrudnione wycofanie zgody |
| platforma e-commerce | 2025 | 880 000 | wyciek bazy klientów u procesora |
| sklep odzieżowy | 2025 | 320 000 | profilowanie bez DPIA |
UODO publikuje statystyki kwartalne — w 2025 r. e-commerce odpowiadało za 28% sumy kar (4,06 mln zł z 14,5 mln zł). Średnia kara w sektorze: 270 tys. zł. Najczęstsze podstawy karania: art. 32 (brak zabezpieczeń), art. 7 (wadliwa zgoda), art. 33 (opóźnione zgłoszenie naruszenia), art. 13 (niekompletna klauzula informacyjna), art. 28 (brak umowy powierzenia z procesorem). Patrz Kary UODO 2025.
14. Najczęstsze błędy sklepów internetowych
(1) CMP w trybie “Accept” bez równoważnego “Reject” — sankcjonowane od 2024 r. (2) Ładowanie Google Analytics / Meta Pixel przed uzyskaniem zgody — sztandarowy zarzut UODO. (3) Newsletter bez double opt-in (brak dowodu wyrażenia zgody). (4) Brak umowy powierzenia z dostawcą hosting/SaaS/CRM. (5) Brak transferów w klauzuli informacyjnej (AWS, Shopify, Klaviyo). (6) Polityka prywatności nie aktualizowana po wprowadzeniu nowych narzędzi. (7) Brak DPIA dla rekomendacji algorytmicznych (klasyczne profilowanie na dużą skalę). (8) Soft opt-in na cross-promotion produktów grupowych (niedozwolone). (9) Zbieranie nadmiarowych danych przy rejestracji (data urodzenia, płeć, kod pocztowy bez celu). (10) Brak procedury 72h dla naruszeń. Patrz RODO Art. 32 bezpieczeństwo, Zgłoszenie naruszenia, umowa powierzenia wzór.
FAQ
Czy mogę zbierać PESEL przy zakupie?
Tylko jeśli niezbędny (np. faktura na firmę z NIP, raty bankowe). Standardowy zakup B2C nie wymaga PESEL. Pole nieobowiązkowe = potencjalne naruszenie minimalizacji.
Czy potrzebuję zgody na e-mail z potwierdzeniem zamówienia?
Nie. E-mail transakcyjny (potwierdzenie, status wysyłki, faktura) jest niezbędny do wykonania umowy (art. 6 ust. 1 lit. b). Marketing w tym samym mailu — wymaga zgody.
Co z kontami nieaktywnymi?
Polityka retencji: 12-36 miesięcy od ostatniej aktywności, z poinformowaniem klienta 30 dni przed usunięciem. Faktury archiwizujemy 5 lat (Ordynacja podatkowa), oddzielnie od profilu klienta.
Czy mogę używać Google Analytics 4?
Tak, z CMP + Consent Mode v2 + zgodą użytkownika. Bez zgody — żaden tag nie powinien się załadować. Brak Consent Mode = niezgodność z Google policy + UODO.
Czy retargeting wymaga zgody?
Tak. Retargeting (Meta, Google Ads, Criteo) opiera się na cookies marketingowych i transferach do dostawców reklamowych. Wymaga zgody w banerze cookies + transparentnej informacji w polityce prywatności.
Jakie kary grożą za brak CMP w e-sklepie?
Przeciętna kara za brak prawidłowo działającego banera cookies w polskim e-commerce mieści się w zakresie 50-500 tys. zł, zależnie od skali. Sklep z 100 tys. unikalnych użytkowników miesięcznie ryzykuje 150-300 tys. zł, platforma z 1 mln+ użytkowników — 500 tys. - 1,5 mln zł. UODO i Prezes UKE działają w porozumieniu w kwestii cookies. Banery typu “dark pattern” (przycisk “Akceptuj” duży zielony, “Odrzuć” mały szary) są od 2024 r. systematycznie sankcjonowane na podstawie art. 7 RODO + art. 173 Prawa telekomunikacyjnego.
Czy abandoned cart e-mail wymaga zgody?
Tak. Wysłanie e-maila o pozostawionym koszyku do osoby która nie zakończyła zakupu wymaga zgody na komunikację marketingową (art. 172 Prawa telekomunikacyjnego). Wyjątek: jeśli osoba ma już konto i zaakceptowała wcześniej taki kontakt jako część polityki obsługi klienta. Sztandarowy błąd: traktowanie e-maila zostawionego przy checkoutcie jako podstawy do wysłania ofert promocyjnych. UODO sankcjonował kilka platform za tę praktykę w 2024 r.
Czy dropshipping wymaga umowy powierzenia z dostawcą?
Tak, jeśli dostawca otrzymuje dane klienta końcowego (imię, adres, telefon do dostawy). Umowa powierzenia (art. 28) musi określać kategorie danych, cel (realizacja dostawy), retencję (zwykle do zakończenia gwarancji), środki bezpieczeństwa. Jeśli dostawca znajduje się poza EOG (np. dropshipping z Chin) — wymagany dodatkowo mechanizm transferowy (SCC + TIA). Brak umowy powierzenia był podstawą kary 4,9 mln zł dla Fortum Marketing.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial