Ochrona Danych

RODO w e-commerce: sklepy internetowe 2026

RODO dla sklepów internetowych: zgody, cookies, profilowanie, transfery, kary UODO. Praktyczny przewodnik dla e-commerce 2026.

W jednym zdaniu. E-commerce jest najczęściej sankcjonowanym sektorem przez UODO (28% wszystkich kar w 2025 r.), a kanonicznym precedensem pozostaje sprawa Morele.net (2,8 mln zł) za niedostateczne środki bezpieczeństwa i niezgłoszenie naruszenia w terminie.

Najważniejsze punkty

  • Top sektor enforcement: 28% sumy kar UODO 2025.
  • Klasyczna triada problemów: cookies, bezpieczeństwo, marketing.
  • Newsletter: zgoda + ePrivacy + UŚUDE (ustawa o świadczeniu usług drogą elektroniczną).
  • Profilowanie i rekomendacje: interes uzasadniony + sprzeciw.
  • Płatności online: zakres danych ograniczony (PayU, Przelewy24 jako procesorzy).
  • Transfery do USA: AWS, Shopify, Klaviyo wymagają DPF lub SCC.

1. E-commerce — wielowarstwowa regulacja

E-sklep podlega: RODO + ustawa o świadczeniu usług drogą elektroniczną (z 18 lipca 2002 r.) + ustawa o prawach konsumenta (z 30 maja 2014 r.) + Prawo telekomunikacyjne (cookies) + ustawa o prawach pacjenta (apteki internetowe) + ustawa AML (płatności). Klauzula informacyjna musi obejmować wszystkie warstwy. Pokrewne branże opisuję osobno — handel detaliczny, hotele i gastronomię oraz agencje marketingowe obsługujące sklepy.

2. Czynności przetwarzania w e-commerce

Czynność Cel Podstawa
Konto klienta umożliwienie zakupów umowa
Zakup gościnny jednorazowa transakcja umowa
Faktura obowiązek księgowy obowiązek prawny
Newsletter marketing zgoda
Cookies analityczne analityka zgoda
Cookies marketingowe reklama zgoda
Rekomendacje personalizacja interes uzasadniony / zgoda
Reklamacje obsługa posprzedażowa umowa + obowiązek prawny

3. Newsletter — wymagania pełne

Newsletter wymaga:

  1. Zgoda RODO (art. 6 ust. 1 lit. a) — dobrowolna, granularna.
  2. Zgoda ePrivacy/UŚUDE (art. 10) — na komunikację elektroniczną.
  3. Double opt-in — link aktywacyjny w e-mailu (dowód).
  4. Łatwe wycofanie — link w każdym mailu, jedno kliknięcie.
  5. Klauzula informacyjna — przed checkboxem (link).

Soft opt-in: dla podobnych produktów własnych do istniejących klientów — ostrożnie, sprzeczne interpretacje.

4. Cookies i tracking

Standard rynkowy 2026: CMP (Cookiebot, OneTrust, Iubenda) + Google Consent Mode v2 + lista wszystkich tagów (Meta, TikTok, Pinterest, Google Ads). Brak zgody = brak załadowania tagu. Banner musi mieć równoważne przyciski “Akceptuj” i “Odrzuć” na pierwszym poziomie.

5. Sprawa Morele.net — szczegółowo

Decyzja DKN.5130.2484.2019 z 10 września 2019 r. Mechanizm naruszenia: błąd w systemie autoryzacji rat (przesyłanie hasła w URL), pozwalający na pobranie 2,2 mln rekordów (login, hasło, imię, nazwisko, telefon, dokument tożsamości, dane bankowe). UODO: brak adekwatnych środków bezpieczeństwa (art. 32), niezgłoszenie naruszenia w terminie (33-dniowe opóźnienie). Kara: 2 830 410 zł. WSA utrzymał decyzję (II SA/Wa 2559/19).

6. Sprawa ID Finance Poland

Pożyczki online: konfiguracja ElasticSearch bez uwierzytelnienia, ekspozycja 5 mln rekordów (dane klientów). Kara 1 069 850 zł (DKN.5112.36.2020). Lekcja: dostawca cloud nie zwalnia z odpowiedzialności za bezpieczeństwo. Domyślne ustawienia są niebezpieczne — wymagają konfiguracji security-first.

7. Profilowanie i rekomendacje

Profile zakupowe oparte na historii (algorithm recommendations) — interes uzasadniony z prawem sprzeciwu (art. 21 ust. 2). Profilowanie marketingowe na podstawie zachowań cross-site — zwykle wymaga zgody. AI-driven personalization: DPIA + transparentność algorytmu (motyw 71 RODO).

8. Płatności i procesorzy

Bramki płatnicze (PayU, Przelewy24, Stripe, Tpay) są zwykle procesorami w zakresie pośredniczenia transakcji + administratorami w zakresie zapobiegania oszustwom (PSD2). Wymagana umowa powierzenia. Sklep nie powinien przechowywać danych kart kredytowych (PCI DSS), tylko tokeny od bramki.

9. Transfery do państw trzecich

Typowe transfery e-commerce: Shopify (USA — DPF), Klaviyo (USA — DPF), Mailchimp (USA — DPF), AWS (USA — DPF), Google Analytics (USA — DPF), Meta Pixel (USA — DPF), Cloudflare (USA — DPF). Po DPF (10 lipca 2023 r.) większość problemów Schrems II zostało rozwiązanych dla certyfikowanych dostawców. Weryfikacja certyfikacji: dataprivacyframework.gov. Pełne zasady opisujemy w przewodniku po transferach danych poza EOG.

10. Klauzula informacyjna na stronie

Standard: ikona “RODO” lub link w stopce → “Polityka prywatności”. Treść: administrator, IOD lub kontakt RODO, cele i podstawy (per czynność), kategorie odbiorców (procesorzy, państwa trzecie), retencja, prawa (z opisem), źródło danych (jeśli inne niż osoba), profilowanie i decyzje automatyczne. Język prosty, struktura warstwowa (TL;DR + szczegóły).

11. Reklamacje i prawa konsumentów

RODO + ustawa o prawach konsumenta: dane reklamacji przechowywane do rozliczenia + okres rękojmi (6 lat dla roszczeń wynikających z umowy). Reklamacje rozpatrywane w 30 dni (RODO i UPK). Dane osoby zgłaszającej skargę — minimum konieczne (imię, kontakt, opis), bez nadmiarowych pól.

12. Checklista e-commerce

  • RCP z 8-15 czynnościami.
  • Polityka prywatności + polityka cookies.
  • CMP z log zgody.
  • Newsletter z double opt-in.
  • Klauzule informacyjne na każdym formularzu.
  • Umowy powierzenia z dostawcami SaaS.
  • TOMs zgodne z art. 32 (MFA, szyfrowanie, kopie).
  • Procedura naruszeń 72h.
  • Audyt bezpieczeństwa raz w roku.
  • Szkolenie zespołu min. raz w roku. Zobacz GDPR e-commerce.

13. Sprawy enforcement e-commerce — pełna lista 2020-2025

Podmiot Rok Kwota (PLN) Główny zarzut
Morele.net 2019 2 830 410 brak zabezpieczeń, 33-dniowe opóźnienie zgłoszenia
ID Finance Poland 2020 1 069 850 ekspozycja ElasticSearch, 5 mln rekordów
Cyfrowy Polsat 2023 1 136 975 błędna wysyłka, brak procedur
sklep elektroniki 2024 240 000 zbieranie PESEL przy newsletterze
platforma marketplace 2024 380 000 brak CMP, ładowanie tagów bez zgody
ClickQuickNow 2019 201 559 utrudnione wycofanie zgody
platforma e-commerce 2025 880 000 wyciek bazy klientów u procesora
sklep odzieżowy 2025 320 000 profilowanie bez DPIA

UODO publikuje statystyki kwartalne — w 2025 r. e-commerce odpowiadało za 28% sumy kar (4,06 mln zł z 14,5 mln zł). Średnia kara w sektorze: 270 tys. zł. Najczęstsze podstawy karania: art. 32 (brak zabezpieczeń), art. 7 (wadliwa zgoda), art. 33 (opóźnione zgłoszenie naruszenia), art. 13 (niekompletna klauzula informacyjna), art. 28 (brak umowy powierzenia z procesorem). Patrz Kary UODO 2025.

14. Najczęstsze błędy sklepów internetowych

(1) CMP w trybie “Accept” bez równoważnego “Reject” — sankcjonowane od 2024 r. (2) Ładowanie Google Analytics / Meta Pixel przed uzyskaniem zgody — sztandarowy zarzut UODO. (3) Newsletter bez double opt-in (brak dowodu wyrażenia zgody). (4) Brak umowy powierzenia z dostawcą hosting/SaaS/CRM. (5) Brak transferów w klauzuli informacyjnej (AWS, Shopify, Klaviyo). (6) Polityka prywatności nie aktualizowana po wprowadzeniu nowych narzędzi. (7) Brak DPIA dla rekomendacji algorytmicznych (klasyczne profilowanie na dużą skalę). (8) Soft opt-in na cross-promotion produktów grupowych (niedozwolone). (9) Zbieranie nadmiarowych danych przy rejestracji (data urodzenia, płeć, kod pocztowy bez celu). (10) Brak procedury 72h dla naruszeń. Patrz RODO Art. 32 bezpieczeństwo, Zgłoszenie naruszenia, umowa powierzenia wzór.

FAQ

Czy mogę zbierać PESEL przy zakupie?

Tylko jeśli niezbędny (np. faktura na firmę z NIP, raty bankowe). Standardowy zakup B2C nie wymaga PESEL. Pole nieobowiązkowe = potencjalne naruszenie minimalizacji.

Czy potrzebuję zgody na e-mail z potwierdzeniem zamówienia?

Nie. E-mail transakcyjny (potwierdzenie, status wysyłki, faktura) jest niezbędny do wykonania umowy (art. 6 ust. 1 lit. b). Marketing w tym samym mailu — wymaga zgody.

Co z kontami nieaktywnymi?

Polityka retencji: 12-36 miesięcy od ostatniej aktywności, z poinformowaniem klienta 30 dni przed usunięciem. Faktury archiwizujemy 5 lat (Ordynacja podatkowa), oddzielnie od profilu klienta.

Czy mogę używać Google Analytics 4?

Tak, z CMP + Consent Mode v2 + zgodą użytkownika. Bez zgody — żaden tag nie powinien się załadować. Brak Consent Mode = niezgodność z Google policy + UODO.

Czy retargeting wymaga zgody?

Tak. Retargeting (Meta, Google Ads, Criteo) opiera się na cookies marketingowych i transferach do dostawców reklamowych. Wymaga zgody w banerze cookies + transparentnej informacji w polityce prywatności.

Jakie kary grożą za brak CMP w e-sklepie?

Przeciętna kara za brak prawidłowo działającego banera cookies w polskim e-commerce mieści się w zakresie 50-500 tys. zł, zależnie od skali. Sklep z 100 tys. unikalnych użytkowników miesięcznie ryzykuje 150-300 tys. zł, platforma z 1 mln+ użytkowników — 500 tys. - 1,5 mln zł. UODO i Prezes UKE działają w porozumieniu w kwestii cookies. Banery typu “dark pattern” (przycisk “Akceptuj” duży zielony, “Odrzuć” mały szary) są od 2024 r. systematycznie sankcjonowane na podstawie art. 7 RODO + art. 173 Prawa telekomunikacyjnego.

Czy abandoned cart e-mail wymaga zgody?

Tak. Wysłanie e-maila o pozostawionym koszyku do osoby która nie zakończyła zakupu wymaga zgody na komunikację marketingową (art. 172 Prawa telekomunikacyjnego). Wyjątek: jeśli osoba ma już konto i zaakceptowała wcześniej taki kontakt jako część polityki obsługi klienta. Sztandarowy błąd: traktowanie e-maila zostawionego przy checkoutcie jako podstawy do wysłania ofert promocyjnych. UODO sankcjonował kilka platform za tę praktykę w 2024 r.

Czy dropshipping wymaga umowy powierzenia z dostawcą?

Tak, jeśli dostawca otrzymuje dane klienta końcowego (imię, adres, telefon do dostawy). Umowa powierzenia (art. 28) musi określać kategorie danych, cel (realizacja dostawy), retencję (zwykle do zakończenia gwarancji), środki bezpieczeństwa. Jeśli dostawca znajduje się poza EOG (np. dropshipping z Chin) — wymagany dodatkowo mechanizm transferowy (SCC + TIA). Brak umowy powierzenia był podstawą kary 4,9 mln zł dla Fortum Marketing.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →