Checklist RODO dla sklepu internetowego — 12 punktów do odhaczenia przed startem

Po co sklepowi checklist RODO

RODO to nie jeden dokument, lecz zestaw obowiązków rozłożonych na kilka procesów: informowanie, dokumentowanie, zabezpieczanie i obsługę praw klientów. Łatwo o jeden zadbać i zapomnieć o trzech innych. Poniższa lista kontrolna pomoże uporządkować, co naprawdę musi mieć sklep internetowy zgodny z RODO.

Potraktuj ją jako punkt wyjścia — zakres zależy od skali działalności i używanych narzędzi.

1. Polityka prywatności na stronie

Każdy sklep przetwarzający dane (a robi to każdy) musi mieć politykę prywatności wypełniającą obowiązek informacyjny z art. 13 RODO. Powinna być osobnym, łatwo dostępnym dokumentem — nie ukrytym fragmentem regulaminu. Szczegóły opisaliśmy we wpisie o polityce prywatności RODO dla sklepu.

2. Klauzule informacyjne przy każdym formularzu

Polityka prywatności to nie wszystko. Przy każdym punkcie zbierania danych (formularz kontaktowy, zapis na newsletter, checkout, rekrutacja) powinna pojawić się klauzula informacyjna. O tym, co musi zawierać, przeczytasz w artykule o klauzuli informacyjnej art. 13 RODO.

3. Określone podstawy prawne przetwarzania

Dla każdego celu przetwarzania musisz wskazać podstawę z art. 6 ust. 1 RODO:

• realizacja zamówienia → lit. b (umowa),
• wystawienie faktury i obowiązki podatkowe → lit. c (obowiązek prawny),
• marketing własny do klientów → lit. f (uzasadniony interes),
• newsletter do nowych subskrybentów → lit. a (zgoda).

Sam cel bez podstawy prawnej to typowy błąd kontrolowany przez UODO.

4. Zgody — dobrowolne, konkretne, jednoznaczne

Tam, gdzie podstawą jest zgoda (newsletter, część cookies marketingowych), musi być ona aktywna i niewymuszona — żadnych pre-zaznaczonych checkboxów. Zasady opisaliśmy w tekście o zgodzie marketingowej i newsletterze. Gotowe wzory znajdziesz w kategorii Zgody RODO.

5. Banner cookies i polityka cookies

Jeśli używasz Google Analytics, Meta Pixel czy remarketingu, potrzebujesz bannera zgody i polityki cookies. Skrypty marketingowe nie mogą ładować się przed zgodą. Więcej w artykule o cookies i bannerze RODO.

6. Umowy powierzenia (DPA) z każdym procesorem

Hosting, operator płatności, kurier, system mailingowy, biuro księgowe — każdy podmiot przetwarzający dane w Twoim imieniu wymaga umowy powierzenia na podstawie art. 28 RODO. Bez niej przekazywanie danych jest nielegalne. Szczegóły w tekście o umowie powierzenia DPA, wzory w kategorii Umowy powierzenia.

7. Rejestr czynności przetwarzania (RCP)

Większość administratorów powinna prowadzić rejestr czynności przetwarzania (art. 30 RODO). To dokument wewnętrzny — nie publikujesz go, ale musisz mieć na żądanie UODO. Powinien wymieniać cele, kategorie danych, odbiorców i transfery poza EOG.

8. Procedura retencji i usuwania danych

RODO wymaga, by dane nie były przechowywane dłużej niż to konieczne. Ustal okresy: dane zamówień zwykle do upływu przedawnienia roszczeń, dane księgowe zgodnie z przepisami podatkowymi, dane marketingowe do wycofania zgody. Pomocna jest gotowa procedura retencji i usuwania danych z kategorii Procedury RODO.

9. Procedura na wypadek naruszenia ochrony danych

Wyciek lub utrata danych to naruszenie, które często trzeba zgłosić do UODO w ciągu 72 godzin. Musisz wiedzieć z góry, jak reagować. O obowiązku zgłoszenia piszemy w osobnym artykule o naruszeniu ochrony danych i zgłoszeniu do UODO.

10. Obsługa praw osób, których dane dotyczą

Klient może żądać dostępu do danych, sprostowania, usunięcia, ograniczenia, przeniesienia lub wnieść sprzeciw. Potrzebujesz prostej ścieżki obsługi takich żądań i terminu odpowiedzi (co do zasady miesiąc). Brak reakcji to częsty powód skarg do UODO.

11. Transfery poza EOG

Korzystasz z narzędzi USA (Google, Meta, Mailchimp, Stripe)? Sprawdź, czy transfer danych poza Europejski Obszar Gospodarczy jest oparty na odpowiednim mechanizmie (np. standardowe klauzule umowne) i czy informujesz o nim w polityce prywatności.

12. Zabezpieczenia techniczne i organizacyjne

RODO wymaga adekwatnych środków bezpieczeństwa: szyfrowanie połączenia (HTTPS), kontrola dostępu do panelu, kopie zapasowe, aktualizacje, upoważnienia dla pracowników. To nie tylko dokumenty — to realna ochrona danych.

Szybkie podsumowanie — odhacz przed startem

• [ ] Polityka prywatności jako osobny dokument
• [ ] Klauzule informacyjne przy formularzach
• [ ] Podstawy prawne dla każdego celu
• [ ] Prawidłowo zebrane zgody
• [ ] Banner i polityka cookies
• [ ] Umowy powierzenia z procesorami
• [ ] Rejestr czynności przetwarzania
• [ ] Procedura retencji danych
• [ ] Procedura na wypadek naruszenia
• [ ] Ścieżka obsługi praw klientów
• [ ] Mechanizm transferu poza EOG
• [ ] Zabezpieczenia techniczne i organizacyjne

Komplet dokumentów RODO i regulaminowych dla sklepu znajdziesz w katalogu gotowych pism — m.in. w kategoriach Regulaminy sklepu i Klauzule RODO. Dla nietypowej działalności sprawdź indywidualny regulamin.

Powyższa lista to ogólny poradnik, a nie indywidualny audyt zgodności — zakres obowiązków zależy od konkretnego sklepu.