Prowadzenie sklepu internetowego nieodłącznie wiąże się z przetwarzaniem danych osobowych klientów — od złożenia zamówienia, przez płatność i dostawę, aż po ewentualne reklamacje i działania marketingowe. Każdy z tych etapów to osobna czynność przetwarzania, wymagająca odpowiedniej podstawy prawnej, klauzuli informacyjnej i często osobnej zgody.

RODO w sklepie internetowym to jeden z tych obszarów, gdzie brak zgodności jest stosunkowo łatwy do wykrycia — zarówno przez UODO, jak i przez samych klientów. Organy nadzorcze coraz częściej kontrolują sklepy online i nakładają kary nie tylko za wycieki danych, ale za błędne banery cookies, brak możliwości wycofania zgody marketingowej czy nieaktualne polityki prywatności.

W tym artykule omawiamy wszystkie kluczowe obowiązki RODO właściciela sklepu internetowego — praktycznie i bez zbędnego żargonu.

Jakie dane osobowe przetwarza sklep internetowy

Zanim przejdziemy do konkretnych obowiązków, warto zidentyfikować, jakie dane sklep faktycznie przetwarza. To punkt wyjścia do całej dokumentacji RODO.

Typowy sklep internetowy przetwarza dane w co najmniej kilku obszarach:

Realizacja zamówień — imię, nazwisko, adres dostawy, adres e-mail, numer telefonu, dane do faktury (w tym NIP w przypadku firm).

Płatności — dane niezbędne do obsługi transakcji, przekazywane operatorom płatności. Sklep zazwyczaj nie przechowuje danych kart — robi to operator płatności jako odrębny administrator lub podmiot przetwarzający.

Konto klienta — historia zamówień, zapisane adresy, preferencje. Dane są przetwarzane tak długo, jak konto istnieje i przez wymagany okres po jego usunięciu.

Newsletter i marketing — adres e-mail, imię, historia zakupów (przy profilowaniu). Wymaga odrębnej zgody.

Analityka i cookies — adres IP, dane o sesji, zachowanie użytkownika na stronie. Wymaga prawidłowego banera cookies.

Reklamacje i zwroty — dane z korespondencji, informacje o produkcie, dane bankowe do zwrotu środków.

Dostawcy i kurierzy — dane klientów przekazywane firmom kurierskim w celu realizacji dostawy.

Każdy z tych obszarów to odrębna czynność przetwarzania z własną podstawą prawną i okresem retencji.

Polityka prywatności — obowiązek informacyjny wobec klientów

Polityka prywatności to nie dokument dla prawników — to narzędzie informowania klientów o tym, co dzieje się z ich danymi. Zgodnie z RODO każdy klient musi zostać poinformowany o przetwarzaniu jego danych przed ich zebraniem lub w momencie ich zbierania.

Polityka prywatności sklepu internetowego musi zawierać:

• dane administratora (nazwa, adres, dane kontaktowe),
• dane kontaktowe IOD — jeśli sklep go wyznaczył,
• cele i podstawy prawne przetwarzania dla każdej kategorii danych,
• informacje o odbiorcach danych (firmy kurierskie, operatorzy płatności, systemy mailingowe),
• informacje o transferach danych poza EOG (np. narzędzia amerykańskie),
• okresy przechowywania danych,
• prawa klientów (dostęp, sprostowanie, usunięcie, sprzeciw, przenoszenie),
• prawo wniesienia skargi do UODO,
• informację o cookies i profilowaniu.

Najczęstszy błąd: skopiowany szablon, który opisuje narzędzia nieużywane przez sklep albo nie wymienia tych, które faktycznie działają. Polityka prywatności musi być dopasowana do konkretnego sklepu.

Podstawy prawne przetwarzania danych w e-commerce

Właściciel sklepu musi dla każdej czynności przetwarzania określić właściwą podstawę prawną. W e-commerce najczęściej stosowane są trzy:

Wykonanie umowy (art. 6 ust. 1 lit. b) — dane niezbędne do realizacji zamówienia: adres dostawy, dane do faktury, informacje potrzebne do obsługi płatności i zwrotów. Nie wymaga osobnej zgody.

Obowiązek prawny (art. 6 ust. 1 lit. c) — dane wymagane przez prawo: wystawianie i archiwizowanie faktur przez 5 lat, dane do rozliczeń podatkowych.

Uzasadniony interes (art. 6 ust. 1 lit. f) — marketing bezpośredni do istniejących klientów (z zachowaniem prawa do sprzeciwu), dochodzenie roszczeń, analiza fraudów i bezpieczeństwo transakcji.

Zgoda (art. 6 ust. 1 lit. a) — newsletter dla nowych subskrybentów, cookies analityczne i marketingowe, profilowanie w celach reklamowych.

Błąd polegający na zbieraniu zgody na wszystko — w tym na realizację zamówienia — jest jednym z najczęstszych w e-commerce. Zgoda na przetwarzanie danych w celu realizacji zamówienia jest nieważna, bo osoba nie ma realnego wyboru: bez podania adresu zamówienie nie może być zrealizowane.

Cookies w sklepie internetowym — baner i zarządzanie zgodami

Sklep internetowy używa cookies niemal zawsze — do sesji koszyka, analityki (Google Analytics, Hotjar), remarketingu (Meta Pixel, Google Ads) i systemów rekomendacji produktów.

Cookies niezbędne (sesja, koszyk, logowanie) nie wymagają zgody. Wszystkie pozostałe — analityczne, marketingowe, profilujące — wymagają aktywnej, dobrowolnej zgody użytkownika przed ich uruchomieniem.

Prawidłowy baner cookies w sklepie internetowym musi:

• oferować równorzędną opcję akceptacji i odrzucenia,
• nie uruchamiać skryptów śledzących przed udzieleniem zgody,
• umożliwiać granularny wybór kategorii cookies,
• pozwalać na wycofanie zgody w każdej chwili.

UODO nałożył w 2024 roku kary na sklepy e-commerce za banery, które oferowały tylko przycisk „Akceptuj” bez możliwości odmowy. Szczegóły prawidłowej implementacji znajdziesz w artykule o banerze cookies RODO.

Newsletter i marketing — zgoda i jej dokumentowanie

Marketing e-mailowy w sklepie internetowym to obszar wymagający szczególnej uwagi, bo nakładają się tu przepisy RODO i Prawa komunikacji elektronicznej (PKE).

Dla nowych subskrybentów — osób, które nie są jeszcze klientami sklepu — wymagana jest wyraźna zgoda na komunikację marketingową. Checkbox musi być:

• odznaczony domyślnie (brak pre-checkboxa),
• oddzielony od zgody na regulamin i politykę prywatności,
• opisany jednoznacznie (co konkretnie subskrybent będzie otrzymywał),
• możliwy do wycofania w każdym mailu przez link „wypisz się”.

Dla istniejących klientów, którzy dokonali zakupu podobnych produktów, sklep może wysyłać marketing na podstawie uzasadnionego interesu — ale musi poinformować ich o tej podstawie i zapewnić łatwy sprzeciw.

Zgody marketingowe muszą być dokumentowane: kiedy zostały udzielone, przez kogo, w jakiej wersji formularza i na co dokładnie.

Umowy powierzenia przetwarzania danych

Sklep internetowy korzysta z dziesiątek zewnętrznych narzędzi i dostawców, którym przekazuje dane klientów. Każdy z nich, jeśli przetwarza dane w imieniu sklepu, jest podmiotem przetwarzającym wymagającym umowy powierzenia.

Typowi odbiorcy danych wymagający umów powierzenia w e-commerce:

• platforma e-commerce (Shoper, WooCommerce na hostingu zewnętrznym, Shopify),
• operator hostingu i serwer,
• system mailingowy (Mailchimp, GetResponse, Freshmail),
• operator płatności (Przelewy24, Stripe, PayU) — w zależności od modelu,
• system CRM i obsługi klienta,
• firma kurierska — jeśli sklep przekazuje dane w imieniu klienta,
• system analityczny (jeśli przetwarza dane identyfikowalne),
• biuro rachunkowe obsługujące sklep.

Brak umów powierzenia z dostawcami to naruszenie art. 28 RODO — i jeden z obszarów regularnie sprawdzanych podczas kontroli UODO.

Retencja danych — jak długo przechowywać dane klientów

Jednym z najczęstszych błędów w sklepach internetowych jest przechowywanie danych klientów bezterminowo. RODO wymaga, aby dane były usuwane po ustaniu celu, dla którego zostały zebrane.

Orientacyjne okresy retencji dla e-commerce:

• dane z zamówień (dla celów podatkowych i reklamacyjnych) — 5 lat od zakończenia roku podatkowego,
• faktury — 5 lat zgodnie z ordynacją podatkową,
• dane konta klienta — przez czas trwania konta, a po jego usunięciu przez okres przedawnienia roszczeń (zazwyczaj 3-6 lat),
• dane z newslettera — do czasu wycofania zgody,
• dane z formularzy kontaktowych — do czasu obsługi sprawy plus okres przedawnienia roszczeń.

Szczegółowe zasady i narzędzia do zarządzania retencją omówione są w artykule o retencji danych osobowych.

Naruszenia ochrony danych w sklepie internetowym — co robić

Sklepy internetowe są częstym celem ataków — wycieki baz danych klientów, phishing, nieautoryzowany dostęp do kont użytkowników. Każde zdarzenie, które prowadzi do przypadkowego lub niezgodnego z prawem ujawnienia danych osobowych, może być naruszeniem ochrony danych wymagającym zgłoszenia.

Jeśli naruszenie może powodować ryzyko naruszenia praw lub wolności klientów — sklep ma 72 godziny na zgłoszenie go do UODO. Jeśli ryzyko jest wysokie — musi również poinformować osoby, których dane dotyczą.

Sklep powinien mieć wdrożoną procedurę obsługi incydentów: kto ocenia zdarzenie, kto podejmuje decyzję o zgłoszeniu, jak dokumentować przebieg działań.

Rejestr czynności przetwarzania dla sklepu internetowego

Każdy sklep internetowy, który przetwarza dane regularnie (a każdy to robi), powinien prowadzić rejestr czynności przetwarzania. Formalny obowiązek dotyczy podmiotów zatrudniających powyżej 250 osób, ale w praktyce każdy sklep powinien go prowadzić — bo bez rejestru nie można wykazać zgodności z RODO podczas kontroli.

Typowe czynności przetwarzania w rejestrze sklepu internetowego:

• realizacja zamówień,
• obsługa płatności,
• obsługa reklamacji i zwrotów,
• prowadzenie kont klientów,
• wysyłka newslettera,
• remarketing i profilowanie,
• analityka strony,
• archiwizacja faktur,
• obsługa zapytań przez formularz kontaktowy.

Podsumowanie

RODO w sklepie internetowym to nie jednorazowe wdrożenie — to bieżące zarządzanie dokumentacją, zgodami, umowami i reakcja na incydenty. Właściciel sklepu jako administrator danych odpowiada za cały łańcuch przetwarzania — od formularza zamówienia przez systemy zewnętrzne aż po firmy kurierskie.

Kluczowe obowiązki w pigułce:

• polityka prywatności dopasowana do faktycznych procesów sklepu,
• prawidłowy baner cookies z równorzędną opcją odmowy,
• oddzielna zgoda na marketing — bez pre-checkedbox,
• umowy powierzenia z wszystkimi dostawcami przetwarzającymi dane,
• rejestr czynności przetwarzania obejmujący wszystkie procesy,
• procedura obsługi naruszeń z 72-godzinnym oknem zgłoszenia,
• retencja danych zgodna z celami przetwarzania.