Unia Europejska Integracja MarketplaceUnia Europejska Pakiety E-CommerceUnia Europejska Strona FirmowaUnia Europejska Oprogramowanie na ZamówienieUnia Europejska Założenie FirmyUnia Europejska Centrum FulfillmentUnia Europejska Magazynowanie ProduktówUnia Europejska Tworzenie Aplikacji Mobilnych
Zaloguj się
Europa · E-Commerce

Kompletny przewodnik RODO 2026 dla e-commerce: Rozporządzenie 2016/679, zgoda cookie TCF v2.2, kryteria IOD, prawa osób, zgłoszenie 72h, kary 20 mln €/4%.

🇪🇺 Kompletny przewodnik zgodności z RODO w UE — edycja 2026

Zgodność z RODO w e-commerce 2026: Kompletny przewodnik dla sprzedawców internetowych z UE

Osiem lat po wejściu w życie RODO 25 maja 2018 r., Rozporządzenie (UE) 2016/679 pozostaje najsurowszym i najbardziej egzekwowanym prawem o ochronie prywatności na świecie — i pojedynczą największą pozycją zgodności dla każdego sprzedawcy e-commerce w UE. Krajowe organy nadzorcze nałożyły do 2026 r. ponad 5,5 mld euro łącznych kar, przy czym pojedyncze kary sięgały 1,2 mld euro. Ten przewodnik omawia dziesięć rzeczy, które każdy sprzedawca internetowy w UE musi mieć poprawnie ustawione w 2026 r.: framework zgody na pliki cookie TCF v2.2, zgodną z art. 13 informację o przetwarzaniu danych, kiedy potrzebny jest IOD, osiem praw osób, których dane dotyczą, licznik 72-godzinnego zgłaszania naruszeń, standardowe klauzule umowne po wyroku Schrems II, wpływ nadchodzącego rozporządzenia ePrivacy, kary do 20 mln euro lub 4% globalnego obrotu, oraz 12-punktową listę kontrolną RODO, która wpisuje się w codzienną pracę prowadzenia katalogu obejmującego wiele marketplace'ów.

✓ Rozporządzenie 2016/679 uwzględnione ✓ Zgoda na pliki cookie TCF v2.2 ✓ Schrems II + SCC 2021 ✓ Krajowe organy nadzorcze (CNIL, AEPD, Garante, BfDI)
zunapro.com/panel/eu/gdpr
GDPR Hub Zgodne
Pokrycie organów 30/30 EOG
Otwarte żądania
14
↓ 22% m/m
Śr. SLA
6,4 dnia
poniżej 30 dni
Pliki cookie
TCF 2.2
✓ aktywne
Ostatnie 7 dni · Żądania osób, których dane dotyczą 42 zamknięte↑ 31%
PonWtŚrCzwPtSobDziś
Ostatnie zgłoszenia DSR Na żywo
#DSR-58271 Art. 15 — Żądanie dostępu (FR) W trakcie weryfikacji
#DSR-58270 Art. 17 — Usunięcie (DE) Oczekujące
#DSR-58269 Art. 20 — Przenoszenie (ES) Zamknięte
Synchronizacja prywatności aktywna · ostatni audyt 2 s temu · SCC + TIA gotowe
5,5 mld €+
Łączne kary RODO (do 2026 r.)
1,2 mld €
Najwyższa pojedyncza kara (Meta IE 2023)
72h
Licznik zgłaszania naruszeń (art. 33)
20 mln € / 4%
Maks. kara — 20 mln € lub 4% globalnego obrotu

RODO w UE dla e-commerce 2026 — Szybkie podsumowanie

Ogólne rozporządzenie o ochronie danych, Rozporządzenie (UE) 2016/679, ma bezpośrednie zastosowanie w całej UE od 25 maja 2018 r. i pozostaje najważniejszym prawem o ochronie prywatności na świecie. Każdy sprzedawca e-commerce w UE/EOG jest administratorem danych osobowych klientów: imienia i nazwiska, adresu, danych płatniczych, historii przeglądania, plików cookie, adresów IP. Priorytety na 2026 r. to baner cookie zgodny z TCF v2.2, jasna informacja o przetwarzaniu danych zgodna z art. 13, udokumentowany rejestr czynności przetwarzania z art. 30, szybkie procesy obsługi żądań osób, których dane dotyczą (DSR), 72-godzinny plan reagowania na naruszenia oraz standardowe klauzule umowne po wyroku Schrems II dla każdego transferu do kraju bez odpowiedniego poziomu ochrony (zwłaszcza do USA w ramach Ram ochrony danych osobowych UE–USA przyjętych w lipcu 2023 r.). Organy nadzorcze — CNIL (Francja), AEPD (Hiszpania), Garante (Włochy), BfDI i niemieckie organy krajów związkowych, AP (Holandia), NAIH (Węgry), ICO (Wielka Brytania, na mocy UK GDPR) — nakładają kary do 20 mln euro lub 4% globalnego rocznego obrotu, w zależności od tego, która wartość jest wyższa.

Krajobraz ochrony danych w UE 2026 w skrócie

RODO jest egzekwowane przez sieć krajowych organów ochrony danych (DPA), koordynowaną na poziomie UE przez Europejską Radę Ochrony Danych (EROD). Poniższy zestaw kart podsumowuje osiem organów, z którymi jako sprzedawca e-commerce w UE najprawdopodobniej będziesz mieć kontakt — miej je pod ręką podczas czytania każdej sekcji pogłębionej.

EROD — Europejska Rada Ochrony Danych

Powołana 25 maja 2018 r. · Bruksela · Wydaje wiążące wytyczne, opinie i koordynuje mechanizm kompleksowej obsługi (one-stop-shop) między organami nadzorczymi

30 organówkoordynacja w skali UE/EOG

CNIL — Commission Nationale de l'Informatique et des Libertés (Francja)

Powołana w 1978 r. · Paryż · Najsurowsze egzekwowanie zasad dotyczących plików cookie w UE; wiodący organ w zakresie adtech i TCF

340 mln €+ karłącznie do 2026 r.

AEPD — Agencia Española de Protección de Datos (Hiszpania)

Powołana w 1993 r. · Madryt · Najbardziej aktywny krajowy organ pod względem liczby kar; egzekwowanie mocno ukierunkowane na MŚP

2000+ kar/rok#1 w rankingu hiszpańskim

Garante — Garante per la Protezione dei Dati Personali (Włochy)

Powołany w 1997 r. · Rzym · Agresywne egzekwowanie w zakresie AI/ChatGPT, telemarketingu i plików cookie

200 mln €+ karłącznie do 2026 r.

BfDI + 16 organów krajów związkowych (Niemcy)

Federalny BfDI w Bonn + jeden organ na każdy kraj związkowy · Zdecentralizowane; LfDI BW, BlnBDI i HmbBfDI są najbardziej aktywne

17 organówna poziomie federalnym i krajowym

ICO — Information Commissioner's Office (Wielka Brytania)

Wilmslow · Egzekwuje UK GDPR (po brexicie) oraz Data Protection Act 2018 · Obowiązuje decyzja stwierdzająca odpowiedni poziom ochrony

Adekwatność UKodnowiona 2025–2031

AP — Autoriteit Persoonsgegevens (Holandia)

Haga · Holenderski organ nadzorczy · Aktywny w zakresie cookie wall, rejestru AI i wycieków danych rządowych

Orzeczenie ws. cookie wall2019 r. — przełomowe

NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Węgry)

Budapeszt · Węgierski organ nadzorczy · Aktywny w zakresie rozpoznawania twarzy, monitoringu wizyjnego i danych HR

4 mld HUF+ karłącznie do 2026 r.

Gotowy na sprzedaż w całej UE — zgodnie z RODO od pierwszego dnia?

Połącz każdy marketplace w UE i każdy sklep skierowany do klientów w jednym panelu Zunapro z wbudowanym CMP zgodnym z TCF v2.2, rejestrem z art. 30, procesem obsługi żądań DSR oraz wcześniej podpisanymi SCC dla każdego podwykonawcy.

🚀 Rozpocznij integrację z UE

1. Przegląd RODO — Rozporządzenie (UE) 2016/679, obowiązujące od maja 2018 r.

Czym w rzeczywistości jest RODO

Ogólne rozporządzenie o ochronie danych — Rozporządzenie (UE) 2016/679 — zostało przyjęte 27 kwietnia 2016 r. i stało się bezpośrednio stosowane we wszystkich 27 państwach członkowskich UE oraz trzech krajach EOG (Norwegia, Islandia, Liechtenstein) 25 maja 2018 r. Jako rozporządzenie, a nie dyrektywa, RODO nie wymagało transpozycji krajowej — weszło w życie tego samego dnia w Madrycie, Paryżu, Berlinie, Rzymie, Warszawie i każdej innej stolicy UE. Zastąpiło dyrektywę o ochronie danych z 1995 r. (95/46/WE), która skutkowała 28 rozdrobnionymi wdrożeniami krajowymi.

Dla sprzedawców e-commerce trzy strukturalne wybory w tekście mają największe znaczenie:

  • Zakres przedmiotowy (art. 2) — ma zastosowanie do każdego „przetwarzania danych osobowych” w sposób zautomatyzowany, co obejmuje praktycznie każdą operację na bazie danych we współczesnym stosie webowym.
  • Zakres terytorialny (art. 3) — ma zastosowanie do administratorów mających siedzibę w UE niezależnie od miejsca przetwarzania, oraz do administratorów mających siedzibę poza UE, którzy oferują towary lub usługi osobom w UE lub monitorują ich zachowanie. To „eksterytorialny zasięg”, który objął sprzedawców z USA, Wielkiej Brytanii, Turcji, Szwajcarii i Azji.
  • Definicja danych osobowych (art. 4) — niezwykle szeroka: wszystko, co „dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Adresy IP, identyfikatory plików cookie, odciski cyfrowe urządzeń, a nawet unikalne parametry URL mogą się kwalifikować.

Sześć podstaw prawnych (art. 6)

Każda czynność przetwarzania wymaga co najmniej jednej z sześciu podstaw prawnych:

  1. Zgoda — dobrowolna, konkretna, świadoma, jednoznaczna (art. 4 ust. 11 + art. 7).
  2. Umowa — przetwarzanie niezbędne do wykonania umowy z osobą, której dane dotyczą (standardowa podstawa realizacji zamówienia).
  3. Obowiązek prawny — np. fakturowanie VAT, KYC, dokumentacja podatkowa.
  4. Żywotne interesy — rzadko spotykane w komercyjnym e-commerce.
  5. Zadanie realizowane w interesie publicznym — ogólnie nieistotne dla prywatnego handlu detalicznego.
  6. Uzasadniony interes — wymaga testu równowagi; stosowany do zapobiegania oszustwom, bezpieczeństwa, podstawowej analityki.

Najczęstszym błędem w zakresie zgodności w 2026 r. jest mylenie podstaw prawnych — np. opieranie się na „umowie” w przypadku e-maili marketingowych (które wymagają zgody na mocy dyrektywy ePrivacy) lub na „uzasadnionym interesie” w przypadku plików cookie śledzących (które wymagają zgody na mocy art. 5 ust. 3 dyrektywy ePrivacy).

Szczególne kategorie danych (art. 9)

Dane dotyczące zdrowia, dane biometryczne, pochodzenie etniczne, przekonania religijne, przynależność związkowa, orientacja seksualna i poglądy polityczne to szczególne kategorie danych. Przetwarzanie jest zabronione, chyba że zastosowanie ma jeden z dziesięciu warunków z art. 9 ust. 2 — najczęściej w e-commerce jest to wyraźna zgoda (np. subskrypcje suplementów ujawniające informacje o zdrowiu, strony modowe wnioskujące pochodzenie etniczne na podstawie preferowanych rozmiarów).

📋
Tekst autorytatywny: oficjalny skonsolidowany tekst Rozporządzenia (UE) 2016/679 jest publikowany w 24 językach UE na stronie EUR-Lex. Zunapro linkuje odpowiednie artykuły obok każdej funkcji zgodności w panelu. Zobacz skonsolidowany tekst RODO na EUR-Lex jako źródło wiążące.

Pliki cookie i podobne technologie śledzące są regulowane nie tylko przez RODO, ale także przez art. 5 ust. 3 dyrektywy ePrivacy 2002/58/WE (tzw. „dyrektywę cookie”, zmienioną w 2009 r.). Dyrektywa wymaga wcześniejszej, świadomej zgody na przechowywanie informacji lub uzyskiwanie do nich dostępu na urządzeniu użytkownika, chyba że jest to ściśle niezbędne do świadczenia usługi zamówionej przez użytkownika. RODO następnie definiuje standard tego, co stanowi ważną zgodę (art. 4 ust. 11 i art. 7).

Łączna praktyczna zasada dla sprzedawców e-commerce w 2026 r. jest następująca:

  • Pliki cookie ściśle niezbędne (koszyk, logowanie, token CSRF, wybór języka, podstawowe równoważenie obciążenia) — zgoda nie jest wymagana, ale muszą być udokumentowane w polityce prywatności.
  • Wszystkie inne pliki cookie — analityczne (GA4, Plausible, Matomo z domyślną konfiguracją), reklamowe (Meta Pixel, Google Ads, TikTok), personalizacyjne, testy A/B, fingerprinting — wymagają zgody opt-in przed ustawieniem pliku cookie.

IAB Europe Transparency & Consent Framework (TCF) v2.2 — wydany 16 maja 2023 r. i obowiązkowy od 20 listopada 2023 r. — jest de facto standardem branżowym rejestrowania, sygnalizowania i przechowywania zgody na pliki cookie w całej UE. Kluczowe cechy:

  • 11 celów + 3 „cele specjalne” + 2 „funkcje” + 2 „funkcje specjalne” — szczegółowa kontrola zamiast ogólnego „Zaakceptuj wszystko”
  • ~700 zarejestrowanych dostawców — każdy partner adtech, analityczny i CDP deklaruje cele i podstawy prawne na globalnej liście dostawców TCF (GVL)
  • TC String — zakodowany w base64 sygnał osadzony w __tcfapi / __tcfapi v2, który towarzyszy każdemu żądaniu adtech
  • Ulepszenia w wersji v2.2 — jaśniejsze cele 1, 3, 4, usunięcie „uzasadnionego interesu” jako podstawy zastępczej dla reklam/pomiarów, obowiązkowy proces wycofania zgody

Co interfejs zgody może, a czego nie może robić

Zarówno wytyczne EROD 05/2020 dotyczące zgody, jak i wytyczne CNIL 2020-091 są całkowicie jednoznaczne:

  • Domyślnie zaznaczone pola wyboru są nieważne (sprawa Planet49, TSUE C-673/17, 1 października 2019 r.)
  • „Dalsze przeglądanie” nie stanowi zgody — kliknięcie, przewijanie lub pozostanie na stronie nie jest opt-inem
  • Odmowa musi być tak samo łatwa jak zaakceptowanie — „Zaakceptuj wszystko” i „Odrzuć wszystko” muszą być wizualnie i proceduralnie równoważne (CNIL nałożyła w styczniu 2022 r. karę 60 mln euro na Google i 60 mln euro na Facebooka wyraźnie z tego powodu)
  • Cookie wall — uzależnianie dostępu od zgody — jest w dużej mierze zabronione (wytyczne holenderskiego AP z 2019 r., wytyczne EROD 05/2020)
  • Szczegółowość — przełączniki dla poszczególnych celów, a nie jeden globalny przełącznik
  • Wycofanie zgody musi być tak samo łatwe jak jej udzielenie (art. 7 ust. 3 RODO)
🍪

Najlepsza praktyka na 2026 r.: platforma zarządzania zgodą (CMP) zgodna z TCF v2.2, z równoważnymi przyciskami „Zaakceptuj wszystko” / „Odrzuć wszystko” na pierwszej warstwie, szczegółowymi przełącznikami na drugiej warstwie oraz stałym linkiem „Ustawienia plików cookie” w stopce. Sklepy Zunapro są dostarczane z tą konfiguracją wbudowaną. Zobacz sklepy Zunapro dla UE →

3. Polityka prywatności — Artykuły 13 i 14 w praktyce

Dlaczego polityka prywatności nie podlega negocjacji

Artykuły 13 i 14 RODO wymagają od każdego administratora przekazania informacji o przetwarzaniu danych w momencie zbierania danych osobowych (art. 13) lub, jeśli dane są zbierane od strony trzeciej, w ciągu miesiąca (art. 14). W e-commerce jest to zazwyczaj strona linkowana ze stopki jako „Polityka prywatności”, „Informacja o prywatności” lub „Informacje o przetwarzaniu danych osobowych”.

Lista obowiązkowej treści

Artykuł 13 wymaga co najmniej następujących elementów — zwykle ustrukturyzowanych jako informacja warstwowa z krótkim podsumowaniem i pełną wersją:

  • Tożsamość i dane kontaktowe administratora (oraz przedstawiciela w UE, jeśli ma zastosowanie art. 27)
  • Dane kontaktowe IOD, jeśli został wyznaczony
  • Cele przetwarzania i podstawa prawna dla każdego z nich (art. 6, a dla szczególnych kategorii danych — art. 9)
  • Odbiorcy lub kategorie odbiorców — bramki płatnicze, partnerzy logistyczni, narzędzia marketingowe, dostawcy hostingu
  • Transfery międzynarodowe — kraje trzecie, których dotyczy transfer, decyzje stwierdzające odpowiedni poziom ochrony lub odpowiednie zabezpieczenia (SCC)
  • Okresy przechowywania — lub kryteria stosowane do ich ustalenia
  • Prawa osób, których dane dotyczą — dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, zautomatyzowane decyzje
  • Prawo do wycofania zgody w dowolnym momencie (jeśli zgoda jest podstawą prawną)
  • Prawo do wniesienia skargi do organu nadzorczego
  • Czy podanie danych jest obowiązkowe oraz konsekwencje ich niepodania
  • Istnienie zautomatyzowanego podejmowania decyzji, w tym profilowania, oraz istotne informacje o zastosowanej logice

Częste błędy, za które karzą CNIL i AEPD

  • Standardowa informacja niezgodna z faktycznymi czynnościami przetwarzania — organy nadzorcze porównują ją z rejestrem z art. 30
  • Wymienienie „uzasadnionego interesu” bez wyjaśnienia testu równowagi
  • Niejasne okresy przechowywania, takie jak „tak długo, jak to konieczne”, bez ram czasowych
  • Brakujące lub nieaktualne informacje o transferach międzynarodowych (zwłaszcza dotyczące transferów do USA po wyroku Schrems II)
  • Brak wzmianki o prawie do wniesienia skargi do organu nadzorczego — częste ustalenie w audytach AEPD

4. Inspektor ochrony danych — kiedy stosuje się art. 37

Trzy przypadki obowiązkowe

Artykuł 37 ust. 1 nakłada obowiązek wyznaczenia IOD w trzech przypadkach:

  1. Organ lub podmiot publiczny (z wyjątkiem sądów)
  2. Główna działalność wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę
  3. Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (art. 9) lub danych dotyczących wyroków skazujących (art. 10)

„Duża skala” jest zdefiniowana przez wytyczne EROD WP243 na podstawie czterech kryteriów: liczby osób, których dane dotyczą, ilości danych, czasu trwania przetwarzania i zasięgu geograficznego. W e-commerce działalność mocno oparta na reklamie behawioralnej, marketplace'y i duże platformy detaliczne niemal zawsze przekraczają próg „regularnego i systematycznego monitorowania na dużą skalę”.

Mit 250 pracowników

Powszechnie cytowany próg „250 pracowników” dotyczy art. 30 (rejestr czynności przetwarzania), a nie wyznaczenia IOD. Artykuł 30 ust. 5 zwalnia organizacje zatrudniające mniej niż 250 pracowników z obowiązku prowadzenia rejestru — ale tylko wtedy, gdy przetwarzanie ma charakter sporadyczny, nie obejmuje szczególnych kategorii danych i jest mało prawdopodobne, by wiązało się z ryzykiem dla osób, których dane dotyczą. W przypadku każdego aktywnego sprzedawcy e-commerce zwolnienie to w praktyce prawie nigdy nie ma zastosowania: wysyłka zamówień do tysięcy klientów z definicji nie jest sporadyczna.

Krajowe rozszerzenia

Państwa członkowskie mogą nakładać dodatkowe wymogi dotyczące IOD. Niemiecka ustawa BDSG na przykład wymaga IOD, gdy w przetwarzanie zautomatyzowane w sposób ciągły zaangażowanych jest 20 lub więcej osób — znacznie niżej niż podstawowy próg RODO. Jest to jedna z największych praktycznych luk w zgodności między niemiecką, francuską i hiszpańską działalnością e-commerce o podobnej wielkości.

Niezależność i zadania IOD

  • Artykuł 38 — musi być zaangażowany we wszystkie kwestie dotyczące ochrony danych, otrzymywać zasoby, podlegać najwyższemu kierownictwu, nie może zostać odwołany za wykonywanie swoich zadań
  • Artykuł 39 — informuje i doradza, monitoruje zgodność, doradza w sprawie DPIA, współpracuje z organem nadzorczym, pełni funkcję punktu kontaktowego dla osób, których dane dotyczą
  • Konflikty interesów — dyrektor ds. marketingu lub dyrektor ds. IT zazwyczaj nie może być IOD (wytyczne EROD WP243; belgijski organ nadzorczy nałożył w 2020 r. karę 50 000 euro na administratora, który wyznaczył na IOD dyrektora ds. zgodności, audytu wewnętrznego i ryzyka)

💡 IOD jako usługa czy wewnętrznie?

Wiele firm e-commerce w UE zatrudniających mniej niż 50 osób korzysta z zewnętrznych IOD, aby zachować jasną niezależność. Panel Zunapro udostępnia pole kontaktowe IOD i kieruje żądania osób, których dane dotyczą, bezpośrednio do skrzynki odbiorczej IOD.

Skonfiguruj routing do IOD →

5. Prawa osób, których dane dotyczą — Artykuły 15–22

Osiem praw, w kolejności

Prawa z rozdziału III stanowią operacyjny kręgosłup RODO dla każdej firmy działającej w kontakcie z klientami:

  • Prawo do bycia poinformowanym (art. 13–14) — realizowane poprzez powyższą informację o przetwarzaniu danych
  • Prawo dostępu (art. 15) — potwierdzenie przetwarzania + kopia danych osobowych + metadane z art. 13
  • Prawo do sprostowania (art. 16) — poprawianie nieprawidłowych danych, uzupełnianie niekompletnych danych
  • Prawo do usunięcia danych / „bycia zapomnianym” (art. 17) — sześć konkretnych podstaw (dane nie są już potrzebne, zgoda wycofana, przetwarzanie niezgodne z prawem itd.); nie jest absolutne
  • Prawo do ograniczenia przetwarzania (art. 18) — oznaczenie danych jako „zamrożonych” na czas rozstrzygania sporu
  • Prawo do przenoszenia danych (art. 20) — otrzymanie danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, przekazanie ich innemu administratorowi
  • Prawo do sprzeciwu (art. 21) — wobec przetwarzania opartego na uzasadnionym interesie lub zadaniu w interesie publicznym; absolutne w przypadku marketingu bezpośredniego
  • Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22) — wąskie wyjątki dotyczące umowy, przepisów prawa, wyraźnej zgody

Terminy odpowiedzi i format

Artykuł 12 ustanawia zasady operacyjne:

  • Domyślnie jeden miesiąc — z możliwością przedłużenia o kolejne dwa miesiące w przypadku złożonych lub licznych żądań, z uzasadnionym powiadomieniem osoby, której dane dotyczą
  • Bezpłatnie — z wyjątkiem żądań „ewidentnie nieuzasadnionych lub nadmiernych”, gdzie dopuszczalna jest rozsądna opłata lub odmowa (ciężar dowodu spoczywa na administratorze)
  • Ten sam format co żądanie — żądanie e-mailem, odpowiedź e-mailem; ustrukturyzowany format nadający się do odczytu maszynowego w przypadku przenoszenia danych
  • Weryfikacja tożsamości jest wymagana, ale musi być proporcjonalna — nadmiernie uciążliwe kontrole tożsamości same w sobie stanowią naruszenie (wytyczne CNIL)

Jak sprzedawcy e-commerce wdrażają to operacyjnie

  1. Dedykowana skrzynka DSR (np. [email protected]) kierowana do IOD lub zespołu ds. prywatności
  2. Proces obsługi zgłoszeń z licznikiem SLA na jeden miesiąc i automatyczną eskalacją po 25 dniach
  3. Wiarygodna mapa danych (rejestr z art. 30) wskazująca, które systemy przechowują co — Zunapro centralizuje to dla marketplace'ów, sklepów, CRM i danych płatniczych
  4. Szablonowe odpowiedzi z wcześniej wypełnionymi wymaganymi prawnie metadanymi
  5. Ślad audytowy każdego żądania i odpowiedzi — organy nadzorcze rutynowo żądają logów DSR z ostatnich 12 miesięcy podczas kontroli

6. Zgłaszanie naruszeń — licznik 72 godzin (Artykuły 33–34)

Co uznaje się za „naruszenie ochrony danych osobowych”

Artykuł 4 ust. 12 definiuje naruszenie ochrony danych osobowych jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Zgodnie z wytycznymi EROD 9/2022 wyróżnia się trzy kategorie:

  • Naruszenie poufności — nieuprawnione ujawnienie lub dostęp (zazwyczaj włamanie / wyciek bazy danych)
  • Naruszenie integralności — nieuprawniona zmiana danych
  • Naruszenie dostępności — przypadkowa lub niezgodna z prawem utrata dostępu lub zniszczenie danych (zazwyczaj ransomware)

Zgłoszenie do organu nadzorczego w ciągu 72 godzin

Artykuł 33 wymaga zgłoszenia właściwemu organowi nadzorczemu „bez zbędnej zwłoki, a jeśli to możliwe, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia”, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Spóźnione zgłoszenia muszą być opatrzone wyjaśnieniem przyczyn opóźnienia. Licznik zaczyna biec od momentu, gdy administrator ma uzasadnioną pewność, że doszło do naruszenia — nie od chwili pierwszego niejasnego sygnału.

Powiadomienie klienta w przypadku „wysokiego ryzyka”

Artykuł 34 nakłada równoległy obowiązek powiadomienia osób, których dane dotyczą, „bez zbędnej zwłoki”, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Wyjątki: zaszyfrowane dane, środki łagodzące zastosowane po fakcie lub nieproporcjonalny wysiłek (wtedy wystarcza publiczne ogłoszenie).

Co powinno znaleźć się w zgłoszeniu naruszenia

  • Charakter naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów
  • Dane kontaktowe IOD lub innego punktu kontaktowego
  • Prawdopodobne konsekwencje
  • Środki podjęte lub proponowane w celu zaradzenia naruszeniu i złagodzenia negatywnych skutków

Częste wzorce egzekwowania

Spóźnione lub brakujące zgłoszenia regularnie skutkują karami niezależnie od samego naruszenia. Przykłady: Twitter International (obecnie X) został ukarany w 2020 r. kwotą 450 000 euro przez irlandzki DPC za opóźnione zgłoszenie naruszenia; Uber został ukarany kwotą 600 000 euro przez holenderski AP za niezgłoszenie naruszenia z 2016 r. w ciągu 72 godzin po wejściu w życie RODO. W obu przypadkach samo naruszenie techniczne było stosunkowo niewielkie; to uchybienie proceduralne zdominowało wysokość kary.

⏱️

Wskazówka operacyjna: udokumentowany plan reagowania na incydenty z licznikiem 72 godzin, wyznaczonym dyżurnym IOD, wcześniej przygotowanym szablonem zgłoszenia do organu nadzorczego oraz wcześniej zmapowanymi organami nadzorczymi dla każdego państwa członkowskiego to absolutne minimum. Zunapro rejestruje każde zdarzenie uwierzytelnienia, eksport danych i działanie administratora, dzięki czemu stan faktyczny w ramach 72 godzin można odtworzyć w ciągu godzin, a nie dni. Zobacz narzędzia reagowania na naruszenia →

7. Transfery transgraniczne — SCC, adekwatność i Schrems II

Zasada domyślna — Rozdział V

Rozdział V RODO (art. 44–50) zakazuje transferu danych osobowych do „kraju trzeciego” (spoza UE/EOG) lub organizacji międzynarodowej, chyba że zastosowanie ma jedno z trzech zabezpieczeń:

  1. Decyzja stwierdzająca odpowiedni poziom ochrony (art. 45) — Komisja formalnie stwierdziła, że kraj trzeci oferuje „zasadniczo równoważny” poziom ochrony.
  2. Odpowiednie zabezpieczenia (art. 46) — standardowe klauzule umowne (SCC), wiążące reguły korporacyjne (BCR), zatwierdzone kodeksy postępowania lub certyfikacje.
  3. Szczególne odstępstwa (art. 49) — wąskie wyjątki: wyraźna zgoda, wykonanie umowy, ważny interes publiczny, żywotne interesy.

Obowiązujące decyzje stwierdzające odpowiedni poziom ochrony (2026)

Od 2026 r. pełne lub częściowe decyzje stwierdzające odpowiedni poziom ochrony obejmują: Andorę, Argentynę, Kanadę (organizacje komercyjne), Wyspy Owcze, Guernsey, Izrael, Wyspę Man, Japonię, Jersey, Nową Zelandię, Republikę Korei (Korea Południowa), Szwajcarię, Wielką Brytanię (odnowiona w 2025 r., obowiązująca do 2031 r.), Urugwaj, oraz — w ramach Ram ochrony danych osobowych UE–USA (DPF) przyjętych 10 lipca 2023 r. — certyfikowane organizacje amerykańskie.

Schrems II i SCC

16 lipca 2020 r. TSUE w wyroku Schrems II (C-311/18) unieważnił Privacy Shield UE–USA i wyjaśnił, że same SCC nie są wystarczające, gdy lokalne prawo kraju trzeciego (np. amerykański nadzór na mocy sekcji 702 FISA) tworzy sprzeczne obowiązki. Administratorzy muszą:

  • Stosować nowe SCC przyjęte decyzją wykonawczą Komisji (UE) 2021/914 z 4 czerwca 2021 r., zorganizowane w cztery moduły (C2C, C2P, P2P, P2C)
  • Przeprowadzić ocenę skutków transferu (TIA) ram prawnych kraju importującego
  • Zastosować środki uzupełniające tam, gdzie TIA ujawnia ryzyko — zazwyczaj szyfrowanie end-to-end, pseudonimizację lub kontrole umowne/organizacyjne (zalecenia EROD 01/2020)

Ramy ochrony danych osobowych UE–USA

DPF z 2023 r. przywrócił mechanizm adekwatności w stylu Privacy Shield dla certyfikowanych odbiorców amerykańskich. Sprzedawcy przekazujący dane certyfikowanemu w ramach DPF podmiotowi przetwarzającemu w USA (większość dużych hiperskalerów — AWS, Google Cloud, Microsoft Azure — jest certyfikowana) nie potrzebują SCC dla tego konkretnego odbiorcy, ale powinni nadal dokumentować podstawę i monitorować ewentualne ponowne spory prawne: wyzwanie „Schrems III” jest już w toku i może ponownie otworzyć tę kwestię.

Co to oznacza operacyjnie

  • Zmapuj każdego podwykonawcę oraz kraj, w którym dane są faktycznie przetwarzane (nie tylko adres rozliczeniowy)
  • Podpisz SCC z 2021 r. z odbiorcami bez odpowiedniego poziomu ochrony, z właściwym modułem dla danej relacji
  • Prowadź TIA dla każdego z nich — większość CMP i narzędzi do zarządzania organami nadzorczymi udostępnia szablony
  • Aktualizuj co roku lub przy zmianie przepisów/podwykonawcy

8. Nadchodzące rozporządzenie ePrivacy — co zmieni się w zakresie plików cookie i marketingu

Tło legislacyjne

Rozporządzenie ePrivacy (ePR) zostało zaproponowane przez Komisję w styczniu 2017 r. w celu zastąpienia dyrektywy ePrivacy 2002/58/WE (tzw. „dyrektywy cookie”). W przeciwieństwie do dyrektywy, miałoby ono zastosowanie bezpośrednie, bez transpozycji krajowej — rozwiązując obecny patchwork, w którym Francja (uchwała CNIL 2020-091), Niemcy (TTDSG/TDDDG), Hiszpania (LSSI-CE), Włochy (wytyczne Garante dotyczące plików cookie z 2021 r.) i inne kraje interpretują tę samą unijną podstawę w różny sposób.

Co prawdopodobnie znajdzie się w zakresie (stan na 2026 r.)

  • Pliki cookie i podobne technologie — w tym fingerprinting i identyfikatory na poziomie SDK
  • Metadane komunikacji elektronicznej — rozszerzenie ochrony prywatności komunikacji poza tradycyjnych operatorów telekomunikacyjnych na komunikatory OTT
  • Marketing bezpośredni — opt-in dla marketingu elektronicznego (e-mail, SMS) przy zachowaniu istniejącego „miękkiego opt-inu” dla podobnych produktów w ramach relacji z klientem
  • Sygnały zgody na poziomie przeglądarki — wyraźne uznanie sygnałów typu „Do Not Track” / Global Privacy Control
  • Niechciana komunikacja — surowy opt-in dla B2C, mniej surowy dla B2B

Co się nie zmienia

RODO pozostaje lex generalis w zakresie jakości zgody (art. 4 ust. 11, art. 7). ePR jest lex specialis w zakresie tego, kiedy zgoda jest wymagana dla komunikacji elektronicznej i śledzenia. CMP zgodny z TCF v2.2 zaprojektowany dziś powinien być odporny na przyszłe przejście do ePR.

Oczekiwany wpływ na e-commerce

  • Różnice krajowe (np. niuanse niemieckiego prawa telekomunikacyjnego) zbliżają się do jednej zasady unijnej
  • Sygnały „Odrzuć wszystko” na poziomie przeglądarki będą trudniejsze do zignorowania — stosy analityczne i adtech będą musiały je automatycznie honorować
  • Zasady marketingu B2B mogą wyraźniej rozejść się od B2C, przy czym niektóre państwa członkowskie utrzymają bardziej rygorystyczne reżimy B2C
  • Transgraniczne kampanie marketingowe staną się łatwiejsze do sprawdzenia pod kątem zgodności z jednego źródła prawdy

9. Kary — 20 mln euro lub 4% globalnego obrotu (art. 83)

Dwa poziomy

Artykuł 83 ustanawia dwa maksymalne poziomy kar:

  • Poziom 1 — do 10 mln euro lub 2% globalnego rocznego obrotu, w zależności od tego, która wartość jest wyższa: naruszenia obowiązków administratora/podmiotu przetwarzającego (art. 8, 11, 25–39, 42, 43)
  • Poziom 2 — do 20 mln euro lub 4% globalnego rocznego obrotu, w zależności od tego, która wartość jest wyższa: naruszenia podstawowych zasad (art. 5), podstawy prawnej (art. 6), warunków wyrażenia zgody (art. 7), szczególnych kategorii danych (art. 9), praw osób, których dane dotyczą (art. 12–22), oraz transferów międzynarodowych (art. 44–49)

Jak organy nadzorcze obliczają kwotę

EROD wydała wytyczne 04/2022 dotyczące obliczania kar administracyjnych (przyjęte 24 maja 2023 r.), które ustanawiają pięciostopniową metodologię:

  1. Zidentyfikować czynności przetwarzania i zastosować art. 83 ust. 3, aby ustalić, czy zastosowanie ma jedna czy więcej kar
  2. Ustalić kwotę wyjściową na podstawie wagi naruszenia (art. 83 ust. 2 lit. a, b, g)
  3. Zastosować okoliczności obciążające lub łagodzące (art. 83 ust. 2 lit. c–k)
  4. Zapewnić, aby nie przekroczyć dynamicznego pułapu (art. 83 ust. 4–6)
  5. Ocenić skuteczność, proporcjonalność i odstraszający charakter kary

Krajobraz kar w 2026 r.

Łączne kary RODO przekraczają do 2026 r. 5,5 mld euro. Do najgłośniejszych kar należą:

  • 1,2 mld euro — Meta Platforms Ireland (irlandzki DPC, 22 maja 2023 r.) — niezgodne z prawem transfery do USA
  • 746 mln euro — Amazon Europe Core (luksemburski CNPD, 16 lipca 2021 r.) — zgoda w adtech
  • 405 mln euro — Meta / Instagram (irlandzki DPC, 5 września 2022 r.) — dane dzieci
  • 390 mln euro — Meta / Facebook + Instagram (irlandzki DPC, styczeń 2023 r.) — podstawa prawna dla reklam
  • 345 mln euro — TikTok (irlandzki DPC, wrzesień 2023 r.) — prywatność dzieci
  • 290 mln euro — Uber B.V. (holenderski AP, sierpień 2024 r.) — dane kierowców przekazywane do USA
  • 225 mln euro — WhatsApp (irlandzki DPC, wrzesień 2021 r.) — braki w zakresie przejrzystości

Rzeczywistość MŚP

Głośne kary dotyczą największych administratorów, ale organy nadzorcze takie jak AEPD rutynowo nakładają rocznie setki kar w wysokości od 1000 do 50 000 euro na MŚP — typowe naruszenia to brakujące informacje o przetwarzaniu danych, niezgłoszony monitoring wizyjny, nielegalne pliki cookie i spóźnione odpowiedzi na żądania DSR. Dla sprzedawcy internetowego w UE o obrocie 1–10 mln euro realistyczna ekspozycja mieści się w zakresie 5000–100 000 euro za ustalenie — istotna, ale możliwa do przetrwania, pod warunkiem że podstawowa zgodność jest zapewniona.

📊 Prognoza ryzyka kar w panelu

Panel zgodności Zunapro porównuje Twoje czynności przetwarzania z metodologią obliczania kar EROD i sygnalizuje w pierwszej kolejności luki o najwyższym ryzyku.

Uruchom ocenę ryzyka →

10. Lista kontrolna RODO dla e-commerce + krajowe organy nadzorcze

12-punktowa lista kontrolna operacyjna

  1. Wyznacz administratora oraz (jeśli wymagane) IOD — udokumentuj publicznie wyznaczenie i dane kontaktowe
  2. Prowadź rejestr z art. 30 czynności przetwarzania, indeksowany według celu, podstawy prawnej, odbiorców, przechowywania, transferów
  3. Publikuj informację o przetwarzaniu danych zgodną z RODO zgodnie z art. 13–14 — warstwową, jasno napisaną, w języku danego rynku
  4. Wdróż CMP zgodny z TCF v2.2 z równoważnymi przyciskami „Zaakceptuj wszystko” / „Odrzuć wszystko” i szczegółowymi przełącznikami
  5. Udokumentuj podstawę prawną dla każdej czynności przetwarzania — w szczególności rozróżniając umowę, uzasadniony interes i zgodę
  6. Podpisz DPA (art. 28) z każdym podmiotem przetwarzającym — bramkami płatniczymi, dostawcami hostingu, partnerami logistycznymi, narzędziami marketingowymi
  7. Skonfiguruj procesy DSR — art. 15–22, SLA na jeden miesiąc, weryfikacja tożsamości, ślad audytowy
  8. Ustal harmonogramy przechowywania i usuwania — dane zamówień, dane marketingowe, dane logów, dane płatnicze, każde z własnym licznikiem
  9. Wdróż 72-godzinny plan reagowania na naruszenia — plan działania, wyznaczony IOD, szablony dla organów nadzorczych, monitorowanie
  10. Podpisz SCC z 2021 r. + przeprowadź TIA dla każdego transferu do kraju bez odpowiedniego poziomu ochrony; polegaj na DPF UE–USA tam, gdzie podmiot przetwarzający jest certyfikowany
  11. Przeprowadź DPIA (art. 35) dla przetwarzania wysokiego ryzyka — profilowania, danych szczególnych kategorii na dużą skalę, systematycznego monitorowania
  12. Przeszkol personel, rejestruj decyzje, dokumentuj wszystko — rozliczalność (art. 5 ust. 2) sama w sobie jest obowiązkiem materialnym

Krajowe organy nadzorcze — do kogo się zwrócić i kiedy

Państwo członkowskie Organ Miasto Kluczowy obszar egzekwowania w 2026 r.
Francja CNIL Paryż Pliki cookie, adtech, TCF, wysokie kary
Hiszpania AEPD Madryt Egzekwowanie wobec MŚP, monitoring wizyjny, opóźnienia w DSR
Włochy Garante Rzym AI/ChatGPT, telemarketing, pliki cookie
Niemcy — federalne BfDI Bonn Organy federalne, telekomunikacja, poczta
Niemcy — kraje związkowe 16 organów krajów związkowych Wg kraju związkowego Egzekwowanie w sektorze prywatnym (LfDI BW, BlnBDI, HmbBfDI najbardziej aktywne)
Holandia Autoriteit Persoonsgegevens (AP) Haga Cookie wall, rejestr AI, wycieki danych rządowych
Irlandia Data Protection Commission (DPC) Dublin Wiodący organ dla big techu, najwyższe kary
Węgry NAIH Budapeszt Monitoring wizyjny, rozpoznawanie twarzy, dane HR
Belgia Gegevensbeschermingsautoriteit (APD/GBA) Bruksela Adtech, orzeczenia dotyczące IAB Europe TCF
Wielka Brytania ICO (UK GDPR) Wilmslow Adtech, kodeks dla dzieci, wytyczne dotyczące AI

Jak czytać tabelę: w przypadku spraw transgranicznych stosuje się mechanizm „kompleksowej obsługi” (one-stop-shop), a wiodącym organem jest organ nadzorczy właściwy dla głównej jednostki organizacyjnej administratora. W przypadku skarg czysto krajowych sprawę obsługuje lokalny organ nadzorczy. Zunapro przechowuje konfigurację wiodącego organu dla każdego najemcy, dzięki czemu skargi klientów są automatycznie kierowane we właściwe miejsce.

Jak dostosować sklep Zunapro do wymogów RODO — krok po kroku

1. Skonfiguruj administratora i IOD

W panelu Zunapro → Ustawienia → Prywatność zadeklaruj podmiot prawny będący administratorem, zarejestrowany adres, przedstawiciela w UE (jeśli działasz spoza UE) oraz dane kontaktowe IOD. Te wartości wypełniają informację o przetwarzaniu danych z art. 13, pierwszą warstwę banera cookie oraz konfigurację skrzynki DSR.

2. Aktywuj CMP zgodny z TCF v2.2

  • Włącz platformę zarządzania zgodą w sekcji Ustawienia → Pliki cookie
  • Wybierz układ (baner, okno modalne, pasek) i potwierdź równoważne traktowanie „Zaakceptuj wszystko” / „Odrzuć wszystko”
  • Wybierz cele 1–11 z GVL TCF — Zunapro wstępnie wybiera ustawienia domyślne dla e-commerce
  • Potwierdź stały link „Ustawienia plików cookie” w stopce

3. Wygeneruj informację o przetwarzaniu danych z art. 13

Zunapro generuje wielojęzyczną informację na podstawie danych wprowadzonych w kroku 1 oraz podłączonych integracji (bramki płatnicze, narzędzia marketingowe, region hostingu). Przejrzyj, edytuj wersję zlokalizowaną dla każdego rynku, opublikuj.

4. Skonfiguruj proces DSR

  • Skonfiguruj skrzynkę prywatności (lub punkt końcowy formularza internetowego)
  • Przypisz prawo (dostęp, usunięcie itd.) do jego SLA i do systemów, które muszą podjąć działanie
  • Aktywuj dziennik audytu

5. Aktywuj monitorowanie naruszeń + bibliotekę SCC

Włącz 72-godzinny plan reagowania na incydenty i zaimportuj wcześniej podpisane SCC z 2021 r. dla każdego podwykonawcy działającego poza UE/EOG. Zunapro wysyła coroczne przypomnienia o odnowieniu TIA.

6. Uruchom produkcyjnie

  1. Zaloguj się do Zunapro i otwórz moduł UE
  2. Aktywuj Privacy Hub w Ustawieniach
  3. Przejdź przez kreator — administrator, IOD, CMP, informacja o przetwarzaniu danych, DSR, plan reagowania na naruszenia, SCC
  4. Przetłumacz na każdy rynek, na którym sprzedajesz (Zunapro dostarcza szablony w językach EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK)
  5. Uruchom produkcyjnie — pierwsze pełne wdrożenie zazwyczaj kończy się w ciągu 10–15 minut dla jednego sklepu

Dostosuj każdy sklep w UE do wymogów RODO w jednym panelu

CMP zgodny z TCF v2.2 · informacja o przetwarzaniu danych z art. 13 · proces DSR · 72-godzinne reagowanie na naruszenia · SCC z 2021 r. + TIA · wcześniej zmapowana biblioteka organów nadzorczych dla CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Integracja w 10 minut, bez konieczności demonstracji.

Połącz marketplace'y UE →

FAQ dotyczące RODO w UE 2026

Czym jest RODO i kiedy weszło w życie?

RODO to Ogólne rozporządzenie o ochronie danych — formalnie Rozporządzenie (UE) 2016/679. Zostało przyjęte 27 kwietnia 2016 r. i stało się bezpośrednio stosowane w 27 państwach członkowskich UE oraz trzech krajach EOG (Norwegia, Islandia, Liechtenstein) 25 maja 2018 r.

Ponieważ jest to rozporządzenie, a nie dyrektywa, weszło w życie tego samego dnia w każdym państwie członkowskim, bez transpozycji krajowej. Zastąpiło dyrektywę o ochronie danych z 1995 r. (95/46/WE).

Czy potrzebuję zgody RODO na pliki cookie w mojej witrynie e-commerce?

Tak, w przypadku wszelkich plików cookie innych niż niezbędne: analitycznych, reklamowych, personalizacyjnych, testów A/B, osadzeń stron trzecich. Pliki cookie ściśle niezbędne (koszyk, sesja logowania, token CSRF) są zwolnione, ale mimo to muszą być udokumentowane.

Obowiązkowy od listopada 2023 r. framework IAB Europe TCF v2.2 jest standardem gromadzenia i sygnalizowania zgody. Domyślnie zaznaczone pola wyboru, cookie wall bez równoważnej opcji odmowy oraz „dalsze przeglądanie jako zgoda” są wyraźnie zabronione zgodnie z wytycznymi EROD oraz decyzjami egzekwującymi CNIL/AEPD.

Czy polityka prywatności jest obowiązkowa na mocy RODO?

Tak. Artykuły 13 i 14 RODO wymagają od każdego administratora — w tym każdego sprzedawcy e-commerce — dostarczenia jasnej, przejrzystej informacji o przetwarzaniu danych. Obowiązkowa treść obejmuje tożsamość administratora, cele i podstawy prawne przetwarzania, okresy przechowywania, odbiorców, transfery międzynarodowe, prawa osób, których dane dotyczą, oraz prawo do wniesienia skargi do organu nadzorczego.

Informacja musi być sformułowana prostym językiem, łatwo dostępna (zwykle linkowana ze stopki każdej strony) i zgodna z faktycznymi czynnościami przetwarzania. Standardowe informacje niezgodne z rejestrem z art. 30 to częsty wzorzec skutkujący karą.

Kiedy firma e-commerce musi wyznaczyć IOD?

Artykuł 37 RODO wymaga inspektora ochrony danych, gdy (a) przetwarzanie jest prowadzone przez organ publiczny, (b) główna działalność wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub (c) główna działalność obejmuje przetwarzanie na dużą skalę szczególnych kategorii danych lub danych dotyczących wyroków skazujących.

Powszechnie cytowany próg 250 pracowników dotyczy prowadzenia rejestru z art. 30, a nie wyznaczenia IOD. W praktyce większość marketplace'ów, dużych sprzedawców detalicznych i firm e-commerce mocno opierających się na reklamie behawioralnej potrzebuje IOD niezależnie od liczby zatrudnionych. Przepisy krajowe mogą być bardziej rygorystyczne — niemiecka ustawa BDSG wymaga IOD już od 20 osób zaangażowanych w przetwarzanie zautomatyzowane.

Jakie są prawa osób, których dane dotyczą, wynikające z RODO?

Rozdział III (art. 15–22) przyznaje osiem praw: dostęp (art. 15), sprostowanie (art. 16), usunięcie danych / bycie zapomnianym (art. 17), ograniczenie przetwarzania (art. 18), przenoszenie danych (art. 20), sprzeciw (art. 21) oraz prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22), a także prawo do bycia poinformowanym (art. 13–14).

Artykuł 12 ustanawia zasady operacyjne: odpowiedź w ciągu miesiąca, z możliwością przedłużenia o kolejne dwa miesiące w przypadku złożonych lub licznych żądań, bezpłatnie, chyba że żądanie jest „ewidentnie nieuzasadnione lub nadmierne”.

Czym jest zasada 72-godzinnego zgłaszania naruszeń?

Artykuł 33 RODO wymaga od administratorów zgłoszenia właściwemu organowi nadzorczemu naruszenia ochrony danych osobowych w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku wysokiego ryzyka art. 34 wymaga również powiadomienia osób, których dane dotyczą, bez zbędnej zwłoki.

Spóźnione lub brakujące zgłoszenia regularnie skutkują karami niezależnie od samego naruszenia — Twitter International (450 000 euro, irlandzki DPC, 2020 r.) oraz Uber (600 000 euro, holenderski AP) to znane przykłady.

Jak mogę przekazywać dane klientów e-commerce poza UE po wyroku Schrems II?

Po wyroku Schrems II (TSUE C-311/18, 16 lipca 2020 r.) Privacy Shield został unieważniony. Transfery do kraju trzeciego wymagają teraz albo (i) decyzji Komisji stwierdzającej odpowiedni poziom ochrony — obecnie obejmującej Wielką Brytanię, Szwajcarię, Japonię, Koreę Południową, Kanadę (organizacje komercyjne), Izrael i inne kraje, a także Ramy ochrony danych osobowych UE–USA przyjęte w lipcu 2023 r. — albo (ii) standardowych klauzul umownych z 2021 r. wraz z oceną skutków transferu oraz dodatkowymi środkami technicznymi.

Szyfrowanie end-to-end, pseudonimizacja oraz środki umowne/organizacyjne to najczęstsze dodatkowe zabezpieczenia (zalecenia EROD 01/2020).

Jak rozporządzenie ePrivacy zmieni zasady dotyczące plików cookie?

Rozporządzenie ePrivacy, mające zastąpić dyrektywę ePrivacy 2002/2009 (dyrektywa 2002/58/WE, tzw. „dyrektywa cookie”), jest negocjowane od 2017 r. Po przyjęciu zharmonizuje ono zasady dotyczące plików cookie, marketingu elektronicznego i metadanych w całej UE na poziomie rozporządzenia, zastępując obecny patchwork przepisów krajowych.

Obecne oczekiwania na 2026 r. wskazują na finalizację w nowej kadencji Komisji. Do tego czasu obowiązują równolegle z RODO krajowe przepisy ePrivacy (francuska LCEN / uchwała CNIL 2020-091, niemiecka TTDSG/TDDDG, hiszpańska LSSI-CE, włoskie wytyczne Garante dotyczące plików cookie z 2021 r.). CMP zgodny z TCF v2.2 jest przygotowany na przyszłość zgodnie z projektem ePR.

Jak wysokie są kary RODO i kto je nakłada?

Artykuł 83 RODO ustanawia dwa poziomy: do 10 mln euro lub 2% globalnego rocznego obrotu (w zależności od tego, która wartość jest wyższa) za naruszenia administracyjne oraz do 20 mln euro lub 4% globalnego rocznego obrotu za naruszenia podstawowych zasad, podstawy prawnej, praw osób, których dane dotyczą, oraz transferów międzynarodowych.

Kary nakładają krajowe organy nadzorcze — CNIL (Francja), AEPD (Hiszpania), Garante (Włochy), BfDI oraz 16 organów krajów związkowych (Niemcy), AP (Holandia), NAIH (Węgry), ICO (Wielka Brytania, na mocy UK GDPR), irlandzki DPC (wiodący organ dla większości spraw dotyczących big techu). Najwyższa dotychczasowa pojedyncza kara wynosi 1,2 mld euro wobec Meta Platforms Ireland (irlandzki DPC, maj 2023 r.).

Jak wygląda minimalna lista kontrolna RODO dla sprzedawcy e-commerce w UE?

Dwanaście kluczowych elementów: (1) wyznaczenie administratora oraz, jeśli wymagane, IOD; (2) prowadzenie rejestru czynności przetwarzania zgodnie z art. 30; (3) publikacja informacji o przetwarzaniu danych zgodnej z RODO; (4) wdrożenie zgody na pliki cookie TCF v2.2; (5) udokumentowanie podstawy prawnej dla każdej czynności przetwarzania; (6) podpisanie umów powierzenia przetwarzania danych z każdym podmiotem przetwarzającym; (7) skonfigurowanie procesów obsługi żądań osób, których dane dotyczą, w ramach SLA; (8) ustalenie harmonogramów przechowywania i usuwania danych; (9) wdrożenie planu reagowania na naruszenia w ciągu 72 godzin; (10) wdrożenie SCC z 2021 r. + TIA dla transferów do krajów bez odpowiedniego poziomu ochrony; (11) przeprowadzenie DPIA dla przetwarzania wysokiego ryzyka; (12) przeszkolenie personelu i udokumentowanie wszystkiego.

Czy RODO ma zastosowanie do sprzedawców spoza UE wysyłających towary do UE?

Tak. Artykuł 3 ust. 2 RODO ma zasięg eksterytorialny: każdy administrator lub podmiot przetwarzający spoza UE, który oferuje towary lub usługi osobom w UE/EOG lub monitoruje ich zachowanie, podlega RODO.

Sprzedawcy spoza UE muszą w większości przypadków wyznaczyć przedstawiciela w UE zgodnie z art. 27 — osobę fizyczną lub prawną mającą siedzibę w UE, pełniącą funkcję punktu kontaktowego dla organów nadzorczych i osób, których dane dotyczą. Firmy e-commerce z Turcji, Wielkiej Brytanii, USA i Azji sprzedające transgranicznie do UE potrzebują zatem zgodności z RODO, a zazwyczaj także przedstawiciela z art. 27.

Jaka jest różnica między administratorem danych a podmiotem przetwarzającym dane?

Administrator określa cele i sposoby przetwarzania — zazwyczaj sam sprzedawca e-commerce. Podmiot przetwarzający przetwarza dane osobowe w imieniu administratora na podstawie udokumentowanych instrukcji — zazwyczaj bramki płatnicze, partnerzy logistyczni, narzędzia marketingowe, dostawcy hostingu.

Artykuł 28 wymaga pisemnej umowy powierzenia przetwarzania danych (DPA) między nimi, obejmującej przedmiot, czas trwania, charakter, cel, kategorie danych, obowiązki administratora oraz obowiązki podmiotu przetwarzającego (w tym upoważnienie podwykonawców, zgłaszanie naruszeń administratorowi, usunięcie/zwrot danych po zakończeniu usługi).

Ile czasu zajmuje dostosowanie sklepu Zunapro do wymogów RODO?

Około 10 minut dla warstwy technicznej. Zunapro dostarcza sklepy gotowe do spełnienia wymogów RODO z platformą zarządzania zgodą zgodną z TCF v2.2, szablonami informacji o przetwarzaniu danych z art. 13 w 12 językach UE, procesami obsługi żądań osób, których dane dotyczą, konfigurowalnymi zasadami przechowywania danych, zautomatyzowanymi narzędziami do zgłaszania naruszeń oraz wcześniej podpisanymi SCC z 2021 r. dla podwykonawców.

Pozostała praca ma charakter raczej organizacyjny niż techniczny: udokumentowanie podstaw prawnych dla każdej czynności przetwarzania, uzupełnienie rejestru z art. 30 oraz uzgodnienie danych kontaktowych organu nadzorczego. Większość sprzedawców kończy pierwsze pełne wdrożenie w ciągu popołudnia, a następnie je udoskonala.

Uruchom swój zestaw e-commerce dla UE — zgodny z RODO od podstaw

Rozporządzenie (UE) 2016/679 · zgoda na pliki cookie TCF v2.2 · informacja o przetwarzaniu danych z art. 13 · 8 praw osób, których dane dotyczą · 72-godzinne reagowanie na naruszenia · SCC z 2021 r. + TIA · wcześniej zmapowana biblioteka organów nadzorczych dla CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Jeden panel, każdy sklep w UE, każdy marketplace.

🇪🇺 Uruchom w całej UE →
Udostępnij:

Potrzebujesz pomocy?

Powiązana usługa: E-Commerce

Skontaktuj się

Uzyskaj bezpłatną konsultację dla swojego projektu e-commerce.

Czat na WhatsAppZgodność z RODO E-commerce 2026 | Przewodnik UE