Uptime: 99.892%
Strony WWW:
Nowe strony WWW dzisiaj:
W SEOHOST Użytkownik jest zawsze na pierwszym miejscu! Czytaj więcej Z SEOHOST korzysta już ponad 90 000 Użytkowników! Czytaj więcej Jak Polacy marnują 164 miliony rocznie! Czytaj więcej Pierwszy taki film na YouTube od SEOHOST! Czytaj więcej Pełna transparencja: uptime naszej infrastruktury Czytaj więcej Wywiad z naszym CEO na bezprawnik.pl Czytaj więcej SEOHOST.pl zdobywa 2 miejsce w rankingu NASK. Czytaj więcej Uwaga: kolejna próba phishingu! Czytaj więcej Dlaczego warto migrować do SEOHOST? Czytaj więcej
Menu
Załóż konto
Strona główna / Pomoc / Bezpieczeństwo , WordPress / Strona internetowa zgodna z RODO - co to oznacza?
Redakcja SEOHOST.pl
Redakcja SEOHOST.pl
22 Maja 2025
10 minut

Strona internetowa zgodna z RODO - co to oznacza?

Podpisanie umowy powierzenia z firmą hostingową nie zwalnia Cię z obowiązków wynikających z RODO. Twoja strona internetowa przetwarza dane użytkowników – przez formularze, ciasteczka, narzędzia analityczne. A to oznacza, że jako administrator danych musisz zadbać nie tylko o serwer, ale też o treść formularzy, klauzule informacyjne, zgodny baner cookies i zabezpieczenia transmisji (SSL).

W tym artykule pokazujemy, gdzie kończy się odpowiedzialność firmy hostingowej, a gdzie zaczynają się Twoje obowiązki. Wyjaśniamy, co musi zagrać po obu stronach – technicznej i prawnej – by całość była zgodna z RODO.

Jeśli chcesz mieć pewność, że Twoja strona spełnia wszystkie wymogi, sprawdź też:

Czy zwykła strona naprawdę przetwarza dane?

Zaskakująco wiele osób uważa, że skoro nie prowadzą sklepu internetowego ani nie pobierają opłat, to temat RODO ich nie dotyczy. Tymczasem wystarczy mieć formularz kontaktowy, aktywne ciasteczka, zainstalowany Google Analytics czy jakikolwiek newsletter, by... wejść w buty administratora danych osobowych. I to całkiem serio.

Bo zgodnie z definicją RODO, dane osobowe to nie tylko imię i nazwisko – to również adres e-mail, numer IP, identyfikator ciasteczka, dane o lokalizacji czy historia działań użytkownika na stronie. A jeśli te dane gromadzisz – nawet automatycznie, przez zewnętrzne narzędzia – to masz obowiązki. I brak sklepu nie jest tutaj wymówką.

Ten poradnik powstał właśnie po to, żebyś nie musiał błądzić po forach, przepisach i opiniach. Znajdziesz tu konkretne odpowiedzi na pytania:

  • w jakich miejscach Twoja strona faktycznie zbiera dane,
  • co powinno znaleźć się w polityce prywatności, by miała wartość prawną,
  • jak ogarnąć temat cookies i dlaczego certyfikat SSL to nie tylko „ładna kłódka”.

Gdzie Twoja strona przetwarza dane?

Nie trzeba wcale uruchamiać sklepu czy dużego portalu, żeby zacząć przetwarzać dane osobowe. Większość nowoczesnych stron www – nawet proste wizytówki – zawiera komponenty, które zbierają dane użytkownika. Czasem robisz to świadomie, czasem – bo tak działa system CMS, formularz, wtyczka czy narzędzie analityczne.

Formularze i interakcje z użytkownikiem

Weźmy na pierwszy ogień coś pozornie prostego – formularz kontaktowy. Użytkownik wpisuje swoje imię, e-mail, może numer telefonu, zostawia wiadomość – i wysyła. To już są dane osobowe. W praktyce przetwarzasz je np. po to, by odpowiedzieć na pytanie, przygotować wycenę albo przesłać ofertę. Co ważne – nawet jeśli ich nie zapisujesz „na zawsze”, to już samo otrzymanie ich na skrzynkę e-mail jest operacją przetwarzania w rozumieniu RODO.

Podobnie działa system komentarzy na blogu czy możliwość rejestracji użytkownika. Jeśli prosisz o login, adres e-mail, hasło – budujesz profil użytkownika, który potem można analizować, kategoryzować, nawet dopasowywać treści. A to już profilowanie – czyli bardziej zaawansowana forma przetwarzania danych.

Newsletter to z kolei klasyczny przykład, w którym pojawia się konieczność wyraźnej zgody. Nie wystarczy sam fakt zapisania e-maila – musisz mieć świadomą i dobrowolną zgodę na przesyłanie informacji handlowych, najczęściej udzieloną poprzez zaznaczenie checkboxa z odpowiednią klauzulą. I co istotne – musisz być w stanie to udowodnić.

Cookies i skrypty śledzące

Drugi obszar przetwarzania danych to ciasteczka – czyli mechanizm, który dla wielu właścicieli stron jest „niewidzialny”, bo dostarczany przez system CMS, agencję albo wtyczkę do analityki. Ale niewidzialność nie oznacza braku odpowiedzialności.

Jeśli masz na stronie Google Analytics, Meta Pixel, Hotjar, Clarity czy jakiekolwiek inne narzędzie analityczne lub reklamowe, to niemal na pewno zbierasz dane osobowe użytkowników: adresy IP, identyfikatory urządzeń, dane o lokalizacji, odwiedzanych podstronach, czasie spędzonym na stronie, kliknięciach.

To nie są informacje „anonimowe”, jak czasem sugerują niektóre platformy reklamowe. W RODO liczy się to, czy da się daną osobę zidentyfikować pośrednio – a historia aktywności w połączeniu z IP i ciasteczkiem już to umożliwia.

Dlatego też – co bardzo ważne – musisz uzyskać zgodę użytkownika na takie przetwarzanie, zanim uruchomisz pliki cookies. I to zgodę konkretną – z możliwością wyboru zakresu (statystyka, marketing, personalizacja), a nie tylko informacyjny baner z napisem „korzystamy z cookies, kontynuując – akceptujesz”.

Obowiązki prawne właściciela strony

Właściciel strony internetowej, niezależnie od jej wielkości czy złożoności, nie może ignorować RODO. Choć nie każdy musi od razu zatrudniać inspektora ochrony danych, to są rzeczy, które trzeba mieć – i to nie tylko „dla świętego spokoju”, ale po prostu po to, by legalnie przetwarzać dane użytkowników. Kluczowe elementy to polityka prywatności, baner cookies oraz podstawowe zabezpieczenia – w tym certyfikat SSL.

Polityka prywatności – czy naprawdę muszę ją mieć?

Czysto teoretycznie – nie ma przepisu, który wprost mówi: „każda strona internetowa musi posiadać politykę prywatności”. Ale w praktyce… musisz ją mieć, jeśli:

  • zbierasz dane przez formularz kontaktowy,
  • używasz ciasteczek do analityki, marketingu, statystyk,
  • korzystasz z narzędzi typu Google Analytics, Meta Pixel, Hotjar,
  • prowadzisz newsletter, formularz zapisu, rejestrację użytkowników.

Dlaczego? Bo zgodnie z RODO (art. 13 i 14), każda osoba, której dane są zbierane, musi zostać poinformowana o przetwarzaniu danych – kto je zbiera, po co, jak długo, komu przekazuje itd. I najwygodniejszym, najczęściej stosowanym sposobem przekazania tej informacji jest właśnie polityka prywatności.

To nie dokument „do szuflady” – tylko konkretna informacja, do której użytkownik musi mieć dostęp w każdym momencie. I którą powinien z łatwością znaleźć – np. w stopce strony, formularzu, banerze cookies.

Co powinna zawierać dobra polityka prywatności?

  • Dane administratora – czyli kto przetwarza dane i jak można się z nim skontaktować (nazwa firmy, adres, e-mail, najlepiej też telefon).
  • Cele i podstawy przetwarzania – np. odpowiadanie na wiadomości z formularza (art. 6 ust. 1 lit. f), realizacja newslettera (lit. a – zgoda), analiza statystyk (lit. a – zgoda).
  • Okres przechowywania danych – np. do czasu odpowiedzi, przez 2 lata, przez 5 lat zgodnie z przepisami podatkowymi.
  • Prawa użytkownika – dostęp do danych, poprawienie, ograniczenie, usunięcie, wniesienie skargi.
  • Informacja o podmiotach trzecich – czyli z kim dzielisz się danymi: Google, Meta, MailerLite, hosting, itd. Wymień ich konkretnie – z linkami do ich polityk prywatności, jeśli to możliwe.

Dobrze skonstruowana polityka nie musi być długa, ale powinna być napisana ludzkim językiem i być konkretna. Ogólniki w stylu „Dbamy o Twoje dane zgodnie z RODO” to za mało – a w razie kontroli, mogą wręcz zaszkodzić.

Baner cookies – komunikacja to nie wszystko, liczy się zgoda

Jeśli Twoja strona używa ciasteczek innych niż techniczne, to musisz zadbać o poprawne wdrożenie mechanizmu wyrażania zgody. I to nie tylko z uwagi na RODO, ale także dyrektywę ePrivacy, która dotyczy właśnie cookies i podobnych technologii.

Co to oznacza w praktyce?

  • Nie wystarczy poinformować – musisz faktycznie dać użytkownikowi wybór.
  • Nie możesz ładować cookies przed wyrażeniem zgody – zwłaszcza marketingowych i analitycznych.
  • Zgoda musi być dobrowolna, konkretna i świadoma – użytkownik musi wiedzieć, na co się zgadza.

Jak wygląda poprawny baner cookies?

  • Zawiera informację, że strona używa cookies i dlaczego (np. statystyka, marketing, funkcjonalność).
  • Daje realną możliwość wyboru – np. „Zaakceptuj wszystkie”, „Odrzuć”, „Zmień ustawienia”.
  • Prowadzi do panelu zarządzania zgodą – gdzie użytkownik może w każdej chwili zmienić decyzję.
  • Linkuje do polityki cookies – która opisuje konkretne typy plików, okres ich działania, źródło pochodzenia.

Uwaga: gotowe systemy CMS (jak WordPress) często dają narzędzia do zarządzania cookies, ale nie zawsze spełniają wszystkie wymogi. Warto sprawdzić, czy Twój baner naprawdę blokuje ciasteczka przed wyrażeniem zgody – a nie tylko „ładnie wygląda”.

Certyfikat SSL – nie tylko dla sklepów

Na koniec coś, co wydaje się czysto techniczne, ale ma kluczowe znaczenie dla zgodności z RODO – czyli szyfrowanie połączenia za pomocą certyfikatu SSL (czyli zielona kłódka w pasku przeglądarki).

Dlaczego SSL ma znaczenie dla RODO?

Bo RODO wymaga, by dane były przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo (art. 32). A przesyłanie danych formularzem kontaktowym bez szyfrowania to po prostu proszenie się o kłopoty – nawet jeśli nie masz złych intencji.

Brak SSL oznacza, że:

  • dane mogą być przechwycone przez osoby trzecie (np. na otwartych sieciach Wi-Fi),
  • przeglądarka oznaczy stronę jako „niezabezpieczoną” – co odstrasza użytkowników,
  • łamiesz dobre praktyki i potencjalnie narażasz się na zarzut braku zabezpieczeń danych.

W dzisiejszych czasach większość firm hostingowych oferuje darmowe certyfikaty SSL (np. Let's Encrypt) – i nie ma już wymówki, żeby ich nie używać. Jeśli Twój hosting nie daje takiej opcji – to nie tylko problem techniczny, ale też sygnał, że nie rozumie RODO.

Umowy powierzenia – również na etapie budowy strony

Przejdźmy więc do samej umowy powierzania danych. Spójrz. Wiele osób myśli o RODO dopiero wtedy, gdy strona internetowa działa i zbiera dane użytkowników. W rzeczywistości obowiązki związane z ochroną danych zaczynają się dużo wcześniej – już na etapie projektowania strony i współpracy z wykonawcami. I niestety, właśnie wtedy najczęściej popełniane są błędy, które później mogą słono kosztować.

Dostęp do danych przez wykonawców – nie ignoruj tej fazy

Wyobraź sobie taką sytuację: zlecasz freelancerowi zbudowanie strony na WordPressie. Przekazujesz mu dostęp do hostingu, CMS-a, może też do formularzy kontaktowych albo konta e-mail, by przetestował wysyłkę wiadomości. Z perspektywy RODO – właśnie dałeś mu dostęp do danych osobowych (nawet jeśli strona dopiero powstaje lub nie ma jeszcze ruchu).

To oznacza, że taka osoba staje się podmiotem przetwarzającym dane w Twoim imieniu, a Ty nadal jesteś ich administratorem. A zgodnie z przepisami – jeśli przekazujesz dane osobowe komukolwiek do przetwarzania, musisz zawrzeć z nim umowę powierzenia przetwarzania danych osobowych (art. 28 RODO). I nie ma tu znaczenia, czy to agencja z dużym portfolio, student dorabiający po godzinach czy Twoja znajoma informatyk. Liczy się fakt dostępu do danych, nie status prawny wykonawcy.

Co istotne, nawet jednorazowa współpraca – np. poprawienie formularza kontaktowego, wdrożenie integracji z MailerLite czy dostęp do bazy w celu aktualizacji – podlega tym samym zasadom. Brak umowy powierzenia to nie tylko błąd formalny, ale realne naruszenie przepisów, za które odpowiedzialność ponosisz Ty jako administrator, nie wykonawca.

Co powinna zawierać taka umowa?

RODO dość precyzyjnie określa, jakie elementy musi zawierać każda umowa powierzenia. To nie może być ogólna klauzula typu „obowiązują przepisy RODO” – potrzebne są konkretne ustalenia, które w razie kontroli będą potwierdzeniem, że panujesz nad obiegiem danych.

Oto trzy kluczowe obszary, które powinna opisywać dobra umowa:

1. Zakres i czas dostępu

W umowie należy precyzyjnie określić:

  • do jakich danych wykonawca ma dostęp (np. dane z formularzy kontaktowych, rejestracji, kont użytkowników),

  • na jak długo (np. na czas realizacji projektu + 7 dni na ewentualne poprawki),

  • oraz w jakiej formie (dostęp do CMS, pliki konfiguracyjne, baza danych, konto e-mail itd.).

To nie tylko formalność – dzięki temu możesz kontrolować, czy wykonawca nie trzyma kopii bazy danych na swoim dysku pół roku po zakończeniu współpracy.

2. Cel przetwarzania danych

Cel musi być jasno opisany – np. „w celu stworzenia strony internetowej i przetestowania poprawności działania formularzy kontaktowych”. Tylko wtedy przetwarzanie danych jest zgodne z zasadą ograniczenia celu (RODO art. 5 ust. 1 lit. b).

Uwaga: wykonawca nie może używać danych, do których ma dostęp, w żadnym innym celu – np. do analizy statystyk, testowania własnych wtyczek czy przesyłania oferty handlowej.

3. Zasady usunięcia danych po zakończeniu współpracy

To kluczowy punkt, który często jest pomijany. W umowie należy ustalić:

  • w jakim terminie wykonawca ma usunąć wszystkie dane,
  • w jaki sposób to potwierdzi (np. e-mailowe oświadczenie),
  • oraz co się stanie z ewentualnymi kopiami zapasowymi czy zapisami w pamięci lokalnej.

Brak takich zapisów to ryzyko, że Twoje dane – lub dane Twoich klientów – pozostaną poza Twoją kontrolą. A to już bardzo niebezpieczna sytuacja.

A co z hostingiem? – krótkie przypomnienie

Choć w tym artykule skupiamy się na zgodności strony internetowej z RODO, nie możemy pominąć jednego faktu: Twoja strona musi gdzieś „fizycznie” działać. A tym miejscem jest właśnie hosting – czyli serwer, na którym przechowywane są dane, formularze, e-maile i logi.

Zgodnie z RODO, firma hostingowa jest podmiotem przetwarzającym dane w Twoim imieniu, a Ty jako właściciel strony pozostajesz administratorem danych. To oznacza, że:

  • musisz zawrzeć z hostingiem umowę powierzenia przetwarzania danych,

  • hosting powinien spełniać wymagania bezpieczeństwa i przechowywać dane w UE lub kraju z odpowiednią decyzją Komisji Europejskiej.

Więcej na ten temat znajdziesz w osobnym poradniku: Hosting zgodny z RODO – co to znaczy i jak wybrać?, także: Hosting a zgodność strony WWW z RODO – co musisz wiedzieć?

Czy udało Ci się rozwiązać problem?
Nie znalazłeś odpowiedzi na swoje pytanie?