RODO na stronie internetowej w 2026: czego wymaga prawo, żeby nie dostać kary

Wyobraź sobie, że na skrzynkę przychodzi pismo z UODO z tematem „skarga użytkownika”. Nie z powodu wycieku danych, nie po włamaniu — po prostu nie działa u ciebie przycisk „Odrzuć” w banerze cookies. Człowiek go kliknął, analityka i tak się załadowała, on zrobił zrzut ekranu i wysłał skargę. Masz teraz trzydzieści dni, żeby się wytłumaczyć. To nie wymyślony scenariusz na postraszenie — właśnie za takie drobiazgi w Polsce i całej Europie przychodzą dziś nakazy, bo udowodnić je najłatwiej: otworzyłeś stronę, kliknąłeś przycisk, sprawdziłeś w narzędziach deweloperskich, czy tracker się ładuje.

RODO na stronie internetowej prawie wszyscy rozumieją źle — i to w obie strony. Jedni wieszają baner „Używamy cookies. OK” i uznają, że temat zamknięty, choć taki baner sam w sobie jest naruszeniem. Drudzy w panice wyłączają całą analitykę i działają po omacku, tracąc dane, które wolno im zbierać. Prawda leży pośrodku i jest raczej o inżynierii niż o prawniczym strachu: dobrze ustawiona strona zbiera prawie wszystko, czego potrzeba do wzrostu, i przy tym nie daje urzędowi żadnego punktu zaczepienia.

Ten tekst to praktyczny rozbiór tego, czego strona firmowa w Polsce naprawdę potrzebuje w 2026 roku. RODO na stronie internetowej rozłożymy na konkretną checklistę: baner cookies, polityka prywatności, legalna analityka, formularze i prawdziwe naruszenia, za które karze urząd. Bez lania wody o „wadze ochrony danych” — tylko to, co musi stać na stronie, żebyś spał spokojnie i przy okazji nie oślepł w analityce.

RODO i GDPR to jedno prawo. Nie strasz się dwiema nazwami.

Najpierw zdejmijmy zamieszanie, które kosztuje ludzi dodatkowe pieniądze na „dwóch różnych” prawników. GDPR (General Data Protection Regulation) i RODO (Rozporządzenie o Ochronie Danych Osobowych) to dosłownie to samo ogólnoeuropejskie rozporządzenie, tyle że pod angielską i polską nazwą. Działa wprost we wszystkich krajach Unii, więc podstawowe wymagania wobec polskiej, niemieckiej, hiszpańskiej i każdej innej strony w UE są identyczne. Różnią się tylko drobne krajowe nadbudowy i nazwa organu nadzorczego — w Polsce to UODO, w Niemczech urzędy regionalne i tak dalej.

Co to znaczy w praktyce: jeśli robisz stronę dla polskiej firmy, spełniasz RODO, czyli zarazem GDPR. Jeśli jutro dorzucisz wersję niemiecką albo francuską — fundament jest ten sam, zmienia się tylko język tekstów i kilka lokalnych szczegółów. To zresztą jeden z powodów, dla których wielojęzyczną stronę na rynki UE łatwiej utrzymać w zgodności, niż się wydaje: ramy prawne są wspólne, dublować trzeba treść, a nie logikę zgody.

Rozporządzenie chroni dane osobowe — wszystko, po czym można bezpośrednio lub pośrednio rozpoznać człowieka. I tu pierwsza niespodzianka dla wielu właścicieli: dane osobowe to nie tylko imię i telefon z formularza. To także adres IP, identyfikator cookie i dane o zachowaniu na stronie, które zbiera analityka. Właśnie dlatego historia zaczyna się od najnudniejszego i najczęściej łamanego elementu — od banera cookies.

Baner cookies, który nie łamie prawa (a nie zwykłe „OK”)

Tu skupia się większość kar i niemal wszystkie skargi, bo naruszenie widać gołym okiem. Rozłóżmy na czynniki, czym legalny baner zgody różni się od tej zaślepki, która stoi na większości stron.

Główna zasada RODO: zgoda musi być aktywna, świadoma i tak samo łatwa do wycofania, jak do udzielenia. Z tego wynikają konkretne wymagania, które łatwo sprawdzić:

• Żadnego ładowania trackerów przed zgodą. Google Analytics, Meta Pixel, czat, mapy, osadzone wideo nie mogą ustawiać cookies ani wysyłać danych, dopóki człowiek nie kliknie „Akceptuję”. To najczęstsze i najłatwiejsze do udowodnienia naruszenie: tracker widać w narzędziach deweloperskich jeszcze przed kliknięciem.
• Przycisk „Odrzuć” na tym samym poziomie co „Akceptuję”. Jeśli „Akceptuję” to duży zielony klawisz, a odrzucić można dopiero przez trzy ekrany ustawień, to z definicji nielegalne. Odmowa musi być tak samo prosta jak zgoda.
• Żadnych z góry zaznaczonych checkboxów. Zgody nie wolno domniemywać. Wszystkie kategorie poza ściśle niezbędnymi muszą być wyłączone, dopóki człowiek sam ich nie włączy.
• Granularność po kategoriach. Użytkownik ma prawo zgodzić się na analitykę, a odrzucić marketing. Jeden wspólny przełącznik „wszystko albo nic” urzędy też uznają za problematyczny.
• Możliwość późniejszego wycofania zgody. Gdzieś musi być link lub ikona „Ustawienia cookies”, żeby człowiek mógł zmienić zdanie za miesiąc tak samo łatwo, jak się zgadzał.

Pod wszystkie te wymagania NIE podpada jedna ważna kategoria — ściśle niezbędne cookies. Koszyk w sklepie, sesja logowania do panelu, zapamiętanie wybranego języka, ochrona formularza przed botami — dla nich zgoda nie jest potrzebna, bo bez nich strona fizycznie nie działa. Można i trzeba je ładować od razu. Problem prawie nigdy nie leży w nich, tylko w analityce i pikselach marketingowych, które podłącza się z rozpędu i zapomina schować za zgodą.

Prosty test dla twojej obecnej strony: otwórz ją w trybie incognito, nic nie klikając w banerze, i zajrzyj do zakładki Network w narzędziach deweloperskich. Jeśli przed kliknięciem ładują się google-analytics, facebook, doubleclick albo coś podobnego — już naruszasz prawo, i widzi to każdy, kto zechce się poskarżyć.

Polityka prywatności: nie szablon z sufitu, a mapa twoich danych

Drugi obowiązkowy element to polityka prywatności i tu typowy błąd jest odwrotny niż przy banerze. Przy banerze firma robi za mało, a przy polityce — przeciwnie, kopiuje cudzy tekst i myśli, że załatwiła sprawę. Urząd po skardze porównuje to, co napisano w polityce, z tym, co strona robi naprawdę, i właśnie rozjazd łapie jako pierwszy.

Działająca polityka prywatności odpowiada na proste pytania o twoją stronę, a nie o jakąś abstrakcyjną:

• Jakie dane zbierasz (imię, e-mail, telefon z formularzy; IP i zachowanie przez analitykę).
• Na jakiej podstawie (zgoda, wykonanie umowy, uzasadniony interes).
• Po co dokładnie — cel każdego zbierania.
• Komu przekazujesz — lista usług zewnętrznych: jaką masz analitykę, newsletter, CRM, operatora płatności, hosting.
• Jak długo przechowujesz i jak człowiek może zażądać usunięcia swoich danych lub ich kopii.
• Kontakt do osoby odpowiedzialnej za dane.

Słowem kluczem jest tu twoje narzędzia. Skopiowana od sąsiada polityka prawie na pewno wymienia nie te usługi, które masz, albo pomija te, które stoją. Podłączyłeś Meta Pixel, a w polityce go nie ma — naruszenie. Napisałeś o Mailchimpie, a wysyłasz przez inną usługę — też. Wygenerowany szablon nadaje się jako szkielet, ale trzeba go koniecznie dociągnąć do realiów konkretnej strony. Z naszego doświadczenia to właśnie najczęstsza poprawka, gdy ktoś przychodzi z gotową stroną „do ogarnięcia pod RODO”.

Legalna analityka: jak widzieć liczby i nie łamać prawa

Teraz najbardziej praktyczna rzecz — jak zbierać dane o ruchu, nie zamieniając strony w prawną minę. Bo ślepa firma przegrywa: bez analityki nie wiesz, które podstrony działają, skąd przychodzą klienci i co naprawiać. Dobra wiadomość — legalnych dróg jest kilka.

Droga pierwsza: Google Analytics za zgodą. GA4 w Europie używać można. Warunki: ładujesz go dopiero po kliknięciu „Akceptuję”, włączasz tryb zgody (Consent Mode) i anonimizację, uczciwie opisujesz przekazywanie danych w polityce. To działający wariant, jeśli potrzebujesz głębokiej analizy, remarketingu i spięcia z reklamą. Minus — złożoność konfiguracji, plus część użytkowników klika „Odrzuć” i tych wizyt w GA nie zobaczysz w ogóle.

Droga druga, którą doradzamy częściej: analityka bez cookies. Plausible, Umami, Matomo i podobne narzędzia liczą ruch, nie ustawiając cookies i nie zbierając danych osobowych w zwykłym sensie. Dla podstawowych metryk — ile wizyt, skąd, które podstrony są popularne — w wielu konfiguracjach nie potrzebują banera zgody w ogóle, bo nie ma czego zbierać. To zdejmuje sporą część ryzyka prawnego za jednym zamachem i przy okazji przyspiesza stronę, bo kod takiej analityki jest lżejszy. Szczegółowo opisaliśmy to podejście w materiale o analityce bez cookies — dla większości stron firmowych, którym potrzebne są liczby wzrostu, a nie skomplikowany remarketing, to spokojny wybór domyślny.

Porównajmy na prosto, żeby widać było kompromis:

Kryterium	Google Analytics (GA4)	Analityka bez cookies
Potrzebny baner zgody	Tak, obowiązkowo	Często nie
Głębia danych	Wysoka, do poziomu użytkownika	Podstawowa, po wizytach
Remarketing i spięcie z reklamą	Tak	Nie
Udział „utraconych” przez odmowę	Zauważalny	Zerowy
Ryzyko prawne	Wyższe, trzeba uważnej konfiguracji	Niższe
Wpływ na szybkość	Cięższe	Lżejsze

Wybór zależy od tego, czego naprawdę potrzebujesz. Odpalasz płatną reklamę i liczysz lejek aż do kliknięcia — wtedy GA za zgodą się broni. Chcesz po prostu rozumieć, czy rośniesz i co naprawiać — analityka bez cookies zamknie to z mniejszym ryzykiem i mniejszą szarpaniną wokół zgody.

Formularze i przetwarzanie danych: gdzie wycieka zaufanie

Każdy formularz na stronie — kontakt, zapytanie, zapis na newsletter — to zbieranie danych osobowych, i RODO traktuje go ściśle. Jest tu kilka reguł, łatwych do spełnienia, a często zapominanych.

Pod każdym formularzem zbierającym kontakt musi stać wyraźna informacja: krótko, na co człowiek się zgadza, i link do polityki prywatności. Dla newslettera marketingowego potrzebna jest osobna aktywna zgoda — nie wypełniona z góry, nie „zgadzam się na wszystko naraz”. Zapytanie o usługę człowiek zostawia na podstawie uzasadnionego interesu lub przyszłej umowy, ale dopisać go do newslettera bez osobnej zgody już nie wolno.

Dalej — technika, o której zapomina się najczęściej. Dane z formularza muszą iść po szyfrowanym połączeniu (HTTPS to od dawna nie opcja), być przechowywane tam, gdzie masz do nich legalny dostęp, i nie leżeć na przykład w otwartym arkuszu Google, do którego dostęp ma pół biura. Jeśli formularz wysyła zapytania do komunikatora albo CRM, ta usługa też musi być wymieniona w polityce jako odbiorca danych. Opisywaliśmy, jak działają formularze kontaktowe, które naprawdę konwertują — i zgodność z RODO wcale tam nie kłóci się z konwersją, a jej pomaga: zrozumiały formularz z uczciwym mikrotekstem o danych budzi więcej zaufania, nie mniej, zwłaszcza u europejskiej publiczności, która jest do tego przyzwyczajona.

I jeszcze jeden szczegół: antyspam. reCAPTCHA od Google też ustawia trackery i formalnie podpada pod zgodę. Alternatywa to pole typu honeypot (niewidzialna pułapka na boty), które nie zbiera danych i nie wymaga banera. W naszych projektach domyślnie stawiamy właśnie taki wariant: formularz jest chroniony przed botami i nie dorzuca linijki do listy „co trzeba uzgodnić”.

Częste naruszenia i kary: za co realnie obrywa biznes

Pomówmy uczciwie o pieniądzach, bo wokół kar RODO krąży dużo strachów. Górna granica rozporządzenia jest faktycznie dramatyczna — do 20 mln euro lub 4% rocznego światowego obrotu, w zależności od tego, co większe. Ale to pułap dla dużych, umyślnych, masowych naruszeń w stylu wycieku danych milionów użytkowników. Do strony-wizytówki czy niedużego sklepu internetowego stosuje się to wyjątkowo rzadko.

Rzeczywistość małej firmy jest skromniejsza i bardziej przewidywalna. Najczęściej scenariusz wygląda tak: użytkownik się skarży, urząd przysyła nakaz usunięcia uchybienia, i jeśli je usuwasz — na tym się kończy. Kary za drobiazgi liczone są zwykle w tysiącach, rzadziej w dziesiątkach tysięcy złotych lub euro, a ich waga mocno zależy od tego, czy naprawiłeś problem po skardze i czy nie było złej woli. Wedle branżowych obserwacji typowy „drobny” przypadek to nie ruina, a przykrość plus pilna przeróbka pod nadzorem. Ale właśnie tej przykrości najtaniej jest nie dopuścić.

Oto za co realnie obrywa mały i średni biznes — według malejącej częstości:

1. Trackery ładują się przed zgodą. Najczęstsze i najłatwiejsze do udowodnienia. Otworzył stronę, spojrzał w Network — naruszenie widać od razu.
2. Brak przycisku „Odrzuć” albo jest ukryty. Baner „tylko OK” lub odmowa przez labirynt ustawień.
3. Brak polityki prywatności albo jest nie o tej stronie. Skopiowany tekst, który rozjeżdża się z rzeczywistością.
4. Zgoda marketingowa wypełniona z góry lub wszyta we wspólny checkbox. Zapis bez osobnej, aktywnej zgody.
5. Usługi-odbiorcy niewymienione. Pixel, czat, newsletter stoją, a w polityce ich nie ma.

Zauważ prawidłowość: prawie wszystko na tej liście to nie „ochrona danych” w wysokim sensie, a konkretne elementy interfejsu i kilka linijek kodu. To właśnie dobra wiadomość. Zgodność z RODO dla typowej strony firmowej jest zadaniem inżynierskim i skończonym, a nie bezdenną prawniczą studnią.

RODO na stronie internetowej bez ślepej analityki: działająca konfiguracja

Główny lęk właściciela brzmi tak: „Jeśli wszystko schowam za zgodą, połowa ludzi kliknie »Odrzuć« i oślepnę”. To rozwiązywalne, i rozwiązuje się bez naruszeń.

Po pierwsze, analityka bez cookies wyprowadza podstawowe metryki spod zgody — widzisz ruch po wszystkich wizytach, a nie tylko po tych, którzy się zgodzili. Dla większości stron to wystarczy, żeby rozumieć wzrost i naprawiać wąskie gardła. Po drugie, nawet na GA mądra konfiguracja trybu zgody pozwala zbierać zanonimizowaną, zagregowaną statystykę o tych, którzy odmówili — bez danych osobowych, ale z poczuciem skali. Po trzecie, konwersje przypięte do samych działań (wysłał formularz, doszedł do strony z podziękowaniem) często da się liczyć bez trackerów po stronie klienta w ogóle.

Konfiguracja, którą domyślnie stawiamy w projektach i która trzyma i prawo, i widoczność, wygląda tak:

1. Ściśle niezbędne cookies ładują się od razu — sesja, język, ochrona formularzy. Strona działa od pierwszej sekundy.
2. Baner zgody z uczciwym przyciskiem „Odrzuć” na jednym poziomie z „Akceptuję” i granularnością po kategoriach.
3. Analityka bez cookies jako baza — ruch widać zawsze, baner dla niej w wielu przypadkach nie jest potrzebny.
4. GA lub Pixel — tylko jeśli firmie naprawdę potrzebny remarketing, i wyłącznie za zgodą, z Consent Mode.
5. Antyspam bez trackerów na formularzach, żeby nie mnożyć zbędnych uzgodnień.
6. Polityka prywatności napisana pod realny stack strony, z listą właśnie twoich usług.

To nie teoria — tak właśnie składamy strony, żeby klient nie wybierał między „zgodnie z prawem” a „widzę liczby”. Przy okazji wiele z tych decyzji zarazem przyspiesza stronę: mniej ciężkich zewnętrznych skryptów to lepsze Core Web Vitals (LCP, INP, CLS), a więc i pozycje w wyszukiwarce. Zgodność i szybkość ciągną tu w jedną stronę, a nie w różne.

I jeszcze jedno, o czym się zapomina, traktując RODO jako osobny temat: dostępność. Baner zgody musi dać się obsłużyć z klawiatury i być czytelny dla czytnika ekranu — inaczej ryzykujesz, że naruszysz jednocześnie i przepisy o zgodzie, i wymogi dostępności, które w UE od 2025 roku stały się ostrzejsze. Ten sam interfejs, który robisz uczciwym dla urzędu od danych, rozsądnie od razu zrobić uczciwym i dla użytkownika z niepełnosprawnością.

Od czego zacząć w tym tygodniu

Jeśli masz już stronę i nie masz pewności, czy jest w porządku, nie trzeba przepisywać wszystkiego naraz. Według malejącego zwrotu i prostoty:

1. Otwórz swoją stronę w incognito i sprawdź Network przed kliknięciem banera. Ładują się trackery? Jeśli tak — to pierwsza rzecz do naprawy.
2. Sprawdź przycisk „Odrzuć”. Czy w ogóle jest, czy na jednym poziomie z „Akceptuję”, czy naprawdę blokuje trackery. Kliknij i znów spójrz w Network.
3. Otwórz swoją politykę prywatności i porównaj z listą tego, co realnie stoi na stronie. Wszystkie usługi wymienione? Nie ma zbędnych z cudzego szablonu?
4. Spójrz na formularze. Czy jest link do polityki, czy osobna zgoda na newsletter, czy dane idą po HTTPS.
5. Zdecyduj o analityce. Czy potrzebny ci remarketing, czy wystarczą uczciwe liczby ruchu bez cookies — od tej odpowiedzi zależy, jak skomplikowany będzie twój baner.

Zrób te pięć sprawdzeń, a zamkniesz przytłaczającą większość realnych ryzyk, za które karze się małą firmę. Reszta to już dostrajanie, a nie dziury, w które się wpada.

Kto w efekcie śpi spokojnie

Wróćmy do pisma z UODO z pierwszego akapitu. Firma, której baner ładuje trackery dopiero po zgodzie, u której przycisk „Odrzuć” działa, polityka opisuje realny stack, a formularze są złożone uczciwie — na taką skargę odpowiada jednym akapitem i zrzutem ekranu, i historia się zamyka. Firma, która powiesiła „OK” i zapomniała, odpowiada przeróbką pod nadzorem i nerwami.

Różnica między nimi nie polega na tym, kto bardziej boi się prawa. Polega na tym, kto potraktował RODO jako zadanie inżynierskie z czytelną checklistą, a nie jako papierowe zaklęcie czy pretekst do paniki. Dobrze złożona strona zbiera prawie wszystkie dane potrzebne do wzrostu, nie daje urzędowi żadnej zaczepki i przy okazji ładuje się szybciej. A źle złożona płaci dwa razy: raz za przeróbkę po skardze, drugi — ślepotą w analityce, bo w strachu wyłączyła to, co wolno było zbierać. RODO na stronie internetowej w 2026 roku to nie jest temat o tym, żeby mniej wiedzieć o swoich klientach. To temat o tym, żeby wiedzieć dokładnie tyle, ile wolno, i spać spokojnie.