Strona firmowa bez audytu RODO i GDPR w 2026 roku to bezpośrednie ryzyko prawne i finansowe. W praktyce każda strona z formularzem kontaktowym, Google Analytics, Facebook Pixel lub cookies w ogóle podlega ścisłym wymaganiom EU. Kary w PL idą do 20 milionów EUR lub 4 procent globalnego przychodu (która z kwot wyższa), w DE praktyka egzekucji jest dwukrotnie ostrzejsza niż w PL. Ten artykuł rozkłada audyt RODO i GDPR dla strony firmowej na konkretne listy kontrolne dla rynków PL i DE.
RODO w PL vs DSGVO w DE: różnice w 2026
RODO i DSGVO (Datenschutz-Grundverordnung) to to samo rozporządzenie EU (GDPR 2016/679). Różnica w implementacji za kraj wynika z krajowych ustaw wdrażających plus orzecznictwa krajowych organów ochrony danych: UODO (Urząd Ochrony Danych Osobowych) w PL, BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) plus 16 LfDI (za Bundesland) w DE.
Praktyczna różnica: DE jest ostrzejsze w trzech wymiarach. Po pierwsze, DE ma osobny Telemediengesetz (TTDSG) regulujący cookies i technologie śledzące bardziej szczegółowo niż polskie Prawo telekomunikacyjne. Po drugie, DE ma osobny obowiązek Impressum (Anbieterkennzeichnung) wymagany pod TMG paragraf 5: pełna nazwa firmy, adres, NIP DE, wpis do rejestru, dane kontaktowe. Po trzecie, federalna struktura DE oznacza, że egzekucja może iść z 17 różnych organów ochrony danych równolegle.
Praktyka kar: w PL w 2024 UODO nałożył kary w sumie 3.2 mln EUR (33 decyzje), największa pojedyncza 1.2 mln EUR (Morele.net za niewystarczające środki bezpieczeństwa). W DE w 2024 federal i state LfDI nałożyli kary na sumę 56 mln EUR (188 decyzji), największa pojedyncza 35 mln EUR (H&M Germany za nadmierny nadzór nad pracownikami).
Trend 2024-2026: zwiększona egzekucja w sektorze MŚP, nie tylko enterprise. UODO w PL ostatnio nakłada kary 5-50k PLN na firmy z 10-50 pracownikami za brak zgody na cookies lub niewystarczające polityki prywatności. Wcześniej praktyka była skupiona na enterprise (większe kary, więcej rozgłosu). Audyt prewencyjny jest tańszy niż reaktywna obrona.
Audyt obejmuje zgodność z oboma reżimami dla klientów z operacjami Niemiec, Austrii i Szwajcarii+PL. Dla klientów tylko PL audyt fokus na wytycznych UODO plus ogólnym GDPR. Dla klientów tylko DE audyt fokus na BfDI plus odpowiednich wytycznych LfDI plus TTDSG. Pełen audyt strony WWW w naszym Poziomie 2 lub 3 zawiera sekcję zgodności RODO.
Dodatkowo dla klientów świadczących usługi w sektorze B2B EU: art. 26 RODO scenariusze współadministrowania. Jeśli strona używa osadzonych Google Maps z Driving Directions, wtyczek Facebook lub LinkedIn Wniosek Tag, automatycznie wchodzimy w relację współadministrowania z platformami. Nasz audyt identyfikuje przypadki współadministrowania i flaguje wymóg podpisania umów współadministrowania.
10 obligatoryjnych dokumentów na stronie
Strona firmowa w EU musi zawierać 10 obligatoryjnych dokumentów lub elementów RODO. Brakujący element to potencjalne znalezisko w audycie organu nadzorczego i podstawa do kary.
Pierwszy: polityka prywatności (Datenschutzerklärung w DE). Wymagane: nazwa administratora, dane kontaktowe IOD jeśli wymagany, cele przetwarzania, podstawy prawne za cel, kategorie odbiorców, okresy retencji, prawa użytkowników (8 praw: dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszalność, cofnięcie zgody, skarga do organu nadzorczego), informacja o transferach do państw trzecich.
Drugi: polityka cookies plus interfejs zgody. Cookies wymagają zgody przed załadowaniem (NIE wstępnie zaznaczone). Polityka cookies zawiera listę cookies za kategoria (niezbędne, funkcjonalne, analityczne, marketingowe), cel, czas trwania, źródła zewnętrzne. Interfejs zgody musi pozwolić zaakceptować wszystkie, odrzucić wszystkie, zarządzać preferencjami za kategoria (NIE tylko przycisk „akceptuj”). Telemediengesetz w DE wymaga aby przyciski akceptacji i odrzucenia były równie wyraźne.
Trzeci: regulamin (warunki świadczenia usług). Dla sklepie internetowym obligatoryjny (Konsumentenrecht plus Bürgerliches Gesetzbuch w DE, Kodeks cywilny w PL). Dla typowej strony biznesowej z formularzem kontaktowym dobra praktyka, nie zawsze obligatoryjny.
Czwarty: Impressum (DE obligatoryjne pod TMG paragraf 5). Pełna nazwa firmy, adres, NIP DE (USt-IdNr), wpis do Handelsregister (numer HRB), dane kontaktowe (telefon, email), osoba odpowiedzialna za treść (Verantwortlich nach Paragraph 18). Brak Impressum w DE to natychmiastowe Abmahnung (wezwanie) z kosztem prawnym 500-2000 EUR.
Piąty: formularz do realizacji praw użytkowników (dostęp, sprostowanie, usunięcie). Może być przez email kontaktowy plus osobny formularz. Rekomendujemy osobny formularz z auto-potwierdzeniem i czasem odpowiedzi 30 dni.
Pozostałe pięć: szablon umowy powierzenia (Auftragsverarbeitungsvertrag w DE) dla każdego narzędzia zewnętrznego przetwarzającego dane osobowe, informacja GDPR w zapisie do miesięczne notatki, w polach formularzy, w kasie, mechanizm powiadamiania o aktualizacji listy podprocesorów (jeśli aktualizujesz narzędzia), procedura zgłaszania naruszeń (wymagane w 72 godziny), Rejestr Czynności Przetwarzania (RCP/ROPA) do wewnętrznej dokumentacji.
Krytyczne: dokumentacja RCP jest wymagana nawet dla MŚP (art. 30 GDPR), chociaż firmy poniżej 250 pracowników mają węższe wymagania. Rekomendujemy minimum: arkusz z listą wszystkich czynności przetwarzania (np. „zapis do miesięczne notatki”, „wysłanie formularza kontaktowego”, „obsługa zamówienia WooCommerce”, „śledzenie Google Analytics”), za czynność: cel, podstawa prawna, kategorie danych, retencja, odbiorcy, transfery, środki techniczne. Audyt dostarcza szablon RCP do dostosowania.
Plus wyznaczenie IOD: art. 37 GDPR wymaga Inspektora Ochrony Danych dla: organów publicznych, podstawowych działalności obejmujących systematyczny monitoring na dużą skalę, podstawowych działalności obejmujących przetwarzanie szczególnych kategorii na dużą skalę. Większość MŚP NIE musi mieć formalnego IOD, ale powinna wyznaczyć osobę kontaktową dla zapytań związanych z GDPR. Audyt weryfikuje czy kontakt w polityce prywatności jest aktualny i dostępny.
Zgoda na cookies: 4 podejścia
Interfejs zgody na cookies to najbardziej widoczny element zgodności RODO na stronie. Cztery główne podejścia z różnymi kompromisami.
Pierwsze: Complianz darmowa wtyczka (WordPress). Rekomendowane dla 95 procent przypadków MŚP w PL i DE. Wersja darmowa pokrywa: auto-wykrywanie cookies, wsparcie wielojęzyczne, tryby zgodności GDPR plus TTDSG plus CCPA, integrację z Google Consent Mode v2. Wdrożenie 30-60 minut. Wersja Pro (39 EUR/rok) dodaje warianty zgody za region i testy A/B stylów przycisków.
Drugie: CookieYes płatne (10 USD/mc). Czystszy UX niż Complianz, lepsza obsługa wielu języków, codzienne auto-skanowanie, dashboard chmurowy z analityką zgód. Rekomendujemy dla klientów z 5+ wersjami językowymi albo dużym ruchem gdzie wskaźnik zgody na analitykę ma znaczenie (Niemiec, Austrii i Szwajcarii B2C 30-50 procent wskaźnik zgody vs B2B 60-80 procent).
Trzecie: Cookiebot (Cybot) 7-94 USD/mc. Poziom enterprise, najwyższe certyfikaty zgodności (CCPM, IAB TCF, GPC), używane przez większe organizacje (banki, służba zdrowia, sektor publiczny). Przesada dla typowej strony biznesowej, uzasadnione gdy wymagany jest korporacyjny audyt zgodności.
Czwarte: własne rozwiązanie. NIE rekomendowane chyba że są specyficzne wymagania (np. synchronizacja zgody między domenami, własny UX dla marki, specjalna rezydencja danych). Własne rozwiązanie wymaga utrzymania aktualizacji zgodności (Schrems II, aktualizacje TCF, nowe wytyczne regulatorów) co kwartał, co zżera czas developera.
Prawdziwy przykład u klienta z branży prawnej: blokada zgody na cookies wykryta w audycie. Naprawa: Complianz darmowy plus konfiguracja skanu, 30 minut. Lekcja: nawet firma świadcząca usługi prawne może mieć blokadę zgodności cookies, nie zakładaj że „my mamy zgodność” bez konkretnego audytu.
Pułapka analityki przyjaznej GDPR: Google Consent Mode v2 (od marca 2024) wymaga jawnych sygnałów boolean (granted/denied) dla 4 kategorii zgody: ad_storage, analytics_storage, ad_user_data, ad_personalization. Brak właściwej konfiguracji Consent Mode v2 oznacza, że Google Analytics 4 traci 20-40 procent danych ruchu po kliknięciu odrzucenia w bannerze cookies. Audyt weryfikuje konfigurację Consent Mode v2 w Google Tag Manager plus konfigurację za region (EU vs reszta świata).
Śledzenie i analityka
Śledzenie i analityka to drugi największy obszar zgodności RODO na typowej stronie. Cztery konkretne wymagania.
Google Analytics 4 wymaga zgody NA POCZĄTKU (przed załadowaniem skryptu GA). Google Consent Mode v2 (od marca 2024) wymaga jawnej zgody użytkownika dla parametrów ad_storage, ad_user_data, ad_personalization, analytics_storage. Bez konfiguracji Consent Mode GA4 traci 20-40 procent danych ruchu plus narusza GDPR. Anonimizacja IP MUSI być włączona, ale w GA4 jest domyślnie.
Server-side GTM jako optymalizacja: redukuje liczbę skryptów zewnętrznych wykonujących się w przeglądarce z 8-15 do 1-2, co plus poprawia wydajność (INP, LCP) plus daje większą kontrolę nad danymi wysyłanymi do Google. Rekomendujemy server-side GTM dla klientów z 50k+ wizyt miesięcznie, gdzie jakość analityki ma znaczenie.
Plausible Analytics i Fathom jako alternatywa dla GA4: pseudonimowa analityka zgodna z EU bez wymogu zgody. Cena 9-19 USD/mc. Rekomendujemy Plausible dla klientów którzy chcą uniknąć narzutu zgody na cookies i akceptują mniej szczegółowe dane niż GA4.
Facebook Pixel (Meta Pixel) jest najwyższego ryzyka. Implikacje Schrems II plus agresywne zbieranie danych plus brak adekwatnego wykonania Standard Contractual Clauses. Rekomendujemy: jeśli Meta Pixel jest krytyczny dla marketingu performance, użyj podejścia server-side (Facebook Conversions API) zamiast client-side Pixel, plus jawnej zgody z ramą TCF 2.2.
Formularze i kontakt: lista kontrolna RODO
Każdy formularz na stronie zbiera dane osobowe i podlega RODO. Lista kontrolna 5 punktów dla każdego formularza.
Pierwszy: jawny checkbox zgody (NIE wstępnie zaznaczony) dla każdego konkretnego celu. Nie wystarczy „wyrażam zgodę na przetwarzanie danych”, musi być za cel: odpowiedź na kontakt, miesięczne notatki marketingowy, udostępnienie danych stronom trzecim. Łączenie zgód jest naruszeniem GDPR (wymóg granularności).
Drugi: informacja przed wysłaniem o: celu przetwarzania, podstawie prawnej (umowa, zgoda, uzasadniony interes), retencji, odbiorcach (lista narzędzi zewnętrznych), 8 prawach użytkownika, link do pełnej polityki prywatności. Może być rozwijana sekcja pod formularzem.
Trzeci: podstawa prawna wprost podana. Dla typowego formularza kontaktowego: art. 6(1)(a) GDPR zgoda dla miesięczne notatki, art. 6(1)(b) wykonanie umowy dla zapytania ofertowego, art. 6(1)(f) uzasadniony interes dla komunikacji uzupełniającej. Audyt sprawdza czy podstawa jest udokumentowana w polityce.
Czwarty: umowa powierzenia z dostawcą formularza (Brevo, Mailchimp, ActiveCampaign, HubSpot). Wszyscy główni dostawcy oferują standardowy szablon DPA do podpisu. Bez podpisanej DPA z dostawcą firma jest współadministratorem, co zwiększa ekspozycję.
Piąty: automatyczny email potwierdzający po wysłaniu z informacją co zostało zebrane i link do realizacji praw. Pomaga w wykazaniu zgodności plus daje użytkownikowi natychmiastowe potwierdzenie że wysyłka się powiodła.
Przechowywanie i transfery danych poza EU
Transfery danych poza EU to najbardziej złożony obszar RODO po Schrems II (Trybunał Sprawiedliwości 2020). Narzędzia z USA wymagają Standard Contractual Clauses (SCC) plus dodatkowych środków.
Microsoft 365 i Google Workspace: oba oferują SCC w konfiguracjach rezydencji danych EU. Audyt sprawdza czy SCC są podpisane plus czy rezydencja danych jest skonfigurowana na regionach EU (Frankfurt, Dublin, Warszawa zamiast US Central).
Brevo (dawniej Sendinblue), Mailchimp, ConvertKit: większość oferuje opcję serwerów EU lub SCC + listę podprocesorów EU. Używamy Brevo standardowo dla klientów EU dla pełnej rezydencji danych EU bez transferu do USA.
OpenAI API, Anthropic API, ChatGPT (jako narzędzia): jeśli używasz w procesie biznesowym przetwarzającym dane klientów, sprawdź wstępnie podstawę prawną plus podpisaną DPA. OpenAI Enterprise oferuje rezydencję danych EU plus zero retencji plus podpisaną DPA. W naszym asystencie AI V0.1 dla klientów: zerowa retencja domyślnie, dane klienta nieużywane do treningu, endpointy API w regionie EU.
Anthropic Claude API ma podobny standard: zerowa retencja dla wywołań API, dane nieużywane do treningu, wsparcie regionu EU, podpisana DPA na żądanie. Anthropic plus OpenAI razem pokrywają około 95 procent zastosowań LLM w typowych wdrożeniach asystenta AI V0.1. Audyt dla stron z AI sprawdza czy DPA z dostawcą LLM jest podpisana plus czy konfiguracja używa regionów EU.
Audyt RODO: co dostajesz
Raport z audytu RODO jest strukturyzowany jak inne nasze audyty: PDF z znaleziskami, priorytetyzacją, rekomendacjami naprawy.
Znaleziska podzielone na kategorie: zgoda na cookies (typowo 3-7 znalezisk), formularze (typowo 2-5), śledzenie (typowo 4-8), dokumenty (typowo 3-5 brakujących), transfery (typowo 2-4), umowy powierzenia (typowo 5-12). Plus priorytet P0 (bloker prawny), P1 (znacząca ekspozycja), P2 (drobne), P3 (dobra praktyka).
Lista narzędzi zewnętrznych ze statusem zgodności: za narzędzie, czy SCC podpisane, czy rezydencja danych EU, czy ostatni przegląd dokumentacji. Pomaga w rozumieniu mapy ryzyka.
Rekomendowane naprawy za znalezisko z konkretnym planem wdrożenia: wtyczka do instalacji (Complianz, CookieYes), szablon polityki prywatności do dostosowania, szablony umów powierzenia, przewodnik konfiguracji server-side GTM.
Plus opcjonalnie: 1 godzina rozmowy konsultacyjnej z doradcą prawnym jeśli klient nie ma własnego (współpracujemy z 2 kancelariami prawnymi w Szczecinie i Warszawie specjalizującymi się w GDPR). Plus 30 dni wsparcia mailowego dla pytań uzupełniających o konkretnych znaleziskach.
Krytyczna praktyczna obserwacja z 30+ audytów RODO: większość firm myśli, że ma zgodność bo „wpadł szablon polityki prywatności 3 lata temu z generatora online”. W praktyce: 80 procent stron ma minimum 3-5 znalezisk P1, 50 procent ma minimum 1 znalezisko P0 (bloker zgodności). Prawdziwy audyt kosztuje 1500-3000 PLN, naprawa wszystkich znalezisk typowo 2-6 godzin dodatkowej pracy. Versus ekspercka opinia prawna plus przygotowane dokumenty od kancelarii 5000-15000 PLN. Audyt jest najefektywniejszą formą prewencyjnej zgodności dla MŚP.
FAQ
Mam tylko formularz kontaktowy, czy potrzebuję pełnej polityki?
Tak. Email jest daną osobową pod GDPR. Każda strona zbierająca email (zapis do miesięczne notatki, formularz kontaktowy, pobranie materiału) wymaga: polityki prywatności dostępnej ze stopki, jawnej zgody jeśli miesięczne notatki, umowy powierzenia z dostawcą formularza/maila.
CookieYes vs Complianz, który lepszy?
Complianz darmowy pokrywa 95 procent przypadków dla MŚP w PL i DE. CookieYes ma czystszy UX i lepszą wielojęzyczność, ale 10 USD/mc kosztu. Domyślnie Complianz dla budżetów do 100 EUR/mc, CookieYes dla dużego ruchu albo wielojęzycznego 5+ języków gdzie optymalizacja wskaźnika zgody ma znaczenie.
Email marketing podwójne potwierdzenie obligatoryjne?
Tak w PL i DE. Pojedyncze potwierdzenie (użytkownik wpisuje email, automatycznie zapisany) jest naruszeniem GDPR. Podwójne potwierdzenie (użytkownik wpisuje email, dostaje email potwierdzający z linkiem, klika link żeby potwierdzić zapis) jest standardem. Wszystkie główne narzędzia mailowe (Brevo, Mailchimp, ConvertKit) obsługują podwójne potwierdzenie domyślnie.
Audyt RODO ile kosztuje?
1500-3000 PLN dla typowej strony MŚP w PL. Nasz Poziom 2 (1500 PLN) zawiera podstawowy audyt RODO jako część szerszego audytu. Dedykowany audyt RODO (2000-2500 PLN) dla głębszej analizy z przeglądem wszystkich narzędzi zewnętrznych, umów powierzenia i Rejestru Czynności Przetwarzania.
Jeśli chcesz audyt RODO dla swojej strony, napisz do nas z adresem strony plus informacją o rynkach (PL only, Niemiec, Austrii i Szwajcarii, EU inne). Standardowy czas realizacji 5-7 dni roboczych. Dla projektów z terminem (np. przed startem nowej strony lub po incydencie naruszenia danych), prosimy o wczesne zgłoszenie. Dla klientów z operacjami Niemiec, Austrii i Szwajcarii dodatkowo weryfikujemy zgodność z Telemediengesetz (TTDSG) plus Bundesdatenschutzgesetz (BDSG) jako rozszerzenie na bazową zgodność GDPR. Standardowy pakiet PL plus DE audyt zgodności kosztuje 2500-3500 PLN w zależności od zakresu.