RODO / GDPR

Polityka prywatności

RODO obowiązuje od 2018 roku - ale większość polskich stron wciąż nie spełnia wymogów. Polityka prywatności to obowiązkowy dokument, który informuje użytkowników o tym, jak przetwarzasz ich dane osobowe. Źle napisana to ryzyko kary do 20 milionów euro lub 4% rocznego obrotu. Dobrze napisana - buduje zaufanie i chroni Twój biznes.

Zamów politykę prywatności Regulaminy

RODO w praktyce - co naprawdę musisz wiedzieć

RODO (GDPR) nie jest straszne - jest logiczne. W skrócie: musisz powiedzieć ludziom, co robisz z ich danymi, i mieć legalną podstawę do ich przetwarzania. Problem w tym, że większość firm nie wie, jakie dane zbiera (GA4, Facebook Pixel, formularze, cookies, newsletter, CRM - to wszystko dane osobowe), nie ma prawidłowych klauzul informacyjnych i nie prowadzi rejestru czynności przetwarzania (obowiązkowy wg art. 30 RODO).

Kary UODO rosną. W 2023 roku UODO (Urząd Ochrony Danych Osobowych) nałożył dziesiątki kar, w tym wielomilionowe. Najczęstsze przyczyny: brak klauzul informacyjnych, przetwarzanie danych bez podstawy prawnej, brak umów powierzenia (DPA) z procesorami (hosting, mailing, GA4, Facebook), brak reakcji na prawa osób (prawo dostępu, usunięcia, przeniesienia). UODO kontroluje nie tylko duże firmy - kontrole dotykają również małe e-commerce i usługodawców.

Nasza usługa: pełna dokumentacja RODO dostosowana do Twojego biznesu, Twoich narzędzi i Twojego modelu przetwarzania danych. Nie szablon z internetu - dokument, który realnie odzwierciedla to, co robisz z danymi, i chroni Cię przed karami.

Co przygotowujemy w ramach RODO compliance?

Polityka prywatności

Dokument informacyjny zgodny z art. 13/14 RODO: tożsamość administratora, cele i podstawy przetwarzania, kategorie danych, odbiorcy (procesory), transfery do państw trzecich (USA - GA4, Meta), okres przechowywania, prawa osób. Pisana prostym językiem - nie prawniczym bełkotem.

Polityka cookies

Jakie cookies i trackery używasz (GA4, Facebook Pixel, HotJar, reklamy), cele (analityka, remarketing, personalizacja), okres życia, jak zarządzać zgodami. Zintegrowana z cookie banerem i Consent Mode.

Rejestr czynności przetwarzania

Obowiązkowy wg art. 30 RODO: jakie dane, w jakim celu, na jakiej podstawie, komu udostępniasz, jak długo przechowujesz. Mapujemy WSZYSTKIE procesy przetwarzania danych w Twojej firmie - od formularza kontaktowego po CRM i Google Analytics.

Umowy powierzenia (DPA)

Data Processing Agreement z każdym procesorem: hosting, mailing (Mailchimp, SendGrid), analytics (Google), reklamy (Meta, TikTok), CRM, landing page builders. Bez DPA przetwarzasz dane nielegalnie - nawet jeśli masz politykę prywatności. Weryfikujemy i negocjujemy DPA z dostawcami.

Klauzule zgód i checkboxy

Prawidłowe klauzule zgód: newsletter, marketing, profilowanie, przekazywanie danych partnerom. Oddzielny checkbox dla każdego celu (RODO zabrania klauzul łączonych). Klauzula informacyjna przy formularzach kontaktowych. Pre-checked boxes = nielegalne.

Procedury wewnętrzne

Procedura obsługi praw osób (dostęp, usunięcie, sprostowanie, przeniesienie - termin 30 dni), procedura data breach (zgłoszenie UODO w 72h), ocena skutków (DPIA - wymagana przy high-risk processing), szkolenie personelu z zasad RODO.

Najczęściej zadawane pytania o RODO i politykę prywatności

Tak - GA4 używa cookies i przesyła dane do USA (Google LLC). Zgodnie z RODO i orzeczeniami TSUE wymagana jest aktywna zgoda (opt-in). Bez zgody - nie możesz ładować GA4. Consent Mode v2 pozwala na modelowanie konwersji bez cookies, ale wymaga prawidłowej implementacji. Wdrażamy GA4 + Consent Mode + politykę cookies jako pakiet.

Tak - jeśli masz formularz kontaktowy, Google Analytics, Facebook Pixel, lub jakikolwiek inny system zbierający dane osobowe (nawet IP address jest daną osobową wg RODO). Nawet sama możliwość wysłania e-maila to przetwarzanie danych osobowych. Polityka prywatności jest obowiązkowa dla praktycznie każdej strony.

Kary administracyjne UODO: do 20 milionów euro lub 4% rocznego światowego obrotu - zależnie co wyższe. W praktyce kary dla małych firm są niższe (tysiące do dziesiątek tysięcy zł), ale reputacyjne konsekwencje kontroli UODO są często gorsze niż sama kara. Lepiej zainwestować w compliance niż ryzykować.

Nie - to 1) naruszenie praw autorskich, 2) dokument nie odzwierciedla TWOJEGO przetwarzania danych. Twoja polityka musi opisywać TWOJE cookies, TWOJE formularze, TWOJE narzędzia (GA4, Facebook Pixel, CRM), TWOJE cele przetwarzania. Skopiowana polityka to fałszywa informacja - co samo w sobie jest naruszeniem RODO.

Po unieważnieniu Privacy Shield (Schrems II), transfer do USA wymagał dodatkowych zabezpieczeń. Od lipca 2023 obowiązuje EU-US Data Privacy Framework, który legalizuje transfer do certyfikowanych firm (Google, Meta). Ale nadal musisz informować o transferze w polityce prywatności i mieć DPA z procesorem.

Przy każdej zmianie: nowy narzędzie analityczne (np. dodanie HotJar), nowy cel przetwarzania (np. start newslettera), nowy procesor (zmiana hostingu), zmiany w prawie. Minimum raz w roku przegląd. W ramach stałej obsługi monitorujemy zmiany i proaktywnie rekomendujemy aktualizacje.

Obowiązkowy jeśli: przetwarzasz dane na dużą skalę (e-commerce z tysiącami klientów), przetwarzasz dane wrażliwe (medycyna, biometria), jesteś podmiotem publicznym. Dla mniejszych firm IOD nie jest obowiązkowy, ale warto mieć osobę odpowiedzialną za RODO. Możemy pełnić rolę zewnętrznego IOD/DPO.

RODO bez stresu

Bezpłatna konsultacja - sprawdzimy Twoją obecną dokumentację RODO lub przygotujemy kompletny pakiet od zera.

Zamów konsultację Zadzwoń