RODO na stronie firmowej - co musisz mieć

RODO na stronie firmowej to nie temat wyłącznie dla korporacji z działem prawnym. Jeśli masz formularz kontaktowy, newsletter, chat, rezerwację online albo analitykę Google - przetwarzasz dane osobowe. Imię, e-mail, numer telefonu, a czasem IP czy historia wizyty to dane, za które odpowiadasz jako administrator. Mała firma nie ma immunitetu: skarga do UODO, wezwanie do usunięcia danych albo audyt po wycieku dotyczy gabinetu, warsztatu czy sklepu tak samo jak dużego gracza.

W praktyce właściciel firmy myśli: „mam małą stronę, nikt mnie nie sprawdzi". Ryzyko rośnie, gdy konkurent zgłasza brak polityki, gdy klient pyta o wycofanie zgody, albo gdy po włamaniu wyciekną maile z bazy newslettera. Koszt naprawy reputacji i technicznej często przewyższa koszt wdrożenia podstaw z góry. Poniżej: co musisz mieć na stronie, żeby nie budować biznesu na kruchym fundamencie.

Dane osobowe na stronie pojawiają się w miejscach, których łatwo nie zauważyć. Formularz „Zadzwoń do mnie" zbiera imię i telefon. Newsletter - e-mail. Rezerwacja terminu - często więcej pól. Chat na stronie zapisuje treść rozmowy. Google Analytics, Meta Pixel, Hotjar - mogą przetwarzać identyfikatory użytkowników i wymagają podstawy prawnej oraz informacji w polityce.

Każde takie miejsce to punkt, gdzie musisz odpowiedzieć na pytania: po co zbierasz dane, jak długo je trzymasz, komu je przekazujesz (hosting, CRM, poczta), jakie prawa ma osoba, która je podała. Brak odpowiedzi w dokumentach to nie „drobny brak" - to luka, którą trudno tłumaczyć po incydencie. Przy projektowaniu strony WWW dla firmy warto mapować te punkty już na etapie briefu, nie po publikacji.

Formularz bez informacji o administratorze i celu przetwarzania to najczęstszy błąd rodo strona internetowa w małych firmach. Minimum praktyczne: krótka informacja przy polu (np. „Administratorem danych jest [nazwa firmy]. Dane wykorzystamy wyłącznie do odpowiedzi na zapytanie") oraz link do pełnej polityki prywatności. Jeśli zapisujesz do newslettera - osobna, świadoma zgoda (checkbox nie może być domyślnie zaznaczony).

Zgody RODO muszą być dobrowolne, konkretne i możliwe do wycofania. Nie wystarczy jeden ogólny checkbox „akceptuję wszystko" łączący regulamin, marketing i przetwarzanie danych. Dla małej firmy prostszy model często oznacza mniej pól i mniej ryzyka: zbieraj tylko to, co potrzebujesz do obsługi zapytania. Każde dodatkowe pole to dodatkowy obowiązek informacyjny i retencji.

Zapisuj datę i treść zgody w systemie (timestamp w CRM albo eksporcie z formularza) - przy sporze musisz wykazać, co klient zaakceptował. Wtyczki formularzy często to robią automatycznie, jeśli poprawnie skonfiguujesz pola.

Polityka prywatności to nie plik w stopce „żeby było". Musi opisywać realne procesy: kto jest administratorem (Twoja firma, NIP, kontakt), jakie dane zbierasz ze strony, w jakich celach, na jakiej podstawie prawnej, jak długo trzymasz (retencja), komu przekazujesz (hosting, operator poczty, CRM), jakie prawa ma użytkownik i jak je realizować.

Retencja danych to punkt, o którym małe firmy zapominają. Zapytania z formularza nie powinny leżeć w skrzynce wiecznie. Ustal okres - np. 12 miesięcy od zakończenia korespondencji - i trzymaj się go. Newsletter: do momentu wycofania zgody. Logi serwera: zgodnie z polityką hostingu. Polityka ma być zrozumiała dla klienta, nie kopią prawniczego żargonu bez sensu. W razie wątpliwości co do treści skonsultuj z prawnikiem - szczególnie gdy przetwarzasz dane wrażliwe lub profilujesz klientów.

Retencja łączy się z bezpieczeństwem strony internetowej firmy. Dane z formularzy w nieszyfrowanej poczcie, eksport CSV na dysku bez hasła, brak aktualizacji wtyczki formularza - to scenariusze, które kończą się wyciekiem. Dla małej firmy skutek to utrata zaufania klientów, obowiązek powiadomienia i koszt audytu. Więcej o technicznej ochronie opisujemy w artykule bezpieczeństwo strony internetowej firmy.

RODO to także procedury: kto w firmie odpowiada za wniosek o usunięcie danych, jak szybko reagujecie, czy macie rejestr incydentów. Przy pięciu pracownikach wystarczy prosty checklist - ważne, żeby istniał. Ignorowanie wniosku o dostęp do danych przez 30 dni to problem, który eskaluje szybciej niż brak favicony na stronie.

Szyfrowanie poczty firmowej (TLS między serwerami) i HTTPS na stronie to para - formularz na stronie z kłódką, a potem mail z danymi klienta nieszyfrowany, to dziura w całym procesie. Warto to sprawdzić u hostingodawcy poczty.

Przed publikacją lub audytem przejdź przez listę: (1) polityka prywatności aktualna i linkowana w stopce, (2) formularze z informacją o administratorze i celem, (3) osobne zgody marketingowe tam, gdzie trzeba, (4) cookies i analityka zgodnie z zasadami (osobny artykuł), (5) umowa z hostingiem i wykonawcą strony - kto ma dostęp do kopii bazy, (6) okresy retencji zapisane i stosowane, (7) HTTPS na całej stronie.

Jeśli stronę robi wykonawca, w umowie określ, kto przygotowuje politykę i kto ją aktualizuje po zmianie formularza. Szablon skopiowany z innej branży bez edycji to klasyczna pułapka - UODO i klienci widzą rozbieżność między tekstem a rzeczywistością. Skontaktuj się z nami, jeśli chcesz uporządkować stronę pod kątem danych i bezpieczeństwa - zaczynamy od mapy, co strona faktycznie zbiera.

Czy RODO dotyczy strony wizytówkowej bez sklepu? Tak, jeśli masz formularz kontaktowy, analitykę lub newsletter. Sam fakt publikacji treści bez zbierania danych ma mniejszy zakres, ale większość firm jednak coś zbiera.

Czy wystarczy generator polityki z internetu? Generator to szkic. Musisz go dopasować do realnych narzędzi na stronie. Inaczej polityka kłamie w dokumentach.

Kto jest administratorem - ja czy wykonawca strony? Zwykle Ty jako właściciel firmy. Wykonawca może być procesorem, jeśli przetwarza dane w Twoim imieniu - to powinno wynikać z umowy.

Czy muszę mieć Inspektora Ochrony Danych? Nie każda mała firma musi. To zależy od skali i rodzaju przetwarzania. W razie wątpliwości skonsultuj z prawnikiem.

Co grozi za brak polityki prywatności? Skarga do UODO, negatywny wizerunek, trudności w obronie po incydencie. Rzadko natychmiastowa kara, ale ryzyko rośnie z czasem i skalą danych.

RODO na stronie firmowej to połączenie prawidłowych dokumentów, formularzy i zabezpieczeń technicznych. Mała firma nie potrzebuje korporacyjnego aparatu - potrzebuje jasnych zasad i strony zbudowanej bez luk od początku.

W StackPilot projektujemy strony z mapą danych: co formularz zbiera, gdzie trafia, jak jest chronione. Chcesz audyt obecnej witryny albo nową stronę „z głowy"? Sprawdź orientacyjną wycenę - wrócimy z propozycją w jeden dzień roboczy.