Checklist GDPR dla właścicieli stron: kompletna lista zgodności (z praktyką dla WordPressa)

GDPR (w Polsce częściej mówimy RODO) nadal jest jednym z najbardziej kompleksowych aktów prawnych dotyczących prywatności na świecie. I co ważne z perspektywy właściciela strony: jeśli w jakikolwiek sposób przetwarzasz dane osobowe osób z UE, zgodność z GDPR jest obowiązkowa — niezależnie od tego, czy prowadzisz małego bloga, sklep, SaaS czy serwis korporacyjny.

Ryzyko jest konkretne: za naruszenia mogą grozić kary do 20 mln EUR albo do 4% globalnego rocznego obrotu (stosuje się wyższą wartość). Do tego dochodzą środki administracyjne, które w praktyce potrafią być bardziej dotkliwe niż sama grzywna (np. zakaz przetwarzania).

Poniżej znajdziesz kompletną checklistę zgodności, ułożoną tak, żeby dało się nią przejść krok po kroku i utrzymywać ją w czasie. To nie jest porada prawna — traktuj ją jako techniczno-organizacyjną listę kontrolną i punkt wyjścia do konsultacji z prawnikiem, jeśli masz niestandardowy przypadek.

Czym jest GDPR i kiedy dotyczy Twojej strony?

GDPR (General Data Protection Regulation) to rozporządzenie UE obowiązujące od 25 maja 2018 r. Definiuje zasady zbierania, używania, przechowywania i udostępniania danych osobowych. Zasięg jest eksterytorialny: przepisy obejmują podmioty zarówno z UE, jak i spoza UE, jeśli przetwarzają dane osobowe mieszkańców UE.

Twoja rola w GDPR: kto jest kim?

W praktyce webowej najczęściej spotkasz się z rozróżnieniem na administratora i podmiot przetwarzający. To nie jest semantyka — od roli zależą obowiązki.

• Data Controller (administrator danych): podmiot, który decyduje, po co i jak dane osobowe są przetwarzane. To on ponosi główną odpowiedzialność za zgodność z GDPR.
• Data Processor (podmiot przetwarzający): strona trzecia, która przetwarza dane w imieniu administratora (np. dostawca hostingu, narzędzie mailingowe, operator CRM). Te podmioty również muszą mieć wdrożone odpowiednie zabezpieczenia techniczne i organizacyjne.
• Data Subject (osoba, której dane dotyczą): użytkownik/klient, którego dane zbierasz i przetwarzasz. GDPR istnieje po to, aby chronić jego prawa.

W wielu biznesach rola może być mieszana: wobec własnych użytkowników jesteś Data Controllerem, ale jednocześnie możesz być Data Processorem, jeśli świadczysz usługę przetwarzania danych dla innej firmy.

7 zasad GDPR, które musisz mieć z tyłu głowy

Zanim przejdziesz do checklisty, warto umieścić działania w kontekście zasad GDPR. To one determinują sens konkretnych wymogów.

1. Zgodność z prawem, rzetelność i przejrzystość (Lawfulness, fairness, transparency): przetwarzaj dane legalnie i jasno informuj, jak będą użyte.
2. Ograniczenie celu (Purpose limitation): zbieraj dane wyłącznie w konkretnych, uzasadnionych celach.
3. Minimalizacja danych (Data minimization): zbieraj tylko to, co jest niezbędne.
4. Prawidłowość (Accuracy): dane mają być aktualne i poprawne.
5. Ograniczenie przechowywania (Storage limitation): nie trzymaj danych dłużej niż to potrzebne.
6. Integralność i poufność (Integrity and confidentiality): chroń dane przed nieuprawnionym dostępem odpowiednimi środkami bezpieczeństwa.
7. Rozliczalność (Accountability): musisz być w stanie wykazać, że spełniasz wymagania.

Kompletna checklista zgodności z GDPR (RODO)

Poniżej masz checklistę podzieloną na obszary. Przy każdym punkcie podaję: do kogo dotyczy (Data Controller / Data Processor) oraz odniesienie do artykułu GDPR.

Dane (Data)

Masz listę wszystkich typów danych osobowych, które posiadasz: źródło, odbiorcy, cel i czas retencji

Dotyczy: Data Controller, Data Processor

Chodzi o realną listę typów danych (np. kolumn w bazie): imię, nazwisko, adres, numer identyfikacyjny itp. Dla każdego typu danych dokumentujesz: skąd pochodzi, komu jest udostępniany, po co jest przetwarzany oraz jak długo będzie przechowywany.

Masz listę miejsc, w których przechowujesz dane osobowe oraz opis przepływów danych między nimi

Dotyczy: Data Controller, Data Processor

To nie tylko bazy typu MySQL czy inne systemy IT. W grę wchodzą też nośniki offline (np. papier). Ważne jest zmapowanie, gdzie dane „żyją” i jak przepływają pomiędzy systemami.

Masz publicznie dostępną politykę prywatności opisującą procesy związane z danymi osobowymi

Dotyczy: Data Controller, Data Processor

Polityka prywatności powinna obejmować wszystkie procesy związane z obsługą danych. Dokument powinien zawierać (lub linkować do) typy danych, które posiadasz, oraz informację, gdzie je przechowujesz.

W polityce prywatności wskazujesz podstawę prawną przetwarzania danych

Dotyczy: Data Controller

Musisz jasno opisać, dlaczego w ogóle przetwarzasz dane — np. w celu wykonania umowy.

Odpowiedzialność i zarządzanie (Accountability & Management)

Wyznaczyłeś Data Protection Officer (DPO), jeśli to konieczne

Dotyczy: Data Controller, Data Processor

DPO nie jest wymagany zawsze. Jest obowiązkowy wyłącznie w trzech scenariuszach:

1. Przetwarzanie jest wykonywane przez organ lub podmiot publiczny, z wyjątkiem sądów działających w ramach sprawowania wymiaru sprawiedliwości.
2. Główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres i/lub cele wymagają regularnego i systematycznego monitorowania osób, na dużą skalę.
3. Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (dane wrażliwe) zgodnie z Article 9 oraz danych dotyczących wyroków skazujących i czynów zabronionych zgodnie z Article 10.

Jeśli DPO jest wymagany, powinien znać wytyczne GDPR oraz rozumieć wewnętrzne procesy, w których pojawiają się dane osobowe.

Budujesz świadomość GDPR wśród osób decyzyjnych

Dotyczy: Data Controller, Data Processor

Kluczowe osoby (właściciel, zarząd, product owner, CTO) muszą mieć aktualną wiedzę o wymaganiach ochrony danych — w szczególności w kontekście zmian w procesach i produktach.

Twoje zabezpieczenia techniczne są aktualne

Dotyczy: Data Controller, Data Processor

Jeśli prowadzisz SaaS, sensownie jest oprzeć się o checklisty bezpieczeństwa jako punkt startowy i upewnić się, że wdrożone są właściwe środki techniczne.

Szkolisz pracowników z ochrony danych

Dotyczy: Data Processor

Wiele podatności bezpieczeństwa wykorzystuje nieświadomość osób mających dostęp do systemów wewnętrznych. Szkolenia powinny budować świadomość ryzyk i procedur.

Masz listę sub-processors i informujesz o nich w polityce prywatności

Dotyczy: Data Processor

Jeśli korzystasz z podwykonawców przetwarzających dane (sub-processors), Twoi klienci powinni być o tym poinformowani. Zgoda odbywa się przez akceptację polityki prywatności.

Jeśli działasz poza UE, wyznaczyłeś przedstawiciela w UE

Dotyczy: Data Controller, Data Processor

Jeżeli Twoja firma nie ma siedziby w UE, ale zbiera dane obywateli UE, powinieneś wyznaczyć przedstawiciela w jednym z państw członkowskich. To osoba do obsługi spraw związanych z przetwarzaniem; organ nadzorczy powinien móc się z nią skontaktować.

Zgłaszasz naruszenia ochrony danych organowi i osobom, których dotyczy incydent

Dotyczy: Data Controller, Data Processor

Naruszenia danych osobowych należy zgłosić do właściwego organu nadzorczego w ciągu 72 godzin. W zgłoszeniu opisujesz: jakie dane wyciekły/utracono, jakie mogą być konsekwencje i jakie zastosowałeś środki zaradcze. Dodatkowo — o ile dane nie były zaszyfrowane — trzeba poinformować także osobę, której dane dotyczą.

Masz umowy z każdym procesorem, któremu przekazujesz dane

Dotyczy: Data Controller

Umowa musi zawierać jednoznaczne instrukcje dotyczące przechowywania/przetwarzania danych przez procesora oraz określać: przedmiot i czas trwania przetwarzania, charakter i cele, rodzaj danych osobowych i kategorie osób, a także obowiązki i prawa administratora.

Przykład praktyczny: umowa z dostawcą hostingu. Te same wymagania mają zastosowanie, gdy procesor angażuje sub-procesora do realizacji działań przetwarzania w imieniu administratora.

Nowe prawa (New Rights) — jak obsłużyć je na stronie

Użytkownik może łatwo poprosić o dostęp do swoich danych

Dotyczy: Data Controller, Data Processor

Powinieneś mieć jasno opisany proces obsługi żądań dostępu do danych (access requests).

Użytkownik może łatwo poprawić swoje dane, aby były aktualne

Dotyczy: Data Controller, Data Processor

Musisz zapewnić mechanizm korekty danych nieprawidłowych.

Automatycznie usuwasz dane, które nie są już potrzebne

Dotyczy: Data Controller, Data Processor

Warto automatyzować kasowanie danych, których nie potrzebujesz. Przykład: automatyczne usuwanie danych klientów, którzy nie odnowili umowy.

Użytkownik może łatwo poprosić o usunięcie danych (prawo do bycia zapomnianym)

Dotyczy: Data Controller, Data Processor

Musisz mieć proces obsługi żądań usunięcia danych (right to be forgotten).

Użytkownik może łatwo poprosić o ograniczenie przetwarzania

Dotyczy: Data Controller, Data Processor

Użytkownik ma prawo ograniczyć sposób przetwarzania jego danych.

Użytkownik może łatwo poprosić o przeniesienie danych do siebie lub strony trzeciej

Dotyczy: Data Controller, Data Processor

Data portability oznacza możliwość uzyskania danych w ustrukturyzowanym, powszechnie używanym i możliwym do odczytu maszynowego formacie.

Użytkownik może sprzeciwić się profilowaniu lub zautomatyzowanemu podejmowaniu decyzji

Dotyczy: Data Controller

Ten punkt ma zastosowanie tylko wtedy, gdy Twoja firma realnie prowadzi profilowanie lub inne zautomatyzowane podejmowanie decyzji, które może wpływać na użytkownika.

Zgoda (Consent)

Jeśli podstawą przetwarzania jest zgoda, musi być dobrowolna, konkretna, świadoma i możliwa do wycofania

Dotyczy: Data Controller

Jeżeli Twoja strona zbiera dane osobowe, zadbaj o widoczny link do polityki prywatności oraz mechanizm potwierdzenia akceptacji. Zgoda wymaga działania afirmatywnego — checkboxy wstępnie zaznaczone są niedozwolone.

Polityka prywatności jest napisana jasno i zrozumiale

Dotyczy: Data Controller

Tekst ma być prosty i jednoznaczny — bez ukrywania intencji. Jeśli dokument jest niejasny, zgoda może zostać uznana za nieważną. Jeżeli oferujesz usługi dzieciom, treść musi być dla nich zrozumiała.

Wycofanie zgody jest równie proste jak jej udzielenie

Dotyczy: Data Controller

Mechanizm cofnięcia zgody nie może być trudniejszy niż jej udzielenie.

Jeśli przetwarzasz dane dzieci, weryfikujesz wiek i zbierasz zgodę opiekuna prawnego

Dotyczy: Data Controller

Dla dzieci poniżej 16. roku życia musisz upewnić się, że zgodę wyraził opiekun prawny. Jeżeli zgoda jest zbierana na stronie, powinieneś próbować zweryfikować, że akceptacja faktycznie pochodzi od opiekuna, a nie od dziecka.

Po aktualizacji polityki prywatności informujesz dotychczasowych klientów

Dotyczy: Data Controller

Przykładowo: wysyłasz e-mail z informacją o planowanych zmianach. Komunikat powinien w prosty sposób wyjaśniać, co się zmieniło.

Follow-up — utrzymanie zgodności

Regularnie przeglądasz polityki: zmiany, skuteczność, zmiany w przetwarzaniu i w państwach, do których płyną dane

Dotyczy: Data Controller

GDPR to nie jednorazowe wdrożenie. Powinieneś okresowo weryfikować, czy polityki są aktualne, czy realnie działają oraz czy nie zmieniły się warunki prawne/organizacyjne — szczególnie jeśli dane „wędrują” do innych krajów.

Szczególne przypadki (Special Cases)

Wiesz, kiedy musisz wykonać DPIA dla przetwarzania wysokiego ryzyka

Dotyczy: Data Controller

To dotyczy firm, które prowadzą przetwarzanie na dużą skalę, profilowanie i inne operacje o wysokim ryzyku naruszenia praw i wolności osób. W takich sytuacjach wykonuje się DPIA (Data Protection Impact Assessment), czyli ocenę skutków dla ochrony danych.

Przekazujesz dane poza UE wyłącznie do krajów z odpowiednim poziomem ochrony

Dotyczy: Data Controller, Data Processor

Przepływy transgraniczne powinieneś ujawnić w polityce prywatności. Przy transferach do krajów bez decyzji stwierdzającej odpowiedni stopień ochrony stosuje się m.in. Standard Contractual Clauses (SCCs) albo Binding Corporate Rules (BCRs).

Prawa osób, których dane dotyczą (Data Subject Rights) — co musisz zapewnić

Niezależnie od tego, jaką masz rolę operacyjną w organizacji, prawa Data Subjects są centralnym elementem GDPR. Poniżej masz zestaw praw wraz z warunkami i zakresem informacji, które muszą być dostępne.

Prawo do przejrzystej informacji

Administrator ma obowiązek podjąć odpowiednie działania, by przekazać wszelkie informacje o przetwarzaniu w formie zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej, używając jasnego i prostego języka — szczególnie, gdy informacja jest kierowana do dziecka. Informacja powinna być przekazana na piśmie albo innymi środkami, w tym (jeśli to zasadne) elektronicznie.

Prawo do otrzymania konkretnych informacji, gdy dane zebrano bezpośrednio

Gdy dane osobowe są zbierane bezpośrednio od osoby, której dane dotyczą, musisz przekazać co najmniej:

1. Tożsamość i dane kontaktowe administratora.
2. Dane kontaktowe inspektora ochrony danych (DPO), jeśli ma zastosowanie.
3. Cele przetwarzania oraz podstawę prawną.
4. Prawnie uzasadnione interesy realizowane przez administratora (jeśli mają zastosowanie).
5. Odbiorców lub kategorie odbiorców danych osobowych.
6. Informacje o przekazaniu danych do państw trzecich.

Prawo do otrzymania konkretnych informacji, gdy dane nie zostały zebrane bezpośrednio

Jeśli pozyskujesz dane z innych źródeł niż sama osoba, musisz przekazać analogiczne informacje, w tym kategorie danych osobowych oraz źródło pochodzenia danych.

Prawo dostępu

Osoba ma prawo uzyskać potwierdzenie, czy jej dane są przetwarzane, oraz dostęp do następujących informacji:

• cele przetwarzania,
• kategorie danych osobowych,
• odbiorcy, którym dane zostały lub zostaną ujawnione,
• planowany okres przechowywania,
• istnienie praw do sprostowania, usunięcia, ograniczenia i sprzeciwu,
• prawo wniesienia skargi do organu nadzorczego,
• informacje o źródle danych (jeśli nie pochodzą od osoby),
• istnienie zautomatyzowanego podejmowania decyzji, w tym profilowania.

Prawo do sprostowania

Osoba ma prawo bez zbędnej zwłoki doprowadzić do sprostowania nieprawidłowych danych oraz uzupełnienia danych niekompletnych.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

Osoba ma prawo uzyskać usunięcie danych, gdy:

1. Dane nie są już niezbędne do celu, w którym zostały zebrane.
2. Zgoda została wycofana i nie ma innej podstawy prawnej przetwarzania.
3. Osoba wnosi sprzeciw i nie istnieją nadrzędne prawnie uzasadnione podstawy przetwarzania.
4. Dane były przetwarzane niezgodnie z prawem.
5. Dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
6. Dane zostały zebrane w związku z usługami społeczeństwa informacyjnego oferowanymi dziecku.

Prawo do ograniczenia przetwarzania

Osoba ma prawo uzyskać ograniczenie przetwarzania, gdy:

1. Kwestionuje prawidłowość danych (na czas weryfikacji).
2. Przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu.
3. Administrator nie potrzebuje już danych, ale osoba potrzebuje ich do ustalenia, dochodzenia lub obrony roszczeń.
4. Osoba wniosła sprzeciw — do czasu weryfikacji nadrzędnych prawnie uzasadnionych podstaw.

Prawo do poinformowania odbiorców o sprostowaniu, usunięciu lub ograniczeniu

Administrator ma obowiązek przekazać informację o sprostowaniu/usunięciu/ograniczeniu każdemu odbiorcy, któremu ujawniono dane — chyba że okaże się to niemożliwe lub będzie wymagało niewspółmiernie dużego wysiłku.

Prawo do przenoszenia danych

Osoba ma prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym i możliwym do odczytu maszynowego formacie oraz przekazać je innemu administratorowi bez przeszkód.

Prawo sprzeciwu

Osoba może w dowolnym momencie wnieść sprzeciw — z powodów związanych z jej szczególną sytuacją — wobec przetwarzania opartego na prawnie uzasadnionym interesie lub interesie publicznym, w tym profilowania.

Prawo do niepodlegania decyzjom opartym wyłącznie na automatycznym przetwarzaniu

Osoba ma prawo nie podlegać decyzji opartej wyłącznie na automatycznym przetwarzaniu (w tym profilowaniu), jeśli wywołuje to skutki prawne lub w podobny sposób istotnie na nią wpływa.

Praktyczne kroki wdrożeniowe na stronie WWW

1) Zabezpiecz stronę

• Zainstaluj certyfikat SSL (HTTPS), aby szyfrować dane między stroną a serwerem.
• Stosuj silne hasła dla wszystkich kont administracyjnych.
• Dodaj dodatkową ochronę dla obsługi informacji o płatnościach.
• Korzystaj z CDN (Content Delivery Network — sieć dostarczania treści) z ochroną przed atakami DDoS.
• Wdróż oprogramowanie antywirusowe, aby ograniczać ryzyko nieautoryzowanego dostępu.
• Minimalizuj zbieranie danych — zbieraj tylko to, co konieczne.
• Stosuj pseudonimizację lub anonimizację danych osobowych przed zapisem.
• Rób backupy w wielu bezpiecznych lokalizacjach.
• Usuwaj dane, kiedy nie są już potrzebne.

2) Dodaj baner zgody na cookies

Jeżeli używasz cookies innych niż niezbędne, potrzebujesz wyraźnej zgody użytkownika, zanim je uruchomisz.

Baner cookies powinien spełniać następujące warunki:

• Blokuje cookies do czasu zgody: ładuj wyłącznie cookies niezbędne, dopóki użytkownik nie zaakceptuje pozostałych.
• Używa prostego, jasnego języka: wyjaśnij, jakie cookies są używane i po co.
• Pokazuje równorzędne przyciski akceptacji/odrzucenia: opcja odrzucenia nie może być ukryta.
• Oferuje wybór granularny: użytkownik powinien móc wybrać konkretne kategorie cookies.
• Umożliwia wycofanie zgody: zapewnij łatwą zmianę preferencji później.
• Rejestruje zgodę: przechowuj wybory wraz ze znacznikiem czasu (timestamp), aby móc wykazać zgodność.

3) Przejrzyj formularze na stronie

Każdy formularz, który zbiera dane osobowe, musi być zaprojektowany pod GDPR:

• Dodaj klauzulę prywatności wyjaśniającą, po co dane są potrzebne.
• Dodaj niezaznaczony checkbox zgody (opt-in).
• Dla marketingu zapewnij osobny opt-in na komunikację marketingową.
• Linkuj do Privacy Policy (polityki prywatności).
• Używaj jasnego, prostego języka.

4) Zbieraj zgodę na marketing e-mailowy poprawnie

• Stosuj wyłącznie czytelny opt-in: niezaznaczony checkbox wyraźnie dotyczący zgody na e-mail.
• Wdróż double opt-in: potwierdzenie zapisu linkiem z e-maila.
• Prowadź rejestr zgód: data, czas, metoda, cel.
• W każdej wiadomości dodaj widoczny link unsubscribe (wypis) najlepiej „one-click”.
• Obsługuj wypisy szybko — najlepiej w ciągu 24 godzin.

5) Przygotuj procedury na naruszenia danych

• Zgłoś naruszenie do organu nadzorczego w ciągu 72 godzin.
• Poinformuj osoby, których dotyczy naruszenie, jeśli istnieje wysokie ryzyko dla ich praw i wolności.
• Dokumentuj wszystko (rozliczalność).
• Zaktualizuj polityki i zabezpieczenia, aby ograniczyć ryzyko powtórki.

WordPress a GDPR: na co uważać w praktyce

Jeśli Twoja strona stoi na WordPressie, dochodzi kilka bardzo konkretnych elementów operacyjnych (często pomijanych w „ogólnych” poradnikach):

• Aktualizuj WordPress core, motywy i wtyczki.
• Korzystaj z wtyczek formularzy kontaktowych, które wspierają checkboxy zgód i mechanikę zgodną z GDPR.
• Zainstaluj sensowne rozwiązanie do zgód cookies (a nie tylko „info banner”).
• Wybierz analitykę zgodną z GDPR.
• Sprawdź praktyki zbierania danych przez wtyczki (co zapisują, gdzie wysyłają, jak długo trzymają).
• Wdróż funkcje eksportu/usuwania danych użytkownika (tam, gdzie Twoja strona rzeczywiście przechowuje dane osobowe).

Kary za naruszenia GDPR (i co poza grzywną)

GDPR przewiduje dwa progi kar finansowych:

• Niższy próg: do 10 mln EUR lub 2% globalnego rocznego obrotu.
• Wyższy próg: do 20 mln EUR lub 4% globalnego rocznego obrotu.

Poza samymi karami pieniężnymi organy mogą m.in.:

• wydać ostrzeżenia,
• czasowo lub trwale zakazać przetwarzania danych,
• nakazać usunięcie danych,
• ograniczyć transfer danych.

FAQ: najczęstsze pytania o checklistę GDPR

Co to jest GDPR compliance checklist?

To lista działań, które trzeba wdrożyć, aby spełniać wymagania GDPR. Pomaga znaleźć luki w praktykach ochrony danych i uporządkować pracę nad zgodnością.

Kto odpowiada za zgodność z GDPR?

Pierwszorzędnie odpowiada Data Controller (zwykle właściciel strony/biznesu). Data Processorzy również mają obowiązki związane ze zgodnością.

Czy GDPR dotyczy firm z USA?

Tak — jeśli przetwarzasz dane osobowe mieszkańców UE, niezależnie od lokalizacji firmy.

Jaka jest maksymalna kara za brak zgodności?

Do 20 mln EUR albo do 4% rocznego globalnego obrotu — zależnie od tego, która wartość jest wyższa.

Czy potrzebuję banera cookies?

Tak, jeśli strona używa cookies innych niż niezbędne i ma użytkowników z UE.

Czy muszę mieć Data Protection Officer (DPO)?

Tylko jeśli: (1) jesteś organem publicznym, (2) Twoja główna działalność wymaga regularnego i systematycznego monitorowania osób na dużą skalę, lub (3) przetwarzasz na dużą skalę dane wrażliwe (Article 9) albo dane o wyrokach i czynach zabronionych (Article 10).

Podsumowanie: jak używać tej checklisty w realnym projekcie

Najlepszy efekt daje potraktowanie GDPR jako procesu: najpierw mapujesz dane (co i gdzie), potem domykasz podstawy prawne i komunikację (polityki, zgody), wdrażasz mechanizmy realizacji praw użytkownika (dostęp, eksport, usunięcie), a na końcu zapewniasz bezpieczeństwo i gotowość na incydenty (72h). Całość musi dać się udowodnić — rozliczalność to nie dodatek, tylko rdzeń.