Czy każda strona internetowa musi mieć politykę prywatności?

Obowiązek posiadania polityki prywatności wynika nie z samego faktu prowadzenia strony, lecz z przetwarzania danych osobowych. Jeżeli strona zbiera jakiekolwiek dane osobowe — przez formularz kontaktowy, newsletter, rejestrację konta, koszyk zakupowy czy nawet pliki cookies identyfikujące użytkownika — administrator ma obowiązek spełnić obowiązek informacyjny z art. 13 RODO, co w praktyce realizuje się przez politykę prywatności. Strona czysto informacyjna, która nie zbiera żadnych danych ani nie używa cookies analitycznych, teoretycznie nie wymaga polityki, jednak w praktyce niemal każdy serwis przetwarza co najmniej dane techniczne lub stosuje cookies, dlatego polityka jest standardem. Jej brak naraża administratora na skargę do PUODO.

Czym różni się polityka prywatności od klauzuli informacyjnej?

Klauzula informacyjna to skrócony zestaw informacji z art. 13 RODO przekazywany w konkretnym punkcie zbierania danych — na przykład pod formularzem rejestracyjnym lub w umowie. Polityka prywatności to obszerniejszy dokument zbiorczy, opisujący całość zasad przetwarzania danych przez administratora i często łączący kilka klauzul informacyjnych w jedną przejrzystą całość. Oba dokumenty realizują ten sam obowiązek informacyjny, ale różnią się zakresem i miejscem prezentacji. W praktyce administrator publikuje politykę prywatności na stronie (w stopce), a przy poszczególnych formularzach umieszcza krótką klauzulę z odesłaniem do pełnej polityki. Zgodnie z art. 12 ust. 1 RODO oba dokumenty muszą być napisane jasnym i prostym językiem.

Jakie podstawy prawne przetwarzania trzeba wskazać w polityce?

Każdy cel przetwarzania musi mieć przypisaną podstawę z art. 6 ust. 1 RODO. Najczęściej stosowane to: zgoda osoby (lit. a) — np. newsletter; niezbędność do wykonania umowy (lit. b) — np. realizacja zamówienia; wypełnienie obowiązku prawnego (lit. c) — np. przechowywanie faktur na potrzeby księgowe; prawnie uzasadniony interes administratora (lit. f) — np. marketing bezpośredni własnych produktów lub dochodzenie roszczeń. Przy podstawie z lit. f polityka powinna opisać, na czym ten interes polega (art. 13 ust. 1 lit. d RODO). Nie wolno wskazywać podstawy, która nie odpowiada rzeczywistemu celowi — błędna podstawa prawna jest jednym z najczęstszych uchybień stwierdzanych przez PUODO.

Czy polityka prywatności wystarczy, by legalnie stosować cookies?

Nie. Polityka prywatności informuje o zasadach przetwarzania danych, natomiast stosowanie plików cookies wymaga odrębnej, uprzedniej zgody użytkownika na podstawie art. 173 ustawy Prawo telekomunikacyjne, z wyjątkiem cookies niezbędnych do świadczenia usługi żądanej przez użytkownika. W praktyce oznacza to konieczność wdrożenia banera cookies z mechanizmem zgody, który pozwala zaakceptować lub odrzucić cookies analityczne i marketingowe przed ich załadowaniem. Polityka prywatności (lub odrębna polityka cookies) powinna opisać rodzaje stosowanych plików, ich cel i czas przechowywania. Sama informacja w polityce, bez mechanizmu pozyskania zgody, nie legalizuje stosowania cookies nieniezbędnych.

Jak często należy aktualizować politykę prywatności?

Politykę prywatności należy aktualizować zawsze, gdy zmienia się stan faktyczny przetwarzania danych — przy dodaniu nowego celu (np. uruchomieniu newslettera lub kampanii reklamowej), zmianie kategorii odbiorców (nowy operator płatności, system CRM), rozpoczęciu transferu danych poza Europejski Obszar Gospodarczy czy wdrożeniu nowych narzędzi analitycznych. Nie istnieje sztywny ustawowy termin aktualizacji, jednak zasada rozliczalności z art. 5 ust. 2 RODO wymaga, by polityka zawsze odzwierciedlała rzeczywiste przetwarzanie. Po każdej istotnej zmianie warto odnotować datę aktualizacji i, gdy zmiana dotyczy zgód lub istotnych warunków, poinformować o niej użytkowników. Polityka nieaktualna wprowadza w błąd i może zostać uznana przez PUODO za naruszenie obowiązku informacyjnego.

Co grozi za brak lub wadliwą politykę prywatności?

Brak polityki prywatności lub jej niekompletność stanowi naruszenie obowiązku informacyjnego z art. 13-14 RODO. Prezes Urzędu Ochrony Danych Osobowych (PUODO) może w wyniku skargi lub kontroli wszcząć postępowanie, nakazać usunięcie uchybień, a w razie naruszenia nałożyć administracyjną karę pieniężną. Zgodnie z art. 83 RODO kary za naruszenie obowiązków informacyjnych mogą sięgać do 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa. Niezależnie od kary administracyjnej osobie, której dane dotyczą, przysługuje prawo do odszkodowania za poniesioną szkodę (art. 82 RODO). W praktyce nawet drobne uchybienia formalne — brak okresu przechowywania czy podstawy prawnej — bywają przedmiotem decyzji PUODO, dlatego warto korzystać z kompletnego, aktualnego wzoru.

Kiedy trzeba wyznaczyć inspektora ochrony danych (IOD)?

Wyznaczenie inspektora ochrony danych (IOD) jest obowiązkowe w przypadkach wymienionych w art. 37 ust. 1 RODO: gdy przetwarzania dokonuje organ lub podmiot publiczny; gdy główna działalność administratora polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób na dużą skalę; albo gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (np. danych o zdrowiu) lub danych dotyczących wyroków skazujących. Pozostali administratorzy mogą wyznaczyć IOD dobrowolnie. Jeżeli IOD został wyznaczony — obowiązkowo lub dobrowolnie — jego dane kontaktowe należy podać w polityce prywatności (art. 13 ust. 1 lit. b RODO) oraz zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Polityka prywatności (RODO)

Rzeczpospolita Polska — RODO art. 13/14 oraz ustawa z 10.05.2018 o ochronie danych osobowych

Tytuł

POLITYKA PRYWATNOŚCI

[Adres strony] — obowiązuje od dnia [Data obowiązywania]

Administrator danych

§ 1. ADMINISTRATOR DANYCH OSOBOWYCH

Administratorem danych osobowych jest [Nazwa administratora], z siedzibą: [Adres siedziby], [NIP / KRS / CEIDG]. Kontakt w sprawach ochrony danych: [E-mail kontaktowy].

Inspektor ochrony danych wyznaczony: [IOD wyznaczony].

Cele i podstawy

§ 2. CELE I PODSTAWY PRAWNE PRZETWARZANIA

Dane osobowe przetwarzane są zgodnie z art. 6 RODO w następujących celach: [Cele przetwarzania].

Zakres przetwarzanych danych obejmuje: [Kategorie danych].

Dane są przetwarzane zgodnie z zasadami określonymi w art. 5 RODO, w szczególności zgodnie z zasadą minimalizacji danych oraz ograniczenia celu.

Okres i odbiorcy

§ 3. OKRES PRZECHOWYWANIA I ODBIORCY DANYCH

Dane są przechowywane przez następujący okres: [Okres przechowywania].

Odbiorcami danych mogą być: [Odbiorcy danych]. Podmioty te przetwarzają dane na podstawie umów powierzenia przetwarzania (art. 28 RODO).

Przekazywanie danych poza Europejski Obszar Gospodarczy: [Transfer poza EOG]. W razie transferu stosuje się zabezpieczenia z art. 44-49 RODO.

Prawa osób

§ 4. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

Osobie, której dane dotyczą, przysługują następujące prawa:

prawo dostępu do danych oraz uzyskania ich kopii (art. 15 RODO),
prawo do sprostowania danych (art. 16 RODO),
prawo do usunięcia danych — „prawo do bycia zapomnianym” (art. 17 RODO),
prawo do ograniczenia przetwarzania (art. 18 RODO),
prawo do przenoszenia danych (art. 20 RODO),
prawo do sprzeciwu wobec przetwarzania, w tym wobec marketingu bezpośredniego (art. 21 RODO),
prawo do cofnięcia zgody w dowolnym momencie (art. 7 ust. 3 RODO).

W celu realizacji praw należy skontaktować się z administratorem pod adresem: [E-mail kontaktowy].

Pliki cookies

§ 5. PLIKI COOKIES

Stosowanie plików cookies: [Cookies]. Pliki cookies wykorzystywane są na podstawie zgody użytkownika oraz w zakresie niezbędnym do prawidłowego działania serwisu (art. 173 ustawy Prawo telekomunikacyjne).

Skarga do PUODO

§ 6. SKARGA DO ORGANU NADZORCZEGO

Osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, na podstawie art. 77 RODO.

Administrator danych osobowych

________________

Signature

Prowadzone przez Vladislav Sergienko, Założyciel·Szablon ostatnio zmodyfikowany: 2026-06-23·Zgłoś błąd

Czym jest Polityka prywatności (RODO)?

Polityka prywatności RODO w Polsce to dokument informacyjny, w którym administrator danych opisuje zasady przetwarzania danych osobowych użytkowników, realizując obowiązek informacyjny wynikający z art. 13 i art. 14 rozporządzenia (UE) 2016/679 (RODO). Stanowi spełnienie zasady przejrzystości z art. 5 ust. 1 lit. a RODO i jest podstawowym narzędziem komunikacji administratora z osobami, których dane dotyczą. Dokument nie jest tylko formalnością — porządkuje cały obieg informacji o danych i pozwala wykazać zgodność z prawem zarówno wobec użytkownika, jak i wobec organu nadzorczego.

Każdy podmiot przetwarzający dane osobowe — sklep internetowy, firma usługowa, organizacja pozarządowa czy administrator strony internetowej — ma obowiązek poinformować osoby fizyczne o tożsamości administratora, celach i podstawach prawnych przetwarzania, kategoriach przetwarzanych danych, odbiorcach danych, okresie przechowywania oraz o przysługujących prawach. Polityka prywatności gromadzi te informacje w jednym, przystępnym dokumencie, najczęściej publikowanym na stronie internetowej. Rozróżnia się przy tym dwie role: administratora (art. 4 pkt 7 RODO), który ustala cele i sposoby przetwarzania, oraz podmiot przetwarzający (procesora, art. 4 pkt 8 RODO), który działa wyłącznie na zlecenie administratora.

W polskim porządku prawnym RODO uzupełnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.), która ustanawia Prezesa Urzędu Ochrony Danych Osobowych (PUODO) organem nadzorczym (art. 34 u.o.d.o.) i reguluje krajowe odrębności, m.in. kompetencje kontrolne organu oraz tryb postępowania w sprawie naruszenia przepisów o ochronie danych. Polityka prywatności powinna zatem zawierać pouczenie o prawie wniesienia skargi do PUODO (art. 77 RODO), a także informację o prawie do skutecznego środka ochrony prawnej przed sądem. Stosowanie plików cookies regulują dodatkowo przepisy ustawy Prawo telekomunikacyjne (art. 173), co oznacza, że polityka często łączona jest z polityką cookies lub odsyła do niej. Adresatem informacji jest osoba, której dane dotyczą — w praktyce konsument w rozumieniu art. 22¹ Kodeksu cywilnego, klient, pracownik czy kontrahent, który na podstawie polityki ocenia, w jakim zakresie i na jakiej podstawie powierza swoje dane administratorowi.

Polityka prywatności nie zastępuje samej podstawy prawnej przetwarzania, lecz informuje o niej. Administrator musi w niej wskazać, czy przetwarza dane na podstawie zgody (art. 6 ust. 1 lit. a RODO), wykonania umowy (art. 6 ust. 1 lit. b RODO), obowiązku prawnego (art. 6 ust. 1 lit. c RODO) czy prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Gdy przetwarzanie obejmuje szczególne kategorie danych, np. dane o zdrowiu, podstawę stanowi art. 9 RODO. Brak polityki prywatności lub jej niekompletność stanowi naruszenie obowiązku informacyjnego i może skutkować postępowaniem przed PUODO oraz administracyjną karą pieniężną (art. 83 RODO). Dokument musi być napisany jasnym i prostym językiem, zwłaszcza gdy adresowany jest do dzieci (art. 12 ust. 1 RODO).

Polityka prywatności pełni też funkcję dowodową w ramach zasady rozliczalności (art. 5 ust. 2 RODO). W razie kontroli Prezesa Urzędu Ochrony Danych Osobowych (PUODO) administrator wykazuje nią, że spełnił obowiązek informacyjny i działa zgodnie z zasadami przetwarzania. Dokument bywa łączony z innymi elementami systemu ochrony danych — rejestrem czynności przetwarzania (art. 30 RODO), umowami powierzenia z procesorami (art. 28 RODO), upoważnieniami do przetwarzania oraz procedurą zgłaszania naruszeń do PUODO w ciągu 72 godzin (art. 33 RODO). Warto odróżnić politykę od jednorazowej klauzuli informacyjnej: klauzula towarzyszy konkretnemu formularzowi, a polityka opisuje całość przetwarzania w organizacji. Polityka prywatności jest zatem nie tylko komunikatem skierowanym do użytkownika, lecz także świadectwem dojrzałości organizacyjnej administratora i jego zgodności z RODO oraz z ustawą z 10 maja 2018 r. o ochronie danych osobowych.

Kiedy potrzebujesz Polityka prywatności (RODO)?

Polityka prywatności RODO w Polsce jest potrzebna każdemu podmiotowi, który przetwarza dane osobowe osób fizycznych w sposób inny niż czysto osobisty lub domowy. Obowiązek jej posiadania wynika nie z faktu prowadzenia strony internetowej, lecz z samego przetwarzania danych w rozumieniu art. 4 pkt 2 RODO, czyli z każdej operacji na danych — od zbierania po przechowywanie i usuwanie.

**Prowadzenie strony internetowej z formularzem:** każdy serwis zbierający dane przez formularz kontaktowy, newsletter, rejestrację konta czy koszyk zakupowy musi udostępnić politykę prywatności realizującą obowiązek z art. 13 RODO już w momencie zbierania danych.

**Sklep internetowy i e-commerce:** przetwarzanie danych klientów w celu realizacji zamówień, płatności i dostaw wymaga poinformowania o celach, odbiorcach (operator płatności, kurier) i okresie przechowywania, a także o ewentualnym profilowaniu na potrzeby rekomendacji produktów (art. 22 RODO).

**Działalność usługowa i biuro:** firmy świadczące usługi, gabinety, kancelarie i biura rachunkowe przetwarzają dane klientów i kontrahentów, dlatego potrzebują polityki oraz klauzul informacyjnych. Biuro rachunkowe występuje przy tym najczęściej jako podmiot przetwarzający na podstawie umowy powierzenia (art. 28 RODO).

**Marketing i newsletter:** wysyłka komunikacji marketingowej wymaga wskazania podstawy prawnej (zgoda lub prawnie uzasadniony interes) oraz informacji o prawie sprzeciwu (art. 21 RODO), a komunikacja kanałami elektronicznymi dodatkowo zgody na podstawie art. 173 Prawa telekomunikacyjnego.

**Typowe sytuacje wymagające polityki:** - uruchomienie nowej strony internetowej lub sklepu - wdrożenie newslettera lub kampanii marketingowej - rozpoczęcie współpracy z podmiotami przetwarzającymi (hosting, kurier, system CRM) - audyt zgodności z RODO przed kontrolą PUODO - korzystanie z narzędzi analitycznych i reklamowych (cookies) - rozpoczęcie transferu danych poza Europejski Obszar Gospodarczy (EOG)

Politykę należy aktualizować przy każdej zmianie celów przetwarzania, kategorii odbiorców lub wykorzystywanych narzędzi. Aktualna i kompletna polityka prywatności ogranicza ryzyko skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz buduje zaufanie użytkowników, którzy coraz częściej weryfikują sposób przetwarzania ich danych przed skorzystaniem z usługi.

**Organizacje pozarządowe i instytucje publiczne:** fundacje, stowarzyszenia, szkoły i urzędy przetwarzają dane darczyńców, podopiecznych i interesantów, dlatego również potrzebują polityki dostosowanej do swojej działalności. W przypadku organów publicznych wyznaczenie inspektora ochrony danych (IOD) jest obowiązkowe (art. 37 ust. 1 lit. a RODO).

**Przetwarzanie danych pracowników:** pracodawca jako administrator danych kadrowych ma obowiązek poinformować pracowników o zasadach przetwarzania ich danych, w tym o monitoringu wizyjnym czy kontroli poczty służbowej, co realizuje odrębną klauzulą informacyjną powiązaną z polityką. Z uwagi na rosnącą świadomość prawną osób, których dane dotyczą, oraz aktywność PUODO, posiadanie aktualnej polityki prywatności stało się standardem ostrożnego prowadzenia działalności w Polsce, a jej brak bywa pierwszym uchybieniem stwierdzanym podczas postępowania kontrolnego.

Co powinien zawierać Polityka prywatności (RODO)

Polityka prywatności RODO w Polsce powinna zawierać wszystkie elementy obowiązku informacyjnego z art. 13 RODO, ujęte w przejrzystej strukturze, tak aby osoba, której dane dotyczą, mogła bez trudu ustalić, kto i w jakim celu przetwarza jej dane.

**1. Tożsamość i dane kontaktowe administratora.** Pełna nazwa, adres siedziby, NIP oraz numer KRS lub wpisu do CEIDG, a także adres e-mail do kontaktu w sprawach ochrony danych (art. 13 ust. 1 lit. a RODO). Dane muszą być zgodne z rejestrami publicznymi, ponieważ na ich podstawie użytkownik kieruje wnioski i ewentualną skargę. Brak jednoznacznej identyfikacji administratora uniemożliwia realizację praw z art. 15-22 RODO.

**2. Dane inspektora ochrony danych (IOD).** Jeżeli administrator wyznaczył IOD, podaje jego dane kontaktowe (art. 13 ust. 1 lit. b oraz art. 37 RODO). IOD jest obowiązkowy m.in. dla organów publicznych i przy przetwarzaniu na dużą skalę. IOD pełni rolę punktu kontaktu zarówno dla osób, których dane dotyczą, jak i dla PUODO, dlatego pominięcie jego danych — gdy został wyznaczony — jest istotnym uchybieniem.

**3. Cele i podstawy prawne przetwarzania.** Wskazanie każdego celu (np. wykonanie umowy, marketing, obowiązek księgowy) wraz z odpowiednią podstawą z art. 6 RODO. Przy prawnie uzasadnionym interesie należy go opisać (art. 13 ust. 1 lit. d RODO), np. dochodzenie roszczeń czy zapobieganie nadużyciom. Jeden cel może opierać się tylko na jednej podstawie, a łączenie podstaw lub ich mieszanie jest częstym błędem prowadzącym do utraty legalności przetwarzania.

**4. Kategorie danych i zasada minimalizacji.** Określenie zbieranych danych zgodnie z zasadą minimalizacji (art. 5 ust. 1 lit. c RODO) — wyłącznie dane niezbędne do realizacji celu. Jeżeli administrator przetwarza szczególne kategorie danych (art. 9 RODO), np. dane o zdrowiu, musi to wyraźnie wskazać wraz z odpowiednią podstawą.

**5. Odbiorcy danych.** Kategorie odbiorców lub podmiotów przetwarzających dane na zlecenie administratora na podstawie umowy powierzenia (art. 28 RODO), np. dostawca hostingu, kurier, biuro rachunkowe, operator płatności. Każdy procesor powinien być związany umową powierzenia gwarantującą poziom ochrony danych, a kategoria odbiorców pozwala użytkownikowi ocenić, komu jego dane mogą być ujawnione.

**6. Okres przechowywania.** Okres lub kryteria jego ustalania (art. 13 ust. 2 lit. a RODO), powiązane z celem i obowiązkami prawnymi, np. pięcioletni okres przechowywania dokumentów księgowych liczony od końca roku podatkowego albo czas trwania umowy powiększony o okres przedawnienia roszczeń. Ogólnikowe sformułowania bez kryteriów naruszają obowiązek informacyjny.

**7. Prawa osoby, której dane dotyczą.** Pełny katalog praw z art. 15-22 RODO: dostępu (art. 15), sprostowania (art. 16), usunięcia (art. 17), ograniczenia (art. 18), przenoszenia (art. 20), sprzeciwu (art. 21) oraz cofnięcia zgody (art. 7 ust. 3 RODO) bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia. Polityka powinna wyjaśnić, że administrator realizuje żądania bez zbędnej zwłoki, najpóźniej w ciągu miesiąca (art. 12 ust. 3 RODO).

**8. Transfer poza EOG i pliki cookies.** Informacja o ewentualnym przekazywaniu danych poza Europejski Obszar Gospodarczy (art. 44-49 RODO) wraz ze wskazaniem podstawy transferu, np. standardowych klauzul umownych (art. 46 RODO), oraz o stosowaniu plików cookies (art. 173 Prawa telekomunikacyjnego) z opisem ich rodzajów i celu.

**9. Skarga do PUODO.** Pouczenie o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (art. 77 RODO). Pouczenie powinno wskazywać organ i przypominać, że skarga przysługuje niezależnie od innych środków ochrony, w tym roszczenia o odszkodowanie z art. 82 RODO. Kompletny, zgodny z RODO wzór polityki prywatności dla Polski udostępnia forms-legal.com, ułatwiając spełnienie obowiązku informacyjnego bez pominięcia wymaganych elementów.

**10. Zautomatyzowane decyzje, profilowanie i charakter podania danych.** Jeżeli administrator podejmuje decyzje w sposób zautomatyzowany lub profiluje użytkowników (art. 22 RODO), polityka informuje o tym oraz o zasadach i konsekwencjach takiego przetwarzania. Należy też wskazać, czy podanie danych jest wymogiem ustawowym lub umownym, czy warunkiem zawarcia umowy, oraz jakie są skutki ich niepodania (art. 13 ust. 2 lit. e RODO).

Jak wypełnić Polityka prywatności (RODO)

Polityka prywatności RODO w Polsce wypełniana jest poprzez dostosowanie wzoru do faktycznej działalności administratora — nie przez mechaniczne skopiowanie cudzego dokumentu, lecz przez opisanie rzeczywistych operacji na danych.

**Krok 1: Dane administratora.** Wpisz pełną nazwę, adres siedziby, NIP oraz numer KRS lub CEIDG. Dane muszą być zgodne z rejestrami, ponieważ użytkownik na ich podstawie identyfikuje administratora i kieruje do niego wnioski oraz ewentualną skargę do PUODO (art. 13 ust. 1 lit. a RODO).

**Krok 2: Adres kontaktowy i IOD.** Podaj adres e-mail, pod którym użytkownicy będą realizować swoje prawa z art. 15-22 RODO. Jeśli wyznaczyłeś inspektora ochrony danych, dodaj jego dane kontaktowe (art. 13 ust. 1 lit. b RODO); jeśli nie — pomiń tę część, ale nie wpisuj danych nieistniejącego IOD.

**Krok 3: Cele i podstawy.** Zaznacz cele odpowiadające Twojej działalności (wykonanie umowy, marketing, obowiązek prawny, newsletter). Każdy cel musi mieć przypisaną jedną podstawę z art. 6 RODO — nie dodawaj celów, których faktycznie nie realizujesz, i nie mieszaj kilku podstaw dla jednego celu.

**Krok 4: Kategorie danych.** Opisz konkretnie zbierane dane (imię, e-mail, adres dostawy, dane zamówienia). Trzymaj się zasady minimalizacji (art. 5 ust. 1 lit. c RODO) i nie wymieniaj danych, których nie zbierasz. Jeśli przetwarzasz szczególne kategorie danych (art. 9 RODO), wskaż je wyraźnie wraz z podstawą.

**Krok 5: Okres przechowywania i odbiorcy.** Wskaż okres przechowywania powiązany z celem (np. czas trwania umowy plus pięć lat na potrzeby księgowe). Wymień kategorie odbiorców — hosting, kurier, biuro rachunkowe, operator płatności — pamiętając, że każdy procesor powinien być związany umową powierzenia (art. 28 RODO).

**Krok 6: Transfer poza EOG.** Jeśli korzystasz z narzędzi spoza Europejskiego Obszaru Gospodarczego (np. niektóre usługi chmurowe lub analityczne), zaznacz to i wskaż podstawę transferu — najczęściej standardowe klauzule umowne (art. 46 RODO) lub decyzję o adekwatności (art. 45 RODO).

**Krok 7: Cookies, profilowanie i charakter podania danych.** Zaznacz, czy strona używa plików cookies; jeśli tak, opisz ich rodzaje lub odeślij do odrębnej polityki cookies oraz mechanizmu zgody (art. 173 Prawa telekomunikacyjnego). Jeśli profilujesz użytkowników (art. 22 RODO), opisz to. Wskaż też, czy podanie danych jest dobrowolne, czy stanowi wymóg umowny lub ustawowy (art. 13 ust. 2 lit. e RODO).

**Krok 8: Data i publikacja.** Wpisz datę obowiązywania, opublikuj politykę w widocznym miejscu na stronie (najczęściej w stopce) i zapewnij dostęp do niej w każdym formularzu zbierającym dane przez krótką klauzulę informacyjną z odesłaniem. Aktualizuj dokument przy każdej zmianie celów lub narzędzi przetwarzania, odnotowując datę aktualizacji zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO).

Wymogi prawne dla Polityka prywatności (RODO)

Polityka prywatności RODO w Polsce musi spełniać wymogi rozporządzenia (UE) 2016/679 oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.).

**Obowiązek informacyjny (art. 13-14 RODO).** Administrator zbierający dane bezpośrednio od osoby, której dotyczą, podaje informacje wymienione w art. 13 RODO już w momencie zbierania danych. Jeżeli dane pozyskano z innego źródła, stosuje się art. 14 RODO, który dodatkowo wymaga wskazania źródła danych oraz kategorii danych pozyskanych pośrednio.

**Zasada przejrzystości (art. 12 ust. 1 RODO).** Informacje przekazuje się w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem — w szczególności gdy informacje są kierowane do dziecka. Realizacja praw następuje bez zbędnej zwłoki, najpóźniej w ciągu miesiąca (art. 12 ust. 3 RODO).

**Podstawy przetwarzania (art. 6 RODO).** Każdy cel przetwarzania musi opierać się na jednej z podstaw: zgodzie, wykonaniu umowy, obowiązku prawnym, żywotnych interesach, interesie publicznym lub prawnie uzasadnionym interesie administratora. Przetwarzanie szczególnych kategorii danych wymaga dodatkowo przesłanki z art. 9 RODO.

**Warunki zgody (art. 7 RODO).** Gdy przetwarzanie opiera się na zgodzie, musi być ona dobrowolna, konkretna, świadoma i jednoznaczna, a administrator musi umożliwić jej cofnięcie w każdym czasie (art. 7 ust. 3 RODO) tak samo łatwo, jak jej wyrażenie.

**Zasady przetwarzania (art. 5 RODO).** Przetwarzanie musi być zgodne z prawem, rzetelne i przejrzyste, ograniczone celem, zminimalizowane, prawidłowe, ograniczone czasowo oraz zapewniające integralność i poufność. Administrator odpowiada za rozliczalność (art. 5 ust. 2 RODO) i musi umieć wykazać przestrzeganie tych zasad.

**Pliki cookies (art. 173 Prawa telekomunikacyjnego).** Przechowywanie informacji i uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu końcowym wymaga uprzedniej zgody użytkownika, z wyjątkiem cookies niezbędnych do świadczenia usługi żądanej przez użytkownika.

**Krajowy organ nadzorczy (art. 34 u.o.d.o.).** Prezes Urzędu Ochrony Danych Osobowych (PUODO) nadzoruje przestrzeganie RODO w Polsce. Osoba, której dane dotyczą, ma prawo wniesienia skargi do PUODO (art. 77 RODO), a administrator powinien pouczyć o tym prawie w polityce. Za naruszenia grożą administracyjne kary pieniężne (art. 83 RODO) oraz odpowiedzialność odszkodowawczą wobec osoby poszkodowanej (art. 82 RODO).

**Umowa powierzenia, rejestr i naruszenia (art. 28, 30, 33 RODO).** Korzystanie z podmiotów przetwarzających dane (procesorów) wymaga zawarcia umowy powierzenia przetwarzania (art. 28 RODO), prowadzenia rejestru czynności przetwarzania (art. 30 RODO) oraz zgłaszania naruszeń ochrony danych do PUODO w ciągu 72 godzin (art. 33 RODO). Polityka powinna odzwierciedlać te elementy w opisie odbiorców i procedur.

Najczęstsze błędy w Polityka prywatności (RODO)

Polityka prywatności RODO w Polsce często zawiera błędy, które narażają administratora na zarzut naruszenia obowiązku informacyjnego oraz na postępowanie przed PUODO.

**Kopiowanie cudzej polityki bez dostosowania.** Powielenie dokumentu innego podmiotu prowadzi do wskazania celów, odbiorców i narzędzi, których administrator faktycznie nie stosuje. Polityka musi odzwierciedlać rzeczywiste przetwarzanie zgodne z art. 5 ust. 1 lit. a RODO, a rozbieżność między treścią a stanem faktycznym sama w sobie stanowi uchybienie.

**Brak wskazania podstawy prawnej.** Pominięcie podstawy z art. 6 RODO dla danego celu uniemożliwia użytkownikowi ocenę legalności przetwarzania. Każdy cel wymaga przypisania jednej konkretnej podstawy, a przy prawnie uzasadnionym interesie — jego opisania (art. 13 ust. 1 lit. d RODO).

**Pominięcie informacji o prawie sprzeciwu i cofnięcia zgody.** Polityka musi informować o prawie sprzeciwu wobec marketingu bezpośredniego (art. 21 RODO) oraz o prawie cofnięcia zgody w dowolnym momencie (art. 7 ust. 3 RODO), gdy przetwarzanie opiera się na zgodzie.

**Brak okresu przechowywania.** Sformułowanie „dane przechowujemy przez czas niezbędny” bez doprecyzowania kryteriów narusza art. 13 ust. 2 lit. a RODO. Należy wskazać konkretny okres lub jego kryteria, np. powiązanie z okresem przedawnienia roszczeń lub obowiązkiem księgowym.

**Mylenie zgody na cookies z polityką prywatności.** Banner cookies i mechanizm zgody nie zastępują polityki prywatności ani odwrotnie. Stosowanie cookies wymaga zgody zgodnie z art. 173 Prawa telekomunikacyjnego, a polityka informuje o zasadach przetwarzania danych.

**Niewskazanie odbiorców i powierzenia.** Brak informacji o podmiotach przetwarzających dane (hosting, kurier, operator płatności) oraz o umowach powierzenia (art. 28 RODO) jest częstym uchybieniem. Należy wymienić kategorie odbiorców, a nie pomijać ich milczeniem.

**Brak aktualizacji.** Polityka pozostawiona bez zmian po wdrożeniu nowych narzędzi (np. analityki, reklamy) przestaje odzwierciedlać stan faktyczny. Dokument należy aktualizować przy każdej zmianie celów lub odbiorców i odnotowywać datę aktualizacji, co wynika z zasady rozliczalności (art. 5 ust. 2 RODO).

**Niewskazanie prawa do skargi do PUODO.** Polityka powinna pouczać o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (art. 77 RODO). Pominięcie tej informacji jest częstym uchybieniem obowiązku informacyjnego z art. 13 RODO.

**Żargon prawniczy zamiast prostego języka.** Polityka napisana wyłącznie językiem przepisów narusza zasadę przejrzystości (art. 12 ust. 1 RODO), zgodnie z którą informacje przekazuje się jasnym i prostym językiem. Warto wyjaśniać pojęcia i unikać nadmiaru odesłań do artykułów bez komentarza.

**Brak klauzuli informacyjnej przy formularzach.** Sama polityka opublikowana w stopce nie zwalnia z obowiązku zamieszczenia krótkiej klauzuli informacyjnej przy konkretnych formularzach zbierających dane. Należy zapewnić, by użytkownik otrzymał informację w momencie podawania danych (art. 13 ust. 1 RODO).

**Pominięcie informacji o profilowaniu i transferze poza EOG.** Gdy administrator profiluje użytkowników (art. 22 RODO) lub przekazuje dane poza Europejski Obszar Gospodarczy (art. 44-49 RODO), brak takiej informacji wprowadza w błąd co do rzeczywistego zakresu przetwarzania i stanowi naruszenie obowiązku informacyjnego.

Cytuj tę stronę

Powołaj się na ten darmowy szablon w artykule, programie zajęć lub notatce badawczej:

APA

Forms Legal. (2026). Polityka prywatności (RODO) (Polska) [Legal document template]. Forms Legal. https://forms-legal.com/pl/polska/business/policies/polityka-prywatnosci-rodo

MLA

"Polityka prywatności (RODO) (Polska)." Forms Legal, 2026, https://forms-legal.com/pl/polska/business/policies/polityka-prywatnosci-rodo.

BibTeX

@misc{formslegal-polityka-prywatnosci-rodo,
  author       = {{Forms Legal}},
  title        = {Polityka prywatności (RODO) (Polska)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/pl/polska/business/policies/polityka-prywatnosci-rodo}},
  note         = {Free legal document template}
}

Najczęściej zadawane pytania

Szablon z odniesieniami do przepisów — Szablon ostatnio zmodyfikowano w czerwiec 2026

Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy różnią się w zależności od jurysdykcji i zmieniają się z czasem. W sprawie porady dostosowanej do Twojej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.Pełne zastrzeżenie prawne

Znalazłeś błąd? Daj nam znać