Audyt RODO strony 2026 – co sprawdzić przed kontrolą UODO

24 stycznia 2026 — Zadzwoniła do mnie Kasia, która prowadzi salon kosmetyczny w Chorzowie. Była wyraźnie zdenerwowana. "Michał, dostałam maila od jakiegoś urzędu, że moja strona może naruszać przepisy o ochronie danych. Co to znaczy? Mam stronę od 3 lat i nikt nigdy nic nie mówił!"

Okazało się, że to było ostrzeżenie przedkontrolne. Jedno z wielu, które UODO wysyła w ramach kampanii "Strona firmowa zgodna z prawem 2026".

Kasia miała szczęście – dostała sygnał, zanim było za późno. Ale większość firm nawet nie wie, że coś jest nie tak. Dopóki nie dostanie wezwania do złożenia wyjaśnień.

Pokażę Ci, co sprawdzić na swojej stronie, żebyś Ty takiego wezwania nie dostał.

Dlaczego RODO na stronie to temat na 2026 rok?

Może myślisz: "RODO obowiązuje od 2018 roku. Czemu nagle mam się tym zajmować?"

Bo przez ostatnie lata UODO skupiał się na dużych firmach. Banki, telekomy, sieci handlowe. Ale w 2025 roku coś się zmieniło – urząd zaczął masowo sprawdzać małe firmy lokalne.

Co się zmieniło w praktyce: W samym tylko IV kwartale 2025 roku UODO przeprowadził ponad 400 kontroli stron małych i średnich firm – głównie usługowych. Najczęstsze kary? Od 5 000 do 25 000 zł za brak poprawnej polityki prywatności lub nieprawidłowe zbieranie zgód.

Co więcej – kontrole są teraz zautomatyzowane. Urząd używa narzędzi, które skanują strony pod kątem:

• Obecności cookie bannerów
• Treści polityki prywatności
• Formularzy zbierających dane
• Certyfikatów SSL
• Przesyłania danych do USA (Google Analytics)

Jeśli coś się nie zgadza – dostajesz maila. A potem wezwanie.

Co sprawdzić na swojej stronie? Praktyczna lista

Nie musisz być prawnikiem, żeby zrobić podstawowy przegląd swojej strony. Oto lista rzeczy do sprawdzenia – krok po kroku.

1. Polityka prywatności – czy w ogóle istnieje?

Zacznijmy od podstaw. Wejdź na swoją stronę i poszukaj linku do "Polityki prywatności". Zazwyczaj jest w stopce.

Jeśli go nie ma – to pierwszy i najważniejszy problem. Każda strona, która zbiera jakiekolwiek dane (nawet adres IP przez zwykłe odwiedzenie strony), musi mieć politykę prywatności.

A jeśli masz politykę prywatności? Sprawdź czy zawiera:

• Kto jest administratorem danych (Twoje dane firmowe, NIP)
• Jakie dane zbierasz (email, telefon, imię, adres IP)
• Po co je zbierasz (formularz kontaktowy, newsletter, analityka)
• Jak długo je przechowujesz
• Jakie prawa ma użytkownik (dostęp, usunięcie, sprzeciw)
• Dane kontaktowe do zgłoszeń dotyczących RODO

Jeśli Twoja polityka to dwa zdania skopiowane z internetu – pora ją zaktualizować.

2. Formularze kontaktowe – zgody i checkboxy

Każdy formularz na stronie, który zbiera dane osobowe, powinien mieć:

Zgodę na przetwarzanie danych – to checkbox, który użytkownik musi zaznaczyć. I tu jest ważna rzecz: checkbox nie może być domyślnie zaznaczony. Użytkownik musi sam go kliknąć.

Link do polityki prywatności – przy formularzu powinna być informacja typu: "Administratorem danych jest... Więcej w Polityce Prywatności."

Formularz kontaktowy bez żadnego checkboxa i bez informacji o przetwarzaniu danych. Albo – jeszcze gorsze – checkbox z tekstem "Zgadzam się z regulaminem i polityką prywatności" domyślnie zaznaczony. To bezpośrednie naruszenie RODO.

3. Cookies i cookie banner – czy działa prawidłowo?

Jeśli używasz Google Analytics, Facebook Pixel, Hotjar, reklam Google – musisz mieć cookie banner.

Ale sam fakt, że banner się wyświetla, to za mało. Sprawdź:

Czy cookies są blokowane PRZED zgodą? – Wiele bannerów wyświetla się, ale Google Analytics i tak już zbiera dane w tle. To nielegalne. Cookies śledzące powinny być ładowane dopiero po kliknięciu "Akceptuję".

Czy można odmówić? – Banner musi dawać realną możliwość odmowy. Nie wystarczy przycisk "Akceptuję" i mały link "Ustawienia". Odmowa musi być równie łatwa jak akceptacja.

Czy banner nie blokuje treści? – Niektóre strony tak ustawiają banner, że nie da się nic zrobić bez zaakceptowania. To tzw. "cookie wall" i w wielu przypadkach jest nielegalne.

4. Google Analytics – czy masz problem?

Tu mam złą wiadomość. Jeśli używasz Google Analytics (czy to Universal Analytics, czy GA4) bez odpowiednich zabezpieczeń – prawdopodobnie naruszasz RODO.

Problem polega na tym, że Google Analytics przesyła dane użytkowników na serwery w USA. A od wyroku Schrems II transfer danych do USA wymaga specjalnych zabezpieczeń, których większość małych firm nie wdraża.

UODO i organy innych krajów EU wielokrotnie stwierdzały, że standardowe użycie Google Analytics jest niezgodne z RODO.

Co możesz zrobić?

• Przejść na cookieless analytics – które nie wymaga zgody i przechowuje dane w EU
• Albo wdrożyć serwer proxy dla GA4 (skomplikowane i drogie dla małej firmy)

5. Certyfikat SSL – zielona kłódka

To najprostszy punkt na liście. Wejdź na swoją stronę i sprawdź, czy przy adresie jest kłódka 🔒.

Jeśli przeglądarka pokazuje "Niezabezpieczona" – to poważny problem. Nie tylko z RODO (dane z formularzy lecą nieszyfrowane), ale też z zaufaniem klientów i pozycją w Google.

Więcej o tym w moim kolejnym artykule o kosztach braku certyfikatu SSL.

Błędy, które widuję na stronach firm ze Śląska

Przez ostatnie miesiące robiłem audyty stron dla kilkunastu firm z Bytomia, Katowic, Gliwic i Chorzowa. Oto najczęstsze problemy:

Każdy z tych problemów to potencjalne upomnienie lub kara od UODO. A naprawienie ich zazwyczaj zajmuje 1-2 dni pracy.

Jak naprawić najczęstsze problemy?

Dobra wiadomość: większość problemów da się naprawić bez wielkich kosztów. Oto co zrobić:

Polityka prywatności – zaktualizuj ją lub stwórz nową. Możesz użyć generatora (np. na stronie UODO) jako punktu wyjścia, ale dostosuj go do swojej firmy. Lub – co polecam – zleć to komuś, kto zna temat.

Formularze – dodaj obowiązkowe checkboxy ze zgodami. Upewnij się, że nie są domyślnie zaznaczone. Dodaj link do polityki prywatności.

Cookie banner – wymień na taki, który naprawdę działa. Wiele darmowych rozwiązań (np. CookieYes, Cookiebot w wersji free) blokuje cookies do momentu zgody. Ale – uwaga – każde narzędzie wymaga poprawnej konfiguracji.

Google Analytics – rozważ przejście na cookieless analytics. Dla większości małych firm to najprostsze i najtańsze rozwiązanie. Bez zgody na cookies, bez problemów z UODO.

SSL – jeśli nie masz – wdróż natychmiast. Większość hostingów oferuje darmowy certyfikat Let's Encrypt. Jeśli nie wiesz jak – skontaktuj się z osobą, która opiekuje się Twoją stroną.

Kiedy warto zlecić profesjonalny audyt?

Samodzielny przegląd strony to dobry start. Ale są sytuacje, gdy warto poprosić o pomoc specjalistę:

• Dostałeś jakiekolwiek pismo od UODO – nawet jeśli to tylko zapytanie, warto skonsultować odpowiedź z kimś, kto zna temat
• Zbierasz dane wrażliwe – zdrowie, preferencje, dane finansowe – tu wymogi są ostrzejsze
• Masz sklep internetowy – e-commerce ma dodatkowe obowiązki (regulamin, prawo odstąpienia, itd.)
• Używasz wielu narzędzi zewnętrznych – im więcej integracji (analityka, marketing, chatboty), tym więcej potencjalnych problemów
• Twoja strona nie była aktualizowana od 2-3 lat – przepisy się zmieniają, narzędzia się zmieniają

Audyt RODO strony to zazwyczaj 1-2 godziny pracy specjalisty. Koszt? Od 300 do 800 zł w zależności od złożoności strony. Niewiele, jeśli porównasz z potencjalną karą rzędu 10-25 tysięcy złotych.

Podsumowanie – co zrobić teraz?

1️⃣ Sprawdź czy masz politykę prywatności i czy jest aktualna

2️⃣ Przetestuj formularze – czy mają checkboxy zgód?

3️⃣ Sprawdź cookie banner – czy naprawdę blokuje cookies?

4️⃣ Zweryfikuj certyfikat SSL – czy jest kłódka przy adresie?

5️⃣ Zastanów się nad Google Analytics – czy warto ryzykować?

Wiem, że RODO brzmi jak biurokracja. Ale patrząc z perspektywy Twojego klienta – to kwestia zaufania. Strona, która transparentnie informuje o przetwarzaniu danych, buduje wiarygodność. A strona, która zbiera dane "po cichu" – traci klientów, nawet jeśli nie dostanie kary od UODO.

Lepiej poświęcić kilka godzin na przegląd strony teraz, niż kilka tygodni na wyjaśnienia z urzędem później.

---

Potrzebujesz pomocy z audytem RODO swojej strony?

Oferuję przegląd strony pod kątem zgodności z przepisami – sprawdzam politykę prywatności, formularze, cookies i analitykę. Dostajesz konkretną listę rzeczy do poprawienia plus rekomendacje rozwiązań. Napisz do mnie – odpowiem w ciągu 24 godzin.

---

Zobacz też:

• Certyfikat SSL wygasa – ile kosztuje brak HTTPS w 2026
• Bezpieczeństwo strony WWW 2026 – kompletny przewodnik