Zgoda czy umowa? Jak poprawnie zbierać dane klientów w sklepie internetowym

Najczęstsze błędy w e-commerce – checkboxy, regulaminy, newsletter i co naprawdę musi zawierać polityka prywatności

W praktyce obsługi prawnej sklepów internetowych jedno pytanie powraca z niezmienną regularnością: czy do przetwarzania danych klienta potrzebna jest jego zgoda. Odpowiedź brzmi: zazwyczaj nie – i właśnie to nieporozumienie stoi u źródła znacznej części błędów popełnianych przez przedsiębiorców prowadzących handel elektroniczny. Zgoda jest bowiem w architekturze RODO jedną z sześciu równorzędnych podstaw przetwarzania, a zarazem podstawą, po którą sięga się w ostatniej kolejności – wówczas, gdy żadna inna nie znajduje zastosowania.

Tymczasem w wielu sklepach internetowych obserwujemy mechanizm odwrotny: zgoda jest zbierana niemal odruchowo, często w sposób, który pod kontrolą organu nadzorczego okaże się nieważny, podczas gdy te procesy, które rzeczywiście wymagają wyraźnej i odrębnej zgody – marketing bezpośredni, profilowanie, niezbędne pliki cookie inne niż techniczne – pozostają obwarowane mechanizmami zbiorczymi, łączonymi z akceptacją regulaminu lub ukrytymi w szerokich klauzulach.

Plan kontroli sektorowych Prezesa UODO na rok 2026, opublikowany 8 stycznia 2026 r., wyraźnie sygnalizuje, że podmioty marketingowe – w tym sklepy internetowe prowadzące intensywną komunikację handlową – znajdują się w obszarze priorytetowym. Niniejsze opracowanie systematyzuje kluczowe zagadnienia związane z prawidłowym pozyskiwaniem danych w handlu elektronicznym i wskazuje błędy, które najczęściej skutkują postępowaniami administracyjnymi.

Sześć podstaw przetwarzania – i miejsce zgody w tej hierarchii

Artykuł 6 ust. 1 RODO wymienia sześć równorzędnych podstaw legalizujących przetwarzanie danych osobowych. Z perspektywy sklepu internetowego praktyczne znaczenie mają cztery z nich.

Niezbędność do wykonania umowy (art. 6 ust. 1 lit. b RODO) stanowi podstawę przetwarzania danych w celu realizacji zamówienia. Klient, składając zamówienie, podaje imię, nazwisko, adres dostawy, adres e-mail i numer telefonu nie dlatego, że wyraża na to zgodę – lecz dlatego, że bez tych danych umowa sprzedaży nie może zostać wykonana. Sklep nie może wysłać paczki bez adresu, nie może rozliczyć płatności bez danych identyfikacyjnych, nie może obsłużyć reklamacji bez kontaktu z klientem. Ta sama podstawa obejmuje również etapy pośrednie: założenie konta klienta (jeżeli stanowi formę realizacji umowy o świadczenie usługi drogą elektroniczną), obsługę procesu płatności, wysyłkę powiadomień o statusie zamówienia oraz komunikację dotyczącą reklamacji i zwrotów.

Niezbędność do wypełnienia obowiązku prawnego (art. 6 ust. 1 lit. c RODO) legalizuje przetwarzanie danych wymagane przepisami prawa – przede wszystkim podatkowego, rachunkowego oraz dotyczącego rękojmi i gwarancji. Dane z faktury muszą być przechowywane przez sklep przez 5 lat licząc od końca roku podatkowego, w którym powstał obowiązek podatkowy, niezależnie od tego, czy klient sobie tego życzy.

Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) jest podstawą najbardziej elastyczną, ale wymagającą każdorazowego przeprowadzenia testu równowagi. W e-commerce znajduje zastosowanie m.in. do dochodzenia roszczeń, zapobiegania oszustwom, prowadzenia analityki agregowanej, obsługi reklamacji już po wykonaniu umowy oraz – co istotne i często sporne – do marketingu bezpośredniego własnych produktów wobec osób, które już są klientami sklepu. Na tę ostatnią okoliczność wprost wskazuje motyw 47 RODO.

Zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) ma w architekturze RODO status równorzędny wobec pozostałych podstaw. W praktyce e-commerce nie powinna być jednak stosowana automatycznie wtedy, gdy administrator dysponuje inną adekwatną podstawą przetwarzania – bowiem nieprawidłowy wybór podstawy sam w sobie stanowi naruszenie zasady zgodności z prawem. Zgoda znajduje właściwe zastosowanie przede wszystkim do pozyskiwania zapisów na newsletter od osób niebędących klientami, profilowania marketingowego, zaawansowanej personalizacji oferty, plików cookie innych niż niezbędne oraz przekazywania danych partnerom marketingowym.

Kluczowy wniosek: zgoda nie jest „bezpieczną” podstawą uniwersalną. W kontekście procesów niezbędnych do realizacji umowy zgoda zwykle w ogóle nie jest właściwą podstawą prawną; w pozostałych przypadkach jej skuteczność zależy od spełnienia czterech rygorystycznych warunków: dobrowolności, świadomości, konkretności i jednoznaczności (art. 4 pkt 11 RODO). Dodatkowym ograniczeniem praktycznym jest możliwość cofnięcia zgody w każdym momencie.

Błąd nr 1: zgoda tam, gdzie potrzebna jest umowa

Najczęściej spotykany błąd polega na tym, że sklep internetowy dołącza w formularzu zamówienia checkbox „wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji zamówienia”. Taka klauzula jest prawnie wadliwa z dwóch powodów. Po pierwsze – nie jest potrzebna, ponieważ podstawą przetwarzania danych w celu realizacji zamówienia jest art. 6 ust. 1 lit. b RODO, a nie zgoda. Po drugie – nawet gdyby ją uzyskać, taka zgoda byłaby nieważna, ponieważ nie spełnia warunku dobrowolności: klient nie ma realnego wyboru, bowiem bez podania danych zamówienie nie może zostać zrealizowane.

Mechanizm ten wprowadza klienta w błąd co do rzeczywistych ram prawnych przetwarzania jego danych. Co więcej, otwiera furtkę do nadużyć – jeżeli klient „cofnie zgodę”, sklep i tak musi przechowywać jego dane przez okres wymagany przepisami podatkowymi i rękojmi. Powstaje wówczas niespójność między tym, co klientowi obiecano, a tym, co sklep faktycznie robi.

Prawidłowy mechanizm wygląda inaczej: w formularzu zamówienia nie ma w ogóle checkboxa „zgoda na realizację zamówienia”, a klient otrzymuje jasną klauzulę informacyjną, w której wskazana jest właściwa podstawa prawna przetwarzania – wykonanie umowy sprzedaży.

Błąd nr 2: jedna zgoda na wszystko

Drugim powracającym błędem jest stosowanie pojedynczego, ogólnego checkboxa marketingowego w stylu: „wyrażam zgodę na otrzymywanie informacji handlowych”. Taka zgoda nie spełnia wymogu konkretności wynikającego z RODO, a w świetle obowiązującego od 10 listopada 2024 r. Prawa komunikacji elektronicznej – także wymogu wskazania kanału komunikacji.

Artykuł 398 PKE, który zastąpił wcześniejsze regulacje rozproszone w Prawie telekomunikacyjnym i ustawie o świadczeniu usług drogą elektroniczną, wymaga uprzedniej zgody odbiorcy na używanie automatycznych systemów wywołujących oraz telekomunikacyjnych urządzeń końcowych do celów przesyłania informacji handlowej, w tym marketingu bezpośredniego. W praktyce kontrolnej UODO i UKE konsekwentnie podkreśla się, że zgoda powinna umożliwiać świadomy wybór poszczególnych kanałów komunikacji – co najczęściej oznacza odrębne pola dla newslettera mailowego, SMS-ów promocyjnych i kontaktu telefonicznego. Naruszenie art. 398 PKE może skutkować karą pieniężną Prezesa UKE w wysokości do 3% przychodu osiągniętego w poprzednim roku kalendarzowym lub do 1 mln zł, przy czym zastosowanie ma kwota wyższa (art. 444 ust. 1 pkt 81 w zw. z art. 446 ust. 5 PKE). Niezależnie od sankcji z PKE, ten sam stan faktyczny może być podstawą administracyjnej kary pieniężnej nakładanej przez Prezesa UODO na gruncie RODO.

W praktyce oznacza to, że formularz zapisu na newsletter powinien zawierać odrębne, niezaznaczone domyślnie pola odpowiadające każdemu kanałowi i każdemu odrębnemu celowi przetwarzania – z możliwością zaznaczenia jednego, kilku lub wszystkich. Łączenie zgód w jeden zbiorczy checkbox jest praktyką, którą organy nadzoru konsekwentnie kwestionują.

Błąd nr 3: zgoda ukryta w akceptacji regulaminu

Trzecim mechanizmem, który nie wytrzymuje konfrontacji z RODO, jest zaszywanie zgód marketingowych w treści regulaminu lub łączenie ich z akceptacją regulaminu w jednym checkboxie („Akceptuję regulamin sklepu i wyrażam zgodę na otrzymywanie informacji handlowych”). Taka konstrukcja narusza wprost zasadę konkretności i dobrowolności zgody. Klient, który chce dokonać zakupu, jest faktycznie zmuszony do wyrażenia „zgody” marketingowej – co dyskwalifikuje ją jako podstawę prawną przetwarzania.

Stanowisko to znajduje potwierdzenie zarówno w wytycznych Europejskiej Rady Ochrony Danych, jak i w praktyce kontrolnej UODO. Co istotne, regulamin sklepu nie jest właściwym miejscem na regulację zasad przetwarzania danych osobowych – służy temu odrębny dokument, czyli polityka prywatności. Pomieszanie tych dwóch porządków regulacyjnych prowadzi nie tylko do problemów z RODO, ale również do trudności w wykazaniu, że klient został rzetelnie poinformowany o tym, do czego się zobowiązał.

Prawidłowa konstrukcja procesu zakupowego rozdziela trzy elementy: akceptację regulaminu (jeden checkbox, obowiązkowy), potwierdzenie zapoznania się z polityką prywatności (informacja, nie zgoda) oraz – jeżeli sklep chce komunikować się z klientem marketingowo – odrębne, opcjonalne checkboxy zgód marketingowych dla każdego kanału.

Błąd nr 4: newsletter jako „prezent” za zakupy lub rabaty

Często spotykaną praktyką jest uzależnianie udzielenia rabatu lub dostępu do treści od zapisu na newsletter. Sama konstrukcja „rabat 10% w zamian za zapis na newsletter” nie jest per se zakazana, ale wymaga starannej oceny, czy nie narusza warunku dobrowolności zgody. Kluczowe jest, czy klient ma realną alternatywę – tzn. czy może dokonać zakupu bez zapisania się na newsletter, choć bez rabatu.

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 13 listopada 2025 r. w sprawie C-654/23 (Inteligo Media SA przeciwko ANSPDCP) wyraźnie potwierdził, że biuletyn informacyjny zawierający odesłania do treści odpłatnych należy traktować jako marketing bezpośredni, którego wysłanie wymaga zgody odbiorcy spełniającej wymogi RODO. Orzeczenie to znacząco zawęża pole interpretacyjne, w którym przedsiębiorcy próbowali argumentować, że ich newsletter ma „charakter informacyjny”, a nie marketingowy. Jeżeli wiadomość służy choćby pośrednio celom handlowym – stanowi marketing bezpośredni i wymaga zgody.

Należy odróżnić tę sytuację od tzw. „soft opt-in”, czyli wyjątku przewidzianego w art. 13 ust. 2 dyrektywy 2002/58/WE, dotyczącego komunikacji marketingowej kierowanej do osób, które już są klientami sklepu, w odniesieniu do produktów lub usług podobnych do tych, które już nabyły. Zakres dopuszczalności modelu soft opt-in po wejściu w życie PKE pozostaje przedmiotem sporów interpretacyjnych w polskiej doktrynie – część komentatorów wskazuje, że polski ustawodawca nie transponował tego wyjątku wprost, inni utrzymują, że znajduje on zastosowanie poprzez wykładnię prounijną, w szczególności w świetle wyroku w sprawie Inteligo Media, który dopuścił go w modelach freemium. Niezależnie od przyjętej interpretacji, UODO konsekwentnie wymaga, by klient już przy pierwszej wiadomości został poinformowany o prawie sprzeciwu, a informacja ta była dostępna w każdej kolejnej. Ze względu na rozbieżności doktrynalne stosowanie soft opt-in wymaga ostrożności i każdorazowej oceny ryzyka.

Błąd nr 5: cookies bez wyboru lub z fałszywym wyborem

Banery cookies pozostają jednym z najczęściej kwestionowanych elementów sklepów internetowych. Pliki cookie niezbędne (sesja, koszyk, logowanie) nie wymagają zgody. Wszystkie pozostałe – analityczne, marketingowe, profilujące – wymagają aktywnej, dobrowolnej zgody udzielonej przed ich uruchomieniem.

Trybunał Sprawiedliwości UE w wyroku z października 2024 r. w sprawie C-21/23 jednoznacznie wskazał, że zgoda na pliki cookie musi być rzeczywiście dobrowolna – klient nie może być zmuszony do akceptacji śledzenia, by obejrzeć ofertę lub złożyć zamówienie. Klasyczna praktyka „cookie wall” – uzależniania dostępu do strony od zaakceptowania wszystkich plików cookie – co do zasady budzi poważne zastrzeżenia z punktu widzenia warunku dobrowolności zgody i była przedmiotem krytycznych stanowisk Europejskiej Rady Ochrony Danych. Odrębnym, wciąż niezamkniętym zagadnieniem regulacyjnym pozostaje model „consent or pay”, w którym użytkownik ma alternatywę między akceptacją śledzenia a płatnym dostępem do treści; EROD pracuje obecnie nad wytycznymi w tej sprawie, których ostateczna treść może wpłynąć na praktykę monetyzacji sklepów internetowych.

Prawidłowy baner cookies w sklepie internetowym musi spełniać kilka warunków: oferować równorzędne wizualnie i funkcjonalnie przyciski „Akceptuję” i „Odrzucam” (a nie wyłącznie „Akceptuję” z ukrytą opcją odmowy w „Ustawieniach”), nie uruchamiać żadnych skryptów śledzących przed uzyskaniem zgody, umożliwiać wyrażenie zgody odrębnie dla każdej kategorii plików cookie (analityczne, marketingowe, personalizacyjne) oraz zapewniać równie łatwe wycofanie zgody jak jej udzielenie. UODO w 2024 r. nakładał już kary na sklepy, których baner ograniczał się do przycisku akceptacji, bez równoważnej możliwości odmowy.

Co naprawdę musi zawierać polityka prywatności

Polityka prywatności sklepu internetowego nie jest dokumentem marketingowym ani „regulaminem ochrony danych”. Stanowi realizację obowiązku informacyjnego wynikającego z art. 13 RODO, a jej treść powinna umożliwiać klientowi precyzyjne zrozumienie, kto, w jakim celu, na jakiej podstawie i przez jaki czas przetwarza jego dane. Minimalny zakres informacji obejmuje:

Tożsamość i dane kontaktowe administratora – pełna nazwa firmy, forma prawna, adres siedziby, numer NIP i KRS (jeżeli dotyczy), adres e-mail kontaktowy. Dla wielu sklepów internetowych prowadzonych w formie jednoosobowej działalności gospodarczej kluczowe jest ujawnienie pełnych danych przedsiębiorcy, a nie wyłącznie nazwy handlowej sklepu.

Dane kontaktowe inspektora ochrony danych – jeżeli został wyznaczony, należy wskazać kanał kontaktu (najczęściej dedykowany adres e-mail). UODO konsekwentnie podkreśla, że w klauzuli powinien znaleźć się preferowany kanał komunikacji z IOD, a nie wyłącznie ogólne sformułowanie.

Cele przetwarzania i podstawa prawna dla każdego celu – polityka prywatności powinna systematycznie wymieniać każdy cel przetwarzania (realizacja zamówienia, obsługa konta klienta, marketing własnych produktów, marketing partnerów, profilowanie, analityka) i precyzyjnie wskazywać podstawę prawną z art. 6 ust. 1 RODO. To jeden z najczęściej zaniedbywanych elementów – sklepy ograniczają się do ogólnego stwierdzenia, że dane są przetwarzane „zgodnie z RODO”, co nie spełnia wymogów obowiązku informacyjnego.

Kategorie odbiorców danych – nie wystarczy ogólnikowe „nasi partnerzy”. Należy wskazać kategorie: dostawcy usług kurierskich, operatorzy płatności, dostawcy hostingu, podmioty prowadzące rachunkowość, dostawcy narzędzi marketingowych, ewentualnie konkretni odbiorcy, jeżeli sklep przekazuje dane wyłącznie wybranym podmiotom.

Okres przechowywania danych lub kryteria jego ustalenia – odrębnie dla każdego celu. Dane do realizacji zamówienia – przez okres wykonania umowy oraz okres przedawnienia roszczeń (zwykle do 6 lat); dane na fakturach – 5 lat licząc od końca roku podatkowego; dane marketingowe – do wycofania zgody; dane z plików cookie – zgodnie z czasem życia konkretnego cookie.

Informacja o przekazywaniu danych poza Europejski Obszar Gospodarczy – jeżeli sklep korzysta z dostawców mających serwery poza EOG (np. niektóre narzędzia analityczne, systemy mailingowe, chatboty AI), konieczne jest wskazanie podstawy prawnej takiego transferu (decyzja Komisji Europejskiej o adekwatnym poziomie ochrony, standardowe klauzule umowne) oraz informacja o możliwości uzyskania kopii zabezpieczeń.

Prawa osoby, której dane dotyczą – dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, przenoszenie, sprzeciw, cofnięcie zgody, wraz z praktycznym wskazaniem, jak z tych praw skorzystać.

Prawo wniesienia skargi do Prezesa UODO – z podaniem adresu organu nadzorczego.

Informacja, czy podanie danych jest wymogiem ustawowym, umownym, czy warunkiem zawarcia umowy, oraz konsekwencje ich niepodania – element często pomijany, a wprost wymagany przez art. 13 ust. 2 lit. e RODO.

Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – jeżeli sklep stosuje algorytmy rekomendacji, dynamiczne ceny, scoring kredytowy lub inne mechanizmy zautomatyzowane wywołujące skutki prawne wobec klienta, konieczne jest opisanie logiki działania mechanizmu, znaczenia i przewidywanych konsekwencji takiego przetwarzania.

Najnowsze orzecznictwo i praktyka organów nadzoru

Rok 2025 i pierwsze miesiące 2026 r. przyniosły kilka rozstrzygnięć, które bezpośrednio kształtują standard zgodności w e-commerce.

Wyrok TSUE z 2 grudnia 2025 r. w sprawie C-492/23 (Russmedia Digital) ma znaczenie przede wszystkim dla operatorów platform handlowych i marketplace’ów. Trybunał uznał, że operator internetowej platformy handlowej, który strukturyzuje, prezentuje i monetyzuje treści zamieszczane przez użytkowników, jest administratorem danych osobowych zawartych w tych treściach – nie zaś jedynie podmiotem hostującym. Konsekwencją jest obowiązek wdrożenia mechanizmów weryfikacji ogłoszeń jeszcze przed ich publikacją, w szczególności tych zawierających dane szczególnych kategorii. Dla sklepów prowadzących wyłącznie sprzedaż własnych produktów wyrok ma znaczenie pośrednie, ale dla platform agregujących oferty wielu sprzedawców – fundamentalne.

Wyrok TSUE z 13 listopada 2025 r. w sprawie C-654/23 (Inteligo Media) potwierdził, że biuletyn informacyjny z odesłaniami do treści odpłatnych stanowi marketing bezpośredni i wymaga zgody odbiorcy spełniającej rygory RODO. Orzeczenie zamyka pole interpretacyjne, w którym przedsiębiorcy próbowali kwalifikować część komunikacji jako „informacyjną”, a nie handlową.

Plan kontroli sektorowych Prezesa UODO na rok 2026, opublikowany 8 stycznia 2026 r. na stronie internetowej organu nadzorczego, wymienia podmioty marketingowe – w tym e-commerce, telemarketing, lead generation B2B i działalność CRM – jako obszar priorytetowy. Organ zapowiada weryfikację podstaw prawnych przetwarzania danych w celach marketingowych, w tym sposobu pozyskiwania zgód, treści klauzul informacyjnych oraz zgodności praktyk marketingowych z deklarowanymi celami. Internetowe platformy dostaw są drugim sektorem objętym kontrolą sektorową, ze szczególnym uwzględnieniem zasady minimalizacji danych i privacy by design.

Najczęstsze błędy – synteza praktyczna

Z perspektywy praktyki kontrolnej UODO oraz orzecznictwa polskich sądów administracyjnych można wskazać kilka powracających uchybień, które najczęściej prowadzą do postępowań i sankcji.

Pierwszym jest nadużywanie zgody jako podstawy „domyślnej” – stosowanie jej tam, gdzie właściwą podstawą jest wykonanie umowy lub prawnie uzasadniony interes. Drugim – łączenie różnych zgód w jeden zbiorczy checkbox, czy to przez połączenie z akceptacją regulaminu, czy przez agregację wszystkich kanałów marketingowych. Trzecim – brak realnej możliwości odmowy zgody (brak równorzędnej opcji „odrzucam” w banerze cookie, uzależnienie usługi od zgody marketingowej). Czwartym – nieaktualna lub nieprecyzyjna polityka prywatności, w szczególności brak wskazania podstawy prawnej dla każdego celu przetwarzania, brak wskazania konkretnych kategorii odbiorców oraz brak informacji o transferze danych poza EOG. Piątym – brak udokumentowania zgód, czyli niemożność wykazania, kiedy, w jaki sposób i w jakim zakresie konkretna osoba wyraziła zgodę. Szóstym – brak prostego, równie łatwego jak udzielenie zgody, mechanizmu jej wycofania.

Każdy z tych błędów może być samodzielną podstawą do nałożenia administracyjnej kary pieniężnej, a w praktyce kontrolnej UODO nierzadko występują kumulatywnie.

Podsumowanie

Prawidłowe zbieranie danych w sklepie internetowym opiera się na świadomym wyborze właściwej podstawy prawnej dla każdego celu przetwarzania – nie na automatycznym odbieraniu zgody. Większość operacji wykonywanych przez sklep w toku sprzedaży znajduje oparcie w wykonaniu umowy lub obowiązku prawnego; zgoda pozostaje zarezerwowana dla działań marketingowych, profilowania i plików cookie innych niż niezbędne, przy czym musi spełniać rygorystyczne warunki dobrowolności, świadomości, konkretności i jednoznaczności.

Newsletter, SMS-y promocyjne i remarketing wymagają zgód odrębnych dla każdego kanału komunikacji – zarówno z perspektywy RODO, jak i art. 398 Prawa komunikacji elektronicznej. Łączenie zgód marketingowych z akceptacją regulaminu jest praktyką nieskuteczną prawnie. Polityka prywatności powinna być dokumentem precyzyjnym i kompletnym, wskazującym podstawę prawną dla każdego celu, kategorie odbiorców, okres przechowywania oraz pełen zakres praw osoby, której dane dotyczą.

W świetle planu kontroli sektorowych UODO na 2026 r. oraz najnowszego orzecznictwa TSUE rok bieżący stanowi dobry moment na audyt zgodności – zarówno dokumentacji, jak i rzeczywistego funkcjonowania mechanizmów ochrony danych w sklepie. Organ nadzorczy przesuwa bowiem ciężar weryfikacji z formalnej zgodności papierowej na zgodność operacyjną – sprawdza, czy mechanizmy działają, a nie czy istnieją na papierze.

Artykuł przygotowany przez zespół kancelarii ATL Law. W przypadku pytań dotyczących wdrożenia opisanych zasad w konkretnym sklepie internetowym zapraszamy do kontaktu: office@atl-law.pl.