Twój sklep internetowy może łamać przepisy. Analiza prawdziwego przypadku

Wkurzyłem się.

Kilka dni temu trafiłem na sklep internetowy wykonany przez zewnętrzną firmę. Na pierwszy rzut oka wyglądał jak setki innych małych sklepów opartych o WooCommerce. Produkty były dodane, koszyk działał, można było przejść do checkoutu i złożyć zamówienie.

Jednak już po kilku minutach było widać, że sklep sprawia raczej wrażenie wdrożenia wykonanego minimalnym nakładem pracy. Działał zauważalnie wolno, korzystał niemal wyłącznie z domyślnych komponentów WooCommerce, a na kartach produktów brakowało części informacji, których można oczekiwać od profesjonalnego sklepu internetowego.

Potem zaczęły wychodzić rzeczy znacznie poważniejsze: ukryta polityka prywatności, praktycznie niewidoczny regulamin, wadliwy baner cookies oraz wątpliwości dotyczące realizacji obowiązków informacyjnych wobec konsumentów.

I to nie był jakiś sklep pisany przez hobbystę po godzinach. To był normalnie działający sklep internetowy, sprzedający konsumentom, zbudowany przez zewnętrzną agencję! Sklep, za który ktoś zapłacił. Sklep, który – z perspektywy właściciela – "działa". Problem w tym, że "działać" i "być zgodnym z prawem" to dwie zupełnie różne rzeczy.
Ten artykuł prawdopodobnie by nie powstał, gdyby nie fakt, że w stopce sklepu widniał link do realizatora. Bo jeżeli ktoś publicznie podpisuje się pod wdrożeniem sklepu internetowego, to bierze również na siebie ryzyko, że ktoś przyjrzy się jakości tej realizacji.

Problem zaczyna się wcześniej niż RODO

Zanim zacząłem analizować politykę prywatności i cookies, miałem już pewne wątpliwości. Sklep był wolny, karta produktu była bardzo uboga, a część informacji, których współcześnie oczekuje się od profesjonalnego sklepu internetowego, w ogóle nie była eksponowana.
To ważna lekcja dla przedsiębiorców. Compliance bardzo rzadko jest jedynym problemem. Jeżeli sklep wygląda na zbudowany minimalnym nakładem pracy i wykorzystuje niemal wyłącznie domyślne komponenty platformy, często okazuje się, że podobne podejście zastosowano również wobec kwestii prawnych i obowiązków informacyjnych.

1 / 1

Kliknij, aby powiększyć

Problem rynku: sklep można zrobić za parę stówek

Rozumiem, że rynek e-commerce jest konkurencyjny. Rozumiem, że właściciele małych sklepów mają ograniczone budżety, sam przez to przechodziłem. Rozumiem też, że agencje często muszą walczyć o zlecenia ceną. Ale jest coś, co mnie naprawdę irytuje.

Problem nie leży w tym, że tanie rozwiązania są złe co często wspominam na tym blogu. Problem pojawia się w konkretnym momencie: gdy sprzedaje się klientowi "profesjonalny sklep internetowy", klient zakłada, że wszystko jest zgodne z prawem, a w rzeczywistości dostaje wyłącznie działającą stronę, która jakoś działa na pierwszy rzut oka… Tylko właściciel sklepu najczęściej nie wie, czego powinien oczekiwać od profesjonalnego wdrożenia e-commerce. Widzi działający koszyk i płatności, ale nie ma świadomości, że sklep powinien spełniać również szereg obowiązków prawnych i informacyjnych ani nie jest w stanie zweryfikować części technicznej. To jest przerzucenie ryzyka prawnego na klienta – bez jego wiedzy i zgody.

W branży utrwaliło się fałszywe przekonanie, że e-commerce to WordPress + motyw + wtyczka do płatności albo Shopify czy Prestashop. Że jak koszyk działa i Przelewy24 przyjmuje transakcje, to sklep jest "gotowy". Tymczasem sklep internetowy to znacznie więcej. To również:

• prawo konsumenckie i obowiązki informacyjne wynikające z ustawy o prawach konsumenta
• RODO i klauzule informacyjne dotyczące przetwarzania danych osobowych
• dyrektywa ePrivacy i prawidłowy baner cookies
• ustawa o świadczeniu usług drogą elektroniczną i dane kontaktowe sprzedawcy
• bezpieczeństwo danych i dokumentacja wymagana przez RODO
• regulamin sklepu zgodny z Kodeksem cywilnym i ustawą konsumencką

Właściciel sklepu, który zlecił budowę agencji, często nie ma pojęcia, że te elementy w ogóle istnieją. Zakłada, że skoro zapłacił za "sklep", to dostał wszystko, czego potrzebuje. To jest właśnie ten moment, w którym ryzyko prawne zostaje po cichu przerzucone na przedsiębiorcę – a on nawet o tym nie wie.

Czy mały sklep też musi stosować RODO?

Tak. Bez wyjątków. Przepisy RODO nie zawierają żadnego progu przychodowego, limitu zamówień ani wyjątku dla małych przedsiębiorców. Jeżeli Twój sklep internetowy zbiera imię, nazwisko, adres dostawy, adres e-mail i numer telefonu – przetwarzasz dane osobowe i podlegasz RODO niezależnie od skali prowadzonej działalności.

Co więcej, sklep internetowy z definicji przetwarza dane osobowe w sposób zautomatyzowany – co oznacza, że obowiązki wynikające z RODO są szczególnie istotne. Urząd Ochrony Danych Osobowych (UODO) nie robi taryfy ulgowej dla małych podmiotów. Kary administracyjne mogą być dotkliwe, ale – co ważniejsze – naruszenie praw konsumentów w zakresie ochrony danych może skutkować roszczeniami cywilnymi ze strony klientów.

Podstawowym obowiązkiem wynikającym z art. 13 RODO jest obowiązek informacyjny – czyli poinformowanie osoby, której dane zbierasz, o tym: kto jest administratorem danych, w jakim celu i na jakiej podstawie prawnej dane są przetwarzane, jak długo będą przechowywane, jakie prawa przysługują osobie, której dane dotyczą, oraz czy dane będą przekazywane poza Europejski Obszar Gospodarczy. To właśnie powinna zawierać polityka prywatności Twojego sklepu.

Jakie dokumenty powinien mieć sklep internetowy?

Każdy sklep internetowy sprzedający konsumentom w Polsce powinien posiadać co najmniej trzy kluczowe dokumenty. Ich brak lub nieprawidłowe wdrożenie to najczęstsze problemy, które znajduję podczas audytów.

Regulamin sklepu

Regulamin sklepu internetowego to dokument wymagany przez ustawę o prawach konsumenta oraz ustawę o świadczeniu usług drogą elektroniczną. Prawidłowy regulamin powinien zawierać:

• pełne dane przedsiębiorcy (nazwa, adres, NIP, KRS lub CEIDG, e-mail, telefon)
• sposób składania zamówień i zawierania umowy
• dostępne metody płatności i terminy realizacji
• koszty i sposoby dostawy
• procedura reklamacyjna i rękojmia za wady
• prawo odstąpienia od umowy w ciągu 14 dni bez podania przyczyny
• wyjątki od prawa odstąpienia (np. produkty personalizowane, treści cyfrowe)
• moment zawarcia umowy sprzedaży

Równie ważna jak treść regulaminu jest jego dostępność. Regulamin powinien być: łatwo dostępny z każdej podstrony sklepu, dostępny przed dokonaniem zakupu, podlinkowany w stopce strony oraz podlinkowany bezpośrednio w procesie checkout – tak, aby klient mógł się z nim zapoznać przed kliknięciem "Kupuję i płacę".

Polityka prywatności

Polityka prywatności to realizacja obowiązku informacyjnego wynikającego z art. 13 RODO. Powinna zawierać wszystkie informacje, które administrator danych jest zobowiązany przekazać osobie, której dane przetwarza. Prawidłowa polityka prywatności sklepu internetowego powinna obejmować:

• dane administratora danych osobowych i dane kontaktowe
• cele przetwarzania danych i podstawy prawne dla każdego celu
• kategorie odbiorców danych (np. firmy kurierskie, operatorzy płatności, dostawcy hostingu)
• okresy przechowywania danych dla poszczególnych celów
• prawa użytkownika: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw
• informacje o ewentualnych transferach danych poza Europejski Obszar Gospodarczy
• informacje o plikach cookies i stosowanych narzędziach analitycznych

Polityka prywatności powinna być stale dostępna – link w stopce strony to absolutne minimum. Ukrywanie jej lub umieszczanie wyłącznie przy formularzu kontaktowym to praktyka, która budzi poważne wątpliwości co do realizacji obowiązku informacyjnego.

Polityka cookies

Polityka cookies to odrębny dokument (lub sekcja polityki prywatności) opisujący, jakie pliki cookies są używane na stronie, przez kogo są ustawiane, w jakich celach oraz jak użytkownik może nimi zarządzać. Dokument ten powinien być spójny z faktycznym działaniem banera cookies i narzędzi analitycznych zainstalowanych na stronie.

A co z informacjami o samym produkcie?

Od grudnia 2024 r. przedsiębiorcy sprzedający produkty konsumentom podlegają również wymogom wynikającym z GPSR (General Product Safety Regulation).

W zależności od rodzaju produktu konsument powinien mieć możliwość zapoznania się m.in. z:

• danymi producenta,
• danymi importera lub podmiotu odpowiedzialnego,
• informacjami identyfikującymi produkt,
• ostrzeżeniami i informacjami dotyczącymi bezpieczeństwa, jeżeli charakter produktu tego wymaga.

W analizowanym sklepie karty produktów były bardzo ubogie i nie udało mi się odnaleźć części informacji, których współcześnie można oczekiwać od profesjonalnego sklepu internetowego. Bez pełnego audytu całego asortymentu nie można jednak jednoznacznie przesądzić, które obowiązki GPSR zostały naruszone.

Jak powinien wyglądać baner cookies?

Baner cookies to jeden z najczęściej błędnie wdrożonych elementów sklepów internetowych. Wymagania wynikają z dyrektywy ePrivacy oraz RODO i są dość precyzyjne – choć wiele sklepów nadal je ignoruje.

Prawidłowy baner cookies musi spełniać następujące warunki:

• Musi zawierać opcję akceptacji cookies niezbędnych i opcjonalnych – przycisk [Akceptuję]
• Musi zawierać równie łatwo dostępną opcję odrzucenia cookies nieobowiązkowych – przycisk [Odrzucam] lub [Tylko niezbędne]
• Powinien umożliwiać granularne zarządzanie zgodami – przycisk [Ustawienia] lub [Zarządzaj preferencjami]
• Opcja akceptacji i odrzucenia muszą być równie widoczne i łatwo dostępne – nie można ukrywać przycisku odrzucenia

Czego baner cookies nie może zawierać:

• Samego przycisku [OK] bez opcji odrzucenia – to nie jest ważna zgoda
• Sformułowania "Dalsze korzystanie ze strony oznacza zgodę" – to nie jest zgoda w rozumieniu RODO
• Wstępnie zaznaczonych checkboxów dla cookies analitycznych lub marketingowych
• Ładowania narzędzi analitycznych (Google Analytics, Meta Pixel) przed udzieleniem zgody

Jak powinien wyglądać checkout?

Proces checkout to krytyczny punkt z perspektywy prawa konsumenckiego. Ustawa o prawach konsumenta nakłada na sprzedawcę szereg obowiązków informacyjnych, które muszą być spełnione zanim konsument kliknie przycisk finalizujący zakup.

Przed kliknięciem przycisku "Kupuję i płacę" (lub równoważnego) konsument musi mieć zapewniony:

• dostęp do regulaminu sklepu – link musi być widoczny i klikalny
• dostęp do polityki prywatności – link musi być widoczny i klikalny
• informacje o przetwarzaniu danych osobowych w kontekście realizacji zamówienia
• wyraźną informację o prawie odstąpienia od umowy w ciągu 14 dni
• informacje o ewentualnych wyjątkach od prawa odstąpienia (jeśli dotyczą zamawianych produktów)
• możliwość zapoznania się z dokumentami przed finalizacją zakupu – nie po

Wszystkie te informacje muszą być w języku polskim, jeśli sklep kieruje ofertę do polskich konsumentów. Fragmenty po angielsku w kluczowych miejscach checkout to nie tylko problem estetyczny – to potencjalny problem z realizacją obowiązków informacyjnych. W przypadku sklepu, który “zainspirował” ten post, zarówno polityka jak i regulamin były dostępne wyłącznie przy ostatnim etapie checkout a analiza ich treści i sposobu prezentacji wzbudziła szereg wątpliwości dotyczących realizacji obowiązków informacyjnych..

Szczególna sytuacja: produkty personalizowane

Wiele sklepów internetowych sprzedaje produkty na zamówienie, rękodzieło lub produkty personalizowane – z imieniem, dedykacją, indywidualnym projektem. To ważna kategoria z perspektywy prawa konsumenckiego, bo ustawa o prawach konsumenta przewiduje wyjątki od 14-dniowego prawa odstąpienia od umowy.

Jednak – i to jest kluczowe – wyjątek ten nie działa automatycznie. Aby skutecznie wyłączyć prawo odstąpienia dla produktów personalizowanych, sprzedawca musi:

• prawidłowo poinformować konsumenta o tym wyjątku przed dokonaniem zakupu
• zawrzeć stosowne postanowienie w regulaminie sklepu
• jednoznacznie poinformować konsumenta o wyjątku przed zakupem. Dodatkowe potwierdzenie w procesie zakupowym może być dobrą praktyką dowodową.

Sklep, który sprzedaje produkty personalizowane bez prawidłowego poinformowania konsumenta o wyjątku od prawa odstąpienia, może narazić się na roszczenia ze strony klientów – nawet jeśli produkt został wykonany zgodnie z zamówieniem.

Czego nauczył nas ten case?

Analizowany sklep jest doskonałą ilustracją zjawiska, które obserwuję regularnie w polskim e-commerce. Sklep może jednocześnie:

• ✅ funkcjonować – produkty, koszyk, płatności, wysyłka
• ✅ wyglądać profesjonalnie i budzić zaufanie wizualnie
• ✅ przyjmować zamówienia i realizować sprzedaż
• ❌ nie spełniać podstawowych standardów compliance w zakresie RODO
• ❌ nie realizować prawidłowo obowiązków informacyjnych wobec konsumentów
• ❌ stosować baner cookies niezgodny z wymogami ePrivacy i RODO

To jest właśnie sedno problemu.

Najbardziej oburzające w tym wszystkim nie jest to, że sklep miał błędy. Błędy zdarzają się każdemu.

Oburzające jest to, że przedsiębiorca często nawet nie wie, że kupił produkt niekompletny.

Kupił „sklep internetowy”, a dostał stronę WWW z koszykiem.

I dopiero gdy pojawia się skarga klienta, pytanie o zwrot, problem z cookies albo kontrola, okazuje się, że profesjonalny e-commerce to znacznie więcej niż motyw WordPressa, kilka zdjęć produktów i działające płatności.

I co najważniejsze – to nie agencja będzie tłumaczyła się przed klientem, UODO czy UOKiK. Odpowiedzialność w pierwszej kolejności spada na przedsiębiorcę, który często nawet nie był świadomy, że jego sklep został wdrożony niekompletnie.

Lista problemów znalezionych w analizowanym sklepie

Poniżej przedstawiam szczegółową listę problemów, które zidentyfikowałem podczas analizy sklepu. Każdy z nich jest opisany z perspektywy potencjalnego ryzyka prawnego.

1 / 1

Kliknij, aby powiększyć

1. ⚠️ Ukryta polityka prywatności

Polityka prywatności nie jest podlinkowana w stopce strony ani w menu głównym. Link do dokumentu pojawia się wyłącznie przy formularzu kontaktowym oraz na końcu procesu checkout. To bardzo słaba praktyka z perspektywy realizacji obowiązku informacyjnego wynikającego z art. 13 RODO. Użytkownik, który nie wypełnia formularza kontaktowego i nie przechodzi przez checkout, praktycznie nie ma możliwości zapoznania się z polityką prywatności. Budzi to poważne wątpliwości co do prawidłowości realizacji obowiązku informacyjnego.

2. ⚠️ Regulamin praktycznie ukryty

Regulamin sklepu nie jest dostępny ze stopki strony ani z nawigacji głównej. Użytkownik przeglądający sklep i rozważający zakup nie ma możliwości zapoznania się z regulaminem przed podjęciem decyzji zakupowej. To potencjalne naruszenie obowiązków informacyjnych wobec konsumentów wynikających z ustawy o prawach konsumenta. Prawidłowe wdrożenie wymaga umieszczenia linku do regulaminu w stopce, w menu oraz bezpośrednio w procesie checkout.

3. ⚠️ Baner cookies niezgodny z wymogami

Baner cookies zawiera wyłącznie przycisk "OK" bez równorzędnej opcji odrzucenia cookies nieobowiązkowych. Brakuje przycisku "Odrzucam" lub "Tylko niezbędne". Dodatkowo baner sugeruje, że dalsze korzystanie ze strony oznacza zgodę na cookies – co jest wprost sprzeczne z wymogami RODO dotyczącymi ważnej zgody (zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna). To prawdopodobnie największy problem prawny całego sklepu i obszar o bardzo dużym ryzyku niezgodności z przepisami ePrivacy i RODO.

4. ❓ Możliwe ładowanie narzędzi analitycznych przed zgodą

Na stronie zainstalowane są narzędzia analityczne i marketingowe (Google Analytics, potencjalnie Meta Pixel i inne trackery). Nie jest możliwe jednoznaczne stwierdzenie z zewnątrz, czy narzędzia te są ładowane dopiero po udzieleniu zgody przez użytkownika, czy też działają od razu po wejściu na stronę. Wymagałoby to pełnego audytu technicznego z analizą ruchu sieciowego. Jeśli narzędzia analityczne ładują się przed zgodą – jest to poważne naruszenie RODO i dyrektywy ePrivacy.

5. ⚠️ Niedokończona lokalizacja checkout

Sklep jest skierowany do polskich konsumentów i prowadzony w języku polskim. Jednak w procesie checkout pojawiają się fragmenty po angielsku – w tym kluczowe informacje dotyczące przetwarzania danych osobowych. To nie tylko problem estetyczny i wizerunkowy. Informacje o przetwarzaniu danych, prawie odstąpienia i warunkach zakupu muszą być zrozumiałe dla konsumenta – a fragmenty w obcym języku obniżają przejrzystość i mogą budzić wątpliwości co do prawidłowości realizacji obowiązków informacyjnych.

6. ⚠️ Formularz kontaktowy z prawdopodobnie zbędną zgodą

Formularz kontaktowy zawiera checkbox z treścią "Wyrażam zgodę na przetwarzanie moich danych osobowych". W wielu przypadkach taka zgoda nie jest potrzebna – przetwarzanie danych w celu odpowiedzi na zapytanie może opierać się na innej podstawie prawnej (np. prawnie uzasadnionym interesie administratora lub niezbędności do podjęcia działań przed zawarciem umowy). Zbieranie zgody tam, gdzie nie jest ona wymagana, może prowadzić do problemów z zarządzaniem zgodami i jest raczej błędem wdrożeniowym niż świadomą decyzją.

7. ⚠️ Prawdopodobny brak przemyślanej architektury compliance

Patrząc na całość – przypadkowe rozmieszczenie dokumentów, brak spójności między polityką prywatności a banerem cookies, domyślne komponenty WooCommerce bez dostosowania do polskiego prawa, brak całościowego podejścia do compliance – można stwierdzić, że sklep nie był budowany z myślą o zgodności z przepisami. To problem systemowy, nie zbiór pojedynczych błędów. Compliance w e-commerce wymaga przemyślanej architektury od samego początku, a nie doklejania dokumentów na końcu projektu.

Czego nie możemy uczciwie stwierdzić bez pełnego audytu

Rzetelność wymaga, żebym wyraźnie zaznaczył granicę tego, co można ocenić z zewnątrz. Na podstawie analizy widocznych elementów sklepu nie można kategorycznie stwierdzić, że sklep:

• ❌ łamie RODO jako całość – to wymaga pełnego audytu dokumentacji wewnętrznej
• ❌ nie posiada ważnych podstaw prawnych przetwarzania danych – tego nie widać z zewnątrz
• ❌ nie zawarł umów powierzenia przetwarzania danych z dostawcami usług – tego nie widać z zewnątrz
• ❌ nie prowadzi wymaganej dokumentacji RODO (rejestr czynności przetwarzania, oceny ryzyka) – tego po prostu nie widać z zewnątrz

Można natomiast powiedzieć z pełnym przekonaniem: sklep wykazuje szereg zaniedbań i wzorców wdrożeniowych budzących poważne wątpliwości co do poziomu zgodności z obowiązkami informacyjnymi, wymogami dotyczącymi cookies oraz ogólnym podejściem do compliance. Widoczne elementy – baner cookies, dostępność dokumentów, lokalizacja checkout – wskazują na brak systemowego podejścia do zgodności z prawem. Realne koszty omówiłem w “Ile kosztuje sklep internetowy w 2026 roku? Uczciwy breakdown: Shopify, WooCommerce i headless commerce”

Nie chodzi o wytykanie błędów jednemu konkretnemu sklepowi. Chodzi o pokazanie mechanizmu, który powtarza się w polskim e-commerce: przedsiębiorca kupuje "gotowy sklep", który działa, sprzedaje i przyjmuje płatności – ale pod względem prawnym został pozostawiony w podbramkowej sytacji. Bez regulaminu zgodnego z ustawą konsumencką. Bez prawidłowej polityki prywatności. Bez działającego banera cookies. Bez przemyślanej architektury compliance.

Jeśli prowadzisz sklep internetowy lub planujesz jego uruchomienie – zrób audyt compliance. Nie zakładaj, że agencja zadbała o wszystko. Zapytaj wprost: czy regulamin jest zgodny z ustawą o prawach konsumenta? Czy polityka prywatności spełnia wymogi art. 13 RODO? Czy baner cookies jest zgodny z dyrektywą ePrivacy? Czy checkout zawiera wszystkie wymagane informacje? Odpowiedzi na te pytania mogą uchronić Cię przed poważnymi konsekwencjami prawnymi.