Wymagania prawne dotyczące stron i sklepów internetowych – RODO, cookies, Omnibus i zwroty

Prowadzenie strony internetowej lub sklepu online w Polsce to nie tylko kwestia dobrego projektu i widoczności w Google. To również szereg obowiązków prawnych, których niedopełnienie może skutkować karami finansowymi, utratą zaufania klientów, a nawet sankcjami ze strony UODO lub UOKiK. W tym artykule omawiamy cztery kluczowe obszary, o których musi pamiętać każdy właściciel serwisu w 2025 roku.

1. RODO – ochrona danych osobowych na stronie www

RODO (Rozporządzenie o Ochronie Danych Osobowych, ang. GDPR) obowiązuje w Polsce od 25 maja 2018 roku. Każda strona internetowa, która zbiera dane osobowe użytkowników – nawet tylko adresy e-mail z formularza kontaktowego – musi spełnić określone wymogi.

Co konkretnie musisz zrobić?

• Polityka prywatności – dokument opisujący, jakie dane zbierasz, w jakim celu, jak długo je przechowujesz i komu je udostępniasz. Musi być napisana zrozumiałym językiem, nie prawniczym żargonem.
• Podstawa prawna przetwarzania – każde przetwarzanie danych musi mieć podstawę: zgoda użytkownika, wykonanie umowy, obowiązek prawny lub uzasadniony interes administratora.
• Klauzule informacyjne przy formularzach – w każdym formularzu (kontaktowym, zamówieniowym, rejestracyjnym) musisz poinformować użytkownika, kto jest administratorem danych, w jakim celu je przetwarzasz i jakie ma prawa.
• Prawa użytkownika – musisz umożliwić realizację prawa dostępu do danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania oraz przenoszenia danych.
• Umowy powierzenia przetwarzania – jeśli korzystasz z zewnętrznych narzędzi (np. Google Analytics, Mailchimp, systemy płatności), musisz zawrzeć z nimi umowę powierzenia przetwarzania danych osobowych.
• Rejestr czynności przetwarzania – przedsiębiorcy zatrudniający powyżej 250 pracowników lub przetwarzający dane wrażliwe mają obowiązek prowadzenia rejestru czynności przetwarzania.

Kara za brak zgodności z RODO: do 20 milionów euro lub 4% rocznego obrotu firmy – zależnie od tego, która kwota jest wyższa. W Polsce UODO nałożył już sankcje na firmy różnej wielkości. W 2023 roku kary za naruszenia RODO przekroczyły łącznie kilka milionów złotych.

2. Cookies – zgoda użytkownika i Google Consent Mode v2

Pliki cookies to jeden z najczęściej zaniedbanych obszarów compliance. Od maja 2023 roku Prezes UODO wydał wytyczne znacznie zaostrzające wymogi dotyczące banerów cookie. Jednocześnie od marca 2024 roku Google wymaga implementacji Google Consent Mode v2 dla właściwego działania śledzenia w GA4 i Google Ads.

Wymogi dotyczące cookies w 2025 roku:

• Zgoda musi być dobrowolna i uprzednia – cookies niezbędne (sesja, koszyk, logowanie) możesz ustawiać bez zgody. Cookies analityczne, marketingowe i profilujące wymagają wyraźnej zgody przed ich uruchomieniem.
• Brak zgody domyślnej – nie możesz domyślnie zaznaczać opcji „akceptuję” ani uruchamiać skryptów śledzących przed uzyskaniem zgody użytkownika.
• Łatwy dostęp do odmowy – odrzucenie cookies musi być równie proste jak ich akceptacja. Przycisk „Odrzuć wszystkie” musi być widoczny na pierwszym poziomie banera, bez konieczności wchodzenia w ustawienia.
• Możliwość cofnięcia zgody – użytkownik musi mieć możliwość zmiany preferencji w dowolnym momencie – zwykle przez stałą ikonę pliku cookie w rogu strony.
• Google Consent Mode v2 – jeśli używasz GA4 lub Google Ads, implementacja GCM v2 jest wymagana do prawidłowego modelowania konwersji i obsługi użytkowników, którzy odmówili śledzenia. Bez tego Google może ograniczyć możliwości raportowania.

Ważne: wiele popularnych wtyczek cookie na rynku nadal nie spełnia aktualnych wytycznych UODO. Jeśli nie masz pewności, warto przeprowadzić audyt zgodności – szczególnie przed dużą kampanią reklamową.

3. Dyrektywa Omnibus – transparentność cen i autentyczność opinii

Dyrektywa Omnibus (UE 2019/2161) weszła w życie w Polsce 1 stycznia 2023 roku za sprawą ustawy o zmianie ustawy o prawach konsumenta. Wprowadza ona szereg obowiązków dla sklepów internetowych, dotyczących przejrzystości cen, promocji i opinii konsumentów.

Najważniejsze wymagania dyrektywy Omnibus:

• Najniższa cena z ostatnich 30 dni – przy każdej promocji lub obniżce ceny musisz podać najniższą cenę, jaką produkt miał w ciągu ostatnich 30 dni. Eliminuje to praktykę sztucznego zawyżania ceny tuż przed promocją. Wymagana informacja: „Najniższa cena z ostatnich 30 dni: XX zł”.
• Spersonalizowane ceny – jeśli stosujesz personalizację cen (np. na podstawie historii zakupów lub lokalizacji), musisz o tym wyraźnie poinformować użytkownika przed finalizacją zakupu.
• Autentyczność opinii i recenzji – jeśli wyświetlasz recenzje produktów lub usług, musisz poinformować użytkowników, w jaki sposób weryfikujesz ich autentyczność i czy opinie pochodzą wyłącznie od rzeczywistych nabywców.
• Przejrzystość rankingów w wyszukiwarce sklepu – jeśli w wynikach wyszukiwania promujesz pewne produkty płatnie lub na podstawie ukrytych kryteriów, musisz to wyraźnie oznaczyć.
• Platformy rynkowe (marketplace) – operatorzy platform muszą informować konsumentów, czy sprzedawcą jest przedsiębiorca czy osoba prywatna, a jeśli prywatna – że ochrona konsumencka może nie obowiązywać.

Kary za naruszenia Omnibusa: UOKiK może nałożyć karę do 10% rocznego obrotu firmy. W praktyce kary dotykają głównie duże platformy e-commerce, ale kontrole dotyczą również małych i średnich sklepów.

Platformy WooCommerce i PrestaShop posiadają już rozszerzenia i wtyczki realizujące obowiązek wyświetlania najniższej ceny automatycznie na podstawie historii cen produktu.

4. Prawo do zwrotu – dyrektywa o prawach konsumenta

Prawo konsumenta do odstąpienia od umowy zawartej na odległość to jeden z filarów europejskiego e-commerce. Reguluje je ustawa z dnia 30 maja 2014 r. o prawach konsumenta, implementująca dyrektywę Parlamentu Europejskiego 2011/83/UE.

Obowiązki sklepu internetowego w zakresie zwrotów:

• 14-dniowe prawo do zwrotu bez podania przyczyny – konsument może odstąpić od umowy w ciągu 14 dni od daty otrzymania towaru. Termin liczy się od chwili fizycznego dostarczenia przesyłki.
• Obowiązek informacyjny – informacja o prawie do odstąpienia musi być przekazana konsumentowi najpóźniej w chwili złożenia zamówienia. Standardowo umieszcza się ją w regulaminie oraz w potwierdzeniu zamówienia wysyłanym e-mailem.
• Formularz odstąpienia od umowy – musisz udostępnić standardowy formularz odstąpienia (wzór określony w załączniku do ustawy) lub własny, funkcjonalnie równoważny. Formularz powinien być łatwo dostępny – np. do pobrania ze strony lub w panelu klienta.
• Zwrot środków w ciągu 14 dni – po otrzymaniu informacji o odstąpieniu masz 14 dni na zwrot płatności. Możesz wstrzymać zwrot do czasu otrzymania towaru lub potwierdzenia jego odesłania.
• Koszty zwrotu – co do zasady koszty odesłania towaru ponosi konsument, chyba że zdecydujesz się je pokryć (co bywa elementem strategii marketingowej).

Kiedy prawo do zwrotu nie obowiązuje?

Ustawa przewiduje wyjątki od prawa odstąpienia. Nie stosuje się go m.in. do:

• towarów wyprodukowanych na zamówienie lub wyraźnie spersonalizowanych,
• nagrań audio lub wideo oraz programów komputerowych po rozpieczętowaniu opakowania,
• produktów łatwo psujących się lub mających krótki termin przydatności,
• gazet, periodyków i czasopism,
• biletów na imprezy kulturalne, sportowe lub rozrywkowe w określonym terminie,
• usług, które zostały w pełni wykonane za wyraźną zgodą konsumenta przed upływem terminu.

Regulamin sklepu internetowego – elementy obowiązkowe

Regulamin jest dokumentem obowiązkowym dla każdego sklepu online. Musi zawierać co najmniej:

• pełne dane identyfikacyjne sprzedawcy: firma, adres siedziby, NIP, KRS/CEIDG, dane kontaktowe,
• opis procesu składania zamówienia i momentu zawarcia umowy,
• dostępne metody płatności i dostawy wraz z cennikiem,
• warunki i szczegółową procedurę odstąpienia od umowy,
• zasady rękojmi za wady fizyczne i prawne towaru (2 lata od wydania),
• pozasądowe metody rozwiązywania sporów konsumenckich (platforma ODR: ec.europa.eu/consumers/odr),
• zasady ochrony danych osobowych lub odniesienie do Polityki Prywatności.

Podsumowanie – lista kontrolna zgodności prawnej

Zanim Twoja strona lub sklep internetowy wyjdzie na żywo – lub jeśli działasz już od jakiegoś czasu i chcesz sprawdzić zgodność – upewnij się, że masz wdrożone poniższe elementy:

• ✅ Polityka prywatności zgodna z RODO, napisana przystępnym językiem
• ✅ Klauzule informacyjne przy każdym formularzu zbierającym dane
• ✅ Umowy powierzenia przetwarzania z dostawcami narzędzi (Google, Meta, Mailchimp itd.)
• ✅ Baner cookies umożliwiający akceptację i odrzucenie na pierwszym poziomie
• ✅ Google Consent Mode v2 (jeśli używasz GA4 lub Google Ads)
• ✅ Wyświetlanie najniższej ceny z ostatnich 30 dni przy każdej promocji (Omnibus)
• ✅ Informacja o sposobie weryfikacji autentyczności opinii
• ✅ Regulamin sklepu z pełnymi danymi sprzedawcy i procedurą zwrotów
• ✅ Formularz odstąpienia od umowy dostępny dla klienta
• ✅ Automatyczne potwierdzenie zamówienia z informacją o prawie do zwrotu
• ✅ Link do platformy ODR (rozwiązywanie sporów online)

Przepisy dotyczące e-commerce zmieniają się dynamicznie. Już w 2026 roku wejdą w życie kolejne regulacje dotyczące sztucznej inteligencji i handlu cyfrowego. Jeśli prowadzisz sklep internetowy i nie masz pewności co do jego zgodności z prawem, warto skonsultować się z prawnikiem specjalizującym się w e-commerce lub z agencją, która dobrze zna te wymagania od strony technicznej.

W Virtualmedia budujemy strony i sklepy z myślą o zgodności z prawem od pierwszego etapu projektu – wdrażamy poprawne banery cookies, pomagamy przygotować niezbędne dokumenty prawne we współpracy z radcami prawnymi i dbamy o to, aby Twój sklep był gotowy nie tylko wizualnie, ale i formalnie.

Zdajemy sobie sprawę, że jest tych wymagań coraz więcej ale jesteśmy na bieżąco, możecie na nas liczyć i zawsze pomożemy 🙂