Jakie dane osobowe można przetwarzać bez zgody?

Prowadzisz sklep internetowy? Dane osobowe to coś, z czym masz do czynienia na każdym kroku – od przyjmowania zamówień, przez wysyłkę, po marketing. Wiele osób myśli, że RODO wymaga zgody klienta na wszystko. To mit! Rozporządzenie daje kilka innych podstaw prawnych, które pozwalają legalnie przetwarzać dane bez pytania o zgodę. 

Jakie dane osobowe można przetwarzać bez zgody?
Katarzyna Leszczak 25 lipca 2025

Dlaczego podstawa prawna jest tak ważna?

RODO (Rozporządzenie Ogólne o Ochronie Danych) to unijne prawo, które reguluje, jak firmy mogą przetwarzać dane osobowe. W e-commerce dane to podstawa biznesu: imię, nazwisko, adres, e-mail, numer telefonu czy historia zakupów. Każda operacja na tych danych musi mieć podstawę prawną. Zgoda to tylko jedna z opcji. Jeśli wybierzesz złą podstawę, ryzykujesz kary od Urzędu Ochrony Danych Osobowych (UODO) – nawet do 20 mln euro lub 4% rocznego obrotu. Ale spokojnie, pokażę ci, jak tego uniknąć.

RODO przewiduje sześć podstaw przetwarzania danych:

  1. Zgoda osoby, której dane dotyczą.

  2. Wykonanie umowy.

  3. Obowiązek prawny.

  4. Ochrona żywotnych interesów osoby.

  5. Zadanie w interesie publicznym.

  6. Uzasadniony interes administratora danych.

W e-commerce najczęściej używasz trzech: umowy, obowiązku prawnego i uzasadnionego interesu. 

Realizacja umowy – podstawa numer jeden w e-commerce

Kiedy klient kupuje w twoim sklepie, zawieracie umowę. Żeby ją zrealizować, musisz przetwarzać jego dane. Na przykład:

  • Imię i nazwisko – żeby wiedzieć, do kogo wysyłasz paczkę.

  • Adres dostawy – żeby kurier trafił pod właściwy dom.

  • E-mail – do wysyłki potwierdzenia zamówienia czy faktury.

  • Telefon – żeby kurier mógł się skontaktować przy dostawie.

Nie potrzebujesz zgody klienta, bo przetwarzanie danych wynika bezpośrednio z umowy. Bez tych danych nie dasz rady wysłać produktu ani przyjąć płatności.

To samo dotyczy obsługi posprzedażowej. Jeśli klient zgłasza reklamację (np. zepsuty produkt) albo chce zwrócić towar w ciągu 14 dni, przetwarzasz jego dane w ramach tej samej umowy. Przykład: klient odsyła buty, więc używasz jego adresu, żeby zorganizować odbiór paczki, i numeru konta, żeby zwrócić pieniądze. Ważne wskazówki:

Jeżeli szukasz wsparcia prawnego swojego e-biznesu

zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniom

Sprawdź szczegóły

  • Używaj danych tylko do tego, co niezbędne do realizacji umowy. Nie możesz np. wykorzystać e-maila z zamówienia do wysyłki reklam bez innej podstawy prawnej.

  • Pamiętaj o obowiązku informacyjnym – musisz powiedzieć klientowi, co robisz z jego danymi (np. w regulaminie sklepu lub polityce prywatności).

  • Jeśli klient płaci przelewem, przetwarzasz jego dane bankowe, ale tylko do momentu realizacji płatności. Przechowywanie ich dłużej wymaga innej podstawy (np. obowiązku prawnego).

Obowiązek prawny – gdy prawo każe przetwarzać dane

Czasem przetwarzanie danych nie jest twoim wyborem, tylko obowiązkiem. Prawo nakazuje ci gromadzić i przechowywać pewne dane, żeby spełniać wymagania podatkowe, księgowe czy konsumenckie. Oto najczęstsze sytuacje w e-commerce:

  • Faktury i podatki: musisz przechowywać dane z faktur (np. imię, nazwisko, adres, NIP) przez 5 lat od końca roku podatkowego. Tak każe ustawa o VAT i prawo podatkowe.

  • Księgowość: dane z transakcji (np. kwota, data, dane nabywcy) muszą być zapisane w systemach księgowych zgodnie z ustawą o rachunkowości.

  • Reklamacje i zwroty: ustawa o prawach konsumenta wymaga, żebyś przetwarzał dane klienta przy rozpatrywaniu reklamacji (np. numer zamówienia, dane kontaktowe).

W takich przypadkach zgoda klienta nie jest potrzebna, bo działasz na podstawie prawa. Klient nie może też żądać usunięcia tych danych, dopóki obowiązek prawny trwa.

Uzasadniony interes – elastyczność, ale z haczykiem

Uzasadniony interes to podstawa, która daje ci sporo możliwości, ale wymaga ostrożności. Możesz przetwarzać dane, jeśli masz ważny cel biznesowy, który nie narusza praw i wolności klienta. W e-commerce to bardzo popularna opcja. Przykłady:

Polityka prywatności to ważny dokument

zobacz dlaczego i jak możemy pomóc

Sprawdź szczegóły

  • Przypomnienia o porzuconym koszyku: klient dodaje produkty do koszyka, ale nie finalizuje zakupu. Możesz wysłać mu e-mail z przypomnieniem, bo to w twoim interesie (zwiększenie sprzedaży), a dla klienta to często pomocne.

  • Analiza zachowań na stronie: sprawdzasz, jakie produkty klienci oglądają, żeby poprawić układ sklepu lub ofertę.

  • Personalizacja: pokazujesz klientowi rekomendacje produktów na podstawie jego wcześniejszych zakupów.

  • Ochrona przed oszustwami: weryfikujesz dane płatności, żeby upewnić się, że zamówienie nie jest próbą wyłudzenia.

  • Windykacja: przetwarzasz dane dłużnika, żeby odzyskać należności za niezapłacone zamówienia.

Obowiązek informacyjny – ważna wizytówka

Niezależnie od tego, na jakiej podstawie przetwarzasz dane, musisz powiedzieć klientowi, co z nimi robisz. To tzw. obowiązek informacyjny. Co powinien zawierać?

  • Cel przetwarzania: np. „Przetwarzamy twój adres, żeby dostarczyć zamówienie”.

  • Podstawa prawna: np. umowa, obowiązek prawny, uzasadniony interes.

  • Czas przechowywania: np. „Dane z faktur przechowujemy 5 lat”.

  • Dane administratora: twoje dane firmowe (nazwa, adres, kontakt).

  • Prawa klienta: np. prawo do wglądu, poprawiania, usunięcia danych czy wniesienia skargi do UODO.

Najlepiej opisać to w polityce prywatności na stronie sklepu. Pisz prostym językiem – klienci nie lubią prawniczego żargonu.

Bezpieczeństwo danych – nie oszczędzaj na tym

Błędy w ochronie danych to nie tylko ryzyko kar, ale też utrata zaufania klientów. Jeden wyciek danych może zniszczyć reputację, którą budowałeś latami. Co robić, żeby spać spokojnie?

  • Prowadź rejestr czynności przetwarzania: to dokument, w którym opisujesz, jakie dane, po co i na jakiej podstawie przetwarzasz. UODO może o niego zapytać.

  • Wdróż procedury: określ, co robić w razie incydentu, np. wycieku danych. Przykład: jeśli ktoś włamie się do twojej bazy, musisz zgłosić to do UODO w ciągu 72 godzin.

  • Szkol pracowników: upewnij się, że twój zespół zna zasady RODO i wie, jak chronić dane klientów.

  • Audytuj regularnie: sprawdzaj, czy twoje procesy są zgodne z RODO, np. czy dane są dobrze zabezpieczone (hasła, szyfrowanie).

  • Zabezpiecz technicznie: używaj bezpiecznych serwerów, szyfrowanych połączeń (SSL) i regularnie aktualizuj oprogramowanie sklepu.

RODO nie musi być koszmarem dla e-commerce. To zbiór zasad, które pomagają działać fair wobec klientów i budować ich zaufanie. Przetwarzaj dane tylko wtedy, gdy masz solidną podstawę prawną – umowę, obowiązek prawny czy uzasadniony interes. Nie zapominaj o obowiązku informacyjnym i bezpieczeństwie danych.

Działaj z głową — zbieraj tylko te dane, które są ci potrzebne, i zawsze bądź przejrzysty. Klienci docenią, że szanujesz ich prywatność, a ty unikniesz kłopotów z UODO. Jeśli coś jest niejasne, skonsultuj się ze specjalistą – lepiej zapobiegać, niż płacić kary. Napisz do nas, udzielimy potrzebnych informacji:  [email protected] zadzwoń: 22 390 91 05.

Czy ten artykuł był przydatny?

Tagi: RODO
Czy sklep internetowy może anulować promocję z powodu błędu cenowego?

Czy sklep internetowy może anulować promocję z powodu błędu cenowego?

Zgubiona paczka — kto odpowiada i jak to zapisać w regulaminie?

Zgubiona paczka — kto odpowiada i jak to zapisać w regulaminie?

Udostępnij:
Popularne tematy
Blogi tematyczne
Prawo konsumenckie 2021
Blog ochrona danych osobowych
Prawo konsumenckie
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO