Polityka prywatności dla WooCommerce — co musisz mieć?

Jeśli prowadzisz sklep internetowy na WooCommerce, przetwarzasz dane osobowe swoich klientów — imiona, adresy, dane płatnicze, historię zamówień. To oznacza, że RODO dotyczy Cię w pełnym zakresie, a polityka prywatności jest absolutnie obowiązkowa.

Jakie dane przetwarza sklep WooCommerce?

Typowy sklep WooCommerce zbiera:

Dane rejestracyjne: imię, nazwisko, adres e-mail, hasło
Dane dostawy: adres, miasto, kod pocztowy, kraj, numer telefonu
Dane płatnicze: numer karty (zazwyczaj przez Stripe/PayU), adres rozliczeniowy
Historia zamówień: produkty, kwoty, daty zakupów
Dane analityczne: adresy IP, zachowanie na stronie (przez Google Analytics)
Dane marketingowe: zgoda na newsletter, preferencje komunikacyjne

Procesory danych w sklepie WooCommerce

Każda wtyczka i usługa zewnętrzna to potencjalny procesor danych. Musisz je wszystkie ujawnić:

Stripe / PayU / Przelewy24

Operatorzy płatności przetwarzają dane kart kredytowych i dane rozliczeniowe. Musisz zawrzeć z nimi umowę powierzenia przetwarzania danych (DPA) i ujawnić to w polityce prywatności.

WooCommerce (Automattic)

Sam WordPress i WooCommerce (dostarczany przez Automattic) zbiera pewne dane techniczne. Automattic ma siedzibę w USA — wymagane ujawnienie transferu danych.

Hosting (np. OVH, IONOS, Kinsta)

Twój dostawca hostingu przechowuje wszystkie dane Twojego sklepu. To kluczowy procesor — podpisz DPA z dostawcą hostingu.

Google Analytics 4

Zbiera dane behawioralne użytkowników. Wymaga zgody cookie i ujawnienia transferu danych do Google LLC (USA).

Mailchimp / Brevo (newslettery)

Jeśli zbierasz adresy e-mail do mailingu, Twój dostawca e-mail marketingu jest procesorem danych. Potrzebujesz DPA i zgody na marketing.

Specyficzne wymagania RODO dla e-commerce

Podstawa prawna przetwarzania danych zamówień

Dla danych przetwarzanych w celu realizacji zamówienia podstawą jest art. 6(1)(b) RODO — wykonanie umowy. Nie potrzebujesz osobnej zgody do przetwarzania danych dostawy.

Dla marketingu e-mailowego potrzebujesz art. 6(1)(a) RODO — wyraźna zgoda.

Prawo do usunięcia konta a obowiązki podatkowe

Klient może zażądać usunięcia swojego konta. Jednak dokumenty księgowe (faktury, paragony) musisz przechowywać przez 5 lat od końca roku podatkowego — jest to obowiązek prawny (art. 6(1)(c) RODO). Możesz usunąć dane osobowe z konta, zachowując dane w dokumentach finansowych.

Retencja danych w e-commerce

Zalecane okresy przechowywania:

Dane konta klienta: 3 lata od ostatniego zamówienia lub do usunięcia konta
Historia zamówień: 5 lat (obowiązek podatkowy)
Dane analityczne: 14 miesięcy (domyślne w GA4)
Logi serwera: 12 miesięcy

Polityka zwrotów a RODO

Przy obsłudze zwrotów przetwarzasz dodatkowe dane: numer konta bankowego, korespondencję. Powinno to być ujęte w polityce prywatności jako odrębny cel przetwarzania.

Co powinna zawierać polityka prywatności dla WooCommerce?

Konkretna lista dla sklepu WooCommerce:

Dane administratora — pełna nazwa firmy, NIP, adres, e-mail kontaktowy
Cele przetwarzania — realizacja zamówień, obsługa klienta, marketing, analityka
Podstawy prawne — umowa (art. 6(1)(b)), zgoda (art. 6(1)(a)), obowiązek prawny (art. 6(1)(c))
Kategorie danych — dane zamówień, dane konta, dane płatnicze, dane analityczne
Lista procesorów — Stripe/PayU, hosting, GA4, Mailchimp, WooCommerce/Automattic
Transfer do USA — Google, Stripe, Mailchimp mają serwery w USA
Okres retencji — oddzielnie dla każdej kategorii
Prawa użytkownika — dostęp, sprostowanie, usunięcie, sprzeciw, przenoszenie
Prawo skargi do UODO — z adresem: ul. Stawki 2, 00-193 Warszawa

Podsumowanie

Prowadzenie sklepu WooCommerce bez polityki prywatności to naruszenie RODO od pierwszego dnia działalności. Dokument musi być:

Specyficzny dla Twojego sklepu (nie generyczny szablon)
Kompletny — zawierający wszystkich procesorów i cele
Aktualny — odzwierciedlający rzeczywistą działalność

Wygeneruj politykę prywatności dla swojego sklepu WooCommerce w 3 minuty za pomocą Polisio →