RODO dla stron internetowych w 2025 r. - weryfikacja rzeczywistości

Lub: Dlaczego 90% paniki poszło na marne (i które 10% naprawdę uratuje ci tyłek)

Pamiętasz maj 2018 roku? Wielka apokalipsa RODO była nieuchronna. Prawnicy przepowiadali fale ostrzeżeń, konsultanci sprzedawali drogie pakiety awaryjne i wydawało się, że co drugi newsletter ogłasza koniec Internetu.

Teraz, prawie 7 lat później, nadszedł czas na uczciwą weryfikację rzeczywistości. Co tak naprawdę się stało? Spoiler: Internet nadal istnieje, podobnie jak większość z was, a miliony w mandatach? Do tego przejdziemy za chwilę.

Bilans wielkiej paniki: zaskakujące dane

Czy można sobie wyobrazić, że z masowych ostrzeżeń prawie nic nie pozostaje? Według badań Bitkom, około 20 % firm zgłasza co najmniej jedno naruszenie ochrony danych w ciągu roku - ale tylko znikomy odsetek z nich faktycznie skutkuje grzywną.

Analiza opublikowanych grzywien nałożonych przez niemieckie RODO w 2018 r. wskazuje na średnią grzywnę w wysokości około 8 500 euro - co jest dalekie od często wymienianych milionów.

Dla porównania:

• Obawy przed karami w 2018 r: do 20 milionów euro (panika!!!)
• Rzeczywista średnia kara dla MŚP: 8 500 euro
• Najczęstsza kara: Ostrzeżenie bez grzywny

Jeśli spojrzeć na wszystkie grzywny opublikowane w ostatnich latach, ich suma w Niemczech przedstawia się następująco Około 1600 do 1700 znanych przypadków.
Nawet jeśli liczba niezgłoszonych przypadków jest nieco wyższa:
Mówimy o karłowatej liczbie.
Przy ponad 3,5 miliona firm to praktycznie nic. Masz większą szansę na uderzenie pioruna.

Tabela - „Grzywny nałożone przez RODO w Niemczech w latach 2018-2023

Dane pokazują: Chociaż RODO obowiązuje od 2018 r. mniej niż 1700 grzywien w Niemczech w latach 2018-2023 (patrz tabela). Przy około 3,5 miliona firm oznacza to, że tylko około jedna z około 2000 firm kiedykolwiek otrzymał grzywnę.

Na czym NAPRAWDĘ zależy władzom (a na czym nie)

Po siedmiu latach obowiązywania RODO wiemy już całkiem dobrze, gdzie organy ochrony danych patrzą, a gdzie przymykają oko. Niespodzianka: nie jest to to, co powiedziano nam w 2018 roku.

To naprawdę mnie interesuje:

1. wycieki danych i ataki hakerów bez powiadomienia - Każdy, kto ma naruszenie danych podlegające zgłoszeniu i nie zgłosi go w ciągu 72 godzin, ma prawdziwy problem.
W raportach z działalności władz punkt ten regularnie pojawia się jako jeden z najczęstszych powodów nakładania kar - zwłaszcza w przypadku poważnych wycieków lub całkowitego braku raportów.

2. brak odpowiedzi na wnioski o udzielenie informacji - Jeśli ktoś poprosi o swoje dane, a ty po prostu nie odpowiada, wtedy robi się naprawdę nieprzyjemnie.
Niemieckie sądy regularnie przyznają odszkodowania - od kilkuset do pięciocyfrowych kwot.

Potrzebujesz przykładu?
10.000 euro za 20-miesięczne opóźnienie w udzieleniu informacji byłemu pracownikowi (Sąd Pracy w Oldenburgu).
Nawet małe sklepy internetowe pobierają obecnie czterocyfrowe kwoty, jeśli po prostu w ogóle nie odpowiadają.

3. newsletter bez zgody - Odwieczny faworyt od 20 lat.
Ta kwestia pojawia się wielokrotnie w praktyce wydawania ostrzeżeń - tak wiarygodnych jak roczne rozliczenie.
Wysyłanie bez zgody w 2025 roku jest mniej więcej tak pomysłowe jak Password123.

(Prawie) nikt nie jest tym zainteresowany:

• Szczegóły banera plików cookieNie ma znaczenia, czy baner znajduje się po lewej czy po prawej stronie, czy przycisk „Akceptuj wszystko“ jest niebieski czy zielony. Najważniejsze, że tam jest (jeśli go potrzebujesz).
• Brakujące umowy dotyczące przetwarzania zamówieńTeoretycznie obowiązkowe, w praktyce nikt o to nie prosi. Chyba, że wydarzy się coś innego i przyjrzą się temu bliżej.
• Nieaktualne oświadczenia o ochronie danychDopóki istnieje, mało kogo obchodzi, czy jest to rok 2019 czy 2024.

3 realne zagrożenia, które mogą spaść na Ciebie w 2025 roku

Ryzyko 1: Czcionki Google - Pułapka ostrzegawcza, której nikt nie przewidział

W 2022 r. naprawdę zagrzmiało: Wyrok wydany przez Sąd Okręgowy w Monachium I wyjaśnił, że pobieranie czcionek Google z amerykańskich serwerów bez zgody jest wykroczeniem RODO. Zack - użytkownik otrzymał odszkodowanie w wysokości 100 euro i nagle kilka szczególnie kreatywnych listów ostrzegawczych wyczuło kolejny model biznesowy. Rezultat: co najmniej sto tysięcy listów w całym kraju. Popyt: ok. 170 € „zadośćuczynienie za ból i cierpienie“ - tak niskie, że wiele osób po prostu zapłaciło za spokój ducha.

Rozwiązanie to jest dziś nadal śmiesznie proste:

• Hostuj czcionki lokalnie (wtyczka, 2 kliknięcia, koniec pracy)
• Lub od razu użyć czcionek systemowych
• Istnieją również rozwiązania proxy, ale to już bardziej nerdowski poziom

A teraz najważniejsze: Nawet 2023, 2024, a nawet 2025 Sprawy dotyczące Google Fonts wciąż zajmują sądy. Niektóre wyroki nazywają teraz unikanie ostrzeżeń „nadużyciem praw“, ale dopóki to wszystko się nie skończy, koła sprawiedliwości będą się nadal obracać. Powoli, ale niezawodnie.

Ryzyko 2: Google Analytics bez podstawy prawnej

W tym miejscu robi się ekscytująco. Austriacki organ ochrony danych był liderem, Francja i Włochy poszły w jego ślady: Google Analytics nie jest zgodny z RODO w swojej standardowej konfiguracji. Niemcy? Nadal zachowują niski profil, ale znaki wskazują na burzę.

Co tak naprawdę się dzieje:

• Jak dotąd brak masowych ostrzeżeń
• ALE: Władze uważnie przyglądają się skargom

Google Analytics bez podstawy prawnej nie jest trywialnym wykroczeniem.
W UE odbyło się już kilka Grzywny w wysokości od czterech do pięciu cyfr, w zależności od wagi i konfiguracji.
Niemcy wciąż nie zwracają na to uwagi, ale gdy otrzymują skargi, władze bardzo uważnie się im przyglądają.

Co możesz zrobić:

1. Google Analytics z trybem zgody V2 i przetwarzaniem zamówień (skomplikowane)
2. Przejście na alternatywne rozwiązania UE (Matomo, Plausible lub... no wiesz)
3. Całkowity brak analityki (poważnie, to też działa).

Ryzyko 3: Formularze kontaktowe bez SSL

Tak, nadal będziemy o tym mówić w 2025 roku. Czy możesz sobie wyobrazić, że nadal istnieją strony internetowe bez HTTPS? Ja też nie, ale one istnieją. A to będzie kosztowne.

Rzeczywisty przypadek od 2024 roku: Firma rzemieślnicza, grzywna w wysokości 3500 euro za niezaszyfrowany formularz kontaktowy. Podany powód: „Niedbałe narażenie danych osobowych“.“

Rozwiązanie:

• Let's Encrypt = darmowy certyfikat SSL
• Instalacja: 5 minut
• Wymówki: Zero

Słoń w pokoju: dlaczego banery z ciasteczkami są wciąż wszędzie?

Chociaż prawie nikt nie jest karany za fałszywe banery cookie, wszyscy nadal je mają. Dlaczego tak się dzieje?

Prawda:

70 % wszystkich banerów cookie jest technicznie niepoprawnych
Współczynnik zgody wynosi zaledwie 3-8 %
A ostrzeżenia? Praktycznie ich nie ma

Niemniej jednak, każdy ma jedną z tych rzeczy po swojej stronie.
Dlaczego? FOMO? Strach? A może dlatego, że jakaś agencja zdecydowała w 2018 roku, że „tak to się po prostu robi“?

A teraz nadchodzi naprawdę ekscytujący moment:

Baner jest potrzebny tylko wtedy, gdy Usługi nieistotne tj. rzeczy, które wysyłają dane do stron trzecich lub śledzą użytkowników.
Należą do nich na przykład:

• Narzędzia śledzące z plikami cookie lub odciskami palców
• skrypty marketingowe/reklamowe (Meta Pixel, Google Ads itp.)
• Zasoby zewnętrzne przekazujące dane osobowe
• Osadzone treści, które same się śledzą (YouTube, mapy, kanały społecznościowe)

Jeśli pominiesz to wszystko lub zintegrujesz w sposób przyjazny dla prywatności, często baner nie będzie już potrzebny.
Brak zewnętrznego śledzenia = brak zgody = brak banerów = brak cyrku.

Dzięki nowoczesnym Rozwiązania analityczne bez plików cookie Nadal otrzymujesz wszystkie ważne informacje - tylko bez konieczności uzyskania zgody i bez utraty konwersji.

Co tak naprawdę zmieniło się w 2025 roku?

Sztuczna inteligencja i ochrona danych: nowe pole minowe

ChatGPT, Claude, Midjourney - pytanie nie brzmi już, czy, ale jak korzystać z AI. I to właśnie tutaj robi się trudne:

Czy mogę wprowadzić dane klienta w ChatGPT? Krótka odpowiedź: Nie. Długa odpowiedź: Nie, chyba że masz wersję Enterprise z przetwarzaniem zamówień.

Co z tekstami generowanymi przez SI na mojej stronie? Nie ma problemu z RODO, o ile w podpowiedzi nie było żadnych danych osobowych.

Kolejna fala: ustawa o usługach cyfrowych (DSA)

Podczas gdy wszyscy wpatrują się w RODO, DSA obowiązuje od lutego 2024 roku. Dotyczy w szczególności platform i rynków, ale także:

• Duże sklepy internetowe (45 milionów użytkowników lub więcej w UE)
• Strony mediów społecznościowych
• Fora i społeczności

Dobra wiadomość: Dla zwykłych stron internetowych nic się nie zmienia.

5-punktowy test rzeczywistości dla Twojej witryny

Dość teorii. Oto, co NAPRAWDĘ należy sprawdzić:

1. Certyfikat SSL aktywny? → Jeśli nie, zmień NATYCHMIAST
2. Polityka prywatności dostępna? → Użyj generatora, gotowe
3. Nadruk dostępny? → maksymalnie 2 kliknięcia
4. Newsletter z podwójnym opt-in? → Jeśli nie, zmień
5. Czcionki Google lokalnie? → Jeśli nie, zainstaluj wtyczkę

Wszystko gotowe? Gratulacje, jesteś bezpieczniejszy niż 90% wszystkich niemieckich stron internetowych.

Wniosek, który powinien cię uspokoić

Po siedmiu latach obowiązywania RODO wiemy: Świat się nie skończył. Fale ostrzeżeń, których się obawiano, nie zmaterializowały się. Milionowe grzywny dotknęły tylko naprawdę dużych graczy (patrząc na ciebie, Meta).

To, co naprawdę się liczy:

• Zadbaj o podstawy (SSL, polityka prywatności, nota prawna).
• Unika trzech rzeczywistych zagrożeń (czcionki, analityka, SSL).
• Nie daj się zwariować każdemu nowemu „ekspertowi RODO“

Następnym razem, gdy przeczytasz artykuł przewidujący koniec świata, pamiętaj: wszyscy mieliśmy skończyć w 2018 roku. Tak się nie stało.

W następnej części serii: Dlaczego banery plików cookie są najgłupszym wynalazkiem od czasu blokady wyskakujących okienek - i jak się ich legalnie pozbyć. Spoiler: Ma to związek ze śledzeniem bez plików cookie i tak, to naprawdę działa.