Prowadzisz sklep internetowy i uważasz, że masz regulamin, politykę prywatności i baner cookies – więc jesteś bezpieczny? Niestety, praktyka audytowa pokazuje, że nawet dobrze zorganizowane sklepy e-commerce wykazują przeciętnie od 20 do 35 niezgodności prawnych z obowiązującymi przepisami. Część z nich może skutkować karami finansowymi sięgającymi milionów złotych, a inne – podważają zaufanie klientów i narażają na roszczenia.

W tym artykule wyjaśniamy, czym jest audyt prawny sklepu internetowego, jakie przepisy obejmuje, jakie błędy wykrywane są najczęściej i dlaczego regularna weryfikacja zgodności to nie koszt, lecz inwestycja w bezpieczeństwo biznesu.

1. Czym jest audyt prawny sklepu internetowego?

Audyt prawny sklepu internetowego to kompleksowa weryfikacja zgodności działalności e-commerce z obowiązującymi przepisami prawa. Obejmuje analizę dokumentów (regulaminu, polityki prywatności, klauzul informacyjnych), przegląd interfejsu użytkownika (formularzy, banera cookies, procesu zakupowego) oraz wywiady z zespołem odpowiedzialnym za obsługę sklepu.

W przeciwieństwie do audytu technicznego (który bada wydajność, bezpieczeństwo IT) czy audytu SEO (który optymalizuje widoczność w wyszukiwarkach), audyt prawny koncentruje się na ryzyku regulacyjnym – czyli na tym, czy sposób prowadzenia sprzedaży online nie narusza w szczególności praw konsumentów, przepisów o ochronie danych osobowych, regulacji dotyczących usług cyfrowych oraz norm bezpieczeństwa produktów.

2. Dlaczego warto przeprowadzić audyt właśnie teraz?

Rok 2024 i początek 2025 przyniosły bezprecedensową falę nowych regulacji, które bezpośrednio dotykają sklepy internetowe. Wejście w życie Prawa Komunikacji Elektronicznej (PKE), rozpoczęcie stosowania rozporządzenia GPSR w sprawie bezpieczeństwa produktów, rozszerzenie zakresu AI Act oraz obowiązki wynikające z DSA (aktu o usługach cyfrowych) – to wszystko oznacza, że regulamin i polityka prywatności sprzed dwóch lat są już z dużym prawdopodobieństwem nieaktualne.

Jednocześnie organy nadzorcze (UOKiK, UODO, KRRiT) prowadzą coraz bardziej aktywną politykę kontrolną wobec e-commerce, co oznacza realne ryzyko sankcji dla podmiotów, które nie dostosowały się do nowych wymogów.

3. Jakie przepisy obejmuje audyt sklepu internetowego?

Kompleksowy audyt prawny e-commerce weryfikuje zgodność z kilkunastoma aktami prawnymi. Poniżej przedstawiamy najważniejsze z nich, wraz z krótkim wyjaśnieniem, dlaczego dotyczą każdego sklepu internetowego.

RODO (rozporządzenie 2016/679)

Ochrona danych osobowych to fundament każdego e-commerce. Audyt weryfikuje m.in. poprawność polityki prywatności, realizację obowiązku informacyjnego we wszystkich formularzach, zasady pozyskiwania zgód (newsletter, cookies), minimalizację danych, okresy przechowywania oraz relacje z podmiotami przetwarzającymi.

Ustawa o prawach konsumenta

Jeden z najobszerniejszych obszarów audytu. Obejmuje weryfikację kompletności informacji przedumownych (dane przedsiębiorcy, ceny, koszty dostawy, prawo odstąpienia), poprawność procesu składania zamówienia, potwierdzenie zawarcia umowy na trwałym nośniku, a także zgodność postanowień dotyczących reklamacji z aktualnym reżimem „braku zgodności towaru z umową”.

Ustawa o świadczeniu usług drogą elektroniczną

Regulamin sklepu internetowego jest jednocześnie regulaminem świadczenia usług drogą elektroniczną. Audyt sprawdza, czy wymienione są wszystkie usługi elektroniczne (konto, koszyk, formularz kontaktowy, chat, system opinii), czy określone są warunki ich zawierania i rozwiązywania oraz czy wymagania techniczne są aktualne.

Prawo Komunikacji Elektronicznej (PKE)

PKE, które zastąpiło Prawo telekomunikacyjne, wprowadza nowe zasady dotyczące zgód marketingowych i wykorzystywania cookies. Audyt weryfikuje, czy baner cookies daje rzeczywistą możliwość odmowy, a zgoda na newsletter spełnia wymogi świadomej i dobrowolnej zgody na marketing bezpośredni.

GPSR (rozporządzenie 2023/988 o bezpieczeństwie produktów)

Od 13 grudnia 2024 r. sprzedawcy internetowi są zobowiązani do prezentowania na kartach produktowych informacji o bezpieczeństwie, danych producenta, ostrzeżeń oraz punktów kontaktowych do zgłaszania incydentów. Dotyczy to również produktów B2B, jeżeli mogą być używane przez konsumentów.

DSA (akt o usługach cyfrowych)

Jeżeli sklep umożliwia zamieszczanie opinii przez użytkowników, podlega obowiązkom wynikającym z DSA – w szczególności w zakresie procedury zgłaszania treści nielegalnych (notice and action), mechanizmu moderacji oraz informowania użytkowników o zasadach publikacji treści.

Dyrektywa Omnibus i ustawa o cenach

Każda informacja o obniżce ceny musi być opatrzona wskazówką o najniższej cenie z 30 dni przed obniżką. Audyt sprawdza nie tylko obecność tej informacji, ale również sposób jej prezentacji – czy przekreślona cena jest jednoznacznie opisana i czy rabaty procentowe liczone są od właściwej podstawy.

Pozostałe regulacje

Audyt obejmuje również: Kodeks cywilny (klauzule abuzywne w regulaminie), ustawę o przeciwdziałaniu nieuczciwym praktykom rynkowym (opinie konsumenckie, dark patterns), ustawę o pozasądowym rozwiązywaniu sporów, AI Act (jeśli sklep wykorzystuje chatboty lub personalizację AI), ustawę o radiofonii i telewizji (rejestr VOD dla kanału YouTube) oraz ustawę o dostępności cyfrowej (WCAG 2.1).

4. Najczęściej wykrywane niezgodności – co naprawdę wychodzi w audytach?

Na podstawie doświadczeń audytowych można wskazać obszary, w których niezgodności występują najczęściej. Poniżej omawiamy te, które pojawiają się w większości audytowanych sklepów.

4.1. Polityka prywatności – pozornie kompletna, faktycznie dziurawa

Większość sklepów posiada politykę prywatności, ale rzadko jest ona kompletna. Typowe braki to: pominięcie niektórych celów przetwarzania (np. realizacji zamówień, obsługi zgłoszeń treści nielegalnych, prowadzenia profili w mediach społecznościowych), brak okresów przechowywania danych przypisanych do poszczególnych celów, niekompletna lista odbiorców danych oraz brak informacji o przekazywaniu danych do państw trzecich (np. USA, w związku z korzystaniem z Google Analytics, Google Ads czy reCAPTCHA).

4.2. Obowiązek informacyjny – nie wszędzie realizowany

Częstym błędem jest brak klauzul informacyjnych (lub odsyłaczy do polityki prywatności) we wszystkich miejscach zbierania danych osobowych. Formularze kontaktowe, widgety chatu, zapis na newsletter – każdy z tych punktów powinien realizować obowiązek informacyjny w sposób „warstwowy”, tj. z krótką informacją o administratorze i linkiem do pełnej polityki prywatności.

4.3. Baner cookies – brak realnej odmowy

Zdecydowana większość audytowanych sklepów oferuje na pierwszej warstwie banera jedynie przyciski „Akceptuj” i „Ustawienia”, bez równoważnej opcji „Odrzuć”. Zgodnie ze sprawozdaniem EROD z prac grupy zadaniowej ds. banerów cookie, taki układ nie gwarantuje ważnej zgody. Ponadto często brakuje stałej ikony umożliwiającej ponowne otwarcie ustawień cookies i wycofanie zgody.

4.4. Regulamin – klauzule abuzywne i archaiczne zapisy

Regulaminy często zawierają postanowienia, które mogą być uznane za niedozwolone w relacjach z konsumentami. Przykłady: ograniczanie prawa odstąpienia od umowy w sytuacjach niewynikających z ustawy, automatyczne obciążanie klienta kosztami za nieodebraną przesyłkę, wymagania techniczne odwołujące się do przestarzałych technologii.

4.5. Prawo odstąpienia – niekompletne informacje

Nawet jeśli regulamin opisuje prawo odstąpienia od umowy, audyty wykazują typowe braki: brak wzoru formularza odstąpienia jako załącznika do regulaminu, brak informacji o szacunkowych kosztach zwrotu produktów wielkogabarytowych, nieprecyzyjne określenie terminu na zwrot towaru (14 dni od odstąpienia) oraz pominięcie informacji o dostępnej funkcjonalności zwrotu online.

4.6. Reklamacje – niespójności i luki

Najczęściej występujące problemy to: błędny termin rozpatrywania reklamacji (30 dni zamiast 14), wewnętrzne sprzeczności w regulaminie (np. jedno postanowienie wymaga „dostarczenia towaru”, a inne prawidłowo wskazuje na obowiązek odbioru przez sprzedawcę), brak informacji o domniemaniu istnienia wady, brak postanowień o obowiązku demontażu i ponownego montażu na koszt sprzedawcy oraz odwołania do nieaktualnych reżimów prawnych (rękojmi sprzed 2023 r.).

4.7. Opinie konsumenckie – brak weryfikacji

Sklepy prezentujące opinie klientów często nie informują w sposób jednoznaczny, czy opinie pochodzą od zweryfikowanych nabywców. Tymczasem zgodnie z dyrektywą Omnibus twierdzenie, że opinie pochodzą od konsumentów, bez podjęcia kroków weryfikacyjnych, stanowi nieuczciwą praktykę rynkową w każdych okolicznościach.

4.8. Bezpieczeństwo produktów (GPSR) – niemal zupełny brak wdrożenia

To jeden z najczęściej pomijanych obszarów. Karty produktowe rzadko zawierają ostrzeżenia, instrukcje bezpieczeństwa czy dane identyfikacyjne wymagane przez GPSR. Brakuje też punktów kontaktowych do zgłaszania incydentów dotyczących bezpieczeństwa produktów.

4.9. Ceny promocyjne – nieprawidłowa prezentacja

Chociaż większość sklepów już zamieszcza informację o najniższej cenie z 30 dni, sposób jej prezentacji bywa problematyczny. Przekreślona cena nie jest jednoznacznie opisana, rabaty procentowe liczone są od ceny regularnej (a nie od najniższej z 30 dni przed obniżką), a ilość różnych punktów odniesienia cenowego utrudnia konsumentowi ocenę rzeczywistej wielkości rabatu.

4.10. YouTube i rejestr VOD – zaskakujący obowiązek

Wiele firm prowadzących kanały na YouTube w ramach działalności gospodarczej nie zdaje sobie sprawy, że zgodnie z wytycznymi KRRiT taka działalność podlega zgłoszeniu do wykazu audiowizualnych usług medialnych na żądanie (rejestr VOD).

5. Konsekwencje braku zgodności

Brak dostosowania sklepu internetowego do obowiązujących przepisów niesie ze sobą realne konsekwencje.

Kary administracyjne: UODO może nałożyć karę do 20 mln EUR lub 4% rocznego obrotu za naruszenie RODO. UOKiK dysponuje narzędziami pozwalającymi na kary do 10% obrotu za stosowanie niedozwolonych postanowień umownych lub nieuczciwe praktyki rynkowe. KRRiT może karać za brak zgłoszenia do rejestru VOD.

Roszczenia konsumentów: Niedozwolone postanowienia regulaminu nie wiążą konsumentów z mocy prawa, co może prowadzić do kwestionowania zawartych umów i roszczeń odszkodowawczych.

Utrata zaufania: Negatywne decyzje organów nadzorczych są publikowane i mogą wpłynąć na reputację marki, szczególnie w branżach, gdzie zaufanie klienta jest kluczowe.

6. Jak wygląda audyt krok po kroku?

Profesjonalny audyt prawny sklepu internetowego składa się z kilku etapów.

1. Etap 1: Wywiady z zespołem – Rozmowy z osobami odpowiedzialnymi za funkcjonowanie sklepu, obsługę klienta, marketing i IT. Celem jest zrozumienie rzeczywistych procesów biznesowych i identyfikacja obszarów, które mogą nie być widoczne na stronie internetowej.
2. Etap 2: Przegląd strony internetowej – Analiza interfejsu użytkownika: procesu zakupowego, formularzy, banera cookies, kart produktowych, systemów opinii, komunikatów cenowych i elementów UX pod kątem zgodności z wymaganiami prawnymi.
3. Etap 3: Analiza dokumentacji – Szczegółowy przegląd regulaminu, polityki prywatności, klauzul informacyjnych, wzorów formularzy (odstąpienie od umowy, reklamacja), wiadomości transakcyjnych i umów z podmiotami przetwarzającymi.
4. Etap 4: Raport z zaleceniami – Opracowanie raportu zawierającego zestawienie stwierdzonych niezgodności, ocenę ryzyka oraz konkretne zalecenia naprawcze z odwołaniem do odpowiednich przepisów.
5. Etap 5: Wsparcie wdrożeniowe – Opcjonalnie: pomoc w opracowaniu nowych wersji dokumentów, konsultacje z zespołem IT w zakresie zmian na stronie oraz ponowna weryfikacja po wdrożeniu zaleceń.

7. Ile kosztuje audyt i jak często go przeprowadzać?

Koszt audytu prawnego sklepu internetowego zależy od wielkości sklepu, złożoności procesu sprzedażowego, liczby kanałów sprzedaży (sklep, telefon, e-mail, media społecznościowe) oraz zakresu usług.

Audyt warto przeprowadzać co najmniej raz w roku, a także każdorazowo po istotnych zmianach – wdrożeniu nowej funkcjonalności (np. systemu opinii, chatu, kalkulatora), rozpoczęciu sprzedaży nowej kategorii produktów (w szczególności usług), wejściu w życie nowych regulacji lub rozszerzeniu kanałów sprzedaży.

8. Podsumowanie – szybka checklista do samodzielnej weryfikacji

Zanim zlecisz pełny audyt, możesz samodzielnie zweryfikować najważniejsze punkty. Poniższa lista nie zastępuje profesjonalnej analizy, ale pomoże zidentyfikować najbardziej palące problemy.

• Czy polityka prywatności wymienia wszystkie cele przetwarzania danych (w tym realizację zamówień)?
• Czy przy każdym formularzu (kontakt, zamówienie, newsletter, chat) jest klauzula informacyjna lub link do polityki prywatności?
• Czy baner cookies ma równoważny przycisk „Odrzuć” na pierwszej warstwie?
• Czy można łatwo ponownie otworzyć ustawienia cookies i wycofać zgodę?
• Czy regulamin wymienia wszystkie usługi elektroniczne świadczone w sklepie?
• Czy termin rozpatrywania reklamacji wynosi 14 dni (nie 30)?
• Czy do regulaminu dołączony jest wzór formularza odstąpienia od umowy?
• Czy konsument jest informowany o szacunkowych kosztach zwrotu produktów wielkogabarytowych?
• Czy regulamin nie zawiera postanowień ograniczających prawa konsumenta ponad to, co wynika z ustawy?
• Czy ceny promocyjne jednoznacznie wskazują „najniższą cenę z 30 dni przed obniżką”?
• Czy opinie konsumenckie są oznaczone jako zweryfikowane (i faktycznie są)?
• Czy karty produktowe zawierają informacje o bezpieczeństwie wymagane przez GPSR?
• Czy regulamin odwołuje się do platformy ODR (już nie funkcjonuje – należy usunąć)?
• Czy potwierdzenie zamówienia zawiera regulamin w formacie PDF (trwały nośnik)?
• Czy kanał YouTube firmy jest zgłoszony do rejestru VOD KRRiT?

Audyt prawny to nie formalność – to narzędzie, które chroni Twoją firmę przed karami, roszczeniami i utratą zaufania klientów. Jeśli ostatni raz weryfikowałeś zgodność swojego sklepu ponad rok temu, czas na aktualizację – przepisy zmieniły się znacząco i będą się zmieniać nadal.