SkalujOnline
Wypróbuj
Bezpieczeństwo9 maja 2026·5 min czytania

RODO a automatyzacja Allegro — co realnie musisz wiedzieć

Bot wysyłający wiadomości za Ciebie do kupujących Allegro to przetwarzanie ich danych osobowych. RODO traktuje Cię jako administratora, narzędzie jako procesor. Co to oznacza w praktyce — bez prawniczego żargonu.

Większość artykułów o RODO w e-commerce to ściana paragrafów, której nie da się przeczytać. Ten ma być inny.

Jeśli używasz autoresponder'a Allegro (SkalujOnline, BaseLinker, własne skrypty), przetwarzasz dane osobowe Twoich kupujących. To prawda techniczna i prawna. Konsekwencje są konkretne, choć nie tak dramatyczne jak straszą niektórzy konsultanci.

Ten artykuł tłumaczy, co realnie musisz mieć skonfigurowane (3 punkty) i co nie jest Twoim problemem (2 punkty). Od strony technicznej, nie prawniczej. Po przeczytaniu wiesz:

  • czego oczekiwać od narzędzia automatyzacji
  • jakie pytania zadać dostawcy
  • jak wygląda kompletny compliance dla małego sklepu

Na końcu jest disclaimer: nie jestem prawnikiem, treść jest ogólna, dla konkretnej sytuacji warto skonsultować z radcą.

Czym RODO traktuje Cię w tej sytuacji

Krótko: jesteś administratorem danych osobowych Twoich kupujących.

To Ty decydujesz:

  • Po co przetwarzasz dane (cel: realizacja zamówienia, obsługa)
  • Jak długo (retencja: do końca rękojmi, gwarancji, plus archiwum księgowe)
  • Komu udostępniasz (dostawca emaila, narzędzie automatyzacji, hosting, etc.)

Narzędzie automatyzacji (SkalujOnline / BaseLinker / inne) jest podmiotem przetwarzającym (zwany też „procesorem"). Działa na Twoje zlecenie — Ty decydujesz, co robi z danymi, narzędzie wykonuje.

Konsekwencja: relacja administrator-procesor wymaga umowy powierzenia przetwarzania danych (DPA — Data Processing Agreement).

Co MUSISZ mieć

1. Umowę powierzenia (DPA)

Pierwszy podstawowy dokument. Każde narzędzie do automatyzacji obsługi klienta MUSI udostępniać DPA — albo jako osobny dokument do podpisania, albo jako część regulaminu (klient akceptuje jednym kliknięciem).

Co powinno być w DPA:

  • Strony (administrator = Twoja firma, procesor = narzędzie)
  • Zakres powierzonych danych (np. login kupującego, treść wiadomości, login na Allegro)
  • Cel przetwarzania (automatyczne odpowiedzi, wiadomości po zakupie)
  • Czas przetwarzania (okres trwania umowy + retencja)
  • Środki bezpieczeństwa (szyfrowanie, dostęp, kopie zapasowe)
  • Lista subprocesorów (kogo dalej narzędzie używa — np. hosting, Allegro API)
  • Twoje prawa (audyt, dostęp do danych, usunięcie)

Brak DPA = problem z compliance. Jeśli narzędzie odmawia podpisania DPA, NIE używaj go.

SkalujOnline ma DPA pod /legal/dpa. Aktualnie wersja 0.1 DRAFT do review prawnego — finalna będzie podpisywana z każdym klientem.

2. Umowę z każdym subprocesorem

Każde narzędzie używa pod sobą innych: hosting, Allegro, dostawca email, etc. Nazywa się to „łańcuch podprocesorów" (sub-processors).

Twoja firma jest na szczycie łańcucha. Narzędzie automatyzacji jest pod Tobą. Pod nim jest dostawca hostingu. Itd.

RODO wymaga, żeby każde przekazanie danych w dół łańcucha było potwierdzone umowami. Na poziomie Twojej firmy oznacza to:

  • DPA z narzędziem automatyzacji (Ty → SkalujOnline)
  • DPA SkalujOnline z hostingiem (SkalujOnline → operator centrum danych)
  • DPA SkalujOnline z Allegro (SkalujOnline → Allegro.pl jako API processor)

Ostatnie dwa już są problemem narzędzia, nie Twoim. Twoja odpowiedzialność kończy się na pierwszym DPA. Ale narzędzie MUSI Ci pokazać listę swoich subprocesorów.

3. Mechanizmy realizacji praw kupujących

RODO daje kupującym konkretne prawa. Najważniejsze trzy:

Prawo do informacji (Art. 13/14): Klient ma prawo wiedzieć, że jego dane są przetwarzane przez narzędzie automatyzacji. Twoja Polityka prywatności na Allegro powinna o tym wspominać.

Prawo dostępu (Art. 15): Klient może zażądać kopii swoich danych. To, co narzędzie ma o nim — Twoim klientem.

Prawo do bycia zapomnianym (Art. 17): Klient może zażądać usunięcia danych. Po usunięciu konta narzędzie powinno skasować wszystko, co o nim trzymało.

Każde z tych żądań klient kieruje do CIEBIE (jako administratora). Ty pytasz narzędzie. Narzędzie wykonuje technicznie. Konsekwencja: narzędzie MUSI mieć narzędziowe wsparcie dla tych operacji.

W SkalujOnline:

  • Eksport danych: w panelu klienta jeden klik generuje ZIP z całą historią
  • Usunięcie konta: w panelu jeden klik (z 30-dniowym oknem cancel) → po 30 dniach hard-delete

Jeśli narzędzie wymaga „napisz do supportu, my Ci to ręcznie zrobimy" — to OK na MVP, ale w skali staje się problemem.

Czego NIE musisz mieć

1. Inspektora ochrony danych (DPO)

Małe sklepy (do ~50 osób, do ~250 osób przetwarzanych dziennie) NIE muszą wyznaczać Inspektora Ochrony Danych. Możesz prowadzić swoje compliance samodzielnie.

DPO jest wymagany dla:

  • Sektora publicznego
  • Firm przetwarzających dane na dużą skalę
  • Firm specjalizujących się w danych szczególnych kategorii (zdrowie, etc.)

Standardowy sklep e-commerce DROPS shipping z 1500 zamówień/mc nie wpada w te kategorie.

2. Pełnego audytu RODO co rok

Jeśli Twoja firma ma <50 osób i <250 transakcji dziennie, formalnego audytu nie potrzebujesz. Wystarczy:

  • Polityka prywatności na Allegro / Twojej stronie
  • DPA z narzędziami zewnętrznymi
  • Rejestr czynności przetwarzania (proste Excel z listą: jakie dane, po co, jak długo)
  • Procedura realizacji żądań klientów (kiedy ktoś prosi o eksport, jak to robisz)

Gdy zatrudniasz 5+ osób na obsłudze klienta i przetwarzasz tysiące zamówień miesięcznie, warto zacząć myśleć o regularnym audycie. Ale to później.

Co konkretnie pytać dostawcę narzędzia

Sześć pytań, które zawsze powinien zadać sprzedawca przed wyborem narzędzia automatyzacji:

  1. „Czy macie DPA / Umowę powierzenia?" Odpowiedź MUSI być: tak. Format ma być akceptowalny.

  2. „Gdzie są przechowywane moje dane?" Odpowiedź powinna wskazywać kraj (najlepiej kraj UE / EOG — wtedy żadnych dodatkowych zabezpieczeń SCC nie trzeba).

  3. „Jak długo trzymacie dane po wygaśnięciu mojej umowy?" Standard: 30-90 dni grace period, potem hard-delete + backup rotation 14-30 dni.

  4. „Czy szyfrowanie at-rest i in-transit?" At-rest = na dysku w bazie, in-transit = HTTPS. Oba MUSZĄ być.

  5. „Lista waszych subprocesorów?" Powinieneś dostać listę konkretnych firm (np. „operator hostingu w Niemczech", „Allegro.pl" jako platform).

  6. „Procedura żądania eksportu / usunięcia?" Idealnie: self-service w panelu, jeden klik. Jeśli „napisz email i poczekaj 14 dni" — niezbyt premium, ale akceptowalne.

Kara za niezgodność

Krótko: niewielka, ale realna.

Maksymalna kara RODO to 20 mln EUR lub 4% rocznego obrotu (większa z tych). To są realne kary dla Facebook'a, Google'a — dla małego sklepu Allegro praktycznie nie zdarzają się.

Realnie: jak coś pójdzie nie tak (klient skarży się do UODO o naruszenie), procedura to:

  1. UODO weryfikuje skargę (4-12 miesięcy)
  2. Jeśli zauważy naruszenie → wysyła Tobie wezwanie do wyjaśnień
  3. Jeśli wyjaśnienia nie wystarczają → kara administracyjna

Statystycznie 90% kar dla małych e-commerce w PL to 1 000-50 000 zł, nie miliony. I prawie zawsze są poprzedzone wezwaniem do wyjaśnień — masz czas reagować.

Większy ryzyko niż kara to utrata zaufania klientów, jak coś wycieknie publicznie. Ale to jest moralna kwestia, nie prawna.

Praktyczna lista — sprawdź swój stan

Wyciągnij papier i sprawdź:

  • Mam Politykę prywatności (na Allegro / własnej stronie / obu)
  • Polityka wymienia narzędzia, które używam
  • Mam podpisaną DPA z każdym narzędziem
  • Wiem, gdzie są przechowywane moje dane
  • Wiem, jak realizować żądania kupujących (eksport, usunięcie)
  • Mam prosty rejestr czynności przetwarzania (np. Excel)
  • Wiem, kogo informować w razie incydentu (UODO + dostawca narzędzia)

5+ ✓ = jesteś OK na poziomie małego sklepu. 3-4 ✓ = warto zająć się przez najbliższy weekend. 0-2 ✓ = pilne, zacznij od polityki prywatności + DPA z głównymi narzędziami.

Disclaimer

Nie jestem prawnikiem. Powyższe to ogólne informacje na podstawie standardowej praktyki RODO compliance w polskim e-commerce. Dla konkretnej sytuacji (audyt, dispute, większa firma) warto skonsultować z radcą.

SkalujOnline ma swoje dokumenty pod /legal/privacy, /legal/terms i /legal/dpa. Wszystkie są oznaczone jako wersja DRAFT do review prawnego — finalne wersje są w trakcie konsultacji.

Umów rozmowę, jeśli chcesz przejść przez compliance dla Twojego sklepu na żywo. 15-min, bez zobowiązań, pomożemy zorientować się, co jest w porządku, a co warto dorobić.

Przeczytaj też

Powiązane artykuły

Bezpieczeństwo

Tryb podglądu — dlaczego 24h DRY-RUN zmienia wszystko

Każdy bot autoresponder'a, który nie ma trybu podglądu, to bomba zegarowa. 24-48h DRY-RUN to różnica między 'mam pewność że to działa' a 'odkryję pierwszy problem dopiero gdy klient się wkurzy'.

Czytaj
Bezpieczeństwo

Stop-list — 6 słów, które chronią Cię przed wstydem

Pierwszy moment, w którym bot wpadnie z auto-odpowiedzią „pakujemy w 24h" pod wątek o reklamacji uszkodzonej paczki — to koniec zaufania klienta. Stop-list eliminuje 99% takich scenariuszy.

Czytaj
Bezpieczeństwo

Panic Stop — jak wyłączyć bota Allegro w 3 sekundy

Czerwony przycisk w panelu, który wyłącza bota natychmiast. Trzy poziomy stop, każdy mocniejszy. To nie jest funkcja, którą kiedyś użyjesz — to safety net, który musi być widoczny zawsze.

Czytaj
Wszystkie artykuły

Opublikowano 9 maja 2026