InspectWP Logo
Najlepsze praktyki

Lista kontrolna zgodności WordPress z GDPR

8 lutego 2026 Zaktualizowano 19 kwi 2026

Ogólne Rozporządzenie o Ochronie Danych (GDPR) ma zastosowanie do każdej witryny dostępnej dla odwiedzających z Unii Europejskiej, niezależnie od tego, gdzie witryna jest hostowana. Dla właścicieli WordPress oznacza to zwracanie uwagi na to, jak Twoja witryna zbiera, przetwarza i przekazuje dane osobowe. Ta lista kontrolna koncentruje się na technicznych aspektach wdrażania, które możesz samodzielnie zweryfikować i naprawić. W kwestiach prawnych dotyczących umów przetwarzania danych, podstaw prawnych i konkretnych wymogów ustawowych skonsultuj się z wykwalifikowanym doradcą ochrony danych.

Zarządzanie zewnętrznymi usługami i transgranicznym przekazywaniem danych

Każdy zasób ładowany z zewnętrznego serwera wysyła co najmniej adres IP odwiedzającego do operatora tego serwera. Zgodnie z GDPR adres IP jest uważany za dane osobowe. Bez ważnej podstawy prawnej lub wyraźnej zgody ładowanie zewnętrznych zasobów stanowi naruszenie ochrony danych. Jest to szczególnie problematyczne w przypadku usług z siedzibą w USA, ponieważ ramy przekazywania danych UE-USA pozostają spornym obszarem prawnym.

  • Hostuj Google Fonts lokalnie: Gdy Google Fonts są ładowane z fonts.googleapis.com, każde wyświetlenie strony wysyła adres IP odwiedzającego, dane przeglądarki i URL referrer do serwerów Google. Niemieckie sądy uznały tę praktykę za nielegalną bez zgody, z grzywnami od 100 EUR za naruszenie. Pobierz pliki czcionek i serwuj je z własnego serwera. Wtyczki takie jak "OMGF" lub "Local Google Fonts" automatyzują ten proces. Po przełączeniu zweryfikuj, że nie pozostały żadne żądania do fonts.googleapis.com ani fonts.gstatic.com w zakładce sieci przeglądarki.
  • Wyłącz Gravatar lub buforuj awatary lokalnie: WordPress domyślnie wysyła hashe MD5 adresów e-mail komentujących do serwerów Gravatar z siedzibą w USA. Nawet sam hash może być uznany za dane osobowe (można go odwrócić dla znanych adresów e-mail). Wyłącz Gravatar w Ustawienia > Dyskusja lub użyj wtyczki, która buforuje awatary lokalnie i pobiera je tylko raz za zgodą.
  • Self-hostuj analitykę lub używaj podejścia opartego na zgodzie: Google Analytics przekazuje rozległe dane odwiedzających do serwerów amerykańskich, w tym adresy IP, zachowania przeglądania i odciski palca urządzeń. Self-hostuj rozwiązanie analityczne, takie jak Matomo (gdzie wszystkie dane pozostają na Twoim serwerze), lub wdroż Google Analytics za odpowiednim mechanizmem zgody, który blokuje wszystkie śledzenia, dopóki odwiedzający nie wyrazi aktywnej zgody. Narzędzia analityczne po stronie serwera, takie jak Plausible lub Fathom, to przyjazne prywatności alternatywy, które działają bez cookie.
  • Blokuj Google Maps do momentu wyrażenia zgody: Osadzenia Google Maps ładują wiele skryptów śledzących i przekazują dane odwiedzających do Google. Zamiast osadzać mapę bezpośrednio, pokaż statyczny obraz lub placeholder z przyciskiem "Załaduj mapę". Załaduj rzeczywiste osadzenie Google Maps dopiero po kliknięciu przez użytkownika, aby wyrazić zgodę. To samo podejście dotyczy Google reCAPTCHA, które również przekazuje dane do Google.
  • Audytuj ładowanie wszystkich zewnętrznych zasobów: Oprócz oczywistych usług sprawdź biblioteki hostowane w CDN (jQuery z ajax.googleapis.com, Font Awesome z cdnjs.cloudflare.com), osadzone filmy YouTube lub Vimeo, widżety mediów społecznościowych, chatboty i inne skrypty stron trzecich. Każde zewnętrzne żądanie to potencjalny problem GDPR. Zastąp biblioteki hostowane w CDN lokalnie hostowanymi kopiami, gdzie to możliwe.
  • Obsłuż osadzoną zawartość wzorcami facade: Dla filmów YouTube, osadzeń mediów społecznościowych i podobnej zawartości stron trzecich użyj rozwiązania dwukliknięcia. Najpierw pokaż miniaturę lub placeholder z powiadomieniem o prywatności i załaduj rzeczywiste osadzenie dopiero po kliknięciu przez odwiedzającego. Wtyczki takie jak "Embed Privacy" obsługują to automatycznie dla popularnych usług.

Poprawne wdrożenie zgody na cookie

Dyrektywa ePrivacy (często nazywana "Cookie Directive") uzupełnia GDPR i wymaga zgody przed umieszczeniem nieistotnych cookie. Prawidłowa zgoda na cookie to jeden z najbardziej kontrolowanych aspektów zgodności z GDPR.

  • Zainstaluj porządną wtyczkę zarządzania zgodą: Użyj dedykowanej platformy zarządzania zgodą (CMP), takiej jak Complianz, Real Cookie Banner lub Cookiebot. Te wtyczki obsługują prawną złożoność kategoryzacji cookie, rejestrację zgody i blokowanie skryptów. Darmowe rozwiązania często nie mają kluczowych funkcji, takich jak rejestrowanie zgody lub automatyczne wykrywanie skryptów.
  • Blokuj nieistotne cookie i skrypty przed zgodą: To najbardziej krytyczny wymóg techniczny. Twoja wtyczka zgody musi faktycznie zapobiegać ładowaniu cookie śledzących, skryptów analitycznych i pikseli marketingowych, dopóki odwiedzający nie wyrazi zgody. Samo wyświetlanie banera bez blokowania skryptów nie jest zgodne. Przetestuj to, otwierając witrynę w oknie incognito, odrzucając wszystkie cookie i sprawdzając, czy w zakładce sieci pojawiają się jeszcze żądania stron trzecich.
  • Oferuj szczegółowe kategorie cookie: Odwiedzający muszą mieć możliwość wyboru między różnymi kategoriami: Funkcjonalne (niezbędne do działania witryny), Statystyki (analityka i pomiar wydajności) oraz Marketing (reklamy i śledzenie). Pojedyncze "Akceptuj wszystko" bez alternatyw nie jest zgodne z GDPR.
  • Spraw, aby odrzucanie cookie było równie łatwe: Przycisk "Odrzuć wszystko" lub "Akceptuj tylko niezbędne" musi być tak samo widoczny i łatwo dostępny jak przycisk "Akceptuj wszystko". Ukrywanie opcji odrzucania za linkiem "Zarządzaj preferencjami", używanie mniejszej czcionki lub wymaganie dodatkowych kliknięć zostało uznane za niezgodne przez kilka europejskich organów ochrony danych.
  • Umożliw wycofanie zgody w dowolnym momencie: Odwiedzający muszą mieć możliwość zmiany swoich preferencji cookie po początkowej decyzji. Dodaj stały link w stopce (np. "Ustawienia cookie" lub "Ustawienia prywatności"), który ponownie otwiera okno dialogowe zgody. To wymóg prawny, nie opcja.
  • Loguj i zachowuj zapisy zgody: W przypadku sporu lub audytu musisz być w stanie udowodnić, że zgoda została wyrażona. Twoja wtyczka zgody powinna przechowywać zapis każdej decyzji zgody z czasem, w tym jakie kategorie zostały zaakceptowane i wersję polityki prywatności obowiązującą w tym czasie.

Wymagania WordPress dotyczące przechowywania i przetwarzania danych

Poza cookie WordPress przetwarza dane osobowe na kilka innych sposobów, które wymagają uwagi pod GDPR.

  • Obsługuj dane formularzy komentarzy poprawnie: WordPress przechowuje imię, adres e-mail i URL witryny komentujących. Umieszcza również cookie, aby zapamiętać te informacje dla powracających odwiedzających. Wyłącz te cookie w Ustawienia > Dyskusja (odznacz "Pokaż checkbox opt-in dla cookie") lub zastąp domyślne zachowanie wyraźnym polem zgody, które odwołuje się do Twojej polityki prywatności.
  • Dodaj pole zgody na prywatność do wszystkich formularzy: Każdy formularz zbierający dane osobowe (formularze kontaktowe, zapisy do newslettera, formularze rejestracyjne) potrzebuje pola wyboru, w którym użytkownik wyraża wyraźną zgodę na przetwarzanie jego danych. Pole nie może być wstępnie zaznaczone, a etykieta musi odwoływać się do Twojej polityki prywatności. Większość wtyczek formularzy (Contact Form 7, WPForms, Gravity Forms) natywnie to obsługuje.
  • Przegląd wykorzystania localStorage i sessionStorage: Te mechanizmy przechowywania w przeglądarce mogą być używane do śledzenia, podobnie jak cookie. Audytuj, jakie dane Twoje wtyczki przechowują w localStorage i sessionStorage. Wszystkie dane, które mogą zidentyfikować lub śledzić odwiedzającego, podlegają GDPR. Możesz to sprawdzić w narzędziach deweloperskich przeglądarki w zakładce "Application".
  • Ogranicz przechowywanie danych formularzy kontaktowych: Nie przechowuj zgłoszeń formularzy bez końca. Skonfiguruj wtyczkę formularza, aby automatycznie usuwała zgłoszenia po określonym okresie (np. 90 dni). Jeśli potrzebujesz danych dłużej w określonym celu, udokumentuj ten cel w polityce prywatności.
  • Wdroż politykę przechowywania danych: Zgodnie z zasadą ograniczenia przechowywania GDPR dane osobowe nie powinny być przechowywane dłużej niż to konieczne. Dotyczy to kont użytkowników, komentarzy, danych zamówień (dla WooCommerce), plików logów i danych analitycznych. Zdefiniuj okresy przechowywania dla każdej kategorii danych i egzekwuj je, ręcznie lub przez automatyzację.
  • Obsługuj żądania dostępu osoby, której dane dotyczą: GDPR daje osobom prawo do żądania kopii wszystkich danych osobowych, które o nich przechowujesz, oraz prawo do żądania ich usunięcia. WordPress zawiera wbudowaną stronę narzędzi prywatności (pod Narzędzia > Eksportuj dane osobowe i Narzędzia > Usuń dane osobowe), które w tym pomagają, ale powinieneś przetestować proces i upewnić się, że obejmuje dane ze wszystkich Twoich wtyczek.

Obowiązkowe strony prawne dla zgodności z GDPR

Niektóre strony są prawnie wymagane dla każdej witryny dostępnej w UE. Brakujące lub niekompletne strony prawne mogą prowadzić do ostrzeżeń, grzywien lub pism wzywających.

  • Polityka prywatności (wymagana w całej UE): Musi opisywać wszystkie działania przetwarzania danych w jasnym, zrozumiałym języku. Uwzględnij, jakie dane zbierasz, dlaczego je zbierasz, jak długo je przechowujesz, z kim je dzielisz i jakie prawa mają odwiedzający. WordPress oferuje szablon polityki prywatności w Ustawienia > Prywatność, który obejmuje podstawy, ale musisz go dostosować dla swoich konkretnych wtyczek i usług.
  • Polityka cookie (zalecana): Może być osobną stroną lub sekcją w polityce prywatności. Wymień wszystkie cookie umieszczane przez Twoją witrynę, ich cel, czas trwania i czy są first-party czy third-party. Twoja wtyczka zarządzania zgodą zwykle generuje tę listę automatycznie.
  • Imprint / Informacja prawna (wymagana w Niemczech i Austrii): Musi zawierać pełną nazwę prawną, adres pocztowy, adres e-mail i numer telefonu operatora witryny. Dla firm obejmuje to numer rejestru handlowego, NIP i osobę odpowiedzialną. Jest to wymagane na mocy niemieckiego Telemediengesetz (TMG) i austriackiego E-Commerce-Gesetz (ECG), nie na mocy GDPR, ale jest równie egzekwowane.

Zweryfikuj zgodność WordPress z GDPR za pomocą InspectWP

Sekcja GDPR InspectWP automatycznie wykrywa użycie Gravatar, zewnętrznie ładowanych Google Fonts, śledzenia Google Analytics, osadzeń Google Maps, pikseli Facebook i skryptów śledzących oraz innych zewnętrznych zasobów przekazujących dane odwiedzających stronom trzecim. Użyj go jako punktu wyjścia do audytu GDPR. Zaplanuj regularne skany, aby wychwytywać nowe zewnętrzne zasoby, które mogą zostać wprowadzone podczas aktualizacji wtyczek lub publikowania nowej zawartości.

Poprzedni artykuł

Lista kontrolna bezpieczeństwa WordPress

Następny artykuł

Lista kontrolna SEO WordPress

Powiązane artykuły

Uruchamianie nowej witryny WordPress — co sprawdzić

Przewodnik optymalizacji wydajności WordPress

Lista kontrolna SEO WordPress

Zobacz wszystkie artykuły

Sprawdź teraz swoją stronę WordPress

InspectWP analizuje Twoją stronę WordPress pod kątem bezpieczeństwa, problemów SEO, zgodności z RODO i wydajności — za darmo.

Przeanalizuj stronę za darmo