Domyślnie zaznaczone pola zgody naruszają art. 4 pkt 11 RODO, który wymaga „jednoznacznej" zgody. Wstępne zaznaczenie jest też wprost zakazane przez Wytyczne EDPB 05/2020 dotyczące zgody.

Naprawa: wdróż baner z domyślnie odznaczonymi polami i równoważnie widocznym przyciskiem odrzucenia.

Art. 13 ust. 1 lit. c RODO wymaga wskazania podstawy prawnej dla każdej operacji przetwarzania. Ogólne stwierdzenie „przetwarzamy Twoje dane w celach marketingowych" bez wskazania art. 6 ust. 1 RODO jest niewystarczające.

Naprawa: dla każdego celu przetwarzania wskaż: podstawę prawną (art. 6 lit. a-f RODO), cel i zakres danych.

EDPB w Wytycznych 03/2022 i wielu decyzjach krajowych organów (CNIL, UODO) jasno wskazało: przycisk odrzucenia musi być tak samo widoczny i dostępny jak przycisk akceptacji. Ukrycie go w menu lub zmniejszenie jest niezgodne z wymogiem równości.

Naprawa: umieść „Odrzuć wszystkie" obok „Akceptuj wszystkie" w tym samym stylu wizualnym.

Formularz kontaktowy zbierający dane osobowe (imię, e-mail, treść wiadomości) jest operacją przetwarzania wymagającą informacji z art. 13 RODO w momencie zbierania danych. Brak klauzuli pod formularzem to bezpośrednie naruszenie.

Naprawa: dodaj skróconą klauzulę informacyjną bezpośrednio pod formularzem z linkiem do pełnej polityki prywatności.

Google Analytics, Hotjar i podobne narzędzia analityczne ładują pliki cookie śledzenia zanim użytkownik wyrazi zgodę. To naruszenie art. 5 ust. 1 lit. b RODO (zasada ograniczenia celu) i dyrektywy ePrivacy.

Naprawa: zaimplementuj warunkowe ładowanie skryptów — analytics może uruchomić się dopiero po udzieleniu zgody przez użytkownika.

Ładowanie czcionek Google bezpośrednio z fonts.googleapis.com przesyła adres IP użytkownika do USA bez jego wiedzy. LG München nałożył na ten precedens grzywnę. Transfer danych do USA wymaga stosownego mechanizmu (np. decyzji o adekwatności DPF lub SCC + TIA).

Naprawa: hostuj czcionki lokalnie (self-hosted fonts) lub użyj czcionek systemowych.

Przycisk „Napisz do nas na WhatsApp" inicjuje transfer danych do Meta Platforms Inc. (USA) bez wiedzy użytkownika. Wymaga klauzuli informacyjnej i zgody użytkownika przed uruchomieniem.

Naprawa: przed kliknięciem pokaż informację o transferze danych do WhatsApp/Meta i wymagaj potwierdzenia.

Art. 37 RODO określa, kiedy wyznaczenie IOD jest obowiązkowe. Kancelarie przetwarające „dane wrażliwe" (dane medyczne klientów, dane o wyrokach sądowych) na dużą skalę mogą być zobowiązane do wyznaczenia IOD. Jeśli IOD jest wyznaczony, jego dane kontaktowe muszą być opublikowane na stronie (art. 37 ust. 7).

Naprawa: sprawdź, czy kancelaria spełnia progi wymagające IOD. Jeśli tak — opublikuj jego dane.

Od 2026 roku kancelarie używające chatbotów AI lub systemów automatycznej analizy dokumentów muszą ujawnić te fakty w polityce prywatności (art. 50 EU AI Act + art. 22 RODO dla zautomatyzowanego podejmowania decyzji). Wiele kancelarii używa narzędzi AI, ale nie uwzględnia tego w dokumentacji.

Naprawa: zaktualizuj politykę prywatności o sekcję dotyczącą używanych systemów AI.

Art. 13 ust. 2 lit. a RODO wymaga podania okresu przechowywania danych lub kryteriów jego ustalania. Ogólna formuła „dane przechowujemy przez czas niezbędny do realizacji celów" jest niewystarczająca — UODO wielokrotnie zwracał na to uwagę.

Naprawa: podaj konkretne okresy dla każdej kategorii danych (np. dane klientów: 10 lat od zakończenia sprawy, dane marketingowe: 3 lata).

Art. 13 ust. 2 lit. b-d RODO wymaga informacji o prawie dostępu, sprostowania, usunięcia, ograniczenia, przeniesienia danych, sprzeciwu i prawie do skargi do PUODO. Wiele polityk prywatności wymienia te prawa w jednym zdaniu bez praktycznych instrukcji jak z nich skorzystać.

Naprawa: podaj adres e-mail lub formularz do składania żądań i zobowiąż się do odpowiedzi w ciągu 30 dni.

Widgety Google Maps, Calendly, Tidio Chat i podobne ładują skrypty firm trzecich (często z USA) bez wiedzy użytkownika. Każdy taki widget wymaga oddzielnej kategorii zgody w banerze cookie.

Naprawa: użyj warunkowego ładowania (lazy embed) — widget ładuje się dopiero po kliknięciu, a użytkownik jest informowany o transferze danych.

Formularz newslettera musi informować o prawie do cofnięcia zgody i sposobie wypisania się (art. 7 ust. 3 RODO). Brak instrukcji wypisania lub ukrycie jej jest niezgodne z RODO i ustawą o świadczeniu usług drogą elektroniczną.

Naprawa: dodaj przy formularzu: „Możesz wycofać zgodę w dowolnym momencie klikając 'Wypisz się' w stopce każdego e-maila."

Uzależnienie dostępu do strony od akceptacji plików cookie narusza zasadę dobrowolności zgody (art. 4 pkt 11 RODO). EDPB w Wytycznych 05/2020 wprost wskazało, że cookie walls są niezgodne z RODO. UODO i CNIL wydały decyzje potwierdzające tę interpretację.

Naprawa: zapewnij dostęp do strony bez konieczności akceptowania plików cookie. Możliwa jest bramka płatna (pay-or-consent), ale musi spełniać surowe warunki.

Rejestr czynności przetwarzania (RCP) jest obowiązkowy dla organizacji zatrudniających powyżej 250 pracowników oraz — niezależnie od rozmiaru — dla podmiotów przetwarzających dane wrażliwe lub dokonujących transferów do krajów trzecich. Kancelarie prawne często przetwarzają oba typy danych. RCP nie jest publikowany na stronie, ale musi być dostępny do wglądu dla PUODO.

Naprawa: stwórz i regularnie aktualizuj RCP. Uwzględnij wszystkie kategorie danych klientów, pracowników i podwykonawców.