Polityka prywatności dla aplikacji SaaS: 5 błędów, które kończą się karą UODO

Łukasz Gębczyk
Łukasz Gębczyk
Polityka prywatności dla aplikacji SaaS: 5 błędów, które kończą się karą UODO

Budujesz aplikację SaaS, zdobywasz pierwszych użytkowników, skalujesz MRR. Wszystko idzie świetnie – do momentu, aż ktoś zgłosi Cię do UODO. Nie dlatego, że kradniesz dane. Dlatego, że Twoja polityka prywatności to kopia z innej strony albo tekst z generatora AI, który nie ma nic wspólnego z tym, jak Twoja apka faktycznie działa.

Kary za brak lub wadliwą politykę prywatności sięgają 10 mln euro za naruszenie obowiązku informacyjnego z art. 13 i 14 RODO. Nie musisz być korporacją, żeby dostać decyzję – UODO kontroluje również startupy i jednoosobowe SaaS-y.

W tym artykule pokazuję 5 konkretnych błędów w politykach prywatności aplikacji SaaS, które widzę u klientów najczęściej i tłumaczę, jak je naprawić, zanim zrobi to za Ciebie urząd.

Artykuł opracowany przez Łukasza Gębczyka – prawnika Lexable, który na co dzień buduje dokumentację prawną dla SaaS’ów, marketplace’ów i startupów technologicznych.

Dla zabieganych

  • Polityka prywatności to nie regulamin. To osobny dokument, który realizuje obowiązek informacyjny z art. 13 i 14 RODO.
  • Generator online nie wystarczy – nie wie, jakie narzędzia masz wpinięte, komu przekazujesz dane ani jak długo je trzymasz.
  • Każdy SaaS przetwarza dane inaczej: inne cele, inni subprocesorzy, inne ryzyka.
  • 5 błędów poniżej to checklista jeśli znajdziesz chociaż jeden u siebie, działaj.
  • Dobrze napisana polityka prywatności chroni Cię przed UODO, buduje zaufanie klientów i jest wymagana przez Google Ads, Meta i operatorów płatności.
  • Załóż darmowe konto w 60 sekund i zamów politykę prywatności w Lexable – stała cena i szybka realizacja.

Czym jest polityka prywatności?

Polityka prywatności to dokument, w którym jako administrator danych informujesz użytkowników, co robisz z ich danymi osobowymi. Jakie dane zbierasz, po co, na jakiej podstawie prawnej, komu je przekazujesz i jak długo przechowujesz.

RODO nie wymaga dokumentu o nazwie „polityka prywatności” – wymaga spełnienia obowiązku informacyjnego (art. 13 i 14). W praktyce polityka prywatności to najwygodniejszy sposób, żeby to zrobić, szczególnie w środowisku online.

Dla aplikacji SaaS ten dokument jest szczególnie istotny, bo typowy SaaS przetwarza dane na wielu płaszczyznach jednocześnie: rejestracja konta, płatności subskrypcyjne, analityka użytkowania, integracje z API zewnętrznych dostawców, cookies, newsletter, a często także przetwarzanie danych klientów Twoich użytkowników (B2B SaaS jako procesor).

To nie jest ten sam dokument co regulamin. Regulamin SaaS określa zasady korzystania z usługi. Polityka prywatności dotyczy wyłącznie danych osobowych. Jeśli jeszcze nie masz regulaminu, zacznij od niego – pisaliśmy o tym w artykule o regulaminie SaaS marketplace.

Dlaczego nie możesz tego pominąć?

Bo konsekwencje są realne i nie dotyczą tylko dużych firm. Brak polityki prywatności lub polityka niedopasowana do Twojego SaaS-a oznacza:

  • Kara administracyjna do 10 mln euro za naruszenie obowiązku informacyjnego
  • Kara do 20 mln euro, jeśli brakuje podstawy prawnej do przetwarzania
  • Nakaz wstrzymania przetwarzania danych – czyli de facto wyłączenie aplikacji.
  • Blokada kont reklamowych w Google Ads i Meta Ads – obie platformy wymagają aktualnej polityki prywatności.
  • Odmowa wdrożenia bramki płatności (PayU, Stripe, tPay) – operatorzy sprawdzają zgodność prawną przed aktywacją.

UODO nie musi Cię szukać sam. Wystarczy jeden wkurzony użytkownik czy konkurent składający donos.

5 błędów w polityce prywatności SaaS, za które UODO nakłada kary

Błąd 1: Kopia z generatora lub ChatGPT

To najczęstszy błąd wśród founderów. Wpisujesz nazwę firmy w generator, dostajesz „gotowy” dokument i wrzucasz na stronę. Problem? Generator nie wie, że używasz Stripe do płatności, Mixpanel do analityki, SendGrid do maili transakcyjnych i AWS do hostingu. Każdy z tych podmiotów to odbiorca danych, którego musisz wymienić.

ChatGPT generuje poprawne językowo, ale ogólnikowe treści. Nie zna Twojego stacku technologicznego, Twoich integracji ani modelu biznesowego. Polityka prywatności musi odzwierciedlać rzeczywiste procesy – nie ogólne szablony. W innym wypadku będzie niezgodna z prawem.

Błąd 2: Brak podziału celów i podstaw prawnych

RODO wymaga, żebyś dla każdego celu przetwarzania wskazał odrębną podstawę prawną. W typowym SaaS-ie masz co najmniej kilka celów: świadczenie usługi (wykonanie umowy – art. 6 ust. 1 lit. b RODO), wystawianie faktur (obowiązek prawny – lit. c), analityka i doskonalenie produktu (uzasadniony interes – lit. f), marketing i newsletter (zgoda – lit. a).

Większość polityk, które widzę, wrzuca wszystko do jednego worka: „dane przetwarzamy na podstawie zgody i uzasadnionego interesu”. To za mało. UODO oczekuje precyzyjnego mapowania: ten cel = ta podstawa = te dane = ten okres przechowywania.

Błąd 3: Pominięcie subprocesorów i transferów poza EOG

Korzystasz z Google Analytics, Intercom, HubSpot, Mailchimp lub Cloudflare? Dane Twoich użytkowników trafiają do podmiotów z siedzibą w USA. To transfer danych osobowych poza Europejski Obszar Gospodarczy i musisz o tym poinformować w polityce prywatności.

Powinieneś wskazać: kategorie odbiorców (np. dostawca usług analitycznych, dostawca usług płatniczych), fakt transferu poza EOG oraz zabezpieczenia, na których się opierasz (np. standardowe klauzule umowne, Data Privacy Framework dla USA).

Błąd 4: Brak informacji o cookies i profilowaniu

Jeśli Twój SaaS używa plików cookies – nawet wyłącznie niezbędnych do działania sesji to musisz o tym poinformować. Jeśli stosujesz cookies analityczne (GA4, Hotjar) lub marketingowe (Meta Pixel, LinkedIn Insight Tag), wymagana jest zgoda użytkownika przed ich włączeniem.

Podobnie z profilowaniem. Jeśli personalizujesz treści, segmentujesz użytkowników na potrzeby onboardingu, stosujesz dynamic pricing lub rekomendacje – to profilowanie w rozumieniu RODO i wymaga odrębnego wpisu w polityce.

Błąd 5: Brak rozróżnienia ról: administrator vs. procesor

To błąd specyficzny dla SaaS-ów B2B. Kiedy Twój użytkownik (np. agencja marketingowa) wgrywa do Twojej aplikacji dane swoich klientów, stajesz się procesorem tych danych. Twoja polityka prywatności dotyczy Twoich użytkowników (jesteś administratorem). Ale dane klientów Twoich użytkowników wymagają osobnego dokumentu – umowy powierzenia przetwarzania danych (DPA).

Brak tego rozróżnienia w polityce to próba ominięcia tematu RODO, którą UODO łatwo wychwytuje. Każdy SaaS B2B powinien mieć czytelny podział: polityka prywatności (dla użytkowników), DPA (dla danych powierzonych) i regulamin (warunki usługi).

Co musi zawierać polityka prywatności aplikacji SaaS?

Zgodnie z art. 13 i 14 RODO, polityka prywatności Twojej aplikacji powinna zawierać co najmniej:

  1. Dane administratora – pełna nazwa firmy, adres, NIP, dane kontaktowe (e-mail, telefon).
  2. Dane kontaktowe IOD – jeśli powołałeś Inspektora Ochrony Danych.
  3. Cele przetwarzania – każdy cel odrębnie: świadczenie usługi, rozliczenia, marketing, analityka, obsługa zgłoszeń.
  4. Podstawy prawne – przypisane do każdego celu (umowa, obowiązek prawny, uzasadniony interes, zgoda).
  5. Kategorie danych – jakie dokładnie dane zbierasz: imię, e-mail, IP, dane transakcyjne, logi aktywności, identyfikatory urządzeń.
  6. Odbiorcy danych – kategorie podmiotów: dostawcy hostingu, płatności, analityki, obsługi klienta, księgowości.
  7. Transfer poza EOG – informacja, czy dane trafiają poza UE i na jakiej podstawie.
  8. Okres przechowywania – konkretne terminy lub kryteria ustalania okresów retencji.
  9. Prawa użytkowników – dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, skarga do UODO.
  10. Cookies i technologie śledzące – rodzaje, cele, podstawy prawne, sposób zarządzania.
  11. Profilowanie i zautomatyzowane decyzje – jeśli stosujesz.
  12. Wymogi podania danych – które dane są niezbędne do korzystania z usługi, a które opcjonalne.

Potrzebujesz polityki prywatności dopasowanej do Twojego SaaS-a?

Zamów przygotowanie polityki prywatności dla Twojej aplikacji SaaS w Lexable – dostaniesz dokument dopasowany do Twojej aplikacji i Twojego modelu danych. Stała cena, bez licznika godzin.

Wolisz mailowo? Napisz: contact@lexable.pl lub zgłoś się przez formularz.

Potrzebujesz pomocy prawnej?

Stwórz dokumenty prawne szybko i bezpiecznie z Lexable.