Przejdź do treści
Blog

RODO i cyfrowy program lojalnościowy — co musisz wiedzieć w 2026

7 maja 2026 · 8 min read

Praktyczny przewodnik po RODO dla właścicieli małych firm prowadzących program lojalnościowy. Co możesz zbierać, jak długo, jak dać klientowi prawa, czego unikać.

← Wróć na blog

RODO obowiązuje w Polsce od maja 2018. Przez prawie osiem lat polskie firmy nauczyły się żyć z tymi przepisami — często z dużym stresem i nadmierną ostrożnością. Dla właściciela kawiarni czy salonu fryzjerskiego, który zastanawia się nad uruchomieniem cyfrowego programu lojalnościowego, RODO często bywa głównym hamulcem: „a co jeśli zrobię coś źle?”.

Dobra wiadomość: dobrze zaprojektowany cyfrowy program lojalnościowy faktycznie ułatwia zgodność z RODO, a nie utrudnia. Ten przewodnik wyjaśnia konkretnie, co musisz wiedzieć i robić — bez prawniczego żargonu.

Czy program lojalnościowy podlega RODO?

Tak. Każdy program, który zbiera jakiekolwiek dane osobowe klientów (adres e-mail, imię, datę urodzenia, historię zakupów), podlega RODO. Dotyczy to zarówno cyfrowych aplikacji, jak i papierowych kart z imieniem klienta na wierzchu. RODO nie rozróżnia formatu — liczą się dane.

To oznacza, że jako właściciel firmy jesteś administratorem danych osobowych klientów uczestniczących w programie. Masz konkretne obowiązki wobec nich i wobec UODO (Urzędu Ochrony Danych Osobowych).

Co możesz, a czego nie możesz zbierać

Zasada RODO: minimalizacja danych. Zbieraj tylko to, co jest absolutnie konieczne do działania programu lojalnościowego.

Możesz (i powinieneś) zbierać:

  • Adres e-mail klienta — do potwierdzenia konta i komunikacji o nagrodach
  • Historię punktów i transakcji w ramach programu (data, miejsce, suma punktów)
  • Datę urodzenia — tylko jeśli oferujesz nagrodę urodzinową (i tylko miesiąc + dzień, nie pełny rok jeśli nie potrzeba)

Nie zbieraj bez wyraźnego powodu:

  • Imienia i nazwiska — chyba że potrzeba do zwracania się po imieniu (kawiarnia raczej nie)
  • Numeru telefonu — jeśli komunikujesz przez aplikację, telefon nie jest potrzebny
  • Adresu zamieszkania — nie ma uzasadnionego celu w programie lojalnościowym
  • Dane wrażliwe (zdrowie, religia, orientacja itp.) — absolutnie nie

Klauzula informacyjna — co musi zawierać

Przy rejestracji do programu klient musi otrzymać klauzulę informacyjną zgodną z art. 13 RODO. Musi ona zawierać:

  • Tożsamość administratora (nazwa i adres firmy)
  • Kontakt do administratora (e-mail)
  • Cel przetwarzania danych (np. „prowadzenie programu lojalnościowego”)
  • Podstawa prawna przetwarzania (zwykle: zgoda, art. 6 ust. 1 lit. a RODO)
  • Odbiorcy danych (np. dostawca platformy, jeśli używasz cyfrowej aplikacji)
  • Okres przechowywania danych
  • Prawa klienta (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw, cofnięcie zgody)
  • Prawo wniesienia skargi do UODO
  • Czy podanie danych jest dobrowolne

Dobrze zaprojektowane platformy lojalnościowe (jak Pointify) generują tę klauzulę automatycznie i pokazują przy rejestracji klienta. Nie musisz pisać jej sam.

Umowa powierzenia (DPA) — kluczowy dokument

Jeśli używasz cyfrowej platformy lojalnościowej (Pointify, dowolnej innej), to platforma jest podmiotem przetwarzającym dane w Twoim imieniu. RODO wymaga, byś zawarł z nią umowę powierzenia przetwarzania danych (DPA — Data Processing Agreement).

DPA musi zawierać:

  • Przedmiot i czas trwania przetwarzania
  • Charakter i cel przetwarzania
  • Rodzaj danych osobowych i kategorie osób, których dotyczą
  • Obowiązki i prawa administratora
  • Zobowiązanie podmiotu przetwarzającego do zachowania poufności
  • Środki techniczne i organizacyjne zapewniające bezpieczeństwo
  • Pomoc w realizacji obowiązków administratora wobec osób, których dane dotyczą
  • Procedurę po zakończeniu współpracy (zwrot lub usunięcie danych)

Pointify oferuje standardową DPA gotową do podpisania przy rejestracji konta biznesowego. Bez DPA nie powinieneś używać żadnej cyfrowej platformy lojalnościowej.

Hosting danych — gdzie powinny być przechowywane

RODO pozwala na przetwarzanie danych w UE bez dodatkowych formalności. Przetwarzanie poza EOG (np. na serwerach amerykańskich) wymaga dodatkowych mechanizmów (Standard Contractual Clauses, decyzja Komisji Europejskiej o adekwatności itp.).

Po wyroku Schrems II (2020) i unieważnieniu Privacy Shield, transfer danych do USA jest w praktyce ryzykowny — nawet z SCC. Dlatego najprościej: wybierz platformę hostującą dane wyłącznie w UE.

Pointify hostuje wszystkie dane w UE (AWS Frankfurt, eu-central-1). Brak transferu poza UE = brak dodatkowych obowiązków.

Prawa klienta i jak je realizować

Twoi klienci mają konkretne prawa wynikające z RODO. Musisz być w stanie je zrealizować w ciągu 30 dni od żądania:

  • Prawo dostępu — klient prosi o kopię swoich danych. Musisz dostarczyć w czytelnej formie.
  • Prawo do sprostowania — klient prosi o poprawę błędnych danych.
  • Prawo do usunięcia („prawo do bycia zapomnianym”) — klient prosi o usunięcie konta i danych. Musisz zrealizować, chyba że masz inną podstawę prawną do przechowywania (np. obowiązek księgowy).
  • Prawo do przenoszenia danych — klient prosi o eksport swoich danych w formacie maszynowym.
  • Prawo do sprzeciwu — klient sprzeciwia się przetwarzaniu (np. marketingowi).
  • Prawo do cofnięcia zgody — klient cofa zgodę na przetwarzanie.

Dobre platformy (Pointify) pozwalają klientowi zrealizować większość tych praw bezpośrednio z aplikacji — usunięcie konta, eksport danych, cofnięcie zgody. To zdejmuje z Ciebie operacyjny ciężar obsługi tych żądań.

Co jeśli zrobisz coś nie tak

Strach przed karą RODO często bywa wyolbrzymiony, ale realny. Maksymalna kara to 4% rocznego obrotu firmy lub 20 mln euro (cokolwiek jest wyższe). W praktyce kary dla małych firm są znacznie niższe — zwykle kilkaset do kilku tysięcy złotych przy pierwszej skardze, jeśli pokażesz dobrą wiarę i szybko skorygujesz problem.

Najczęstsze powody kar RODO dla małych firm:

  • Brak DPA z dostawcami przetwarzającymi dane
  • Przetwarzanie danych poza UE bez podstaw prawnych
  • Brak realizacji żądań klienta w terminie 30 dni
  • Brak klauzuli informacyjnej przy zbieraniu danych
  • Wycieki danych bez zgłoszenia do UODO w ciągu 72 godzin

Wszystkie powyższe da się uniknąć poprzez wybór odpowiedniej platformy z dobrymi praktykami. Pointify spełnia te wymogi by default.

Podsumowanie

RODO nie powinno być powodem rezygnacji z cyfrowego programu lojalnościowego — wręcz przeciwnie, dobrze zaprojektowana cyfrowa platforma upraszcza zgodność z RODO w porównaniu do papierowych systemów. Klucze: minimalizacja zbieranych danych, hosting w UE, podpisana DPA, mechanizmy realizacji praw klienta, jasna klauzula informacyjna.

Pointify spełnia wszystkie te wymogi. Pełen opis w naszej polityce prywatności. Jeśli masz pytania o RODO przed uruchomieniem programu, napisz do nas. Pozostałe przewodniki: aplikacja lojalnościowa dla kawiarni, karta stempelkowa vs cyfrowa, jak uruchomić program lojalnościowy.

Spodobał się ten przewodnik? Zobacz inne artykuły lub napisz do nas.