Przejdź do treści
Blog

RODO w programie lojalnościowym — checklist i pułapki dla polskich firm

2 maja 2026 · 10 min czytania

RODO to nie kosmetyka. Audyt UODO za niezgodność programu lojalnościowego potrafi kosztować dziesiątki tysięcy złotych. Sprawdzamy, jak być spokojnym o swój program.

← Wróć na blog

UODO (Urząd Ochrony Danych Osobowych) audytuje programy lojalnościowe coraz częściej. W 2024 najczęstsze sankcje wobec polskich firm dotyczyły właśnie tej dziedziny — niejasne zgody, brak DPA z dostawcą, dane przechowywane poza UE, brak procedur usuwania danych. Kary: od 5 000 do 30 000 zł dla małych i średnich firm, znacznie więcej dla sieci.

Ten artykuł to praktyczna lista kontrolna RODO dla programu lojalnościowego w Polsce. Sprawdź każdy punkt — jeśli wszystko zaznaczysz, twój program jest gotowy na audyt.

Co RODO mówi o programach lojalnościowych?

RODO (GDPR) to rozporządzenie UE 2016/679 + polska Ustawa o ochronie danych osobowych z 2018 r. W programie lojalnościowym przetwarzasz dane osobowe klientów (imię, e-mail, czasem data urodzenia, historia transakcji). Jesteś administratorem tych danych. Dostawca platformy (np. Pointify) — procesorem.

Z tego wynikają obowiązki: zgoda klienta na zakres przetwarzania, polityka prywatności, umowa powierzenia (DPA) z dostawcą, procedury obsługi praw klienta (dostęp, edycja, usunięcie).

Checklist RODO — 12 punktów

1. Polityka prywatności na stronie firmowej

Każda firma prowadząca program lojalnościowy musi mieć politykę prywatności opublikowaną na swojej stronie. Powinna zawierać:

  • Nazwę administratora (firma)
  • Cele przetwarzania (program lojalnościowy + ewentualnie marketing)
  • Podstawę prawną (zgoda klienta lub interes biznesowy)
  • Listę przetwarzanych danych
  • Okres przechowywania danych
  • Prawa klienta i sposób ich realizacji
  • Informację o przekazywaniu danych do procesora (np. Pointify) i o ewentualnym transferze poza EOG

2. Zgoda klienta — wyraźna i osobna

Klient musi wyrazić zgodę aktywnie (zaznaczyć checkbox, nie domyślnie zaznaczony). Zgoda na program lojalnościowy musi być osobna od ewentualnej zgody na marketing zewnętrzny.

W Pointify klient przy pierwszej rejestracji potwierdza dwie osobne zgody: politykę prywatności i regulamin korzystania z usługi. Każda zapisywana jest z dokładnym znacznikiem czasu w historii zgód (gdpr_agreement_histories) — w razie audytu UODO masz pełen ślad, kto i kiedy zaakceptował co.

3. Umowa powierzenia (DPA) z dostawcą

Twoja firma jest administratorem danych. Dostawca platformy lojalnościowej — procesorem (przetwarza dane w twoim imieniu). Musisz mieć podpisaną umowę powierzenia (Data Processing Agreement).

W Pointify DPA jest dostępne do podpisu od pierwszego dnia. Większość firm podpisuje cyfrowo razem z rejestracją konta.

4. Hosting danych w UE

Dane klientów powinny być przechowywane na serwerach w Europejskim Obszarze Gospodarczym (EOG). Transfer poza EOG (np. USA) wymaga osobnych klauzul (DPF, SCCs) i niesie ryzyko regulacyjne.

Pointify hostuje dane w EU (Frankfurt, AWS eu-central-1). Brak transferu poza EOG.

5. Minimalizacja danych

Zbieraj tylko to, co niezbędne do celu. Program lojalnościowy nie wymaga PESEL, adresu zamieszkania, numeru paszportu. Pointify zapisuje minimum: imię, e-mail, telefon (opcjonalnie), kraj (do dobrania waluty), historia transakcji. Daty urodzenia, danych adresowych ani cech demograficznych Pointify nie przechowuje — jeśli chcesz prowadzić kampanie urodzinowe, zbieraj tę informację w zewnętrznym narzędziu marketingowym z osobną zgodą.

6. Okres przechowywania

Określ jasno: dane będą przechowywane przez X lat lub do żądania usunięcia. Sensowne okresy: 24 miesiące od ostatniej aktywności, automatyczna anonimizacja po dłuższym czasie nieaktywności.

7. Procedura usuwania na żądanie

Klient ma prawo zażądać usunięcia danych. Musisz mieć procedurę: w ciągu 30 dni dane są usuwane, klient otrzymuje potwierdzenie.

W Pointify klient może usunąć swoje konto bezpośrednio w aplikacji. Dane są usuwane z systemu w ciągu 24 godzin. Backupy z retencją 30 dni.

8. Eksport danych na żądanie

Klient ma prawo zażądać kopii swoich danych. RODO mówi o „formacie ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego" — w praktyce wystarcza PDF lub JSON.

Pointify udostępnia w aplikacji przycisk „Pobierz moje dane" — klient otrzymuje PDF z imieniem, e-mailem, historią transakcji, naliczonymi punktami i wymienionymi nagrodami. Działa natychmiast, bez angażowania zespołu wsparcia.

9. Procedura w razie naruszenia

Jeśli dojdzie do wycieku danych — masz 72 godziny na zgłoszenie do UODO i poinformowanie poszkodowanych klientów.

Pointify ma procedurę incident response — w razie naruszenia powiadamiamy klienta-firmę natychmiast, dostarczamy zakres wycieku, pomagamy w obowiązkowej komunikacji do UODO.

10. Brak trackerów zewnętrznych

Nie ładuj na swoją stronę firmową ani w aplikacji programu lojalnościowego trackerów reklamowych (Google Analytics, Facebook Pixel, Hotjar) bez wyraźnej zgody klienta. To jeden z najczęstszych powodów audytów.

Pointify nie ładuje żadnych trackerów reklamowych. Strona pointify.org nie używa nawet GA.

11. Inspektor Ochrony Danych (DPO)

Mała firma zwykle nie potrzebuje wyznaczać DPO (limit przy regularnym monitoringu osób na dużą skalę). Ale potrzebujesz osoby kontaktowej do spraw ochrony danych — to może być właściciel.

12. Audit trail

Prowadź zapisy: kiedy klient wyraził zgodę, kiedy żądał usunięcia, kiedy została zrealizowana. To dowód w razie audytu UODO.

Pointify automatycznie loguje wszystkie zdarzenia związane ze zgodami.

Najczęstsze błędy RODO w programach lojalnościowych

  • Domyślnie zaznaczony checkbox marketingu. Niedozwolone. Klient musi sam zaznaczyć.
  • Jedna zgoda na „wszystko”. Niedozwolone. Każdy cel = osobna zgoda.
  • Brak polityki prywatności na stronie firmy. Łatwa do nadrobienia, ale często pomijana.
  • Dane w USA bez klauzul. Wybierając platformę, sprawdź gdzie są dane.
  • Brak DPA z dostawcą. Często pomijane, łatwe do nadrobienia.
  • Nieskasowanie danych klienta na żądanie. Klasyczny przypadek do audytu.

Case study — kontrola UODO w kawiarni

Kawiarnia w Warszawie miała program lojalnościowy oparty na zagranicznej platformie SaaS. Klient zgłosił do UODO, że poprosił o usunięcie danych i nie dostał odpowiedzi przez 90 dni.

UODO wszczął kontrolę. Wyszło na jaw:

  • Brak DPA z dostawcą platformy
  • Dane przechowywane w USA bez klauzul DPF
  • Brak procedury usuwania danych (klient musiał napisać do dostawcy bezpośrednio, dostawca odpowiadał tylko po angielsku)
  • Polityka prywatności nieaktualna (sprzed 5 lat, nie obejmowała programu lojalnościowego)

Kara: 18 000 zł plus obowiązek zaktualizowania wszystkich zgód u wszystkich klientów.

To jeden konkretny przypadek, ale ilustracja typowych pułapek. Z Pointify (UE hosting, DPA, automatyczne usuwanie, polski support) ten scenariusz nie byłby możliwy.

FAQ

Czy mała kawiarnia musi mieć DPO?

Zwykle nie. Limit DPO dotyczy „regularnego i systematycznego monitorowania na dużą skalę”. Mała kawiarnia z 200 klientami zwykle pod ten próg nie podpada. Osobą kontaktową do ochrony danych jest właściciel.

Czy mogę zbierać datę urodzenia klienta?

Tak, jeśli klient wyraźnie się zgodzi i poinformujesz, że to do programu lojalnościowego (np. urodzinowy bonus). Osobna zgoda od podstawowej.

Co jeśli używam zagranicznej platformy?

Sprawdź, czy:

Czy mogę dawać klientom zniżkę za pobieranie aplikacji?

Tak — to legitime business interest. Ale nagroda nie może być „za zgodę na marketing”. Zgoda musi być dobrowolna, bez warunkowania zniżki.

Co z RODO w aplikacji klienta?

Aplikacja klienta (Pointify) ma swoją politykę prywatności (dostawcy). Twoja polityka opisuje, jakie dane przekazujesz dostawcy. To dwie polityki, nie konflikt.

  • Dane są w EOG (najlepiej UE)
  • DPA jest dostępne i podpisane
  • Możesz usunąć dane klienta w ciągu 30 dni
  • Polityka prywatności na twojej stronie zawiera informację o tym dostawcy

Jeśli któryś punkt nie jest spełniony — masz problem prawny, niezależnie czy UODO cię odwiedzi.