Wielka księga praw e-commerce – obowiązki prawne sklepu internetowego

Sklepy internetowe działające w Polsce i w całej Unii Europejskiej mierzą się z coraz bardziej złożonym krajobrazem obowiązków prawnych obejmujących ochronę konsumentów, prywatność danych, bezpieczeństwo produktów, podatki oraz nadzór nad platformami. Od stycznia 2026 r. otoczenie regulacyjne stało się bardziej rygorystyczne, a kluczowe reformy obejmują rozporządzenie w sprawie ogólnego bezpieczeństwa produktów (GPSR), dalsze wdrażanie aktu o usługach cyfrowych (DSA) oraz ewoluujące wymogi wynikające z ustawy o prawach konsumenta i ram ochrony danych. Niniejsza analiza omawia wielowymiarowe obowiązki prawne, przez które muszą nawigować przedsiębiorcy e‑commerce, aby działać zgodnie z prawem, chronić konsumentów i unikać dotkliwych kar. Fundamentalną zasadą regulacji e‑commerce jest przejrzystość – sklep internetowy musi jasno poinformować konsumenta o jego prawach, warunkach transakcji, zasadach przetwarzania danych i mechanizmach rozwiązywania sporów przed, w trakcie i po zakupie.

Podstawowe ramy prawne regulujące działalność e‑commerce

Struktura prawna e‑commerce w Polsce i UE opiera się na kilku wzajemnie powiązanych aktach, które łącznie określają prawa i obowiązki sprzedawców oraz konsumentów. Zrozumienie tych ram jest kluczowe dla każdego przedsiębiorcy online, ponieważ naruszenia grożą wysokimi karami i utratą zaufania klientów.

Najważniejsze akty oraz ich zakres i obowiązki przedstawia poniższe zestawienie:

Akt prawny	Zakres	Kluczowe obowiązki
Ustawa o prawach konsumenta	Sprzedaż na odległość	Obowiązki informacyjne, 14 dni na odstąpienie, zasady reklamacji
RODO	Ochrona danych osobowych	Podstawy przetwarzania, prawa jednostki, bezpieczeństwo i naruszenia
DSA	Usługi cyfrowe i platformy	Przejrzystość, moderacja treści, weryfikacja sprzedawców, raportowanie
GPSR	Bezpieczeństwo produktów	Bezpieczne produkty, oznaczenia, dokumentacja, procedury recall

Ustawa o prawach konsumenta nakłada na sklepy internetowe szczegółowe wymogi proceduralne przy sprzedaży konsumentom. Konsument to osoba fizyczna zawierająca umowę niezwiązaną bezpośrednio z jej działalnością gospodarczą lub zawodową i korzystająca ze szczególnych uprawnień niedostępnych w relacjach B2B. Ustawa przewiduje rozbudowane obowiązki informacyjne, prawo do odstąpienia od umowy oraz procedury rozpatrywania reklamacji dotyczących wad towaru lub niezgodności z umową. Polscy przedsiębiorcy muszą również uwzględniać Kodeks cywilny (ogólne zasady kontraktowe) oraz ustawę o świadczeniu usług drogą elektroniczną (wymogi dotyczące regulaminu i jego dostępności).

Wybór formy prawnej sklepu nie jest ograniczony szczególnymi przepisami; działalność można prowadzić jako jednoosobowa działalność gospodarcza, spółka z ograniczoną odpowiedzialnością lub w innych formach. Wszystkie podmioty muszą jednak spełniać te same materialne obowiązki niezależnie od formy. Wymogi rejestracyjne zależą od modelu i skali – działalność nierejestrowana jest możliwa tylko przy miesięcznych przychodach do 75 proc. minimalnego wynagrodzenia (ok. 2 700 zł); przy większej skali lub sprzedaży transgranicznej konieczna jest rejestracja w CEIDG lub KRS.

Wymogi dokumentacyjne i standardy przejrzystości

Każdy sklep internetowy musi utrzymywać i prezentować zestaw dokumentów prawnych, które porządkują warunki transakcji i informują konsumentów o ich prawach. Dokumenty muszą być dostępne nieodpłatnie przed finalizacją zakupu w formie pozwalającej na zapis i wydruk.

Minimalny pakiet dokumentów i ich rola:

• Regulamin sklepu – warunki świadczenia usług, dane identyfikacyjne sprzedawcy, proces zamówienia, dostawa i płatności;
• Polityka prywatności – zasady przetwarzania danych zgodnie z RODO, prawa osób, kontakt do administratora;
• Polityka plików cookie – kategorie i cele plików, okresy przechowywania, podmioty trzecie, mechanizm zgód.

Regulamin sklepu – kluczowe warunki świadczenia usług

Regulamin to podstawowy dokument kontraktowy między sprzedawcą a klientem. Zgodnie z art. 8 ustawy o świadczeniu usług drogą elektroniczną należy go udostępnić bezpłatnie przed zawarciem umowy, w sposób umożliwiający pozyskanie, odtworzenie i utrwalenie treści. Regulamin nie może być ukryty – powinien być wyeksponowany przed złożeniem zamówienia.

Najważniejsze elementy, które powinny znaleźć się w regulaminie:

• Dane sprzedawcy – nazwa, forma prawna, adres, telefon, e‑mail, NIP, ewentualnie KRS/CEIDG;
• Opis oferty – charakterystyka produktów/usług, kluczowe cechy i dostępność;
• Procedura zamówienia – moment zawarcia umowy (np. kliknięcie przycisku z jasną informacją o płatności);
• Dostawa – metody, koszty i terminy dostawy;
• Prawo odstąpienia – 14 dni, wzór formularza, zasady zwrotów i koszty odesłania;
• Reklamacje – tryb zgłoszeń, adres, 14‑dniowy termin odpowiedzi;
• Płatności – dostępne metody, moment obciążenia, ewentualne opłaty dodatkowe.

Polityka prywatności i informacje o ochronie danych

Sklepy przetwarzają dane osobowe klientów (m.in. imię i nazwisko, adres, e‑mail, telefon), dlatego zgodnie z RODO wymagana jest kompleksowa polityka prywatności. Dokument powinien opisywać zakres danych, cele, podstawy prawne, okresy przechowywania, prawa osób oraz odbiorców danych (np. firmy kurierskie, operatorzy płatności). Należy jasno wskazać administratora danych i stosowane środki bezpieczeństwa.

Szczególnie istotne jest poinformowanie o prawach z RODO: dostępu, sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania i przenoszenia danych. Prawo do usunięcia ma wyjątki – sprzedawca może zachować dane niezbędne do realizacji rękojmi/niezgodności, obsługi reklamacji lub obowiązków podatkowo‑księgowych. Polityka powinna także opisywać tryb zgłaszania naruszeń i prawo wniesienia skargi do PUODO.

Polityka plików cookie

Zgodnie z prawem telekomunikacyjnym i RODO sklepy muszą ujawniać stosowanie plików cookie i technologii śledzących. Zgoda na pliki niekonieczne musi wynikać z wyraźnego działania użytkownika – domyślnie zaznaczone okienko nie stanowi ważnej zgody.

W polityce cookie należy ująć następujące informacje:

• Podmiot odpowiedzialny – nazwa i dane kontaktowe administratora serwisu;
• Typy i cele plików – niezbędne, analityczne, marketingowe wraz z podstawą zgody;
• Czas życia – okresy przechowywania poszczególnych kategorii plików;
• Podmioty trzecie – dostawcy narzędzi (np. analityka, reklamy), linki do ich polityk;
• Zarządzanie zgodami – sposób odmowy, wycofania i modyfikacji preferencji.

Prawa konsumenta i mechanizmy ochrony

Ochrona praw konsumentów to fundament regulacji e‑commerce, zaprojektowany, by ograniczać ryzyka wynikające z asymetrii informacji w sprzedaży na odległość.

Prawo odstąpienia od umów zawieranych na odległość

Jednym z najważniejszych uprawnień jest prawo do odstąpienia od umowy w ciągu 14 dni kalendarzowych od otrzymania towaru, bez podania przyczyny. Po otrzymaniu oświadczenia sprzedawca zwraca wszystkie płatności, w tym koszt dostawy, w ciągu 14 dni; konsument może zostać obciążony bezpośrednimi kosztami zwrotu tylko, jeśli został o tym uprzednio poinformowany. Normalne sprawdzenie cech i funkcjonalności nie może skutkować opłatami.

Najczęstsze wyjątki od prawa odstąpienia obejmują:

• Rzeczy wykonywane na zamówienie – produkty zindywidualizowane według specyfikacji konsumenta;
• Rzeczy zapieczętowane – po otwarciu, gdy nie mogą zostać zwrócone ze względów zdrowotnych lub higienicznych;
• Produkty szybko psujące się – towary o krótkim terminie przydatności;
• Nagrania/oprogramowanie – w zapieczętowanym opakowaniu po jego otwarciu;
• Usługi – po ich pełnym wykonaniu za uprzednią wyraźną zgodą konsumenta;
• Treści cyfrowe bez nośnika – gdy rozpoczęto dostarczanie za wyraźną zgodą przed upływem terminu odstąpienia.

Brak prawidłowej informacji o prawie odstąpienia wydłuża termin do 1 roku i 14 dni, co stanowi istotne ryzyko dla sprzedawcy.

Informacje o produkcie i przejrzystość cen

Przed finalizacją zakupu należy przekazać konsumentowi kluczowe informacje w sposób czytelny i widoczny:

• Główne cechy produktu – opis, parametry, specyfikacje, ograniczenia użycia;
• Dane przedsiębiorcy – nazwa, adres, e‑mail, telefon, numer rejestrowy (NIP/KRS/CEIDG);
• Łączna cena z podatkami – kwota brutto z uwzględnieniem obowiązkowych opłat;
• Metody i koszty dostawy – wraz z przewidywanymi terminami dostarczenia;
• Warunki płatności – dostępne metody, ewentualne prowizje i moment obciążenia;
• Informacja o personalizacji ceny – gdy stosowana jest spersonalizowana cena na podstawie danych/algorytmów.

Przy obniżkach należy wskazać najniższą cenę z 30 dni poprzedzających promocję, aby zapobiegać „fałszywym promocjom”. Ceny muszą być widoczne, zawierać VAT i odzwierciedlać faktyczną kwotę do zapłaty bez ukrytych dopłat.

Informacje o procedurze reklamacyjnej i rozwiązywaniu sporów

Sklep musi poinformować o adresie do reklamacji, trybie ich składania oraz 14‑dniowym terminie odpowiedzi. Europejska platforma ODR została zamknięta w lipcu 2025 r. – należy usunąć odwołania do niej z regulaminów i wskazać krajowe alternatywne metody rozwiązywania sporów.

Obowiązki w zakresie ochrony danych na gruncie RODO

Sklepy internetowe przetwarzają znaczne ilości danych osobowych, dlatego pełna zgodność z RODO jest obowiązkowa dla wszystkich podmiotów e‑commerce.

Podstawy prawne przetwarzania danych

Przetwarzanie wymaga co najmniej jednej podstawy z art. 6 RODO. W e‑commerce najczęściej są to:

• Niezbędność do wykonania umowy – obsługa zamówienia, płatności, dostawy;
• Obowiązek prawny – m.in. przechowywanie dokumentacji księgowej przez 5 lat;
• Zgoda – marketing bezpośredni (newsletter), którą można w każdej chwili wycofać.

Dane przetwarzane w celu realizacji umowy można przechowywać tak długo, jak to konieczne do jej wykonania i dochodzenia roszczeń (zwykle 2 lata). Dane marketingowe wolno przechowywać wyłącznie do momentu wycofania zgody.

Obowiązki informacyjne i przejrzystości

Artykuły 13 i 14 RODO nakładają szerokie obowiązki informacyjne przy zbieraniu danych lub wcześniej. Oznacza to czytelne komunikaty w procesie zakupowym oraz wyczerpującą politykę prywatności. Należy podać tożsamość i kontakt do administratora, podstawy i cele przetwarzania, okres retencji i prawa osób, których dane dotyczą.

Prawa jednostki i kontrola konsumencka

Poniższy katalog praw przysługuje osobom, których dane dotyczą, a na wnioski należy odpowiadać bez zbędnej zwłoki, najpóźniej w ciągu 1 miesiąca:

• Dostęp – wgląd w dane i informacje o przetwarzaniu;
• Sprostowanie – poprawienie nieprawidłowych lub niekompletnych danych;
• Usunięcie – z wyjątkami wynikającymi z prawa lub roszczeń;
• Ograniczenie – czasowe zawężenie operacji na danych;
• Przenoszenie – otrzymanie danych w formacie zdatnym do odczytu i ich przesłanie;
• Skarga do PUODO – gdy przetwarzanie narusza przepisy.

Bezpieczeństwo danych i zgłaszanie naruszeń

Trzeba wdrożyć adekwatne środki techniczne i organizacyjne proporcjonalne do ryzyka. Praktyczne przykłady obejmują:

• Szyfrowanie – danych w spoczynku i w transmisji (TLS, szyfrowanie baz danych);
• Kontrola dostępu – zasada najmniejszych uprawnień, MFA, rejestrowanie logów;
• Aktualizacje – regularne łatki bezpieczeństwa, zarządzanie podatnościami;
• Kopie zapasowe – testowane procedury odtwarzania i backup offline;
• Monitorowanie i testy – IDS/IPS, testy penetracyjne, oceny ryzyka.

Naruszenia ochrony danych należy zgłaszać do organu nadzorczego bez zbędnej zwłoki, nie później niż w ciągu 72 godzin, chyba że mało prawdopodobne jest ryzyko dla praw i wolności osób. Przy wysokim ryzyku należy również powiadomić osoby, których dane dotyczą.

Bezpieczeństwo produktów i obowiązki platform handlowych

W grudniu 2024 r. zaczęło obowiązywać w całej UE rozporządzenie GPSR, które rozszerzyło obowiązki w zakresie bezpieczeństwa produktów na platformy i marketplace’y, a nie tylko na producentów i importerów.

Wymogi rozporządzenia w sprawie ogólnego bezpieczeństwa produktów (GPSR)

Wszystkie produkty wprowadzane do obrotu muszą być bezpieczne, tj. nie mogą stwarzać więcej niż minimalne ryzyko przy normalnym lub dającym się przewidzieć użyciu. Produkty muszą mieć identyfikatory, instrukcje bezpiecznego użycia, ostrzeżenia i właściwe oznakowanie. Producenci utrzymują dokumentację techniczną z analizą ryzyka i środkami jego ograniczenia.

Dla kategorii objętych przepisami szczególnymi (np. elektronika, zabawki, maszyny) należy spełniać również wymagania sektorowe. Producenci muszą udostępniać dane kontaktowe do zgłaszania zagrożeń. W razie stwierdzenia ryzyka stosuje się procedury wycofania/recall we współpracy ze sprzedawcami i platformami.

Wymogi informacyjne dla sprzedawców internetowych

Sprzedawcy muszą ujawnić wszystkie wymagane informacje bezpieczeństwa przed zakupem, w języku kraju sprzedaży. Dla produktów z identyfikatorami (np. GTIN/EAN) należy je poprawnie prezentować. Zakres odpowiedzialności zależy od roli w łańcuchu dostaw – dlatego trzeba ją jasno oznaczać:

• Producent – wytwarza produkt lub zleca jego produkcję pod własną marką;
• Importer – wprowadza do UE produkt spoza Europejskiego Obszaru Gospodarczego;
• Dystrybutor – udostępnia produkt na rynku UE bez ingerencji w jego właściwości;
• Operator usługi realizacji/fulfilment – przechowuje, pakuje i wysyła w imieniu sprzedawcy.

Gdy brakuje pełnych danych producenta, sprzedawca powinien podjąć rozsądne starania w celu ustalenia wytwórcy (kontakt z pośrednikami, weryfikacja opakowania). Nie można unikać obowiązków przez nieprawdziwe deklarowanie roli. W Polsce za naruszenia GPSR grożą kary od 40 000 do 1 000 000 zł.

Obowiązki platform handlowych

Marketplace’y mają obowiązek aktywnie zarządzać bezpieczeństwem ofert. Kluczowe działania obejmują:

• Weryfikację sprzedawców – sprawdzenie danych i spełnienia wymogów przed dopuszczeniem do sprzedaży;
• Monitoring ofert – wykrywanie produktów niebezpiecznych lub niezgodnych z prawem;
• Szybkie usuwanie – reakcja w 2 dni robocze na zgłoszenia dotyczące niebezpiecznych produktów;
• Rejestry i współpraca – prowadzenie ewidencji incydentów i współdziałanie z organami nadzoru;
• Egzekwowanie zasad – zawieszanie lub wykluczanie sprzedawców uporczywie naruszających przepisy.

Obowiązki podatkowe i zgodność finansowa

Sklepy internetowe działające w Polsce, w tym prowadzące sprzedaż transgraniczną, podlegają obowiązkom w zakresie VAT, podatku dochodowego oraz rozszerzonym obowiązkom raportowym.

Obowiązki w zakresie podatku VAT

Należy ustalić, czy powstaje status podatnika VAT. Polscy sprzedawcy przekraczający 200 000 zł rocznego obrotu rejestrują się do VAT (z wyjątkami). Sprzedaż w UE lub dostawy międzynarodowe mogą wymagać rejestracji niezależnie od progu. Po rejestracji należy naliczać VAT według stawek: zwykle 23 proc., a dla niektórych towarów 8 proc. lub 5 proc. Podatek należny można pomniejszać o VAT naliczony.

Przy sprzedaży do wielu krajów UE pomocna jest procedura OSS (One‑Stop Shop), pozwalająca rozliczać VAT jednym zgłoszeniem zamiast rejestrować się w każdym państwie. Obowiązek podatkowy w VAT często powstaje z chwilą otrzymania płatności/zaliczki, co w e‑commerce jest powszechne przed wysyłką.

Rozliczenie podatku dochodowego

JDG rozlicza się w PIT (skala 12/32 proc., podatek liniowy 19 proc. lub ryczałt), spółki kapitałowe – w CIT. Moment rozpoznania przychodu w PIT/CIT to zwykle dzień wydania towaru/wykonania usługi, co może różnić się od momentu powstania VAT.

Wymagana jest rzetelna ewidencja wszystkich transakcji, ponieważ organy podatkowe szeroko stosują analitykę danych do wykrywania nieprawidłowości.

Obowiązki sprawozdawcze na gruncie DAC7

Od 1 lipca 2024 r. operatorzy platform i marketplace’ów podlegają DAC7 (Dyrektywa Rady (UE) 2021/514). Muszą identyfikować aktywnych sprzedawców i raportować ich dane oraz transakcje do KAS. „Aktywny sprzedawca” to co do zasady podmiot z więcej niż 3 transakcjami lub obrotem powyżej 2 500 EUR rocznie (progi mogą zależeć od rodzaju transakcji).

Zakres danych raportowanych przez platformy obejmuje w szczególności:

• Dane identyfikacyjne – imię i nazwisko/nazwa, adres, kraj rezydencji;
• Numery rejestrowe – NIP, inne identyfikatory podatkowe lub rejestrowe;
• Dane konta – rachunek do wypłat, informacje o beneficjencie;
• Szczegóły transakcji – daty, kwoty, liczba transakcji, prowizje;
• Kategorie sprzedaży – towary, usługi, wynajem nieruchomości itp.

Wymogi księgowe i prowadzenie ewidencji

Sklepy muszą prowadzić ewidencje pozwalające odtworzyć pełną historię transakcji (płatności, daty, przedmiot). Faktury i dokumenty przechowuje się co do zasady 5 lat. Kluczowe jest też raportowanie JPK_VAT dla czynnych podatników VAT. W procedurze OSS deklaracje składa się w Polsce, ale obejmują one sprzedaż do wszystkich krajów UE, co wymaga prawidłowego przyporządkowania stawek według kraju nabywcy.

Obsługa reklamacji i środki ochrony konsumenta

Skuteczna ochrona konsumencka wymaga nie tylko praw materialnych, ale również praktycznych, szybkich mechanizmów ich egzekwowania.

Formalna procedura reklamacyjna i terminy

Reklamację można złożyć na piśmie, także elektronicznie (e‑mail). Powinna zawierać następujące elementy:

• Dane klienta – imię i nazwisko, adres e‑mail/telefon do kontaktu;
• Identyfikatory zakupu – numer zamówienia, numer faktury lub paragonu;
• Opis wady/niezgodności – możliwie precyzyjny, z datą ujawnienia;
• Materiał dowodowy – zdjęcia, nagrania, protokoły (jeśli dostępne);
• Żądanie – naprawa, wymiana, obniżenie ceny lub odstąpienie od umowy.

Sprzedawca ma 14 dni kalendarzowych na odpowiedź. Brak odpowiedzi w terminie oznacza uznanie reklamacji i konieczność spełnienia żądania klienta.

Niezgodność towaru z umową i gwarancja – obowiązki

Prawo rozróżnia niezgodność towaru z umową (obowiązkowa odpowiedzialność sprzedawcy) i gwarancję (dobrowolne zobowiązanie producenta/sprzedawcy). Odpowiedzialność za niezgodność obowiązuje przez 2 lata od dostarczenia; jeśli wada ujawni się w tym okresie, domniemywa się, że istniała w chwili dostawy, chyba że sprzedawca wykaże inaczej. Po naprawie lub wymianie bieg gwarancji rozpoczyna się na nowo, a czas, w którym produkt był niedostępny, wydłuża okres gwarancyjny.

Środki ochrony przy niezgodności i prawa konsumenta

Hierarchia środków ochrony przedstawia się następująco:

• Naprawa – na koszt sprzedawcy, w rozsądnym czasie i bez nadmiernych niedogodności;
• Wymiana – na towar wolny od wad na koszt sprzedawcy;
• Obniżenie ceny – gdy naprawa lub wymiana są niemożliwe lub nadmiernie uciążliwe;
• Odstąpienie od umowy – zwrot pełnej ceny (wraz z kosztami dostawy) w ciągu 14 dni.

Konsument nie ponosi kosztów dochodzenia swoich praw (odbiór, naprawa/wymiana, odesłanie), chyba że niezgodność wynika z niewłaściwego użytkowania.

Odszkodowanie za niezgodność

Poza podstawowymi środkami konsument może dochodzić odszkodowania (np. koszt ekspertyzy, szkody wynikłe z braku funkcjonalności), jeśli wykaże szkodę i związek przyczynowy.

Wymogi DSA i zarządzanie platformami

Akt o usługach cyfrowych (DSA), obowiązujący w UE od lutego 2024 r., obejmuje przejrzystość algorytmów, moderację treści i prawa użytkowników, również w kontekście e‑commerce.

Obowiązki dotyczące platform e‑commerce

Platformy muszą zapewniać przejrzystość co do sprzedawców i produktów, procedury zgłaszania treści/produktów nielegalnych i ich szybkie usuwanie, a także publikować raporty transparentności. W praktyce oznacza to m.in.:

• Mechanizmy zgłoszeń – łatwy formularz do raportowania nielegalnych treści/produktów;
• Terminowe działania – niezwłoczne reakcje (zwykle w ciągu kilku dni) wraz z uzasadnieniem decyzji;
• Weryfikację sprzedawców – KYC/KYB przed dopuszczeniem do sprzedaży;
• Procedury odwoławcze – jasne ścieżki i terminy dla użytkowników;
• Egzekwowanie zasad – sankcje wobec recydywistów (zawieszenie/wykluczenie).