§ Strona internetowa i techniczne SEO

Strona kancelarii a RODO, SSL i bezpieczeństwo

Strona kancelarii musi mieć certyfikat SSL i spełniać RODO - to wymóg prawny, nie dodatek. Wyjaśniam, jak zabezpieczyć formularz i politykę prywatności.

Czy strona kancelarii musi spełniać wymogi RODO, SSL i bezpieczeństwa? #

Strona kancelarii musi mieć certyfikat SSL, realizować obowiązki wynikające z RODO i być zabezpieczona technicznie - to nie kosmetyka, lecz wymóg prawny i warunek zaufania klienta. Kancelaria jest administratorem danych w rozumieniu rozporządzenia 2016/679 (RODO), stosowanego od 25 maja 2018 roku, a dane osób, które piszą przez formularz, chroni dodatkowo tajemnica adwokacka lub radcowska.

Wyjaśniam to prostym językiem, bo w praktyce łączą się tu trzy odrębne obowiązki: szyfrowanie połączenia (SSL/TLS), zgodność przetwarzania danych z RODO oraz techniczne zabezpieczenie samej witryny przed włamaniem. Jako że sam buduję i utrzymuję strony kancelarii, traktuję je jak jeden pakiet, a nie osobne dodatki. Poniżej rozkładam każdy z nich na czynniki pierwsze.

Czy strona firmowa musi mieć certyfikat SSL? #

Certyfikat SSL jest dziś praktycznym obowiązkiem każdej strony firmowej, a dla kancelarii wręcz koniecznością. Bez niego przeglądarka Chrome oznacza witrynę jako "Niezabezpieczona", a dane z formularza kontaktowego lecą przez sieć otwartym tekstem. SSL/TLS szyfruje połączenie między przeglądarką klienta a serwerem, co jest elementem "odpowiednich środków technicznych" wymaganych przez art. 32 RODO.

Formalnie żadna ustawa nie mówi wprost "musisz mieć SSL", ale brak szyfrowania na stronie, która zbiera dane osobowe (imię, telefon, opis sprawy), to naruszenie zasady integralności i poufności z art. 5 ust. 1 lit. f RODO oraz obowiązku zapewnienia bezpieczeństwa przetwarzania. Do tego dochodzą skutki biznesowe:

  • Zaufanie: klient szukający adwokata, który widzi ostrzeżenie "Niezabezpieczona", po prostu zamyka kartę.
  • SEO: Google od lat traktuje HTTPS jako sygnał rankingowy i preferuje strony szyfrowane.
  • Konwersja: na stronie bez kłódki formularze wypełnia się znacznie rzadziej.

Dobra wiadomość: podstawowy certyfikat (np. Let's Encrypt) jest darmowy i przy porządnym hostingu włącza się w kilka minut. W stronach, które prowadzę, SSL oraz wymuszone przekierowanie z HTTP na HTTPS jest standardem wliczonym w usługę, nie płatnym dodatkiem. Więcej o samych kosztach witryny piszę w artykule ile kosztuje strona internetowa dla kancelarii.

Czy strona internetowa kancelarii musi być zgodna z RODO? #

Tak, strona internetowa kancelarii musi być zgodna z RODO, bo zbiera dane osobowe co najmniej przez formularz kontaktowy, e-mail i pliki cookies. Kancelaria występuje jako administrator danych w rozumieniu rozporządzenia 2016/679 oraz krajowej ustawy o ochronie danych osobowych z 10 maja 2018 roku, a nad przestrzeganiem przepisów czuwa Prezes UODO.

Dla prawnika stawka jest wyższa niż dla zwykłej firmy z dwóch powodów. Po pierwsze, dane, które trafiają w opisie sprawy (rozwód, spadek, sprawa karna), to często dane wrażliwe, wymagające szczególnej ostrożności. Po drugie, wszystko, co powierzy klient, jest objęte tajemnicą zawodową (Prawo o adwokaturze lub ustawa o radcach prawnych), więc wyciek to nie tylko kara z RODO, ale i potencjalna odpowiedzialność dyscyplinarna.

Minimalny zestaw zgodności dla strony kancelarii wygląda tak:

ElementPodstawaCo musi być
Klauzula informacyjnaart. 13 RODOKto jest administratorem, cel i podstawa przetwarzania, prawa osoby
Polityka prywatnościart. 13 RODOPełny opis przetwarzania, cookies, odbiorcy, okres przechowywania
Formularz kontaktowyart. 6 i 13 RODOPodstawa przetwarzania i informacja przy zbieraniu danych
Banner cookiesart. 361 PKE + RODOZgoda na cookies inne niż niezbędne
Bezpieczeństwoart. 32 RODOSSL, aktualizacje, kopie zapasowe, kontrola dostępu

Uwaga na podstawę prawną baneru cookies: od 10 listopada 2024 roku zgodę na pliki cookie regulują przepisy ustawy Prawo komunikacji elektronicznej (PKE), która zastąpiła uchylone Prawo telekomunikacyjne. Podstawą jest art. 361 PKE, dawniej art. 173 Prawa telekomunikacyjnego. W praktyce zasada się nie zmienia: na cookies inne niż niezbędne, np. analityczne i marketingowe, potrzebujesz wcześniejszej i świadomej zgody użytkownika.

Za brak zgodności grożą kary administracyjne, które w skrajnych przypadkach sięgają 20 mln euro lub 4% rocznego obrotu (art. 83 RODO). W praktyce dla małej kancelarii realnym ryzykiem jest raczej skarga niezadowolonego klienta do UODO niż maksymalna kara, ale samego postępowania i tak lepiej uniknąć.

Co powinna zawierać polityka prywatności na stronie kancelarii? #

Polityka prywatności na stronie kancelarii powinna zawierać komplet informacji z art. 13 RODO: tożsamość administratora, cele i podstawy prawne przetwarzania, kategorie danych, odbiorców, okres przechowywania oraz prawa osoby. To dokument, który tłumaczy odwiedzającemu, co dzieje się z jego danymi, gdy pisze przez formularz albo przegląda stronę.

Konkretnie, w polityce prywatności kancelarii powinny znaleźć się:

  • Administrator danych - pełna nazwa kancelarii, adres, NIP i dane kontaktowe (e-mail).
  • Cele i podstawy przetwarzania - np. odpowiedź na zapytanie z formularza (podstawa: art. 6 ust. 1 lit. b lub f RODO).
  • Okres przechowywania - jak długo trzymasz dane z zapytania, jeśli sprawa nie doszła do skutku.
  • Odbiorcy danych - np. dostawca hostingu, systemu pocztowego, narzędzi analitycznych.
  • Prawa osoby - dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw oraz prawo skargi do Prezesa UODO.
  • Pliki cookies - jakie i po co, wraz z informacją o narzędziach typu Google Analytics.

Ważne: nie kopiuj cudzej polityki 1:1. Ma odzwierciedlać to, co realnie dzieje się na Twojej stronie i w Twojej kancelarii. Sam szablon techniczny mogę przygotować, ale ostateczną treść klauzul zawsze warto dopasować do konkretnych procesów w kancelarii, i to akurat prawnik oceni najlepiej.

Jak zrobić formularz kontaktowy zgodny z RODO na stronie kancelarii? #

Formularz kontaktowy zgodny z RODO robi się przez trzy elementy: minimum pól, klauzulę informacyjną z art. 13 RODO tuż przy formularzu oraz bezpieczne, szyfrowane przesyłanie i przechowywanie danych. Zgodnie ze stanowiskiem UODO, przy zbieraniu danych bezpośrednio od osoby obowiązek informacyjny trzeba spełnić najpóźniej w chwili ich pozyskania.

Praktyczna checklista formularza dla kancelarii:

  1. Zbieraj tylko to, co potrzebne - imię, sposób kontaktu i treść zapytania wystarczą. Zasada minimalizacji danych mówi, żeby nie pytać o więcej "na zapas".
  2. Umieść klauzulę pod formularzem - krótka informacja, kto jest administratorem i w jakim celu przetwarza dane, z linkiem do pełnej polityki prywatności (tzw. warstwowy obowiązek informacyjny).
  3. Nie wymuszaj zbędnej zgody marketingowej - jeśli formularz służy tylko odpowiedzi na zapytanie, podstawą jest wykonanie żądania osoby, a nie osobna zgoda. Zgodę (checkbox) dodajesz tylko tam, gdzie naprawdę jej potrzebujesz, np. newsletter.
  4. Szyfruj i zabezpiecz - formularz działa po HTTPS, a wiadomości trafiają na skrzynkę objętą kontrolą dostępu, nie do przypadkowej bazy pluginu bez ochrony.
  5. Dodaj zabezpieczenie antyspamowe - to chroni skrzynkę i ogranicza ryzyko, że w formularzu wylądują dane osób trzecich.

Formularz to jednocześnie najważniejszy punkt konwersji na stronie kancelarii, więc jego budowa to temat na styku RODO i sprzedaży. Jak układać go tak, żeby realnie zamieniał odwiedzających w klientów, opisuję w artykule o tym, ile kosztuje lead prawniczy i jak zwiększyć konwersję.

Jak zabezpieczyć stronę www przed atakami hakerskimi? #

Stronę www zabezpiecza się warstwowo: aktualne oprogramowanie, silne hasła z uwierzytelnianiem dwuskładnikowym, regularne kopie zapasowe, certyfikat SSL, firewall aplikacyjny (WAF) i ograniczony dostęp do panelu. Dla kancelarii to nie nadgorliwość, lecz realizacja art. 32 RODO, który nakazuje wdrożyć środki techniczne odpowiadające ryzyku naruszenia danych.

Najczęstsze wektory ataku na małe strony to nieaktualne wtyczki, słabe hasła i automaty skanujące internet w poszukiwaniu znanych luk. Dlatego priorytety wyglądają tak:

  • Aktualizacje - system, motyw i wtyczki na bieżąco; nieaktualny komponent to otwarte drzwi.
  • Kopie zapasowe - automatyczny, codzienny backup trzymany poza serwerem, żeby po włamaniu dało się szybko odtworzyć witrynę.
  • Silne hasła i 2FA - zwłaszcza na koncie administratora; to najtańsze zabezpieczenie, jakie istnieje.
  • Ograniczenie dostępu - limit prób logowania, zmiana domyślnego adresu panelu, dostęp tylko dla osób, które go potrzebują.
  • Monitoring i firewall - WAF odsiewa złośliwy ruch, a monitoring wykrywa podejrzane zmiany w plikach.

W stronach, które utrzymuję, aktualizacje, backupy i podstawowy monitoring są częścią obsługi, bo bezpieczeństwo witryny prawnika to nie jednorazowe ustawienie, tylko proces. Warto też pamiętać, że wyciek danych objętych tajemnicą zawodową rodzi obowiązek zgłoszenia naruszenia do UODO (co do zasady w ciągu 72 godzin) i może oznaczać dodatkową odpowiedzialność dyscyplinarną.

Czy WordPress jest bezpieczny dla strony kancelarii? #

WordPress jest bezpieczny dla strony kancelarii pod jednym warunkiem: jest na bieżąco aktualizowany, ma ograniczoną liczbę zaufanych wtyczek i porządną konfigurację. Sam silnik WordPress jest solidny, a większość włamań wynika nie z jego dziury, lecz z nieaktualnych wtyczek, słabych haseł i braku opieki technicznej.

WordPress napędza ogromną część stron w internecie, co ma dwie strony medalu. Zaleta to dojrzały ekosystem, szybkie łatki i łatwość znalezienia wykonawcy. Wada to fakt, że popularność czyni go celem masowych, automatycznych ataków. Dla kancelarii oznacza to konkretny wniosek: WordPress jest w porządku, ale tylko z opieką, a nie postawiony i porzucony.

Bezpieczny WordPress dla kancelarii to:

  • minimum wtyczek, wyłącznie z zaufanych, aktualizowanych źródeł;
  • automatyczne aktualizacje bezpieczeństwa i regularny przegląd;
  • 2FA na koncie administratora i limit prób logowania;
  • wtyczka bezpieczeństwa lub WAF plus stały backup;
  • hosting z dobrą reputacją i wsparciem technicznym.

Alternatywą jest strona na lekkim, dedykowanym rozwiązaniu bez ciężkiego CMS-u, która ma mniejszą "powierzchnię ataku". Dla wielu małych kancelarii to sensowny wybór: mniej ruchomych części, mniej rzeczy do aktualizowania, szybsze ładowanie. Co lepsze w konkretnym przypadku, zależy od potrzeb, i o tym rozstrzygam indywidualnie przy wycenie.

Najczęściej zadawane pytania #

Czy strona firmowa musi mieć certyfikat SSL? #

Certyfikat SSL jest dziś praktycznym obowiązkiem każdej strony firmowej, a dla kancelarii koniecznością. Bez niego Chrome oznacza witrynę jako "Niezabezpieczona", a dane z formularza lecą otwartym tekstem. Szyfrowanie to element środków technicznych z art. 32 RODO, a jednocześnie sygnał rankingowy Google. Podstawowy certyfikat (Let's Encrypt) jest darmowy.

Jak zabezpieczyć stronę www przed atakami hakerskimi? #

Stronę zabezpiecza się warstwowo: aktualne oprogramowanie, silne hasła z uwierzytelnianiem dwuskładnikowym, regularne kopie zapasowe poza serwerem, certyfikat SSL, firewall aplikacyjny i ograniczony dostęp do panelu. Dla kancelarii to realizacja art. 32 RODO. Większość ataków to automaty szukające nieaktualnych wtyczek i słabych haseł, więc aktualizacje i backup są najważniejsze.

Czy WordPress jest bezpieczny dla strony kancelarii? #

WordPress jest bezpieczny pod warunkiem stałej opieki: aktualizacji, minimum zaufanych wtyczek i porządnej konfiguracji. Sam silnik jest solidny, a większość włamań wynika z nieaktualnych wtyczek, słabych haseł i braku obsługi technicznej. Jego popularność czyni go celem masowych ataków, dlatego WordPress dla kancelarii wymaga 2FA, backupu i firewalla, a nie postawienia i porzucenia.

Czy strona internetowa musi być zgodna z RODO? #

Tak, strona kancelarii musi być zgodna z RODO, bo zbiera dane osobowe przez formularz, e-mail i cookies. Kancelaria jest administratorem danych w rozumieniu rozporządzenia 2016/679 oraz ustawy o ochronie danych osobowych z 10 maja 2018 roku. Dane w opisie sprawy bywają wrażliwe i objęte tajemnicą zawodową, więc wymogów nie da się pominąć.

Co powinna zawierać polityka prywatności na stronie kancelarii? #

Polityka prywatności powinna zawierać komplet informacji z art. 13 RODO: tożsamość administratora i dane kontaktowe, cele i podstawy prawne przetwarzania, kategorie i odbiorców danych, okres przechowywania, informację o cookies oraz prawa osoby (dostęp, sprostowanie, usunięcie, sprzeciw i skarga do Prezesa UODO). Musi odzwierciedlać realne procesy w kancelarii, a nie być skopiowana.

Jak zrobić formularz kontaktowy zgodny z RODO na stronie kancelarii? #

Formularz zgodny z RODO ma minimum pól, klauzulę informacyjną z art. 13 RODO tuż pod nim oraz bezpieczne, szyfrowane przesyłanie danych po HTTPS. Zbieraj tylko dane potrzebne do odpowiedzi na zapytanie, nie wymuszaj zbędnej zgody marketingowej i dodaj zabezpieczenie antyspamowe. Obowiązek informacyjny spełniasz najpóźniej w chwili pozyskania danych.

Norbert Majewski

Potrzebujesz pomocy?

Skonsultuj swoje SEO ze specjalistą.

Bezpłatna konsultacja

✓ Bez zobowiązań   ✓ Odpowiedź zwykle w godzinę   ✓ 100% poufne