Due diligence prawne GEO: przewodnik dla działów marketingu

W tym artykule znajdziesz kompleksowy poradnik dotyczący bezpiecznego wdrażania rozwiązań GEO w marketingu i e‑commerce zgodnie z RODO oraz rozporządzeniem geoblokującym. Poznasz kluczowe różnice między geolokalizacją a geofencingiem oraz dowiesz się, jak poprawnie skonfigurować banery cookie i politykę prywatności, aby uniknąć wysokich kar administracyjnych. Tekst zawiera gotowe checklisty compliance, które krok po kroku przeprowadzą Cię przez audyt prawny i techniczny Twoich narzędzi analitycznych oraz reklamowych.

Dlaczego due diligence prawne GEO jest kluczowe dla marketingu i e‑commerce

Rozwiązania GEO w marketingu i e‑commerce pozwalają m.in.:

podnosić konwersję dzięki lokalnym ofertom i cenom
optymalizować budżet mediowy (emisja tylko tam, gdzie są klienci)
łączyć online z offline (store traffic, kampanie drive‑to‑store)
budować doświadczenia omnichannel

Ale jednocześnie:

dane lokalizacyjne to często dane osobowe - łącząc lokalizację z identyfikatorem użytkownika, wejściami na konto, historią zakupów, wchodzimy w pełen reżim RODO
większość technik GEO opiera się na cookies / SDK / identyfikatorach reklamowych, a więc podlega dyrektywie ePrivacy (tzw. "cookie law") oraz przepisom o zgodzie
rozporządzenie geoblokujące 2018/302 ogranicza możliwość różnicowania oferty i blokowania dostępu tylko ze względu na lokalizację klienta
UODO i EROD (Europejska Rada Ochrony Danych) zaostrzają podejście do profilowania i reklamy behawioralnej (np. decyzje ws. Meta/Facebook - brak podstawy "kontraktowej" do reklamy behawioralnej)
UOKiK coraz częściej bada dark patterns, manipulacje cenowe oraz dyskryminację konsumentów (w tym powiązaną z lokalizacją)

Z punktu widzenia dyrektora marketingu/e‑commerce stawką jest:

uniknięcie wysokich kar administracyjnych (RODO do 20 mln EUR lub 4% globalnego obrotu; sankcje za naruszenie zakazu geoblokowania)
brak blokad kampanii (np. wymuszonych przez compliance korpo, partnerów mediowych, audyty)
możliwość skalowania GEO bez "gaszenia pożarów" z prawnikami i regulatorami

Ważne

Due diligence prawne GEO to nie "hamulec dla biznesu", ale warunek bezpiecznego skalowania.

Czym są rozwiązania GEO w marketingu i e‑commerce (w pigułce)

Geolokalizacja vs geotargetowanie vs geofencing

Geolokalizacja - ustalenie przybliżonej lub dokładnej lokalizacji użytkownika (np. na podstawie GPS, adresu IP, Wi‑Fi, Bluetooth, danych z aplikacji).
Geotargetowanie - dopasowanie treści (reklamy, oferty, ceny, komunikatu) do lokalizacji użytkownika (np. kampania tylko w promieniu 30 km od sklepu).
Geofencing - wirtualne "ogrodzenie" obszaru (np. centrum handlowe, stadion, konkurencyjny sklep) i wyzwalanie określonych działań, gdy użytkownik wejdzie / opuści ten obszar (np. push, SMS, kupon).
Personalizacja oferty po lokalizacji - różne ceny, promocje, asortyment, warunki dostawy lub komunikaty w zależności od kraju/regionu/miasta.

W praktyce projekty GEO to zwykle kombinacja:

danych z własnych serwisów i aplikacji (first‑party data)
danych z platform reklamowych (Meta, Google, DV360, retail media)
danych partnerów (agencje, dostawcy SDK, platformy DMP/CDP, sieci Wi‑Fi, narzędzia analityczne)

Jakie dane są wykorzystywane i kiedy są danymi osobowymi

Przykładowe dane używane w GEO:

współrzędne GPS lub precyzyjny adres
IP / strefa czasowa / kod pocztowy
identyfikatory urządzenia / identyfikatory reklamowe
ID użytkownika w aplikacji lub sklepie (loginy, maile, numer klienta)
dane kontekstowe - obecność w określonej lokalizacji (np. "był w galerii handlowej X w sobotę")

Kiedy dane lokalizacyjne są danymi osobowymi?

Zgodnie z RODO, danymi osobowymi są informacje, które pośrednio lub bezpośrednio pozwalają zidentyfikować osobę. Dane lokalizacyjne stają się danymi osobowymi, gdy:

można je powiązać z konkretną osobą (np. po zalogowaniu, identyfikatorze w aplikacji)
pozwalają odróżnić daną osobę od innych (np. historia lokalizacji na trasie dom-praca)

W praktyce w marketingu i e‑commerce załóż, że większość użycia GEO = przetwarzanie danych osobowych, chyba że:

dane są agregowane i nie da się ich przypisać do konkretnego użytkownika (np. raport "30% ruchu pochodzi z woj. mazowieckiego")
dane zostały skutecznie zanonimizowane (nie tylko "pseudoanonimizowane").

Główne obszary ryzyka prawnego przy GEO

RODO i dane lokalizacyjne

Kluczowe obowiązki wg RODO:

Podstawa prawna przetwarzania (art. 6 RODO): zgoda (np. na geolokalizację w aplikacji, marketing oparty na lokalizacji), prawnie uzasadniony interes (np. podstawowe dopasowanie treści do kraju, zapobieganie nadużyciom), wykonanie umowy (np. wskazanie najbliższego punktu odbioru przy dostawie, gdy jest to potrzebne do świadczenia usługi)
Minimalizacja danych - nie zbieraj danych dokładniejszych, niż potrzebujesz (np. promień 1 km zamiast konkretnego adresu, jeśli to wystarczy)
Ograniczenie celu - jasno określ, do czego używasz lokalizacji (np. "precyzyjne dopasowanie oferty i kampanii do Twojej lokalizacji")
Ograniczenie retencji - trzymaj dane tak krótko, jak to realnie potrzebne (np. 30-90 dni dla kampanii, dłużej tylko uzasadnione biznesowo i opisane)
Bezpieczeństwo i dostęp - kontroluj, kto i w jakim celu ma dostęp do danych lokalizacyjnych (szczególnie po stronie dostawców narzędzi GEO)

Dane lokalizacyjne mogą też należeć do kategorii podwyższonego ryzyka, gdy:

ujawniają szczegółowe zwyczaje życiowe (miejsce zamieszkania, miejsca kultu, szpitale)
są wykorzystywane do zaawansowanego profilowania (np. segment "częsty bywalec luksusowych butików")

Wtedy warto rozważyć DPIA - ocenę skutków dla ochrony danych (Data Protection Impact Assessment), o czym dalej.

Zgody, profilowanie i marketing bezpośredni

Trzy kluczowe regulacje:

RODO - zgody i podstawy prawne (art. 6, 7, 21 oraz 22 - zautomatyzowane podejmowanie decyzji).
Dyrektywa ePrivacy / prawo telekomunikacyjne / prawo komunikacji elektronicznej - zgoda na cookies, marketing elektroniczny (e‑mail, SMS, push).
Wytyczne UODO/EROD dot. profilowania marketingowego - jasno stwierdzają, że profil marketingowy jest daną osobową i osoba ma prawo się z nim zapoznać.

Co to oznacza praktycznie?

Profilowanie GEO (tworzenie segmentów z użyciem lokalizacji) wymaga:

jasnego opisania w polityce prywatności, że dane są wykorzystywane do profilowania marketingowego
wskazania podstawy prawnej (najczęściej zgoda lub uzasadniony interes; przy reklamie behawioralnej EROD jest coraz bardziej pro‑zgodowy)
umożliwienia sprzeciwu wobec profilowania, przynajmniej w zakresie marketingu bezpośredniego (art. 21 RODO).

Zgoda na cookies / tracking musi być:

wyrażona aktywnie (brak "domyślnego" tak, brak pre‑checked boxes),
granularna (oddzielnie np. dla analityki, marketingu, personalizacji GEO),
łatwo odwoływalna ("tak samo łatwo wycofać, jak wyrazić").

W Polsce UODO zwraca uwagę w rekomendacjach na:

zakaz "przyklejania" zgody na marketing do zgody na świadczenie usługi
konieczność informowania o profilowaniu i prawie do sprzeciwu.

Geoblokowanie i różnicowanie oferty ze względu na lokalizację

Rozporządzenie (UE) 2018/302 w sprawie nieuzasadnionego blokowania geograficznego (tzw. rozporządzenie geoblokujące):

zakazuje dyskryminacji klientów (B2C i części B2B) ze względu na:

przynależność państwową
miejsce zamieszkania
miejsce prowadzenia działalności,

dotyczy m.in.:

odmowy sprzedaży/świadczenia usług klientom z innych krajów UE
automatycznego przekierowywania na lokalną wersję strony bez zgody klienta
stosowania różnych warunków (ceny, płatności) bez obiektywnego uzasadnienia

W praktyce e‑commerce oznacza to, że:

możesz pokazywać różne treści/ceny w zależności od kraju, ale: nie możesz całkowicie odcinać klienta z innego kraju UE od oferty, jeśli możesz ją fizycznie zrealizować na terenie własnego kraju
automatyczne przekierowanie (np. z .pl na .de) wymaga zgody lub co najmniej wyraźnej informacji i opcji powrotu
musisz unikać sytuacji, w których klient z innego państwa członkowskiego nie może złożyć zamówienia tylko dlatego, że ma "zły" adres IP lub adres dostawy, jeśli regulaminowo obsługujesz ten kraj

UOKiK oraz KE analizują m.in. przypadki:

odmiennych cen lub treści bez jasnej informacji o zasadach
blokowania metod płatności dla wybranych krajów bez uzasadnienia

Wymogi informacyjne: regulaminy, polityka prywatności, banery cookie

Kluczowe dokumenty i elementy interfejsu:

Polityka prywatności (RODO) – musi jasno wyjaśniać:

jakie dane lokalizacyjne zbieracie (np. "informacje o przybliżonej lokalizacji na podstawie IP", "precyzyjna lokalizacja GPS z aplikacji")
w jakich celach (np. "dopasowanie oferty i treści marketingowych do lokalizacji", "analiza ruchu klientów w pobliżu sklepów stacjonarnych")
podstawy prawne (zgoda / uzasadniony interes / wykonanie umowy)
retencję danych lokalizacyjnych
informacje o profilowaniu i prawach użytkownika (sprzeciw, dostęp do danych, usunięcie).

Regulamin sklepu / serwisu:

opis zasad dostępności oferty w różnych krajach
informacje o ewentualnych różnicach cen/warunków ze względu na lokalizację
odniesienie do rozporządzenia geoblokującego (równe traktowanie klientów z UE).

Baner cookie / CMP:

jasno wydzielone zgody dot. marketingu i personalizacji
czytelna informacja o użyciu danych lokalizacyjnych (np. "Wykorzystujemy dane o Twojej przybliżonej lokalizacji, aby dopasować ofertę")
łatwa możliwość zmiany decyzji (np. "Ustawienia prywatności")

Due diligence prawne GEO - krok po kroku

Poniższa sekwencja kroków jest zaprojektowana tak, aby dyrektor marketingu/e‑commerce mógł prowadzić projekt GEO ramię w ramię z prawnikiem i IT, unikając typowych pułapek.

Krok 1: Mapowanie scenariuszy biznesowych i przepływu danych

Zacznij od biznesu, nie od narzędzi.

Zdefiniuj scenariusze GEO:

kampanie mediowe (np. Meta, Google Ads, programmatic) z targetowaniem po lokalizacji
personalizacja strony/aplikacji (np. dynamiczne ceny, bannery lokalne)
powiadomienia push/SMS/e‑mail zależne od lokalizacji (np. "jesteś blisko naszego sklepu")
geofencing wokół sklepów, eventów, punktów konkurencji

Dla każdego scenariusza opisz:

jakie dane są zbierane (GPS, IP, ID urządzenia, ID użytkownika)
skąd pochodzą (własne systemy, partnerzy, platformy mediowe)
kto jest administratorem, a kto procesorem (dostawca narzędzia, platforma mediowa)

użytkownik -> serwis/app -> narzędzie GEO / platforma reklamowa -> raportowanie / CDP / DWH

Krok 2: Identyfikacja podstaw prawnych (zgoda, uzasadniony interes itd.)

Dla każdego scenariusza GEO wybierz i uzasadnij:

Czy przetwarzasz dane osobowe? Jeśli tak - działasz w reżimie RODO.
Jaką masz podstawę prawną? Zgoda - gdy GEO służy głównie marketingowi/profilowaniu, nie jest niezbędne do świadczenia usługi (np. personalizacja reklam w oparciu o historię lokalizacji). Prawnie uzasadniony interes - gdy: dopasowujesz podstawowe treści (np. język, waluta, dostępne formy dostawy dla danego kraju), prowadzisz podstawową analitykę GEO w ujęciu zanonimizowanym/agregowanym, zapobiegasz nadużyciom (np. fraud detection). Wykonanie umowy - gdy lokalizacja jest konieczna do: wyszukania najbliższego punktu odbioru, obliczenia kosztu dostawy, jeśli to element oferty.

Związek z ePrivacy / cookies: jeśli GEO wymaga cookie/SDK/ID reklamowego → potrzebna zgoda cookie zanim uruchomisz tracking.

Przy reklamie behawioralnej (szczególnie cross‑site, na podstawie historii lokalizacji) praktyka EROD i decyzje ws. Meta pokazują, że uzasadniony interes jest ryzykowną podstawą. Warto rozważyć wyraźną zgodę marketingową i cookie.

Krok 3: Analiza DPIA / ocena ryzyka

DPIA (ocena skutków dla ochrony danych – art. 35 RODO) jest wymagana, gdy:

występuje systematyczne, na dużą skalę monitorowanie zachowania osób, m.in. poprzez dane lokalizacyjne
używasz innowacyjnych rozwiązań z wysokim ryzykiem dla prywatności (np. precyzyjny tracking ruchu w sklepach, łączenie danych offline/online)

W praktyce projekty GEO typu:

geofencing wokół wielu punktów handlowych z danymi identyfikowalnymi
długoterminowe śledzenie lokalizacji użytkowników aplikacji
zwykle wymagają przynajmniej uproszczonej DPIA

W DPIA oceniasz:

jakie ryzyka niesie dany projekt (np. nieuprawnione ujawnienie danych lokalizacyjnych, nadmierne profilowanie)
jakie środki minimalizują ryzyko: ograniczenie dokładności lokalizacji, skrócenie retencji, pseudonimizacja/anonimizacja, ograniczenie dostępów

Krok 4: Umowy z dostawcami technologii GEO (powierzenia, joint controllership)

Każde narzędzie GEO / platforma mediowa / dostawca SDK to potencjalne przekazanie danych osobowych. Należy ustalić:

czy dostawca działa jako: procesor (przetwarzający dane w Twoim imieniu), współadministrator (joint controller - wspólnie decydujecie o celach i sposobach przetwarzania), samodzielny administrator (np. duże platformy reklamowe).
czy dane trafiają poza EOG (np. do USA) - jeśli tak, jakie mechanizmy transferu stosuje dostawca (np. nowe ramy transatlantyckie, SCC).

W umowach / dodatkach RODO zwróć uwagę na:

precyzyjne opisanie celów i kategorii danych (w tym lokalizacyjnych)
zakaz wykorzystywania danych do własnych celów dostawcy (poza tym, co zaakceptowaliście)
zasady podwykonawców (sub‑procesorów)
obowiązki związane z incydentami (data breach).

Krok 5: Projekt zmian w regulaminach, politykach prywatności, komunikatach

Na tym etapie masz już mapę danych i scenariuszy, podstawy prawne, wnioski z DPIA (opcjonalnie) oraz wymagania co do umów z dostawcami. Teraz:

Polityka prywatności:

dodaj osobną sekcję o danych lokalizacyjnych i GEO
opisz typy wykorzystywanych danych, cele, podstawy prawne, okres przechowywania
wskaż, komu dane są przekazywane (platformy reklamowe, dostawcy technologii GEO)
opisz profilowanie GEO i prawa użytkownika.

Regulamin / warunki korzystania:

doprecyzuj zasady dostępności oferty w różnych krajach
wyjaśnij, czy i jak lokalizacja wpływa na prezentowane ceny, asortyment, promocje.

Komunikaty w aplikacji/serwisie:

pop‑upy o geolokalizacji ("Pozwól nam wykorzystać Twoją lokalizację w celu…")
komunikaty przy geofencingu (przy pierwszym włączeniu tej funkcji).

Krok 6: Konfiguracja narzędzi i testy zgodności (w tym logika zgód)

Tu często pojawia się największy rozdźwięk między prawem a praktyką. Checklist techniczno‑produktowa:

skonfiguruj CMP / baner cookie tak, aby: nie odpalał trackingów GEO i marketingowych przed zgodą, umożliwiał łatwe wycofanie zgody, odzwierciedlał rzeczywiste kategorie (analityka, marketing, GEO)
przetestuj ścieżki użytkownika: użytkownik bez zgód – co widzi? czy na pewno nie jest geotargetowany w sposób wymagający zgody? użytkownik wycofał zgodę – czy tracking GEO się zatrzymał?
sprawdź logikę integracji: czy ID użytkownika, dane lokalizacyjne i zgody są spójnie przekazywane między systemami (np. CMP → CDP → platforma reklamowa), czy nie ma „shadow trackingu” (np. starych skryptów, które nadal wysyłają dane)

Krok 7: Szkolenia zespołów i procedury na incydenty

Ostatni krok, często pomijany:

przeszkol: zespół marketingu i e‑commerce (jakie są ograniczenia GEO, co wolno, czego nie), product ownerów, IT, analityków (jak wygląda zgodna z prawem konfiguracja narzędzi), customer service (jak reagować na pytania użytkowników dot. lokalizacji i profilowania).
opracuj procedury na incydenty: co robimy, gdy wyjdzie na jaw, że jakiś scenariusz GEO działał bez właściwych zgód, jak szybko dezaktywujemy kampanię, informujemy DPO, raportujemy do UODO (jeśli trzeba).

Praktyczna checklista compliance dla dyrektorów marketingu i e‑commerce

Poniższa checklista jest zaprojektowana tak, aby można ją było dosłownie odhaczać przy projekcie GEO. Podzielona jest na 3 bloki: organizacyjny, prawny, techniczny.

5.1. Checklista organizacyjna

Mam opisane scenariusze GEO (kampanie, personalizacja, geofencing, komunikacja 1:1).
Mam mapę przepływu danych (skąd dane przychodzą, gdzie są przechowywane, komu przekazywane).
Wiem, kto w organizacji jest: właścicielem biznesowym projektu GEO (marketing/e‑commerce), właścicielem prawnym (DPO / dział prawny), właścicielem technicznym (IT, product owner).
Projekt GEO jest wpisany w rejestr czynności przetwarzania (RODO).
Zespół marketingu i e‑commerce przeszedł krótkie szkolenie z zasad GEO i prywatności.
Mamy zdefiniowany proces zgłaszania zmian w projektach GEO do DPO/prawnika (np. nowe use case’y).

5.2. Checklista prawna (podstawy prawne, dokumentacja)

Dla każdego scenariusza GEO ustaliliśmy, czy przetwarzamy dane osobowe.
Dla każdego scenariusza GEO określiliśmy podstawę prawną (zgoda / uzasadniony interes / umowa) i mamy krótkie uzasadnienie.
Sprawdziliśmy, czy projekt wymaga DPIA; jeśli tak - DPIA jest przygotowana i zatwierdzona.
Zaktualizowaliśmy politykę prywatności: dodany opis danych lokalizacyjnych, cele i podstawy przetwarzania GEO, informacje o profilowaniu GEO i prawach użytkownika, lista odbiorców / kategorii odbiorców (w tym dostawcy GEO, platformy reklamowe).
Zaktualizowaliśmy regulamin w zakresie: zasad dostępności oferty w różnych krajach, ewentualnych różnic w warunkach (np. dostawa, płatności) oraz ich uzasadnienia.
Zweryfikowaliśmy zgody marketingowe i cookie: formularze zgód jasno rozdzielają zgody na różne kanały (e‑mail, SMS, push, telefon) i profilowanie GEO, zgody nie są "wymuszone" jako warunek korzystania z usługi, jeżeli nie jest to konieczne.
Zawieramy / zaktualizowaliśmy umowy powierzenia danych i/lub umowy współadministrowania: z dostawcami narzędzi GEO (SDK, geofencing), z agencjami mediowymi, platformami analitycznymi.
Sprawdziliśmy transfery danych poza EOG i mamy właściwe mechanizmy (np. SCC).

5.3. Checklista techniczna (ustawienia narzędzi, retencja, dostęp)

Nasz CMP / baner cookie: nie uruchamia GEO‑trackingów marketingowych bez zgody, ma wyodrębnioną kategorię zgód dla marketingu/profilowania GEO (lub jest jasno opisane w istniejących kategoriach), umożliwia łatwe odwołanie zgody.
W aplikacjach mobilnych: prosimy o dostęp do lokalizacji w momencie potrzeby (just‑in‑time), a nie tylko przy pierwszym uruchomieniu, komunikaty jasno wyjaśniają, po co potrzebna jest lokalizacja.
Ustawiliśmy retencję danych lokalizacyjnych: dane dla kampanii GEO są przechowywane tylko tak długo, jak to uzasadnione (np. 30–180 dni, w zależności od scenariusza), po zakończeniu kampanii dane są usuwane lub anonimizowane.
Mamy kontrolę dostępów: dostęp do surowych danych lokalizacyjnych mają tylko wybrane role (np. analityka, DPO), raporty dla biznesu są w miarę możliwości zagregowane (np. poziom miasta/województwa, nie pojedyncze punkty GPS).
Przeprowadziliśmy testy A/B lub testy QA: scenariusz użytkownika bez zgód – brak nieuprawnionego GEO‑profilowania, scenariusz wycofania zgody - natychmiastowe zatrzymanie trackingu GEO.
Monitorujemy logi / audyty: mamy możliwość prześledzenia, czy zgody były poprawnie zastosowane, potrafimy odpowiedzieć użytkownikowi na żądanie dostępu do danych (również do profilu GEO).

Najczęstsze błędy przy wdrażaniu GEO i jak ich uniknąć

Błąd 1: „Skoro wszyscy tak robią, to na pewno jest zgodne z prawem”

Wiele praktyk GEO w dużych platformach reklamowych znajduje się na granicy aktualnego podejścia EROD i organów. Przykładem są decyzje dot. reklamy behawioralnej Meta - przez lata stosowano podejście, które ostatecznie zostało zakwestionowane.

Jak uniknąć: nie kopiuj ślepo praktyk "rynku", opieraj się na lokalnych wytycznych UODO, ogólnych wytycznych EROD oraz własnej ocenie ryzyka (DPIA).

Błąd 2: Brak spójności między podstawą prawną a praktyką

Przykład: w polityce prywatności mówisz, że opierasz GEO na uzasadnionym interesie, ale w praktyce intensywnie profilujesz użytkowników, łączysz precyzyjne dane lokalizacyjne z wieloma innymi źródłami danych i targetujesz reklamy o wysokiej inwazyjności.

Jak uniknąć: jeżeli GEO ma charakter silnie marketingowy i profilujący, rozważ wyraźną zgodę (cookie + marketing). Nie stosuj uzasadnionego interesu jako "domyślnej" podstawy dla wszystkiego.

Błąd 3: Ukrywanie rzeczywistego wykorzystania GEO w polityce prywatności

Częsty pattern: w polityce ogólne zdanie "możemy wykorzystywać Twoją lokalizację do poprawy usług", a faktycznie stosowane: geofencing wokół konkurencji, personalizacja cen, zaawansowane segmenty oparte na historii lokalizacji.

Jak uniknąć: opisz konkretne kategorie celów (np. "lokalne oferty promocyjne", "analiza ruchu klientów wokół sklepów"), unikaj "catch‑all" klauzul, które nic nie mówią użytkownikowi.

Błąd 4: Brak koordynacji między marketingiem, prawnikami i IT

Skutek: marketing konfiguruje kampanię/SDK, prawnicy aktualizują dokumenty, ale nie widzą realnej konfiguracji, IT wdraża skrypty bez pełnej informacji o podstawach prawnych.

Jak uniknąć: w projekt GEO wpisz obowiązkowo: review prawny (DPO), przegląd architektury technicznej oraz wspólne testy z udziałem właściciela biznesowego i DPO.

Błąd 5: Geoblokowanie "dla wygody" bez analizy przepisów

Przykłady: blokowanie możliwości zakupu dla klientów z innych krajów UE bez podstawy (tylko ze względu na adres IP), automatyczne przekierowanie z wersji .com na .pl bez opcji powrotu.

Jak uniknąć: przeanalizuj rozporządzenie 2018/302 i własny model logistyczny. Jeżeli nie chcesz sprzedawać do pewnych krajów: ureguluj to w regulaminie (ograniczenia terytorialne oferty), nie blokuj całkowicie dostępu do strony; raczej informuj, że nie obsługujesz dostaw do tego kraju.

FAQ: najczęstsze pytania zarządów i dyrektorów marketingu o GEO a prawo

1. Czy każda forma geotargetowania wymaga zgody użytkownika?

Nie. Zgoda jest wymagana przede wszystkim wtedy, gdy:

używasz technologii objętych dyrektywą ePrivacy (cookies, SDK, identyfikatory reklamowe) do celów marketingowych lub profilowania
GEO nie jest niezbędne do świadczenia usługi i ma charakter "dodatkowy" (np. spersonalizowane reklamy po historii lokalizacji)

Natomiast podstawowe dopasowanie treści do kraju (język, waluta, lista dostępnych metod dostawy) może być oparte na uzasadnionym interesie lub wykonaniu umowy, o ile jest proporcjonalne i odpowiednio opisane.

2. Czy możemy różnicować ceny w zależności od lokalizacji klienta?

Co do zasady różnicowanie cen jest możliwe, ale:

musi być transparentne (klient wie, dlaczego widzi taką cenę)
nie może prowadzić do nieuzasadnionej dyskryminacji klientów z innych krajów UE sprzecznej z rozporządzeniem geoblokującym
nie może wprowadzać w błąd (UOKiK może uznać to za nieuczciwą praktykę rynkową).

Bezpieczniejsze podejście: różnicować ofertę i ceny między krajami na podstawie realnych różnic w kosztach (logistyka, podatki) oraz strategii rynkowej, a także jasno komunikować zasady w regulaminie i FAQ.

3. Czy geofencing wokół sklepów konkurencji jest legalny?

Sam geofencing jako technika techniczna nie jest zakazany. O jego legalności decyduje:

kontekst: jakie dane zbierasz (precyzyjne / przybliżone), jak długo przechowujesz dane, czy łączysz je z innymi danymi (profilowanie)
podstawa prawna (zgoda vs uzasadniony interes)
spełnienie obowiązków informacyjnych i praw użytkownika (sprzeciw, dostęp do profilu)

W praktyce geofencing z precyzyjnym trackingiem historii lokalizacji i targetowaniem 1:1 raczej będzie wymagał zgody i dokładnej DPIA.

4. Czy musimy wykonywać DPIA dla każdego projektu GEO?

Nie dla każdego, ale jeżeli projekt wiąże się z systematycznym, szeroko zakrojonym monitorowaniem lokalizacji osób fizycznych, DPIA jest mocno rekomendowana, często obowiązkowa. Proste scenariusze (np. prezentacja listy sklepów na podstawie kodu pocztowego podanego przez użytkownika jednorazowo) raczej nie wymagają formalnej DPIA.

5. Czy planowane rozporządzenie ePrivacy coś zmieni w najbliższych latach?

Projekt rozporządzenia ePrivacy jest dyskutowany od lat. Według aktualnych analiz:

regulacja nie weszła jeszcze w życie, a jej ostateczny kształt i data wejścia w życie wciąż są niepewne
prawdopodobnie zaostrzy zasady dotyczące cookies i podobnych technologii, w tym śledzenia lokalizacji

Im bardziej opierasz się już teraz na jasnych, dobrowolnych zgodach i przejrzystości, tym mniej będziesz musiał zmieniać później.

6. Czy rozwiązania GEO mogą być stosowane wobec dzieci?

To obszar podwyższonego ryzyka:

dzieci są traktowane jako grupa szczególnie chroniona w RODO i wytycznych EROD
profilowanie marketingowe wobec dzieci jest wysoce wrażliwe - łatwo o zarzut wykorzystania ich podatności

Rekomendacja: rozważ całkowite wyłączenie zaawansowanego GEO marketingowego dla dzieci.

Podsumowanie i rekomendacje dalszych kroków

Rozwiązania GEO są dziś jednym z filarów nowoczesnego marketingu i e‑commerce. Jednocześnie to obszar, w którym ryzyka prawne i reputacyjne mogą bardzo szybko zniwelować efekty biznesowe. Z perspektywy dyrektora marketingu/e‑commerce kluczowe jest:

Traktować GEO jako projekt cross‑function - marketing + prawo (DPO) + IT/produkt.
Od początku projektować zgodność ("privacy by design"): określić scenariusze, dobrać podstawy prawne, zaplanować minimalizację danych i retencję.
Zbudować własną, powtarzalną check‑listę GEO i włączyć ją do procesu briefowania kampanii oraz wdrażania nowych narzędzi (MarTech).
Regularnie przeglądać projekty GEO przy zmianach narzędzi lub nowych wytycznych organów.

Rekomendacja

Marka [TU UZUPEŁNIJ MARKĘ KLIENTA] rekomenduje, aby każdy większy projekt GEO w organizacji przechodził mini‑audyt due diligence prawnego na etapie pomysłu (concept), pilotażu i skalowania (roll‑out).

Źródła

Ogólne rozporządzenie o ochronie danych (RODO), Rozporządzenie (UE) 2016/679

Cookies, the GDPR, and the ePrivacy Directive – GDPR.eu (przegląd zasad cookies i ePrivacy)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/302 w sprawie nieuzasadnionego blokowania geograficznego
EDPB / EROD – Guidelines, Recommendations, Best Practices
UOKiK – „Wielkie wymiatane złych praktyk w e‑commerce”
UODO – Rekomendacja dot. profilowania
Fundacja Panoptykon / UODO – decyzja UODO: „Profil marketingowy to dane osobowe…”
PARP / EEN – „O zakazie geoblokowania. Część I”
Cookiebot – „The ePrivacy Directive And The Future of EU Data Privacy”

Udostępnij:

Przeczytaj inne artykuły o AI

eCommerce

23 października 2025

Jak sprawić, żeby AI mówiło o Twoim sklepie?

Dowiedz się, co zrobić, by modele AI (jak ChatGPT czy Gemini) rekomendowały Twój sklep i produkty. Poznaj kluczowe strategie strukturyzacji treści oraz sposoby wykorzystania platformy Semly do zdobycia darmowego ruchu, który konwertuje nawet dwukrotnie lepiej! Przedstawiamy Ci przewodnik po Generative Engine Optimization (GEO).

Semly