prawo w e-commerce

Prawo w e-commerce w 2026 roku – kompletny przewodnik po nowych regulacjach

Talem
19 min.

Najważniejsze informacje w artykule:

  • Dyrektywa 2023/2673 to regulacja nakładająca obowiązek zapewnienia konsumentom przejrzystego i łatwego procesu odstąpienia od umowy. Sklepy internetowe muszą wprowadzić widoczny przycisk „Odstąpienie od umowy" bezpośrednio w interfejsie, wdrożyć automatyczne potwierdzenie przyjęcia wniosku o zwrot oraz zaktualizować regulamin i politykę zwrotów. Kluczowe jest również wyeliminowanie dark patterns – manipulacyjnych praktyk projektowych – zarówno w procesie zakupowym, jak i zwrotowym. Termin implementacji upływa 19 czerwca 2026 roku.
  • DSA (Digital Services Act) to akt prawny egzekwowany od 2024 roku, z pełnym zakresem obowiązków obowiązującym od 2026 roku. Stanowi o konieczności zapewnienia pełnej transparentności działalności handlowej online. Sprzedawcy muszą zamieścić kompletne dane identyfikacyjne firmy widoczne na stronie internetowej, utrzymywać aktualne dane w systemach weryfikacyjnych platform marketplace oraz opracować procedurę współpracy z platformą w przypadku zgłoszeń dotyczących nielegalnych produktów.
  • AI Act to rozporządzenie regulujące wykorzystanie sztucznej inteligencji, z terminem wejścia w życie 2 sierpnia 2026 roku. Wymaga od przedsiębiorców przeprowadzenia inwentaryzacji wszystkich systemów AI używanych w sklepie, wyraźnego oznaczenia chatbotów i asystentów AI w komunikacji z klientem oraz oceny, czy którykolwiek z wdrożonych systemów kwalifikuje się jako AI wysokiego ryzyka, co wiąże się z dodatkowymi obowiązkami compliance.
  • RODO (Rozporządzenie o Ochronie Danych Osobowych) to fundamentalna regulacja dotycząca przetwarzania danych osobowych. Wymaga prowadzenia aktualnego rejestru czynności przetwarzania, który musi uwzględniać również chatboty i narzędzia AI. Konieczne jest rozdzielenie zgód marketingowych według kanałów i celów oraz utrzymywanie aktualnych umów powierzenia z agencjami i dostawcami SaaS, którzy przetwarzają dane w imieniu przedsiębiorcy.
  • GPSR (General Product Safety Regulation) stanowi o bezpieczeństwie produktów wprowadzanych na rynek UE. Wymaga zamieszczenia danych identyfikacyjnych producenta lub importera przy każdym produkcie, przygotowania procedury recall gotowej do natychmiastowego uruchomienia w przypadku wykrycia niebezpiecznych produktów oraz posiadania kompletnej dokumentacji technicznej dla produktów sprowadzanych spoza Unii Europejskiej.
  • PPWR (Packaging and Packaging Waste Regulation) to rozporządzenie polegające na regulacji opakowań i odpadów opakowaniowych. Nakłada obowiązek przeglądu formatów opakowań wysyłkowych pod kątem proporcjonalności do zawartości, weryfikacji udziału materiałów nadających się do recyklingu w strukturze opakowania oraz zapewnienia oznakowania opakowań zgodnego z wymogami unijnymi dotyczącymi segregacji i recyclingu.

Czerwiec 2026 roku to twarda granica w kalendarzu każdego właściciela sklepu internetowego. Od tej daty organy kontrolne przestają pytać o intencje i przechodzą do weryfikacji faktów. Prawo w e-commerce, rozumiane jako całość unijnych i krajowych przepisów regulujących handel elektroniczny, przeszło w ciągu ostatnich dwóch lat głęboką przebudowę. Nowe akty prawne obejmują zwroty, bezpieczeństwo produktów, opakowania, sztuczną inteligencję i cyberbezpieczeństwo.

Brak przygotowania to realne ryzyko finansowe. UOKiK może nałożyć karę sięgającą 4% rocznego obrotu, a platforma marketplace zablokować konto sprzedawcy, który nie spełnia wymogów DSA. Ten przewodnik przeprowadza Cię przez wszystkie kluczowe regulacje, które obowiązują lub wchodzą w życie w 2026 roku, z konkretnymi terminami, obowiązkami i konsekwencjami.

Dyrektywa 2023/2673 – przycisk zwrotu jednym kliknięciem od 19 czerwca 2026

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2023/2673 zmienia dyrektywę 2011/83/UE o prawach konsumentów. Jej głównym celem jest likwidacja barier przy odstąpieniu od umowy zawartej na odległość: ukrytych formularzy, wieloetapowych ścieżek zwrotu i dezorientującego interfejsu projektowanego celowo po to, by klient się zniechęcił i ostatecznie zrezygnował z rezygnacji.

Od 19 czerwca 2026 roku każdy sklep internetowy działający na rynku Unii Europejskiej jest zobowiązany udostępnić widoczny, jednoznaczny i stale dostępny przycisk zwrotu oznaczony „Odstąpienie od umowy” lub równoważnym sformułowaniem. Przycisk musi pozostawać aktywny przez pełne 14 dni od daty otrzymania towaru lub zawarcia umowy o usługę cyfrową, bez konieczności kontaktu z obsługą klienta i bez dodatkowych kroków.

Dyrektywa 2023/2673 wymaga wdrożenia zmian na czterech poziomach jednocześnie:

  • Interfejs użytkownika (UX): widoczny przycisk w witrynie www i aplikacji mobilnej, niedopuszczalne jest schowanie go w głębi menu.
  • Automatyzacja procesu: system powinien automatycznie potwierdzać przyjęcie żądania zwrotu.
  • Dokumenty prawne: aktualizacja regulaminu i polityki zwrotów zgodnie z nowymi wymogami.
  • Eliminacja dark patterns, czyli celowo zaprojektowanych przeszkód utrudniających skorzystanie z prawa do rezygnacji z zakupu (domyślne zgody, ukryte przyciski, mylące sformułowania).

Sklepy korzystające z Shopify, WooCommerce czy PrestaShop muszą zaplanować prace wdrożeniowe we współpracy z dostawcami technologii. Deadline jest nieprzekraczalny. Po 19 czerwca 2026 roku nie obowiązuje żaden okres przejściowy, naruszenie dyrektywy grozi wydłużeniem ustawowego terminu na zwrot z 14 dni do 12 miesięcy, a koszty zwrotu przechodzą automatycznie na sprzedawcę.

DSA i odpowiedzialność platform marketplace w 2026 roku

DSA (Digital Services Act), czyli Akt o Usługach Cyfrowych, to rozporządzenie Unii Europejskiej uchwalone w 2022 roku, które redefiniuje odpowiedzialność platform internetowych za treści i produkty dostępne na ich stronach. W 2026 roku przepisy DSA są egzekwowane w pełnym zakresie, a organy nadzorcze mają praktykę i narzędzia do ich stosowania.

Dla właścicieli sklepów sprzedających przez platformy marketplace — Allegro, Amazon czy eBay — kluczowym nowym wymogiem jest procedura KYBC (Know Your Business Customer). Każda platforma musi szczegółowo weryfikować tożsamość zewnętrznych sprzedawców: nazwę firmy, adres, numer NIP lub odpowiedni identyfikator podatkowy. Anonimowa sprzedaż przez duże platformy jest tym samym skutecznie wyeliminowana.

Główne obowiązki wynikające z DSA, które bezpośrednio wpływają na Twój sklep:

  • Udostępnienie pełnych danych identyfikacyjnych w sposób jasny i łatwo dostępny.
  • Szybka współpraca z platformą przy usuwaniu nielegalnych lub niebezpiecznych produktów.
  • Przestrzeganie standardów przejrzystości reklam i treści sponsorowanych.
  • Respektowanie zasad moderowania treści obowiązujących na danej platformie.

Osobną kategorię stanowią VLOP, czyli Very Large Online Platforms, obejmujące platformy z ponad 45 milionami aktywnych użytkowników w UE. Na nich spoczywają rozszerzone obowiązki audytowe i sprawozdawcze. Dla przeciętnego sprzedawcy ważniejsze jest jednak to, że naruszenia jego oferty mogą skutkować trwałym usunięciem z ekosystemu platformy.

Równolegle działa DMA (Digital Markets Act), czyli Akt o Rynkach Cyfrowych, którego przepisy regulują relacje między sklepami a cyfrowymi „strażnikami dostępu”, jakimi są Google, Meta i Amazon. DMA ogranicza praktyki monopolistyczne tych podmiotów, co pośrednio stabilizuje warunki konkurencji dla mniejszych graczy w obszarze reklamy i widoczności organicznej.

AI Act w e-commerce – jakie systemy AI musisz zgłosić?

AI Act (Rozporządzenie UE 2024/1689 w sprawie sztucznej inteligencji) to pierwsza na świecie kompleksowa regulacja dotycząca systemów sztucznej inteligencji. Wchodzi w życie etapowo: zakazy praktyk uznanych za niedopuszczalne obowiązują od lutego 2025 roku, a pełne wymogi dla systemów AI wysokiego ryzyka są egzekwowane od 2 sierpnia 2026 roku.

Dla branży e-commerce AI Act przestał być abstrakcją. To aktualne ryzyko operacyjne, które dotyczy sklepów korzystających z algorytmicznych narzędzi sprzedażowych i obsługi klienta.

Które rozwiązania technologiczne w e-commerce podlegają AI Act:

  • Systemy rekomendacji produktów oparte na profilowaniu zachowań użytkownika.
  • Dynamiczne ustalanie cen, czyli automatyczna modyfikacja cen w czasie rzeczywistym.
  • Chatboty i wirtualni asystenci obsługujący klientów w procesach zakupowych i reklamacyjnych.
  • Automatyczna obsługa reklamacji z elementem decyzyjnym bez udziału człowieka.

Kluczowy obowiązek, który dotyczy zdecydowanej większości sklepów, jest relatywnie prosty: jeśli system AI wchodzi w interakcję z klientem, firma musi poinformować użytkownika, że komunikuje się z systemem AI, a nie człowiekiem. AI Act nakłada ten obowiązek transparentności niezależnie od skali działalności.

Sprzedawcy korzystający z rozwiązań zakwalifikowanych jako AI wysokiego ryzyka mają obowiązki wykraczające poza samo oznakowanie: rejestrację w unijnej bazie danych, przeprowadzenie oceny zgodności i utrzymanie dokumentacji technicznej. Co istotne — nawet jeśli korzystasz z narzędzi SaaS dostarczanych przez zewnętrznych dostawców, odpowiedzialność prawna nadal spoczywa na Tobie jako administratorze systemu.

RODO w 2026 roku – dane klientów, chatboty i automatyzacje

RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych, GDPR) obowiązuje od 2018 roku, ale jego egzekwowanie w 2026 roku przebiega w zupełnie innych warunkach. Urzędy dysponują coraz większą liczbą zgłoszeń, a naruszenia wychodzą na jaw przy okazji incydentów: wycieków danych osobowych, błędów w automatyzacjach marketingowych lub kontroli wynikających z audytów AI Act.

Prawo w e-commerce w obszarze RODO nie polega na posiadaniu właściwych dokumentów. Polega na zdolności do udowodnienia, w razie kontroli, że wiesz co dzieje się z danymi klientów na każdym etapie ich przetwarzania.

Cztery obszary najwyższego ryzyka RODO w e-commerce w 2026 roku:

  1. Automatyzacje marketingowe. Zgody muszą być rozdzielone według kanałów komunikacji i celów marketingowych. Jedna zgoda „na marketing” nie spełnia wymogów RODO. Każdy kanał — e-mail, SMS, push, retargeting — wymaga odrębnej podstawy prawnej.
  2. Chatboty i systemy AI. Jeśli chatbot przetwarza dane klientów, takie jak imię, historia zamówień czy preferencje zakupowe, wymaga odrębnego wpisu w rejestrze czynności przetwarzania i wyraźnej podstawy prawnej. To bezpośrednio nakłada się na obowiązki wynikające z AI Act.
  3. Zewnętrzni dostawcy SaaS. Nawet jeśli infrastruktura techniczna jest utrzymywana przez dostawcę SaaS, firma prowadząca sklep internetowy nadal odpowiada za bezpieczeństwo danych klientów i dobór odpowiednich partnerów technologicznych. Odpowiedzialność administratora nie jest przenoszalna.
  4. Agencje marketingowe. Administrator danych ponosi odpowiedzialność za błędy wynikające z działań zewnętrznych podmiotów: agencji, software house’ów czy freelancerów, którym powierzył konfigurację narzędzi. Umowa powierzenia przetwarzania danych to obowiązek, a nie opcja.

Największe ryzyko prawne w e-commerce 2026 roku powstaje na styku danych klientów, automatyzacji marketingowych i systemów AI. To właśnie w tym trójkącie koncentruje się aktywność organów nadzorczych.

GPSR – bezpieczeństwo produktów w sklepie internetowym

GPSR (General Product Safety Regulation), czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/988 o ogólnym bezpieczeństwie produktów, zastąpiło dyrektywę GPSD z 2001 roku i weszło w życie 13 grudnia 2024 roku. Aktualizuje standardy bezpieczeństwa produktów konsumenckich do realiów handlu online i globalnych łańcuchów dostaw.

GPSR obejmuje niemal wszystkie niespożywcze produkty konsumenckie: nowe, używane, naprawiane i odnowione. Rozporządzenie precyzuje odpowiedzialność podmiotów na każdym etapie łańcucha dostaw, od producenta przez importera po dystrybutora, oraz nakłada konkretne obowiązki na sprzedawców internetowych.

Obowiązki sklepu internetowego wynikające z GPSR:

  • Zapewnienie, że oferowane produkty spełniają normy bezpieczeństwa obowiązujące w UE.
  • Posiadanie lub dostęp do dokumentacji technicznej produktu.
  • Widoczne zamieszczenie danych identyfikacyjnych producenta lub importera przy każdej ofercie.
  • Wdrożenie sprawnego systemu powiadomień i wycofywania produktów z rynku (procedura recall).
  • Aktywna współpraca z organami nadzoru, w tym z Inspekcją Handlową.

Jeśli Twój sklep sprzedaje produkty sprowadzane spoza UE, w szczególności z Azji, GPSR dotyczy Cię z podwójną siłą. W przypadku braku europejskiego przedstawiciela producenta odpowiedzialność za zgodność produktu z wymogami bezpieczeństwa przechodzi na importera lub dystrybutora. W praktyce: na Ciebie.

PPWR – nowe wymogi dla opakowań wysyłkowych

PPWR (Packaging and Packaging Waste Regulation), czyli unijne rozporządzenie o opakowaniach i odpadach opakowaniowych, wprowadza obowiązkowe standardy dotyczące opakowań na poziomie całej Unii Europejskiej. Ważne rozróżnienie dla e-commerce: PPWR dotyczy opakowań wysyłkowych, nie samych sprzedawanych produktów.

Celem rozporządzenia jest ograniczenie nadmiarowych opakowań, zwiększenie udziału materiałów nadających się do recyklingu i ujednolicenie zasad w całej UE. Dla sklepów internetowych wysyłających dziesiątki tysięcy paczek miesięcznie przestaje to być kwestia wizerunkowa — staje się wymogiem systemowym z określonymi progami, terminami i sankcjami.

Praktyczne implikacje PPWR dla operacji e-commerce:

  • Zakaz nadmiarowych opakowań: pudełko musi być dopasowane do wymiarów produktu, a stosowanie wypełniaczy maskujących zbyt duże opakowanie staje się niezgodne z prawem.
  • Progi recyklingu: określony minimalny udział materiałów nadających się do recyklingu w opakowaniach wysyłkowych.
  • Obowiązkowe oznakowanie: czytelne informacje dla konsumenta o sposobie segregacji i recyklingu opakowania.
  • Dokumentacja i sprawozdawczość dla podmiotów powyżej określonego wolumenu wysyłek.

PPWR nie zmienia procesów sprzedażowych ani doświadczenia klienta przy zakupie. Wymaga natomiast przeglądu logistyki opakowań, umów z dostawcami materiałów pakowych i potencjalnie inwestycji w nowe formaty pudełek czy wypełniaczy.

Kary UOKiK do 4% obrotu rocznego

Znajomość regulacji to połowa pracy. Zrozumienie mechanizmu ich egzekucji to ta ważniejsza połowa. W Polsce głównym organem odpowiedzialnym za nadzór nad zgodnością e-commerce z prawem konsumenckim i regulacjami cyfrowymi jest UOKiK (Urząd Ochrony Konkurencji i Konsumentów).

UOKiK dysponuje w 2026 roku rozszerzonym arsenałem prawnym, rosnącą praktyką kontrolną i coraz lepszymi narzędziami do identyfikowania naruszeń, w tym monitoringiem sklepów internetowych i analizą zgłoszeń konsumenckich. Naruszenia Dyrektywy 2023/2673, przepisów DSA czy RODO mogą skutkować wszczęciem postępowania administracyjnego.

Katalog możliwych sankcji:

  • Kara finansowa do 4% rocznego obrotu za naruszenia prawa konsumenckiego i regulacji cyfrowych.
  • Wydłużenie prawa do zwrotu do 12 miesięcy jako automatyczna sankcja za brak właściwego procesu odstąpienia od umowy.
  • Przeniesienie kosztów zwrotu na sprzedawcę, niezależnie od postanowień regulaminu.
  • Postępowanie prowadzone przez Inspekcję Handlową w zakresie bezpieczeństwa produktów objętych GPSR.

Naruszenia AI Act podlegają z kolei sankcjom unijnym sięgającym 35 milionów euro lub 7% światowego rocznego obrotu w przypadku najpoważniejszych naruszeń, czyli stosowania systemów AI zakazanych przez rozporządzenie. Dla mniejszych naruszeń progi są niższe, ale wciąż dotkliwe.

Prawo konsumenckie w 2026 roku przewiduje też sankcje cywilnoprawne. Konsumenci mogą dochodzić roszczeń indywidualnie, a organizacje konsumenckie mają rozszerzone uprawnienia do pozwów zbiorowych na mocy Dyrektywy w sprawie powództw przedstawicielskich (2020/1828).

Compliance check dla sklepu internetowego w 2026

Compliance, czyli zgodność z obowiązującymi przepisami prawnymi, przestała być wyłącznie domeną dużych korporacji z rozbudowanymi działami prawnymi. W 2026 roku każdy sklep internetowy, niezależnie od skali, musi posiadać udokumentowany stan swojej zgodności z co najmniej kilkoma równoległymi regulacjami.

Koszty dostosowania do regulacji obejmują obsługę prawną, audyty bezpieczeństwa, modernizację systemów IT i szkolenia personelu. Z perspektywy zarządzania ryzykiem są jednak wielokrotnie niższe niż potencjalne kary lub koszt operacyjny obsługi masowych zwrotów wynikających z sankcji ustawowej.

Prawo w e-commerce 2026 – stan na dziś

Sklepy internetowe działające na rynku UE mierzą się jednocześnie z sześcioma regulacjami o różnych terminach, zakresach i organach egzekucji. Dyrektywa 2023/2673 nakłada obowiązek techniczno-prawny z terminem 19 czerwca 2026. AI Act egzekwuje wymogi dla systemów AI od 2 sierpnia 2026. GPSR obowiązuje od grudnia 2024. DSA jest w pełni egzekwowany. PPWR i NIS2 domykają obraz regulacyjny po stronie opakowań i cyberbezpieczeństwa.

Żadna z tych regulacji nie jest zaskoczeniem — wszystkie były zapowiadane z wyprzedzeniem. Różnica między sklepem przygotowanym a nieprzygotowanym nie wynika z braku dostępu do informacji. Wynika z tego, czy compliance zostało włączone do kalendarza operacyjnego firmy, czy pozostało na liście „do zrobienia kiedyś”.

Twój komentarz zostanie poprawiony przez stronę w razie potrzeby.

Semantyka Kodu jako Architektura Danych Krytycznych: Strategiczne Uzasadnienie w Erze AI Search (AI Overviews)