Każda strona powinna mieć HTTPS (SSL/TLS). To szyfruje komunikację między przeglądarką użytkownika a Twoim serwerem.

Bez tego dane użytkownika (email, hasło, karta kredytowa) mogą być przechwycone.

Jest to teraz wymóg Google. Strony bez SSL'a są ostrzegane w Chrome.

Jeśli zbierasz dane (imię, email, telefon), musisz mieć jasną Politykę Prywatności.

Muszą być jasne zgody: 'Zgadzam się na przetwarzanie danych' — muszą być opcjonalne, nie pre-checked.

Użytkownik musi mieć prawo do wglądu, poprawy i usunięcia danych.

Wenn tracking cookies (Google Analytics, Facebook Pixel) — muszą być jasne i opcjonalne.

Banner cookies powinien być — ale wcale nie musi blokować dostępu do strony. Użytkownik powinien mieć wybór.

Strona powinna być dostępna dla osób z niepełnosprawnościami.

Kontrast tekstu, rozmiar fontu, możliwość nawigacji z klawiatury, alt teksty na obrazki — to wszystko podstawy.

To nie jest tylko moralnie słuszne, ale też wymóg prawa (Ustawa o dostępności).

Jeśli masz forum, komentarze, user-generated content — powinieneś mieć Warunki Użycia.

To chroni Cię przed odpowiedzialnością za to, co publikują użytkownicy.

Można je wygenerować (np. Termly, Privacy Policy Generator), ale proszę przeczytaj je.

Każda strona będzie miała inne wymagania.

Jeśli jesteś niesure — skonsultuj się z prawnikiem IT.

[ ] SSL Certificate instalovan i uruchomiony

[ ] Polityka Prywatności dostępna i aktualna

[ ] Warunki Użycia (jeśli zbierasz dane)

[ ] Banner cookies z możliwością wyboru

[ ] WCAG 2.1 compliance (contrast, alt texts, keyboard navigation)

[ ] Formularz kontaktowy z RODO zgodą

[ ] Informacja o tym, jak dane są używane

Jeśli Twoja strona nie ma HTTPS, Chrome pokazuje duże warning: 'This site is not secure' z czerwonym X. Użytkownik widzi to w address bar i natychmiast ucieka. Conversion rate spada do 80% (research pokazuje). To nie opcja, to musi być.

Dla SEO: Google od 2014 daje ranking boost dla HTTPS. To mały boost (~3-5%), ale consistent. Więc dwa powody: trust signal dla użytkownika i ranking boost dla Google. Bonus: HTTPS jest wymagany dla nowych technologii jak HTTP/2, Web Push, service workers. Bez niego, strona będzie legacy.

Gdzie się dostać SSL certificate? Opcja 1: Let's Encrypt (za darmo, automatyczne, renewal co 3 miesiące). Większość hosting providersów ma one-click Let's Encrypt install. Opcja 2: paid certs jak Comodo, DigiCert ($50-300/rok). Płacisz za validation i support, ale certyfikat jest identyczny techniczne.

Jak zainstalować? Jeśli masz shared hosting (GoDaddy, Bluehost), jest one-click 'Install SSL Certificate' button w control panel. Klikasz, czekasz 5 minut, done. Jeśli masz dedicated server, install to bardziej complex (nginx/Apache config). Wynajmij sysadmina na godzinę (~200 PLN). Koszty: free (Let's Encrypt) or 50-300 PLN/rok (paid). Time: 5 minut (hosted) do 1 godziny (VPS).

RODO to Unia Europejska prawo do ochrony danych (2018). Jeśli masz stronę i zbierasz jakiekolwiek dane o Polakach (email, imię, telefon, IP address, cookie), podlegasz RODO. Kara za niestosowanie: do 20 milionów euro lub 4% globalnego revenue (co wyższe). Dla małego biznesu, to może być 10000-100000 PLN. Dla dużego, to miliony.

Co konkretnie musisz zrobić? Punkt 1: Polityka Prywatności. Musi być na każdej stronie, łatwo dostępna, wyjaśniać: jakie dane zbierasz, po co, jak długo przechowujesz, czy udostępniasz third parties. Tekst musi być jasny dla laika, nie prawniczy mumbo jumbo. Koszt: 300-1000 PLN u prawnika, lub free jeśli użyjesz generator (Termly, Privacy Policy Generator, ale sprawdź czy jest dostosowany do Polski).

Punkt 2: Zgody. Jeśli zbierasz dane, muszą być explicit zgody ('Zgadzam się na przetwarzanie danych'). WAŻNE: nie mogą być pre-checked. Checkbox musi być pusty, user musi aktywnie go zaznaczyć. Jeśli będzie pre-checked, to RODO violation.

Punkt 3: Right to access. Jeśli klient pyta 'jakie dane masz na mnie?', musisz mu dać odpowiedź w przeciągu 30 dni. To musi być easy process — email formularz, answer document.

Punkt 4: Right to be forgotten. Jeśli klient pisze 'usuń moje dane', musisz je usunąć w przeciągu 30 dni (chyba że masz legal reason to keep them, jak invoice dla tax purposes). Wiele biznesów tego nie wie i ignoruje takie requesty — błąd.

Praktycznie: jeśli prowadzisz mały biznes (< 10 osób, < 50k kontaktów), wystarczy: Polityka Prywatności + zgody na formularzu + reply na data deletion requesty. Jeśli większy, weź RODO audit i data processing agreement.

WCAG to Web Content Accessibility Guidelines. To standardy jak zrobić stronę dostępną dla osób z niepełnosprawnościami: blind (screen reader users), deaf (captions na video), mobility issues (keyboard navigation), cognitive (clear language).

Konkretne wymagania WCAG 2.1 Level AA (standard dla biznesu): Kontrast tekstu minimum 4.5:1. Tekst czarny na białym = OK. Szary tekst na białym = fail. Google robi Lighthouse audit i sprawdza kontrast — fail to SEO penalty. Rozmiar fontu minimum 16px. Buttons minimum 48x48px. Obrazy muszą mieć alt text ('Foto produktu: red chair'). Video muszą mieć captions. Links muszą być underlined (nie tylko color change). Keyboard navigation — możesz się poruszać po stronie samo za pomocą Tab i Enter, bez myszki.

Dlaczego to ważne dla SEO? Google Lighthouse (ranking factor) sprawdza accessibility. Jeśli masz accessibility issues, Lighthouse score spada. SEO impact: ~3-5% ranking drop. Biznesowy impact: 15% populacji ma jakiś disability — to potencjalni klienci, które tracisz.

Jak sprawdzić? Google Lighthouse (DevTools > Lighthouse > Accessibility report). Pokaże ci co jest broken. Lub axe (free browser extension) — skanuje accessibility issues. Koszt fixa: zależy od problemu. Contrast — zmiana CSS (free). Alt text — wrzucenie tekstu (free, Twój czas). Keyboard navigation — JS refactor (500-2000 PLN dev time).

Scenario 1: Zbierasz emaile bez RODO compliance. Firmy zaraportowały Cię UOD (Urząd Ochrony Danych Osobowych). UOD robić audit. Jeśli mają downside: warning albo fine 2000-20000 PLN. Mała firma może przeżyć. Ale jeśli dalej nie naprawiasz, kara to 10 milionów euro lub 2% revenue (co wyższe).

Scenario 2: Data breach. Hakerzy wlamali się i zabrali 10000 customer emails. RODO wymaga że musisz o tym powiadomić UOD i affected customers w przeciągu 72 godzin. Jeśli nie powiadomisz: kara 5-10 milionów euro. Jeśli powiadomisz ale będzie widać że security była źle (nie encrypted, old server): kara 5-20 milionów euro. Jeśli powiadomisz i security była dobra: kara może być zredukowana.

Scenario 3: Nie masz Polityki Prywatności. UOD robi complaint check. Jeśli rzeczywiście brakuje: fine 2000-5000 PLN + wymuszenie aby dodać Politykę.

Scenario 4: Cookie tracker bez consent. Wrzuciłeś Google Analytics bez baneru cookies. Każdy visitor do Ciebie bez zgody. Fine: 5000-50000 PLN (jeśli złapią).

W praktyce: UOD nie ma dużo resources, nie może penalizować wszystkich. Ale big cases — breach z milionami records, albo formal complaint od konkurenta — to łapią. Lepiej być compliant od začęcia.

Krok 1: Wygeneruj Politykę Prywatności. Termly.io (free tier dla małych stron) albo PrivacyPolicies.com. Wrzucisz info: 'mam Google Analytics, Facebook Pixel, form do zbierania emails'. Tool generuje text. Zmień na polski (translator), dodaj na stronę. Cost: free, time: 30 minut.

Krok 2: Zainstaluj cookie banner. Biblioteki: CookieBot (płatna, ale solidna, 100-200 PLN/mies) albo OneTrust (free tier). Albo DIY — napisz simple consent form w HTML/CSS. Banner musi mieć: 'Accept' i 'Reject' (nie 'Decline', musi być opcja refuse). Nie 'Accept All' i tiny 'Manage Preferences' — to illegal dark pattern.

Krok 3: Dodaj zgody do formularzy. Checkbox: 'Zgadzam się na przetwarzanie danych zgodnie z Polityką Prywatności' (unczecked by default). Form validation: checkbox musi być checked aby submit.

Krok 4: Ustawiaj reply process dla data deletion. Email template: 'Potwierdzamy, że Twoje dane będą usunięte w przeciągu 30 dni.' Robot process: jeśli ktoś pisze 'delete my data', forward do support, support usuwa z bazy, reply confirmation. Time: 1 godzina setup.

Krok 5: Dokumentuj wszystko. Trzymaj evidence że masz Politykę, że masz banery, że promptujesz na zgody. Jeśli UOD robi audit, możesz pokazać 'look, mam wszystko'. To zmniejsza fine jeśli cos się stanie.

Cost summary: $0-500/rok (zależy od narzędzi). Time: 2-3 godziny setup. Oszczędzasz: ryzyko 5-20 milionów euro fina. ROI: nieskończony.

Czy SSL certificate jest obowiązkowy? Technicznie nie, ale Google penalizuje, Chrome ostrzega, klienci się boja. W praktyce: tak, obowiązkowy. Ile kosztuje? Let's Encrypt (free) lub 50-300 PLN/rok (paid). Czy mogę mieć SSL na subdomain? Tak, ale musisz oddzielny cert. Wildcard cert (* .example.com) kosztuje więcej (~100 PLN/rok) ale covers wszystkie subdomains.

Czy RODO dotyczy mnie jeśli mam blogę bez email collection? Techniczne nie. Ale jeśli masz Google Analytics (cookies), musisz consent banner. Czy muszę tłumaczyć Politykę Prywatności na angielski? Nie obowiązkowe, ale jeśli klienci są zagraniczni, recommended. Czy WCAG to wymóg prawny? W UE, tak (accessibility act). Ale Google też penalizuje brak accessibility. Podwójnie win to zrobić.

Jaki jest standard dostępności — WCAG 2.0 czy 2.1? 2.1 (newer). Ale 2.0 i 2.1 są retrocompatible. Jeśli pasujesz Level A (easiest), masz ~30% WCAG 2.1 done. Level AA (standard) to ~70%. Level AAA (strict) to 100% ale prawie impossible. Firmy zazwyczaj targują Level AA.