Vibe coding a RODO: dlaczego strona zbudowana przez AI łamie prawo

Agenty kodujące w stylu Claude Code czy Codex potrafią postawić działającą stronę w kilka godzin, ale po cichu wprowadzają naruszenia RODO, o które nikt nie prosił: pliki cookie ustawiane przed zgodą, dane osobowe trzymane w nieskończoność, brak możliwości ich usunięcia. Oto dlaczego dzieje się to przy każdym agencie kodującym, ile może cię to kosztować i darmowy skill do Claude Code, który skanuje projekt pod kątem problemów z RODO i je naprawia.

Opisujesz aplikację agentowi kodującemu, on pisze kod, ty wdrażasz, a kilka godzin później masz realny produkt w sieci. To właśnie obietnica vibe codingu i przez większość czasu jest ona dotrzymywana. Strona się ładuje, rejestracja działa, panel wygląda schludnie. Wszystko, co widać, jest w porządku.

Problemem jest to wszystko, czego nie widać. Podczas podłączania twoich funkcji agent podejmował też dziesiątki drobnych decyzji o plikach cookie, śledzeniu, przechowywaniu danych i prawach użytkowników. Nikt nie kazał mu myśleć o prawie, więc o nim nie pomyślał. Zanim wdrożysz, twoja błyszcząca nowa strona może już stać na stosie naruszeń RODO (GDPR), a ty nie masz o tym pojęcia.

To nie jest problem Claude'a ani Codeksa. To strukturalna cecha tego, jak działają agenty kodujące, i dotyczy każdego z nich. Przejdźmy dokładnie przez to, co idzie nie tak, ile może cię to kosztować, i przez darmowy skill do Claude Code, który znajduje i naprawia te problemy, zanim zrobi to regulator.

Co agent kodujący po cichu psuje

Agent kodujący optymalizuje jedną rzecz: żeby funkcja działała. Poproś go o statystyki, a wrzuci skrypt śledzący. Poproś o formularz kontaktowy, a zapisze każde zgłoszenie w tabeli. Poproś o logowanie, a będzie trzymał konta użytkowników w nieskończoność. Każdy wybór z osobna jest rozsądny. Razem tworzą podręcznikową listę naruszeń, które regulatorzy karzą najczęściej.

Oto co przemyka między palcami na typowej stronie zrobionej w vibe codingu:

  • Pliki cookie i trackery uruchamiają się przed zgodą. Statystyki, osadzone mapy, czcionki, piksele społecznościowe i narzędzia sesyjne ładują się w momencie otwarcia strony. Zgodnie z RODO i przepisami ePrivacy pliki cookie inne niż niezbędne wymagają uprzedniej, dobrowolnie udzielonej zgody. Strona, która umieszcza je już przy pierwszym wyświetleniu, jest już niezgodna z prawem, a baner cookie, który pojawia się dopiero po uruchomieniu trackera, nic tu nie zmienia.
  • Dane osobowe są trzymane w nieskończoność. Agent tworzy tabelę users, tabelę submissions, tabelę logs i nigdy nie dodaje polityki retencji. RODO wymaga, byś przechowywał dane osobowe tylko tak długo, jak faktycznie ich potrzebujesz. "Na zawsze, na wszelki wypadek" to dokładnie to naruszenie zasady ograniczenia przechowywania, które prawo miało powstrzymać.
  • Nie ma jak usunąć swoich danych. Użytkownicy mają prawo do usunięcia danych, tak zwane prawo do bycia zapomnianym. Niemal żadna aplikacja zrobiona w vibe codingu nie ma ścieżki "usuń moje konto" ani udokumentowanej procedury realizacji żądania usunięcia. Dane wchodzą, a nie ma żadnych drzwi z napisem "wyjście".
  • Brak ścieżki dostępu i przenoszenia danych. Ludzie mogą poprosić o kopię wszystkiego, co o nich przechowujesz. Jeśli twoją jedyną odpowiedzią jest ręczne zapytanie do bazy, którego nigdy nie testowałeś, nie spełniasz obowiązków w zakresie dostępu i przenoszenia danych.
  • Dane stron trzecich po cichu opuszczają UE. Ten skrypt analityczny albo hostowana czcionka, którą dodałeś w dwie sekundy, może wysyłać adresy IP i identyfikatory na serwery poza UE, bez żadnego legalnego mechanizmu transferu.
  • Brak rejestru tego, co zbierasz. RODO zakłada, że znasz i dokumentujesz swoje czynności przetwarzania. Aplikacja, której przepływy danych żyją wyłącznie w zapomnianej historii czatu agenta, nie ma żadnego rejestru.

Nic z tego nie pojawia się na demie. Aplikacja działa bez zarzutu. Warstwy prawnej po prostu brakuje i będzie jej brakować, dopóki ktoś się nie poskarży albo regulator nie zapuka do drzwi.

Porównanie w dwóch kolumnach zatytułowane co zostaje wdrożone kontra czego wymaga prawo. Lewa kolumna wymienia to, co dostarcza agent kodujący, z zielonymi znaczkami: uwierzytelnianie działa, interfejs jest dopracowany, płatności są aktywne, build jest czysty. Prawa kolumna wymienia to, czego wymaga RODO, z czerwonymi znakami ostrzegawczymi, które pojawiają się jeden po drugim: zgoda przed plikami cookie, limit przechowywania danych, prawo do usunięcia, udokumentowana podstawa prawna. Przerywana szczelina biegnie środkiem, pokazując cichą przestrzeń między stroną, która działa, a stroną, która jest zgodna z prawem.

Agent wypełnia lewą kolumnę bezbłędnie. Prawa kolumna to ta część, której nikt nie kazał mu budować, więc pozostaje pusta.

Dlaczego robi to każdy agent kodujący, nie tylko Claude

Kuszące jest obwinianie jednego narzędzia, ale przyczyna sięga głębiej. Agenty kodujące uczą się na publicznym kodzie, a większość publicznego kodu nigdy nie była pisana z myślą o RODO. Kiedy model widział dziesięć tysięcy przykładów "dodaj Google Analytics", które wrzucają skrypt prosto do <head>, to właśnie ten wzorzec odtwarza. Dane treningowe kodują złe nawyki, więc wynik je dziedziczy.

Istnieją twarde dane na szerszą wersję tego problemu. Raport Veracode z 2025 roku o bezpieczeństwie kodu generowanego przez GenAI przetestował wyniki ponad 100 dużych modeli językowych na dziesiątkach zadań programistycznych i wykazał, że 45% kodu generowanego przez AI wprowadzało lukę bezpieczeństwa. To samo badanie wykazało, że kod napisany przez AI niósł 2,74 razy więcej podatności niż kod napisany przez ludzi, i, co wymowne, że nowsze i większe modele wcale nie radziły sobie lepiej. To jest strukturalne, a nie błąd, który łata kolejne wydanie.

Zgodność z przepisami o prywatności ma dokładnie ten sam kształt co bezpieczeństwo. Oba to niewidzialne wymagania, które cel "żeby działało" omija bez zatrzymania. Więc czy sterujesz Claude Code czy Codeksem, Antigravity CLI, Cursorem, czy dowolnym innym agentem, jesteś narażony na ten sam martwy punkt. Narzędzie się zmienia, luka pozostaje.

Ile naprawdę może kosztować naruszenie RODO

To tutaj rzecz przestaje być abstrakcyjna. Kary z RODO są ograniczone do wyższej z dwóch wartości: 20 mln euro albo 4% rocznego światowego obrotu, a regulatorzy zaczęli sięgać po górną granicę tego przedziału.

W samym 2025 roku francuski organ ochrony danych, CNIL, nałożył 486 mln euro kar, prawie dziesięć razy więcej niż łącznie w 2024 roku. Większość tej kwoty pochodziła z dwóch decyzji wydanych tego samego dnia we wrześniu: 325 mln euro przeciwko Google za uchybienia dotyczące plików cookie i przejrzystości reklam oraz 150 mln euro przeciwko Shein za trackery umieszczone bez zgody. Dokładnie te kategorie błędów, które agent AI wdraża domyślnie, to te same kategorie, za które padają kary dziewięciocyfrowe.

Łatwo czytać te liczby i zakładać, że regulatorzy ścigają tylko gigantów. Tak nie jest. CNIL prowadzi uproszczoną procedurę wymierzoną wprost w małe, konkretne sprawy: niezgodny baner cookie, zignorowane żądanie dostępu, słaba polityka haseł. To codzienność ustaleń dotyczących małej firmy, i to dokładnie to, co strona zrobiona w vibe codingu robi źle. Wielkość twojej firmy zmienia wysokość kary, a nie to, czy w ogóle możesz ją dostać.

Wykres słupkowy pionowy zatytułowany gdzie wylądowały kary RODO w 2025 roku. Trzy słupki wznoszą się od linii bazowej, pojawiając się jeden po drugim: 150 mln euro przeciwko Shein za trackery umieszczone bez zgody, 325 mln euro przeciwko Google za uchybienia dotyczące plików cookie i przejrzystości oraz najwyższy słupek na poziomie 486 mln euro, łączna kwota nałożona przez francuskiego regulatora w 2025 roku, prawie dziesięć razy więcej niż rok wcześniej. Plakietka w rogu odnotowuje prawny pułap 20 mln euro lub 4 procent globalnego obrotu za naruszenie.

Najgłośniejsze kary trafiają w duże firmy, ale naruszenia, które za nimi stoją, pliki cookie bez zgody i brak przejrzystości, to te same, które agent kodujący wdraża domyślnie na małej stronie.

Czego RODO naprawdę wymaga (po ludzku)

Nie musisz zostać prawnikiem, żeby zamknąć większość luki. Gros codziennej zgodności sprowadza się do garstki konkretnych zachowań, które twój kod albo ma, albo nie:

  • Zgoda przed plikami cookie innymi niż niezbędne. Nic, co śledzi, profiluje lub mierzy, nie powinno działać, dopóki użytkownik aktywnie się nie zgodzi. Ściśle niezbędne pliki cookie to jedyny wyjątek.
  • Podstawa prawna dla każdego okrucha danych, który zbierasz. Zgoda, umowa albo prawnie uzasadniony interes, ustalone przed zapisaniem czegokolwiek, a nie po.
  • Minimalizacja danych. Zbieraj tylko to, czego funkcja naprawdę potrzebuje. Instynkt agenta, by logować wszystko, to dokładne przeciwieństwo tego.
  • Limity przechowywania. Każda kategoria danych osobowych potrzebuje określonego czasu życia i sposobu usunięcia, gdy ten czas minie.
  • Prawa osób, których dane dotyczą. Dostęp, sprostowanie, usunięcie i przenoszenie, wszystkie potrzebują realnej, działającej ścieżki, a nie obietnicy w polityce prywatności.
  • Jasna informacja o prywatności i rejestr czynności przetwarzania. Ludzie powinni móc zobaczyć, co zbierasz i dlaczego, a ty powinieneś móc to udowodnić.

Przeczytaj tę listę z powrotem na tle sekcji o tym, co agenty robią źle, a pokrycie jest niemal idealne. Dobra wiadomość jest taka, że ponieważ to konkretne zachowania na poziomie kodu, narzędzie może je przeskanować.

Rozwiązanie: darmowy skill do Claude Code, który skanuje i naprawia

Oto część, której ręczna lista kontrolna nie może ci dać: automatyczne przejście po twoim faktycznym kodzie. Deweloper o nazwisku Jeremy Longshore opublikował darmowy, otwartoźródłowy skill do Claude Code o nazwie scanning-for-gdpr-compliance (w niektórych marketplace'ach figurujący jako GDPR Compliance Scanner), który robi dokładnie to. Mieszka w repozytorium claude-code-plugins-plus i działa w całości wewnątrz Claude Code, więc nie ma żadnej osobnej usługi, do której trzeba się zapisywać.

Skill czyta twój projekt tak, jak zrobiłby to audytor prywatności. Sprawdza przepływy danych, miejsca przechowywania, czynności przetwarzania, mechanizmy zgody, polityki retencji, kontrole dostępu oraz to, jak obsługujesz prawa osób, których dane dotyczą. Następnie robi trzy rzeczy, które mają znaczenie:

  1. Wykrywa. Reguły oparte na wzorcach oznaczają opisane wyżej schematy: trackery uruchamiane przed zgodą, dane osobowe bez limitu retencji, brakujące ścieżki usuwania, nieudokumentowane przetwarzanie.
  2. Klasyfikuje według wagi. Ustalenia wracają ocenione i uszeregowane, więc tracker wyciekający identyfikatory wyprzedza brakującą linijkę w twojej informacji o prywatności. Najpierw naprawiasz rzeczy niebezpieczne, zamiast tonąć w płaskiej liście.
  3. Naprawia w twoim kodzie. Ponieważ działa wewnątrz agenta, nie poprzestaje na wyprodukowaniu raportu, którym musisz się zająć później. Może bezpośrednio wprowadzić zalecane zmiany, zamieniając "masz tu problem" w realną edycję podczas tego samego przejścia.

Instalacja to jedna linijka. Z marketplace'em wtyczek dodajesz źródło i instalujesz skill:

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

Potem uruchamiasz skan w języku naturalnym. Skill reaguje na frazy takie jak:

scan GDPR compliance
check data privacy
validate GDPR

Możesz go też zainstalować, wrzucając folder skilla do katalogu .claude/skills/ twojego projektu, czyli standardowego sposobu, w jaki Claude Code odkrywa skille. Tak czy inaczej skan działa na twoim prawdziwym repozytorium, a nie na abstrakcyjnej liście kontrolnej.

Schemat pipeline'u od lewej do prawej zatytułowany skanuj, klasyfikuj, napraw. Pudełko z napisem twój kod zasila pudełko z napisem skill RODO skanuje, które zasila stos trzech poziomów wagi z napisami krytyczny, wysoki i średni, zapalających się po kolei, a ten z kolei przechodzi w pudełko z napisem poprawka wprowadzona w kodzie, kończąc się na zielonym pudełku z napisem bliżej zgodności. Mały znacznik przesuwa się wzdłuż ścieżki, pokazując projekt przechodzący przez ten przepływ.

Kod na wejściu, uszeregowane ustalenia pośrodku, realne edycje kodu na wyjściu. Ta sama pętla, której już używasz do funkcji, wycelowana w zgodność z prawem.

Uczciwe słowo ostrzeżenia, bo zaufanie buduje się właśnie tutaj: skan to nie prawne zielone światło. Skill wyłapuje mechaniczne naruszenia na poziomie kodu, które stanowią większość codziennego ryzyka, pliki cookie, retencję, brakującą ścieżkę usuwania, i w kilka minut zbliża cię dramatycznie do zgodności. Nie zastąpi prawnika od ochrony danych w sprawach wrażliwych, oceny skutków dla ochrony danych (DPIA) ani przetwarzania danych o zdrowiu. Traktuj go jako techniczne pierwsze przejście, które usuwa oczywiste naruszenia, a potem włącz ludzką weryfikację dla przypadków granicznych.

Dlaczego robi się to trudniejsze, gdy prowadzisz flotę agentów

Jeden deweloper z jednym agentem ma jeden kod do utrzymania w ryzach. Z chwilą, gdy uruchamiasz kilku agentów równolegle, z których każdy wdraża funkcje do tego samego produktu, powierzchnia dla cichych naruszeń się mnoży. Jeden agent dodaje skrypt analityczny, drugi stawia tabelę logów, trzeci podpina widżet strony trzeciej, a żaden pojedynczy człowiek nigdy nie przejrzał implikacji prywatnościowych całości.

To ten sam powód, dla którego kontekst i spójność są trudne w skali, motyw, do którego wracamy raz po raz, czy mowa o równoległym uruchamianiu agentów kodujących, czy o vibe codingu bez tonięcia. Rozwiązanie ma ten sam kształt: wpleść standard w wspólną konfigurację, zamiast robić z niego coś, co pamiętasz sprawdzić na końcu.

W AgentsRoom, kokpicie wieloagentowym, skille i reguły, które konfigurujesz raz, stosują się do każdego agenta w pokoju, niezależnie od tego, czy sterujesz Claude Code, Codeksem i innymi dostawcami z jednego miejsca. Wepnij przejście zgodnościowe w swój workflow jeden raz, a każdy agent je odziedziczy, zamiast liczyć na to, że każdy z osobna zapamięta regułę, której nikt go nie nauczył. Dyscyplina, która utrzymuje czystą pojedynczą sesję, to ta sama, która trzyma całą flotę z dala od kłopotów z regulatorem.

Praktyczna lista kontrolna zgodności dla stron budowanych przez AI

Zanim uznasz jakąkolwiek stronę zbudowaną przez AI za skończoną, przepuść ją przez tę listę. Większość z tego wyłapie skaner, ale świadomość tego, czego szukasz, sprawia, że raport staje się czytelny:

  • Żaden plik cookie ani tracker inny niż niezbędny nie uruchamia się przed udzieleniem zgody przez użytkownika.
  • Każde miejsce przechowywania danych osobowych ma określony okres retencji i mechanizm usuwania.
  • Użytkownicy mogą zażądać i otrzymać kopię swoich danych.
  • Użytkownicy mogą usunąć swoje konto i doprowadzić do usunięcia swoich danych.
  • Informacja o prywatności wyjaśnia, co zbierasz, dlaczego i na jakiej podstawie prawnej.
  • Skrypty stron trzecich i transfery danych poza UE mają zgodny z prawem mechanizm.
  • Na żądanie potrafisz przedstawić rejestr swoich czynności przetwarzania.

Jeśli nie potrafisz odhaczyć każdego pola, twoja strona zbudowana przez AI niesie ryzyko RODO, a jedna skarga wystarczy, by je ujawnić.

Wnioski

Vibe coding jest naprawdę szybki i to właśnie ta szybkość jest pułapką. Agent wypełnia wszystko, co widać, i pomija wszystko, czego nie widać, czyli dokładnie tam, gdzie mieszka RODO. Pliki cookie przed zgodą, dane trzymane na zawsze, brak możliwości ich usunięcia: to nie są egzotyczne przypadki brzegowe, to domyślny wynik każdego agenta kodującego, i to te same uchybienia, które regulatorzy ukarali na setki milionów euro w 2025 roku.

Rozwiązaniem nie jest przestać używać agentów. Jest nim dodanie brakującego przejścia. Uruchom darmowy skill scanning-for-gdpr-compliance na swoim projekcie, pozwól mu sklasyfikować i naprawić oczywiste naruszenia, a potem daj człowiekowi przejrzeć to, co zostało. Kilka minut skanowania kosztuje znacznie mniej niż odkrycie luki z listu od regulatora.

Budujesz z więcej niż jednym agentem? Pobierz AgentsRoom, by sterować Claude Code, Codeksem i innymi z jednego kokpitu, zobacz, co każdy z nich obsługuje, w macierzy kompatybilności dostawców, i przeczytaj, jak utrzymać tempo, w vibe codingu bez tonięcia.

Pobierz AgentsRoom

Uruchamiaj swoich agentów Claude na wszystkich projektach z jednego okna.

Za darmoPobierz AgentsRoom

Aplikacja towarzyszaca: monitoruj agentów w podrozy

Pobierz z
App Store
Pobierz z
Google Play

Użyj Claude, Codex, Antigravity CLI lub innego dostawcy AI.

Zainstaluj rozszerzenie
Chrome Web Store

Wysyłaj bugi i prośby bezpośrednio do swojego publicznego backlogu.

Spojrzenie na AgentsRoom w akcji.

Wiele projektów
Multi-provider
Wielu agentów
Status na żywo
Diff i commit
Aplikacja mobilna
Podgląd na żywo
Zespoły agentów
Testy w przeglądarce
Dev oparta na backlogu
Biblioteka promptów
Biblioteka umiejętności
Zobacz wszystkie funkcje