Sredni polski sklep internetowy laduje 40-60 cookies przy pierwszym wejsciu, a tylko 5-8 z nich to cookies niezbedne do dzialania. Reszta to analityka, remarketing, social plugins i czesto duplikaty po nieuzywanych juz wtyczkach. Wiekszosc wlascicieli nie wie, co dokladnie sledzi ich strona, bo nikt tego nie sprawdzil od momentu wdrozenia. Audyt cookies to jedyny sposob, zeby to zmienic, i zajmuje od 30 minut (recznie) do kilku minut (automatycznie).
W tym przewodniku pokazuje, jak przeprowadzic audyt cookies na trzy sposoby: recznie w DevTools, automatycznie skanerem, i kompletnie z analiza zgodnosci. Artykul jest czescia szerszego przewodnika Baner Cookies a RODO i koncentruje sie na warstwie technicznej.
Spis tresci
- Co to jest audyt cookies i kiedy go robic
- Audyt reczny w DevTools — krok po kroku
- Audyt automatyczny — narzedzia i porownanie
- Klasyfikacja znalezionych cookies
- Najczestsze problemy wykrywane podczas audytu
- Audyt cookies na WordPress, Shoper i WooCommerce
- Jak czesto powtarzac audyt
- Audyt jako element przygotowania do kontroli UODO
- Podsumowanie
Co to jest audyt cookies i kiedy go robic
Audyt cookies to systematyczne sprawdzenie, jakie pliki cookies, skrypty trackingowe i magazyny lokalne (localStorage, sessionStorage, IndexedDB) sa ladowane na Twojej stronie, kiedy sa ladowane (przed zgoda czy po) i czy zgadzaja sie z deklaracja w polityce cookies.
Pelny audyt odpowiada na piec pytan:
- Jakie cookies laduja sie na stronie glownej, koszyku, checkoutie, blogu, kontakcie?
- Czy ktorekolwiek z nich laduja przed zgoda uzytkownika?
- Do jakiej kategorii naleza (niezbedne, analityczne, marketingowe, funkcjonalne)?
- Czy polityka cookies wymienia wszystkie znalezione cookies?
- Czy odrzucenie zgody faktycznie blokuje cookies marketingowe i analityczne?
Kiedy zrobic audyt:
- Po wdrozeniu nowego CMP albo zmianie banera cookies.
- Po dodaniu nowego skryptu marketingowego (Pixel, Hotjar, GTM, czat).
- Po migracji sklepu (np. z WooCommerce na Shoper, z Shopify na PrestaShop).
- Przed planowana kontrola UODO lub po otrzymaniu pisma od urzedu.
- Cyklicznie — minimum raz na kwartal, optymalnie raz w miesiacu.
UODO publikuje plan kontroli sektorowych co roku i w 2026 jednym z obszarow sa platformy posrednictwa internetowego, w tym e-commerce. Sklepy w branzach, ktore trafiaja do planu kontroli, powinny zaplanowac audyt cookies natychmiast.
Audyt reczny w DevTools — krok po kroku
Audyt reczny w narzedziach deweloperskich przegladarki to najtanszy i najbardziej dokladny sposob na pierwsze rozeznanie. Zajmuje 20-40 minut na sklep i nie wymaga zadnego narzedzia poza Chrome lub Firefox.
Chrome / Edge / Brave (silnik Chromium)
Krok 1: otworz strone w trybie incognito. Tryb incognito gwarantuje czyste srodowisko bez cookies z poprzednich wizyt. Wpisz adres recznie — nie klikaj w zakladki ani historie.
Krok 2: otworz DevTools przed akceptacja banera. F12 lub Ctrl+Shift+I (Windows/Linux), Cmd+Option+I (Mac). Przejdz do zakladki Application > Storage > Cookies > Twoja domena. Zobaczysz cookies, ktore zaladowaly sie zanim klinkales cokolwiek na banerze. To najwazniejszy moment audytu, bo te cookies pojawily sie bez zgody.
Krok 3: zapisz liste cookies przed zgoda. Skopiuj kolumny Name, Domain, Expires, Size do arkusza. Kazdy cookie spoza Twojej domeny (np. _ga z google.com, _fbp z facebook.com) jest podejrzany — niezbedne cookies zwykle pochodza z Twojej domeny.
Krok 4: sprawdz Network > Fetch/XHR i All. Filtruj po analytics, pixel, googletagmanager, hotjar, clarity. Zadanie do tych domen przed zgoda oznacza, ze skrypt sledzacy juz dziala, nawet jesli cookie jeszcze sie nie ustawil.
Krok 5: sprawdz localStorage i sessionStorage. Application > Storage > Local Storage i Session Storage. Hotjar, Microsoft Clarity i niektore narzedzia A/B testowe zapisuja identyfikatory tutaj, omijajac klasyczne skanery.
Krok 6: kliknij "Akceptuj wszystko" na banerze. Powtorz krok 2-5. Teraz lista bedzie znacznie dluzsza. To Twoj kompletny inwentarz po pelnej zgodzie.
Krok 7: zamknij przegladarke, otworz nowy tryb incognito, kliknij "Odrzucam". Powtorz krok 2-5. Lista powinna byc identyczna lub niemal identyczna z lista z kroku 2 (cookies przed zgoda). Jesli po odrzuceniu pojawiaja sie cookies analityczne lub marketingowe — masz powazny problem ze zgodnoscia.
Google w dokumentacji Privacy Sandbox opisuje ten sam workflow dla deweloperow przygotowujacych sie na zmiany w third-party cookies.
Firefox
W Firefoksie procedura jest analogiczna, ale interfejs lezy w innym miejscu. F12 > Storage > Cookies. Network > zakladka Network z filtrem cookie. Storage Inspector w Firefoksie ma dodatkowa funkcje "Delete All" dla wszystkich cookies w jednej domenie, ktora przyspiesza testy zgody.
Co konkretnie zapisac w arkuszu
Stworz prosty arkusz z kolumnami: Nazwa cookie, Domena, Czas zycia, Kategoria (niezbedne / analityczne / marketingowe / funkcjonalne), Zrodlo (np. "Google Analytics 4", "Meta Pixel", "Wtyczka X"), Zaladowane przed zgoda? (Tak/Nie), Wymienione w polityce cookies? (Tak/Nie). Te kolumny daja podstawe do dalszych dzialan.
Audyt automatyczny — narzedzia i porownanie
Reczny audyt jest dokladny, ale skaluje sie zle. Jesli masz sklep z 50 podstronami albo 10 sklepow w agencji, potrzebujesz skanera, ktory automatycznie odwiedza wiele URL-i, kategoryzuje cookies i generuje raport.
Najwazniejsze narzedzia dostepne w 2026:
| Narzedzie | Typ | Cena | Skanowanie wielu podstron | Polski jezyk | Pasuje do |
|---|---|---|---|---|---|
| CookiePilot scanner | freemium | od 0 PLN | tak (do 1000 URL) | tak | sklepy PL, agencje |
| Cookiebot Cookie Checker | darmowy | 0 EUR | nie (1 URL) | nie | szybki spot-check |
| CookieYes Cookie Scanner | freemium | od 10 USD/m | tak (limit) | nie | malo wymagajace strony |
| CookieServe | darmowy | 0 EUR | nie (1 URL) | nie | jednorazowe sprawdzenie |
| Cookie-Script Scanner | platny | od 7 EUR/m | tak | nie | malo wymagajace strony |
| OneTrust Cookie Compliance | enterprise | od kilku tys EUR/r | tak | tak | korporacje |
Linki do narzedzi konkurencyjnych:
- Cookiebot Cookie Checker
- CookieYes Free Cookie Checker
- CookieServe
- Cookie-Script
- OneTrust Cookie Compliance
Co rozni darmowe checkery od profesjonalnych skanerow:
Darmowe checkery (Cookiebot, CookieYes, CookieServe) odwiedzaja jednorazowo jedna podstrone — zwykle strone glowna — i wypisuja cookies. Nie sprawdzaja koszyka, checkoutu, podstron z osadzonym YouTubem ani podstron logowanych. Dla mikro-strony korporacyjnej to wystarczy. Dla sklepu z 200 produktami i osadzonymi mapami w stopce — nie.
Profesjonalne skanery (CookiePilot, Cookiebot Premium, OneTrust) crawluja cala strone, sprawdzaja kazda znaleziona podstrone, automatycznie kategoryzuja cookies wedlug bazy danych ze setkami tysiecy znanych cookies, i robia to cyklicznie (np. raz w miesiacu).
CookiePilot udostepnia takze darmowy skaner cookies dla polskich sklepow z polska kategoryzacja i polskim raportem zgodnosci. Skaner crawluje do 1000 podstron i porownuje znalezione cookies z polityka cookies wykryta na stronie, wskazujac mismatche.
Klasyfikacja znalezionych cookies
Sama lista cookies nie jest jeszcze audytem. Audyt powstaje wtedy, kiedy do listy dopiszesz kategorie i zrodlo. Bez kategoryzacji nie wystawisz banera, ktory blokuje cookies marketingowe i przepuszcza niezbedne.
Klasyczny podzial RODO i wytycznych EROD:
- Niezbedne (essential / strictly necessary) — sesja, koszyk, CSRF, wybor jezyka, akceptacja banera. Nie wymagaja zgody.
- Funkcjonalne (preferences) — zapamietanie waluty, ulubionych, ustawien interfejsu. Wymagaja zgody (poza niezbedna funkcjonalnoscia).
- Analityczne (statistics) — Google Analytics, Hotjar, Clarity, Matomo (poza wyjatkami). Wymagaja zgody.
- Marketingowe (marketing) — Meta Pixel, Google Ads, LinkedIn Insight, TikTok Pixel. Wymagaja zgody.
Pelny przeglad kategorii i konkretnych cookies w kazdej z nich znajdziesz w naszym przewodniku Kategorie cookies — jak je poprawnie klasyfikowac. Klasyfikacja jest sercem audytu: zle zaklasyfikowany cookie marketingowy wpada do "niezbednych" i ladowany jest bez zgody, co stanowi naruszenie.
Najczestsze problemy wykrywane podczas audytu
Po przeprowadzeniu kilkuset audytow pewne wzorce pojawiaja sie w kazdym audycie sklepu, ktory wczesniej nie byl audytowany.
1. Cookies sledzace przed zgoda. Najczestsza i najgrozniejsza wpadka. Google Analytics, Meta Pixel, Hotjar, czat na zywo — czesto laduja sie automatycznie razem z <head> strony, zanim uzytkownik dotknie banera. To naruszenie art. 173 Prawa Telekomunikacyjnego i wytycznych EROD. Rozwiazanie to integracja CMP z Google Tag Managerem i Consent Mode v2, ktory blokuje skrypty do momentu zgody.
2. Mismatch miedzy polityka cookies a rzeczywistoscia. Polityka mowi o 12 cookies. Skaner znajduje 47. Roznica to zwykle skrypty dodane przez agencje marketingowa, ktore nigdy nie trafily do polityki. UODO sprawdza to wprost — porownuje deklarowana polityke z tym, co widzi na stronie. Aktualizacja polityki cookies powinna byc czescia kazdego audytu — zobacz nasz szablon polityki cookies.
3. Cookies po odrzuceniu zgody. Uzytkownik klika "Odrzucam wszystko", a Google Analytics i Pixel nadal sie laduja. To znak, ze CMP nie jest poprawnie zintegrowany z tagami albo sklep ma rownolegly wstrzykiwany skrypt (np. przez wtyczke), ktory ignoruje CMP.
4. Cookies "third-party" o nieznanym pochodzeniu. Cookies z domen, ktorych nigdzie nie wpisales — to zwykle relikt po wtyczce odinstalowanej miesiac temu, po dawnym czacie albo po pixelu reklamowym wlasciciela strony partnerskiej. Audyt pozwala je wytropic i usunac.
5. localStorage z identyfikatorami marketingowymi. Niektore skrypty (Hotjar, niektore platformy A/B testowe) zapisuja identyfikator uzytkownika w localStorage zamiast cookie wlasnie po to, by uniknac wykrycia. To czesto pomijane w audytach, ale UODO traktuje localStorage tak samo jak cookies.
Konsekwencje finansowe sa konkretne — szczegoly w artykule Co tracisz bez Consent Mode v2.
Audyt cookies na WordPress, Shoper i WooCommerce
Kazda platforma ma swoja specyfike i wnosi wlasne cookies przez wtyczki, motywy i integracje.
WordPress / WooCommerce
WordPress sam w sobie ustawia kilka cookies sesyjnych (wordpress_logged_in_*, wp-settings-*). WooCommerce dorzuca woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_*. Wszystkie sa niezbedne.
Problem zaczyna sie z wtyczkami. Yoast SEO, Elementor, popularne wtyczki kontaktowe i analityczne dorzucaja cookies, czesto bez ostrzezenia. Po audycie typowy WooCommerce ma 30-50 cookies, z czego 10-15 pochodzi z wtyczek dodanych ad hoc. Praktyczne kroki:
- Zrob liste aktywnych wtyczek.
- Dla kazdej sprawdz w dokumentacji, czy ustawia cookies (zwykle sekcja "Privacy" albo "GDPR").
- Po audycie wylacz wtyczki, ktorych cookies nie sa Ci potrzebne, albo zablokuj ich skrypty przez CMP.
Krok po kroku integracje znajdziesz w przewodniku Consent Mode v2 na WordPress.
Shoper
Shoper to sklep SaaS, wiec masz mniej kontroli nad cookies platformowymi, ale zwykle masz pelna kontrole nad skryptami marketingowymi w sekcji "Skrypty zewnetrzne". Audyt Shopera koncentruje sie wlasnie na tej sekcji — zwykle 80% nieautoryzowanych cookies pochodzi z trzech-czterech skryptow GTM, Pixel, Hotjar wklejonych tam bezposrednio. Integracja przez CMP opisana jest w przewodniku Consent Mode v2 na Shoper.
PrestaShop / Magento
PrestaShop ma rozbudowany system modulow i podobnie jak WordPress kazdy modul moze dorzucac cookies. Magento zwykle ma stack korporacyjny (Adobe Analytics, integracje CRM) i audyt jest bardziej zlozony.
Niezaleznie od platformy, schemat jest ten sam: wylistuj rozszerzenia/moduly/wtyczki, dla kazdej ustal cookies, sprawdz w skanerze, zaktualizuj polityke i baner.
Jak czesto powtarzac audyt
Pelny audyt cookies powinien sie odbywac:
- Raz na kwartal dla stabilnej strony bez wiekszych zmian.
- Raz w miesiacu dla aktywnego e-commerce z czesto dodawanymi promocjami i skryptami remarketingowymi.
- Po kazdym deployu, ktory dotyka warstwy frontendu, GTM-a albo wtyczek.
- Przed kazda kampania reklamowa, ktora wprowadza nowy pixel (np. nowy kanal — TikTok, Pinterest).
- Przed zapowiedziana kontrola UODO — minimum 30 dni przed planowana wizyta, zeby miec czas na poprawki.
- Po skardze konsumenckiej. UODO regularnie wszczyna postepowania na podstawie zgloszen uzytkownikow. Audyt po takiej skardze pozwala szybko zlokalizowac problem.
CookiePilot oferuje automatyczne miesieczne skany z mailowym raportem zmian — jesli pomiedzy skanami pojawi sie nowy cookie albo zniknie stary, dostajesz powiadomienie. Wiekszosc nieprawidlowosci pojawia sie wlasnie miedzy audytami, kiedy ktos dorzuci skrypt bez procedur.
Audyt jako element przygotowania do kontroli UODO
UODO co roku publikuje plan kontroli sektorowych, a inspektorzy regularnie sprawdzaja banery cookies, polityki prywatnosci i rzeczywiste zachowanie strony. Audyt jest pierwszym krokiem przygotowania.
Co konkretnie kontroler sprawdza i co audyt powinien pokryc:
| Co sprawdza UODO | Co weryfikuje audyt cookies |
|---|---|
| Czy cookies laduja sie przed zgoda | Test w trybie incognito + DevTools |
| Czy odrzucenie dziala | Powtorny test po kliknieciu "Odrzucam" |
| Czy polityka cookies jest aktualna | Porownanie listy znalezionej z polityka |
| Czy kazdy cookie ma wskazany cel i czas zycia | Klasyfikacja w arkuszu audytowym |
| Czy "Akceptuj" i "Odrzuc" sa rownorzednie wyeksponowane | Audyt UI banera (osobna warstwa, nie obejmuje sama liste cookies) |
Pelny przewodnik przygotowania do inspekcji znajdziesz w artykule Kontrola UODO Cookies — jak przygotowac strone na inspekcje. Audyt cookies jest tam pozycja numer jeden na checkliscie.
Wytyczne EROD dotyczace cookies precyzuja, ze obowiazek zgody dotyczy nie tylko klasycznych cookies, ale takze localStorage, fingerprintingu, pixel tags i lokalnego buforowania danych — audyt powinien pokrywac wszystkie te warstwy, nie tylko klasyczna zakladke "Cookies" w DevTools.
Podsumowanie
- Wlasciciele sklepow internetowych: zacznij od audytu recznego w DevTools w trybie incognito. Zajmie 30 minut i pokaze najgrubsze problemy. Potem wlacz automatyczny skaner z miesiecznymi raportami.
- Developerzy: audyt powinien byc czescia procedury deployu. Po kazdym wdrozeniu skrypty marketingowe moga sie pojawic albo zniknac. Zautomatyzuj sprawdzanie cookies w pipeline lub minimum w checkliscie post-deploy.
- Marketerzy i agencje: prowadzisz wiele sklepow klientow, kazdy ma wlasny stack. Skaner cykliczny i raport zmian to jedyny sposob, zeby utrzymac kontrole. Audyt rozliczalny voboec klienta to konkurencyjny atut.
CookiePilot udostepnia darmowy skaner cookies z polska kategoryzacja, automatyczne miesieczne audyty oraz integracje z Consent Mode v2, ktore razem zamykaja petle: znajdz cookies, sklasyfikuj, zablokuj nieautoryzowane, monitoruj zmiany. Zobacz pelna funkcjonalnosc CookiePilot albo porownaj plany na stronie cennika.
Powiazane przewodniki
- Baner Cookies a RODO — kompletny przewodnik — pillar artykul o zgodnosci banera
- Kategorie cookies — jak poprawnie klasyfikowac — drugi krok po audycie
- Kontrola UODO Cookies — jak sie przygotowac — audyt to fundament inspekcji
- Polityka cookies — szablon do skopiowania — dokument do aktualizacji po audycie
- Co tracisz bez Consent Mode v2 — dlaczego zle skonfigurowane cookies kosztuja realne pieniadze
FAQ
Jak czesto trzeba robic audyt cookies?
Minimum raz na kwartal i zawsze po wiekszych zmianach na stronie: dodaniu nowego skryptu marketingowego, instalacji wtyczki, migracji platformy, zmianie operatora platnosci. CookiePilot i wiekszosc skanerow umozliwia automatyczne skanowanie co miesiac. Po stwierdzonych nieprawidlowosciach (np. mismatch miedzy polityka cookies a rzeczywistymi cookies) audyt powinien byc powtorzony niezwlocznie po wprowadzeniu poprawek.
Czy darmowe skanery cookies wystarcza dla malego sklepu?
Dla jednorazowego sprawdzenia tak. Darmowe skanery (Cookiebot Cookie Checker, CookieYes Free, CookieServe) daja liste cookies na podstronie, ktora odwiedza ich bot. Problem: skanuja zwykle tylko strone glowna, nie sprawdzaja koszyka, checkoutu ani podstron z osadzonymi YouTube czy Mapami. Do regularnego monitoringu potrzebujesz skanera ze zaplanowanymi skanami miesiecznymi i logiem zmian.
Co zrobic, gdy audyt wykryl cookies sledzace przed zgoda?
To najczestsza nieprawidlowosc i klasyczne naruszenie art. 173 Prawa Telekomunikacyjnego oraz art. 6 RODO. Krok 1: zidentyfikuj zrodlo (Google Analytics, Pixel Meta, Hotjar, wtyczka spolecznosciowa). Krok 2: zablokuj skrypt do momentu zgody, najlepiej przez integracje CMP z Google Tag Managerem i Consent Mode v2. Krok 3: powtorz audyt w trybie incognito po odrzuceniu zgody, zeby potwierdzic, ze cookies nie wracaja.
Czy audyt cookies pokrywa rowniez localStorage i sessionStorage?
Powinien. Wiele narzedzi marketingowych (Hotjar, Clarity, niektore A/B testy) zapisuje dane w localStorage zamiast cookies wlasnie po to, by ominac klasyczne skanery. UODO i EROD traktuja localStorage tak samo jak cookies, jesli zawiera identyfikator urzadzenia. W DevTools sprawdz Application > Storage > Local Storage i Session Storage. CookiePilot skanuje wszystkie trzy magazyny.
Ile cookies powinien miec sredni sklep internetowy?
Niezbednych: 5-10 (sesja, koszyk, CSRF, wybor jezyka, akceptacja cookies). Calkowicie po pelnej zgodzie: 30-80 dla typowego sklepu z Google Analytics, Meta Pixel, remarketingiem i czatem. Powyzej 100 cookies oznacza zwykle nieuporzadkowany stack marketingowy lub wtyczke, ktora dubluje skrypty. Audyt pomaga znalezc takie smieci i je usunac.
Autor: Zespol CookiePilot — pomagamy polskim firmom wdrozyc zgodnosc z RODO i Consent Mode v2 bez bolu glowy.
Napisane przez
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.