Auto-blokowanie skryptów brzmi technicznie, ale problem jest bardzo prosty: jeśli Meta Pixel, Google Analytics albo inny tracker uruchamia się przed decyzją użytkownika, sam baner cookies nie załatwia sprawy. W praktyce zgoda musi sterować tym, co dzieje się w przeglądarce, a nie tylko przykrywać stronę komunikatem.
Ten artykuł pokazuje, jak CMP blokuje cookies przed zgodą, gdzie najczęściej pojawiają się błędy i jak testować wdrożenie po zmianach na stronie. Jeśli chcesz najpierw uporządkować wymagania prawne, zacznij od przewodnika o banerze cookies zgodnym z RODO. CookiePilot pomaga połączyć ten baner z technicznym blokowaniem skryptów, Consent Mode v2 i prostą konfiguracją dla stron oraz sklepów.
Spis treści
- Problem: trackery ładują się zanim użytkownik kliknie zgodę
- Jak działa auto-blokowanie skryptów w CMP
- GTM vs bezpośrednie skrypty na stronie
- Jak testować regresję po wdrożeniu
- Checklista wdrożenia auto-blokowania
- FAQ
Problem: trackery ładują się zanim użytkownik kliknie zgodę
Najczęstszy błąd wygląda niewinnie. Strona pokazuje ładny baner, ma przyciski Akceptuję, Odrzuć i Ustawienia, a w polityce cookies opisuje kategorie plików. Tyle że w kodzie strony Google Analytics, Meta Pixel, Hotjar, TikTok Pixel albo skrypty afiliacyjne są wklejone na stałe w head albo uruchamiają się przez GTM od razu po wejściu na stronę.
Dla użytkownika oznacza to, że decyzja w banerze jest spóźniona. Cookies i identyfikatory mogły już zostać zapisane albo odczytane, zanim użytkownik dostał realną możliwość wyboru.
To jest problem zarówno prawny, jak i techniczny. Art. 399 Prawa komunikacji elektronicznej dotyczy przechowywania informacji w urządzeniu końcowym albo uzyskiwania do nich dostępu. Oficjalny tekst ustawy znajdziesz w Dzienniku Ustaw z 2024 r.. Jeżeli przy okazji pojawia się przetwarzanie danych osobowych, dochodzi też RODO, w tym warunki zgody opisane w art. 7 RODO.
W praktyce właściciel strony powinien odpowiedzieć na trzy pytania:
| Pytanie | Co sprawdzić |
|---|---|
| Czy skrypt jest niezbędny? | Logowanie, koszyk i bezpieczeństwo zwykle mogą działać bez zgody. Marketing i analityka zwykle wymagają wyboru użytkownika. |
| Kiedy skrypt się ładuje? | Przed zgodą, po zgodzie, czy po zmianie ustawień w banerze. |
| Co dzieje się po odmowie? | Tracker nie powinien odpalać pełnego pomiaru, zapisywać marketingowych cookies ani wysyłać eventów reklamowych. |
Sama obecność CMP nie gwarantuje poprawnego stanu. CMP musi kontrolować skrypty albo przekazywać stan zgody do narzędzi, które je uruchamiają.
Jak działa auto-blokowanie skryptów w CMP
Auto-blokowanie skryptów to mechanizm, który zatrzymuje wybrane tagi do czasu, aż użytkownik wyrazi zgodę na odpowiednią kategorię. Dobra platforma CMP nie traktuje wszystkich elementów tak samo. Rozróżnia cookies niezbędne, analityczne, marketingowe i funkcjonalne, a potem uruchamia tylko te skrypty, na które użytkownik pozwolił.
Najprostszy model wygląda tak:
- Strona ładuje kod CMP możliwie wcześnie.
- CMP sprawdza, czy użytkownik ma już zapisaną decyzję.
- Jeśli decyzji nie ma, CMP ustawia domyślny brak zgody dla kategorii innych niż niezbędne.
- Skrypty oznaczone jako analityczne lub marketingowe zostają zablokowane.
- Po zgodzie CMP aktualizuje stan i uruchamia dopuszczone skrypty.
- Po odmowie skrypty pozostają zablokowane albo działają w ograniczonym trybie, jeśli narzędzie obsługuje taki model.
W kodzie strony może to oznaczać zmianę typu skryptu, dodanie atrybutu kategorii albo przeniesienie uruchamiania do GTM. Przykładowo skrypt marketingowy nie powinien być zwykłym:
<script src="https://example.com/tracker.js"></script>
Jeżeli jest wstawiony w ten sposób, przeglądarka pobierze go od razu. CMP nie zawsze zdąży go zatrzymać. Bezpieczniejszy schemat to oznaczenie skryptu jako zależnego od zgody albo uruchamianie go dopiero przez mechanizm CMP.
W CookiePilot możesz podejść do tego praktycznie: najpierw konfigurujesz kategorie zgód, potem łączysz je z tagami lub skryptami. Produkt ma też skaner cookies, który pomaga wykrywać technologie obecne na stronie, ale publiczny URL skanera trzeba potwierdzić przed linkowaniem do niego w treściach publicznych. Dlatego w tym artykule go nie podajemy.
GTM vs bezpośrednie skrypty na stronie
Najwięcej wdrożeń wpada w jeden z dwóch modeli: wszystko przez Google Tag Manager albo część przez GTM, a część ręcznie w kodzie strony. Oba modele mogą być poprawne, ale wymagają innej kontroli.
Gdy używasz Google Tag Managera
GTM jest wygodny, bo marketer może zarządzać tagami bez każdej zmiany w kodzie. Problem pojawia się wtedy, gdy kontener GTM ładuje tagi bez warunków zgody. Jeśli trigger odpala się na All Pages, tag marketingowy może wystartować zanim użytkownik wybierze cokolwiek w banerze.
Przy GTM potrzebujesz dwóch warstw kontroli:
- domyślnego stanu zgody ustawionego przed tagami Google,
- triggerów lub warunków zgody, które blokują narzędzia zewnętrzne do czasu decyzji użytkownika.
Google opisuje Consent Mode jako sposób przekazywania stanu zgody do tagów Google. Oficjalne informacje znajdziesz w dokumentacji Google Consent Mode. Jeśli korzystasz z Google Ads lub GA4, przeczytaj też nasz przewodnik po Google Consent Mode v2 oraz instrukcję wdrożenia Consent Mode v2 w Google Tag Manager.
Ważne: Consent Mode nie jest magicznym wyłącznikiem wszystkich skryptów na stronie. Dla tagów Google potrafi ograniczyć działanie i modelować dane zależnie od stanu zgody. Dla innych narzędzi, takich jak piksele reklamowe, heatmapy czy czaty, nadal musisz zadbać o realne blokowanie albo warunki uruchomienia.
Gdy skrypty są wklejone bezpośrednio
Bezpośrednie skrypty są częste w sklepach i stronach tworzonych etapami. Ktoś wkleił GA4 w szablonie, agencja dodała Meta Pixel, aplikacja od opinii dodała widget, a system afiliacyjny dopisał własny kod. Po roku nikt nie wie, co ładuje się na stronie.
W takim modelu trzeba zrobić porządek:
| Typ skryptu | Przykład | Co zrobić |
|---|---|---|
| Niezbędny | koszyk, logowanie, bezpieczeństwo | Zostawić poza zgodą, ale opisać w polityce. |
| Analityczny | GA4, statystyki, heatmapy | Uruchamiać po zgodzie analitycznej albo w trybie zgodnym z ustawieniami narzędzia. |
| Marketingowy | Meta Pixel, Google Ads remarketing, afiliacja | Blokować do zgody marketingowej. |
| Funkcjonalny | chat, mapa, wideo embed | Zależnie od dostawcy i danych, często pytać o zgodę funkcjonalną. |
Najgorszy wariant to mieszanka: część tagów blokuje CMP, część GTM, a część nadal działa z szablonu. Wtedy test w przeglądarce pokazuje cookies marketingowe mimo odmowy. Właśnie dlatego po wdrożeniu trzeba robić testy regresji, a nie tylko sprawdzić, czy baner się wyświetla.
Jak testować regresję po wdrożeniu
Regresja w cookies oznacza, że po pozornie niewinnej zmianie strona wraca do złego zachowania. Nowa wtyczka, aktualizacja motywu, kod rabatowy, czat albo integracja z marketplace mogą dodać skrypt, który omija CMP.
Test zacznij w czystej sesji przeglądarki. Otwórz stronę w trybie incognito, wyczyść cookies i nie klikaj zgody. Następnie sprawdź:
- zakładkę Application lub Storage w DevTools,
- żądania sieciowe w zakładce Network,
- eventy w Tag Assistant albo GTM Preview,
- stan Consent Mode dla
ad_storage,analytics_storage,ad_user_dataiad_personalization, - cookies po kliknięciu Odrzuć,
- cookies po kliknięciu Akceptuję,
- zachowanie po ponownym otwarciu ustawień i zmianie decyzji.
Dobrze jest testować scenariusze, a nie tylko pojedynczy ekran.
| Scenariusz | Oczekiwany wynik |
|---|---|
| Pierwsza wizyta, brak wyboru | Brak marketingowych i analitycznych cookies, stan zgody domyślnie odmowny. |
| Kliknięcie Odrzuć | Trackery pozostają zablokowane, decyzja jest zapamiętana. |
| Kliknięcie Akceptuję | Skrypty zgodne z kategoriami uruchamiają się dopiero po decyzji. |
| Zmiana ustawień | CMP aktualizuje stan zgody, a tagi reagują bez potrzeby zgadywania. |
| Nowa podstrona produktu | Zachowanie jest takie samo jak na stronie głównej. |
W e-commerce sprawdź też checkout, wyszukiwarkę, stronę produktu, landing z reklam i podstrony z osadzonymi widgetami. To tam najczęściej trafiają dodatkowe piksele.
Jeśli przygotowujesz stronę do audytu lub wewnętrznej kontroli, pomocny będzie też nasz tekst o przygotowaniu do kontroli UODO. Nie chodzi o straszenie karami. Chodzi o dowody, że zgody są zbierane i respektowane w praktyce.
Checklista wdrożenia auto-blokowania
Poniższa checklista wystarcza dla większości stron firmowych i sklepów, które korzystają z GA4, Google Ads, Meta Pixel i kilku narzędzi marketingowych.
- Zrób inwentaryzację skryptów. Sprawdź kod strony, GTM, wtyczki CMS, aplikacje sklepu i zewnętrzne widgety.
- Podziel narzędzia na kategorie. Osobno niezbędne, analityczne, marketingowe i funkcjonalne.
- Ustaw CMP jako pierwszy element zgody. Baner i domyślny stan zgody powinny pojawić się przed trackerami.
- Zablokuj skrypty przed decyzją. Nie polegaj wyłącznie na tekście w banerze.
- Skonfiguruj Consent Mode v2. Szczególnie jeśli używasz GA4, Google Ads lub tagów Google.
- Usuń duplikaty. Ten sam pixel nie powinien działać równocześnie z szablonu, GTM i wtyczki.
- Przetestuj odmowę. To najważniejszy test, bo wiele błędów widać dopiero po kliknięciu Odrzuć.
- Sprawdź wszystkie typy podstron. Home page to za mało.
- Zapisz dowody testów. Screenshoty z DevTools, lista cookies i data testu pomagają przy regresjach.
- Powtarzaj test po większych zmianach. Nowy plugin albo kampania reklamowa potrafią dodać tracker bez pytania.
CookiePilot jest dobrym wyborem, jeśli chcesz wdrożyć CMP po polsku, z obsługą RODO, PKE i Google Consent Mode v2 bez budowania całej logiki od zera. Możesz sprawdzić działanie banera w praktyce na stronie demo CookiePilot, a ceny zaczynające się od 29 PLN miesięcznie znajdziesz w cenniku CookiePilot.
FAQ
Czy auto-blokowanie skryptów jest wymagane przez RODO?
RODO nie używa nazwy auto-blokowanie skryptów, ale wymaga, żeby zgoda była realna i możliwa do udowodnienia. Jeśli tracker działa przed zgodą, trudno bronić tezy, że użytkownik miał faktyczny wybór. Przy cookies dochodzi też art. 399 PKE, który dotyczy zapisu i odczytu informacji z urządzenia.
Czy Consent Mode v2 zastępuje blokowanie cookies?
Nie w każdym przypadku. Consent Mode v2 przekazuje stan zgody do tagów Google i pozwala im działać w ograniczony sposób zależnie od decyzji użytkownika. Inne skrypty, na przykład Meta Pixel, narzędzia afiliacyjne albo heatmapy, nadal wymagają blokowania lub warunków uruchomienia.
Czy mogę wszystko obsłużyć tylko przez GTM?
Możesz, jeśli wszystkie tagi faktycznie są w GTM i mają poprawne warunki zgody. Jeśli część kodu siedzi w szablonie, wtyczkach albo aplikacjach sklepu, GTM nie zatrzyma tych skryptów. Najpierw zrób inwentaryzację, potem zdecyduj, które narzędzie kontroluje uruchamianie.
Jak często testować cookies po wdrożeniu CMP?
Minimum po każdej większej zmianie strony: nowej wtyczce, zmianie motywu, wdrożeniu kampanii reklamowej, dodaniu czatu, checkoutu albo narzędzia analitycznego. Dla sklepów dobrym rytmem jest krótki test regresji raz w miesiącu i zawsze przed dużą kampanią.
Czy skaner cookies rozwiązuje problem automatycznie?
Skaner pomaga wykryć cookies i skrypty, ale nie zastępuje konfiguracji zgód. Po skanie trzeba przypisać technologie do kategorii, ustawić blokowanie i przetestować zachowanie po odmowie oraz akceptacji. W CookiePilot skaner istnieje w produkcie, natomiast publiczny URL wymaga potwierdzenia przed linkowaniem w artykułach.
Powiązane przewodniki
- Baner cookies zgodny z RODO
- Google Consent Mode v2
- Jak wdrożyć Consent Mode v2 w Google Tag Manager
- Demo CookiePilot
- Cennik CookiePilot
Autor: Zespół CookiePilot, pomagamy polskim firmom wdrażać zgody cookies, RODO, PKE i Consent Mode v2 bez zbędnej komplikacji.
Napisane przez
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.
