1. Podstawy prawne — RODO, PKE i wytyczne EDPB
RODO — fundament zgody na cookies
Zgoda na cookies podlega przepisom RODO (GDPR), które w Artykule 7 RODO określa warunki ważnej zgody. Administrator musi być w stanie udowodnić, że zgoda została uzyskana. Żądanie zgody musi być przedstawione w jasnym i prostym języku, a wycofanie zgody musi być równie łatwe jak jego wyrażenie.
Kluczowy jest Motyw 32 RODO, który precyzuje standard: zgoda musi być wyrażona przez wyraźne działanie potwierdzające, takie jak zaznaczenie niezaznaczonego pola wyboru. Motyw wprost stwierdza, że „milczenie, wstępnie zaznaczone pola lub brak działania nie powinny stanowić zgody".
Wyrok Planet49 — przełomowe orzeczenie TSUE
Wyrok Trybunału Sprawiedliwości UE w sprawie Planet49 (C-673/17) z 2019 roku ostatecznie rozstrzygnął kwestię zgody na cookies:
- Wstępnie zaznaczone pola wyboru NIE stanowią ważnej zgody
- Użytkownik musi podjąć aktywne, jednoznaczne działanie
- Wymóg dotyczy WSZYSTKICH cookies, nie tylko tych przetwarzających dane osobowe
- Użytkownik musi otrzymać informację o czasie działania cookies i dostępie osób trzecich
Polskie PKE — nowe przepisy od listopada 2024
Prawo Komunikacji Elektronicznej weszło w życie 10 listopada 2024 roku, zastępując poprzednie Prawo Telekomunikacyjne. Artykuły 399-400 PKE regulują kwestię cookies:
Art. 399 PKE wymaga, aby użytkownik otrzymał jasną, jednoznaczną i zrozumiałą informację o celach stosowania cookies PRZED zebraniem zgody.
Art. 400 PKE potwierdza, że zgoda musi spełniać standardy RODO — czyli wszystkie pięć warunków ważnej zgody:
- Dobrowolna — bez negatywnych konsekwencji za odmowę
- Konkretna — dla każdego celu osobno
- Świadoma — po otrzymaniu pełnej informacji
- Jednoznaczna — wyrażona aktywnym działaniem
- Udowodniona — administrator musi móc ją wykazać
Kary w PKE
| Naruszenie | Maksymalna kara |
|---|---|
| Naruszenie Art. 399 (cookies) | 3% rocznego obrotu LUB 1 000 000 PLN |
| Odpowiedzialność osobista zarządu | Do 300% miesięcznego wynagrodzenia |
Wytyczne EDPB Cookie Banner Taskforce
W styczniu 2023 roku Europejska Rada Ochrony Danych (EDPB) opublikowała raport Cookie Banner Taskforce, który ujednolicił interpretację przepisów w całej UE. Kluczowe ustalenia:
- Brak opcji „Odrzuć" na pierwszej warstwie stanowi naruszenie
- Przycisk „Odrzuć wszystko" musi być równie widoczny jak „Akceptuj wszystko"
- Jeśli akceptacja wymaga jednego kliknięcia, odmowa też musi wymagać jednego kliknięcia
- Cookie walls (blokowanie dostępu do treści) są generalnie niedozwolone
2. Siedem obowiązkowych elementów banera cookies
Element #1: Jasna identyfikacja i informacja o celach
Baner musi wyraźnie wskazywać, że dotyczy zgody na cookies i wyjaśniać, dlaczego cookies są używane. RODO Art. 13 wymaga ujawnienia celów przetwarzania w języku zrozumiałym dla przeciętnego użytkownika.
Co musi zawierać:
- Informację, że strona używa cookies
- Ogólne kategorie celów (np. analityka, marketing, funkcjonalność)
- Wskazanie, czy dane są udostępniane podmiotom trzecim
- Czas przechowywania cookies (lub link do szczegółów)
Przykład prawidłowego tekstu:
„Używamy cookies, aby analizować ruch na stronie (Google Analytics), wyświetlać spersonalizowane reklamy (Google Ads, Facebook) i zapamiętywać Twoje preferencje. Cookies marketingowe są udostępniane naszym partnerom reklamowym."
Czego unikać:
- Żargonu technicznego („przetwarzanie oparte na prawnie uzasadnionym interesie")
- Ogólników („cookies pomagają nam ulepszać stronę")
- Ukrywania informacji o podmiotach trzecich
Element #2: Przycisk akceptacji wymagający aktywnego działania
Użytkownik musi aktywnie kliknąć, aby zaakceptować cookies. Pasywne mechanizmy (scrollowanie, przeglądanie, zamknięcie banera X) są nieważne.
Wymagania techniczne:
- Kliknięcie musi wywołać zarejestrowane zdarzenie zgody
- Log musi zawierać: timestamp, identyfikator użytkownika, wersję zgody, zaakceptowane kategorie
- RODO Art. 7(1) nakłada na administratora ciężar dowodu uzyskania zgody
Prawidłowe etykiety przycisku:
- „Akceptuję wszystkie"
- „Zgadzam się"
- „Akceptuj cookies"
Nieprawidłowe etykiety:
- „Rozumiem" (nie wyraża zgody)
- „OK" (zbyt ogólne)
- „Kontynuuj" (nie wskazuje na zgodę)
Element #3: Równie widoczny przycisk odmowy na tej samej warstwie
To najczęściej naruszany element — i główna przyczyna kar. EDPB Cookie Banner Taskforce stwierdził, że „zdecydowana większość organów uznała, że brak opcji odmowy/odrzucenia na warstwie z przyciskiem zgody stanowi naruszenie".
Kluczowe zasady:
- Jeśli „Akceptuj wszystko" wymaga jednego kliknięcia, „Odrzuć wszystko" też musi wymagać jednego kliknięcia
- Oba przyciski muszą być na tej samej warstwie (pierwszej)
- Ukrycie „Odrzuć" w „Ustawieniach" jest naruszeniem
Wymagania dotyczące równej widoczności:
| Aspekt | Przycisk „Akceptuj" | Przycisk „Odrzuć" |
|---|---|---|
| Rozmiar | Identyczny | Identyczny |
| Kolor | Wyraźny | Równie wyraźny |
| Pozycja | Widoczna | Równie widoczna |
| Liczba kliknięć | 1 | 1 |
Niedozwolone praktyki:
- ❌ Kolorowy „Akceptuj" + szary link „Odrzuć"
- ❌ Duży „Akceptuj" + mały „Odrzuć"
- ❌ „Akceptuj wszystko" + „Zarządzaj preferencjami" (bez „Odrzuć")
- ❌ „Akceptuj" na pierwszej warstwie + „Odrzuć" dopiero w ustawieniach
Orzecznictwo potwierdzające:
- Wyższy Sąd Krajowy w Kolonii (2024): opcja odmowy musi być „równie łatwo dostępna jak akceptacja"
- Austriacki sąd najwyższy (2025): kolorowy „Akceptuj" + szary link „Odrzuć" narusza RODO
Element #4: Granularne kontrole kategorii
Wytyczne EDPB 05/2020 dotyczące zgody wymagają granularnej zgody — użytkownik musi móc akceptować lub odrzucać różne kategorie cookies niezależnie. Podejście „wszystko albo nic" nie spełnia wymogu „konkretnej" zgody wynikającego z Art. 4(11) RODO.
Standardowe kategorie:
| Kategoria | Zgoda wymagana? | Opis |
|---|---|---|
| Niezbędne | NIE (zwolnione) | Sesja, bezpieczeństwo, koszyk |
| Funkcjonalne | TAK | Preferencje językowe, zapamiętane ustawienia |
| Analityczne | TAK | Google Analytics, Hotjar |
| Marketingowe | TAK | Google Ads, Facebook Pixel, remarketing |
Wymagania dla kontroli granularnej:
- Każda kategoria musi mieć osobny przełącznik (toggle)
- Kategorie niezbędne mogą być wstępnie włączone (ale nie pozostałe!)
- Pozostałe kategorie muszą być domyślnie wyłączone
- Każda kategoria musi mieć jasny opis celu
Przykładowa struktura:
☑ Niezbędne (zawsze aktywne)
Wymagane do działania strony. Nie można wyłączyć.
☐ Analityczne
Pomagają nam zrozumieć, jak użytkownicy korzystają ze strony.
☐ Marketingowe
Używane do wyświetlania spersonalizowanych reklam.
☐ Funkcjonalne
Zapamiętują Twoje preferencje i ustawienia.
Element #5: Link do szczegółowej polityki cookies
Pełna informacja o cookies może znajdować się w osobnym dokumencie, ale musi być łatwo dostępna z poziomu banera — maksymalnie dwa kliknięcia.
Co musi zawierać polityka cookies:
| Element | Opis |
|---|---|
| Lista cookies | Kompletna lista wszystkich cookies według kategorii |
| Cel każdego cookie | Dlaczego jest używany |
| First vs third-party | Czy cookie pochodzi od właściciela strony czy podmiotów trzecich |
| Czas życia | Jak długo cookie pozostaje w przeglądarce |
| Dostawca | Nazwa firmy odpowiedzialnej za cookie |
| Linki do polityk | Odnośniki do polityk prywatności podmiotów trzecich |
Przykład wpisu w polityce:
| Nazwa | Dostawca | Cel | Typ | Czas życia |
|---|---|---|---|---|
| _ga | Google Analytics | Rozróżnianie użytkowników | Analityczny | 2 lata |
| _fbp | Meta (Facebook) | Śledzenie konwersji | Marketingowy | 3 miesiące |
| PHPSESSID | Własny | Sesja użytkownika | Niezbędny | Sesja |
Element #6: Ujawnienie podmiotów trzecich z identyfikacją
Wyrok Planet49 (C-673/17) ustalił, że użytkownicy muszą wiedzieć, czy podmioty trzecie mają dostęp do ich danych. Każdy podmiot trzeci umieszczający lub odczytujący cookies musi być zidentyfikowany z nazwy.
Wymagania:
- Lista wszystkich partnerów reklamowych i analitycznych
- Linki do ich polityk prywatności
- Przy reklamach programatycznych: liczba vendorów na pierwszej warstwie
Przykład ujawnienia:
„Współpracujemy z następującymi partnerami: Google (Analytics, Ads), Meta (Facebook Pixel), Hotjar. Każdy z nich może umieszczać cookies na Twoim urządzeniu. [Zobacz pełną listę partnerów]"
Przy IAB TCF v2.2:
- Wyświetl liczbę vendorów: „Współpracujemy z 847 partnerami reklamowymi"
- Umożliw przeglądanie i zarządzanie zgodami dla każdego vendora
Element #7: Stały mechanizm wycofania zgody
RODO Art. 7(3) wymaga, aby wycofanie zgody było równie łatwe jak jej wyrażenie. EDPB rekomenduje „łatwo dostępne rozwiązanie umożliwiające wycofanie zgody w dowolnym momencie, takie jak ikona (mały, stale widoczny element) lub link umieszczony w widocznym, standardowym miejscu".
Wymagania:
- Jeśli zgoda wymagała jednego kliknięcia, wycofanie też musi wymagać jednego kliknięcia
- Mechanizm musi być stale dostępny (nie tylko przy pierwszej wizycie)
- Musi faktycznie działać — cookies muszą zostać usunięte/zablokowane
Popularne implementacje:
- Ikona/widget w rogu strony (floating button)
- Link „Ustawienia cookies" w stopce
- Sekcja w polityce prywatności z przyciskiem „Zmień ustawienia"
Częsty błąd: Przycisk „Zarządzaj cookies" istnieje, ale po kliknięciu „Odrzuć wszystko" cookies i tak się ładują. Kara CNIL nałożona na SHEIN (150 mln euro) wynikała częściowo właśnie z tego — przycisk „Odrzuć wszystko" nie działał prawidłowo.
3. Zakazane praktyki (dark patterns)
EDPB w wytycznych dotyczących dark patterns (03/2022) definiuje dark patterns jako „interfejsy i doświadczenia użytkownika prowadzące do podejmowania niezamierzonych, niechcianych i potencjalnie szkodliwych decyzji". Europejskie organy aktywnie ścigają te naruszenia.
Wstępnie zaznaczone pola wyboru
Status prawny: Całkowicie zakazane (Motyw 32 RODO, Planet49)
Cookies niezbędne NIE mogą być domyślnie włączone w kategorii wymagającej zgody. Wszystkie kategorie oprócz „Niezbędnych" muszą być domyślnie wyłączone.
Sprawa Orange Romania (C-61/19) rozszerzyła ten zakaz na umowy — wymaganie od użytkowników wypełniania dodatkowych formularzy w celu odmowy zgody „nadmiernie wpływa na swobodę wyboru".
Cookie walls (ściany cookies)
Status prawny: Generalnie zakazane
Cookie wall blokuje dostęp do treści strony, dopóki użytkownik nie zaakceptuje cookies. EDPB Guidelines 05/2020 stwierdzają, że „dostęp do usług i funkcjonalności nie może być uzależniony od zgody".
Holenderski Urząd Ochrony Danych (AP) wprost orzekł, że cookie walls tworzą niedopuszczalną sytuację „bierz albo odchodź", naruszając wymóg dobrowolności zgody.
Wyjątek: EDPB dopuszcza model „consent or pay" dla niektórych wydawców, ale z ograniczeniami. Opinia EDPB 08/2024 uznała ten model za generalnie niezgodny z RODO dla dużych platform.
Scrollowanie/przeglądanie jako zgoda
Status prawny: Całkowicie nieważne
Wytyczne EDPB 05/2020 jednoznacznie stwierdzają: „działania takie jak scrollowanie lub przesuwanie po stronie internetowej w żadnych okolicznościach nie spełniają wymogu jasnego i jednoznacznego działania".
Uzasadnienie: scrollowanie jest działaniem niejednoznacznym — może oznaczać odrzucenie, normalne przeglądanie lub przypadek. Nie może być definitywnie zinterpretowane jako zgoda.
Manipulacyjny design przycisków
Zakazane praktyki:
| Praktyka | Dlaczego narusza RODO |
|---|---|
| Duży, kolorowy „Akceptuj" + mały, szary „Odrzuć" | Asymetryczna widoczność |
| „Akceptuj" jako przycisk + „Odrzuć" jako link tekstowy | Różne elementy UI |
| Kontrast tekstu tak niski, że nieczytelny | Ukrywanie opcji |
| „Odrzuć" ukryty w drugim menu | Nierówna liczba kliknięć |
| Kolor „Odrzuć" wtapiający się w tło | Utrudnianie znalezienia |
EDPB Cookie Banner Taskforce specjalnie wskazuje banery, gdzie „kontrast między tekstem a tłem przycisku jest tak minimalny, że tekst jest nieczytelny" jako niezgodne.
Wprowadzający w błąd język
Zakazane sformułowania:
| Zakazane | Dlaczego |
|---|---|
| „Rozumiem" zamiast jasnej opcji odmowy | Nie wyraża ani zgody, ani odmowy |
| „Optymalne doświadczenie" jako nagłówek | Sugeruje korzyść z akceptacji |
| „Kontynuuj" jako jedyna opcja | Nie informuje o zgodzie |
| „Zgoda na niezbędne" | Niezbędne nie wymagają zgody |
Etykiety muszą jasno wskazywać, że użytkownik wyraża zgodę na cookies.
Wymuszanie powtórnych decyzji
Jeśli użytkownik odmówił zgody, nie można:
- Wyświetlać banera przy każdej wizycie
- Pokazywać pop-upów „Czy na pewno?"
- Utrudniać korzystania ze strony w „trybie odmowy"
Użytkownik ma prawo do jednokrotnej decyzji, która jest respektowana przez rozsądny okres (6-12 miesięcy).
4. Wymagania techniczne implementacji
Blokowanie przed zgodą jest obowiązkowe
Cookies niezbędne nie mogą ładować się przed uzyskaniem zgody. To najbardziej rygorystyczny wymóg techniczny.
CNIL ukarał SHEIN 150 mln euro częściowo dlatego, że „cookies były umieszczane na urządzeniach użytkowników odwiedzających 'shein.com' natychmiast po wejściu na stronę, jeszcze zanim weszli w interakcję z banerem informacyjnym".
Co musi być zablokowane przed zgodą:
- Google Analytics (
_ga,_gid,_gat) - Facebook (Meta) Pixel (
_fbp,_fbc) - Google Ads (
_gcl_au,_gac) - Hotjar (
_hj*) - Wszystkie cookies marketingowe i analityczne
Co może działać bez zgody (niezbędne):
- Cookies sesyjne (PHPSESSID, session_id)
- Cookies bezpieczeństwa (CSRF tokens)
- Cookies koszyka zakupowego
- Cookies preferencji językowych (dyskusyjne)
Ważne: Sam Google Tag Manager nie wystarcza — kontroluje kiedy tagi się uruchamiają, ale nie zapobiega niezależnemu wykonywaniu skryptów zewnętrznych. W praktyce kluczowe jest użycie platformy CMP, która automatycznie blokuje skrypty do momentu uzyskania zgody. Wybór odpowiedniego narzędzia zależy od specyfiki strony — jeśli rozważasz różne opcje, sprawdź nasze porównanie platform CMP, w tym popularne alternatywy dla Cookiebot.
Przechowywanie dowodów zgody
RODO Art. 7(1) wymaga, aby administrator mógł udowodnić, że zgoda została uzyskana. Wymagane dane w logu zgody:
| Pole | Opis | Przykład |
|---|---|---|
| consent_id | Unikalny identyfikator | uuid-1234-5678 |
| user_identifier | Hash sesji lub user_id | sess_abc123 |
| timestamp | Data i godzina z timezone | 2025-01-28T15:30:00+01:00 |
| consent_version | Wersja tekstu zgody | 2.4.1 |
| categories_accepted | Zaakceptowane kategorie | ["necessary", "analytics"] |
| categories_rejected | Odrzucone kategorie | ["marketing"] |
| method | Sposób wyrażenia | button_click |
| banner_text_hash | Hash wyświetlonego tekstu | sha256_xyz |
Okres przechowywania: Szwedzki IMY (Integritetsskyddsmyndigheten) wymaga 5 lat. Zalecenie: przechowuj tak długo, jak trwa przetwarzanie + dodatkowy czas na ewentualne kontrole.
Częstotliwość odnawiania zgody
| Jurysdykcja | Zalecany okres |
|---|---|
| CNIL (Francja) | 6 miesięcy |
| DPC (Irlandia) | 6 miesięcy |
| Garante (Włochy) | 6 miesięcy |
| BfDI (Niemcy) | 6-12 miesięcy |
| AEPD (Hiszpania) | Do 24 miesięcy |
| Bezpieczne dla UE | 12 miesięcy max |
Ponowna zgoda wymagana także gdy:
- Znacząco zmieniają się cele przetwarzania
- Dodawani są nowi partnerzy/vendorzy
- Istotnie zmienia się zakres danych
Google Consent Mode v2
Od marca 2024 Google wymaga pełnej implementacji Consent Mode v2 dla stron serwujących reklamy użytkownikom z EEA/UK. Egzekwowanie zaostrzyło się w lipcu 2025.
Cztery wymagane parametry:
analytics_storage— zgoda na cookies analitycznead_storage— zgoda na cookies reklamowead_user_data— zgoda na wysyłanie danych użytkownika do Google (NOWY w v2)ad_personalization— zgoda na personalizację reklam (NOWY w v2)
Konsekwencje braku Consent Mode v2:
- Utrata śledzenia konwersji (spadki 90-95%)
- Brak list remarketingowych
- Wyłączone raporty demograficzne
- Ograniczone modelowanie konwersji
Ważne: Consent Mode v2 NIE zastępuje zgodnego banera cookies — tylko przekazuje decyzje użytkownika do usług Google. Do prawidłowej implementacji potrzebujesz zarówno zgodnego banera, jak i CMP obsługującego Consent Mode v2. Certyfikowane przez Google platformy CMP — takie jak Cookiebot, CookieYes czy Usercentrics — automatycznie obsługują te parametry. Jeśli zastanawiasz się, które narzędzie wybrać, przygotowaliśmy szczegółowe zestawienie alternatyw dla Cookiebot z uwzględnieniem wsparcia dla Consent Mode v2.
5. Kary i egzekwowanie w praktyce
Najwyższe kary za cookies w 2024-2025
| Data | Firma | Kara | Naruszenie |
|---|---|---|---|
| Wrzesień 2025 | SHEIN | 150 mln € | Cookies przed zgodą, niefunkcjonalny „Odrzuć" |
| Wrzesień 2025 | 325 mln € | Reklamy Gmail bez zgody, problemy z cookies | |
| 2022 | 150 mln € | Odmowa wymagała wielu kliknięć | |
| 2022 | 60 mln € | Asymetryczny design accept/reject | |
| 2022 | Microsoft Bing | 60 mln € | Podobne naruszenia |
| 2023 | Yahoo | 10 mln € | 20+ cookies po odmowie |
| 2024 | Kruidvat (Holandia) | 600 000 € | Cookies bez zgody na stronach zdrowotnych |
| 2024 | Coolblue (Holandia) | 40 000 € | Wstępnie zaznaczone pola |
Egzekwowanie w Polsce
UODO nie nałożyło jeszcze dużych kar specyficznie za cookies, ale precedensy istnieją:
QuickClickNow — kara 47 000 € za utrudnianie wycofania zgody poprzez skomplikowane procedury. Potwierdzona przez Naczelny Sąd Administracyjny w listopadzie 2024.
T-Mobile Polska — upomnienie (marzec 2023) za nieuprawnione udostępnianie adresów IP i identyfikatorów cookies podmiotom trzecim bez zgody. Firma dodała opcję odmowy.
Pod PKE egzekwowanie cookies przechodzi do Prezesa UKE (UODO zachowuje nadzór nad ochroną danych), tworząc podwójną strukturę egzekucji. Biorąc pod uwagę datę wejścia w życie PKE (listopad 2024), wzorce egzekwowania w Polsce dopiero się kształtują.
Holenderski DPA — ostrzeżenie dla 50 organizacji
W kwietniu 2025 holenderski Urząd Ochrony Danych (AP) wysłał ostrzeżenia do 50 organizacji w sprawie wprowadzających w błąd banerów i nielegalnego śledzenia. To sygnał, że organy aktywnie monitorują zgodność.
6. Checklist zgodności 2025-2026
Checklist elementów banera
- Jasna identyfikacja — baner wyraźnie informuje o cookies i celach
- Przycisk „Akceptuj" — wymaga aktywnego kliknięcia
- Przycisk „Odrzuć" — na pierwszej warstwie, równie widoczny
- Granularne kontrole — osobne togglery dla każdej kategorii
- Link do polityki cookies — maksymalnie 2 kliknięcia
- Ujawnienie partnerów — lista podmiotów trzecich z nazwami
- Mechanizm wycofania — stały, łatwo dostępny
Checklist techniczny
- Pre-consent blocking — cookies niezbędne blokowane przed zgodą
- Consent logging — pełne logi z timestamp i szczegółami
- Consent Mode v2 — wszystkie 4 parametry zaimplementowane
- Działający „Odrzuć" — faktycznie blokuje cookies
- Retencja logów — minimum 5 lat
- Testowanie — weryfikacja w różnych przeglądarkach
Checklist design
- Równe przyciski — identyczny rozmiar i widoczność
- Brak dark patterns — żadnych manipulacyjnych praktyk
- Jasny język — zrozumiały dla przeciętnego użytkownika
- Polski tekst — baner w języku polskim dla polskich użytkowników
- Domyślnie wyłączone — kategorie nieniezbędne OFF
Checklist prawny
- Zgodność z RODO — 5 warunków ważnej zgody
- Zgodność z PKE — Art. 399-400
- Wytyczne EDPB — Cookie Banner Taskforce
- IAB TCF v2.2 — jeśli używasz reklam programatycznych
- Dokumentacja — gotowość na kontrolę UODO/UKE
7. Najczęstsze błędy polskich stron
Błąd #1: Brak przycisku „Odrzuć wszystko"
Problem: Baner ma tylko „Akceptuj wszystko" i „Ustawienia/Preferencje".
Konsekwencje: Naruszenie wytycznych EDPB, ryzyko kary do 3% obrotu.
Rozwiązanie: Dodaj przycisk „Odrzuć wszystko" na pierwszej warstwie, równie widoczny jak „Akceptuj wszystko".
Błąd #2: Asymetryczny design przycisków
Problem: „Akceptuj" to duży, kolorowy przycisk. „Odrzuć" to mały szary link.
Konsekwencje: Wyrok austriackiego sądu (2025) — naruszenie RODO.
Rozwiązanie: Oba przyciski muszą mieć identyczny rozmiar, kontrast i widoczność.
Błąd #3: Cookies ładują się przed zgodą
Problem: Google Analytics, Facebook Pixel i inne cookies uruchamiają się natychmiast po wejściu na stronę.
Konsekwencje: Kara CNIL nałożona na SHEIN (150 mln €) dotyczyła dokładnie tego naruszenia.
Rozwiązanie: Implementacja prawdziwego pre-consent blocking przez platformę CMP. Certyfikowane narzędzia CMP automatycznie blokują skrypty do momentu uzyskania zgody — jeśli nie wiesz, które rozwiązanie wybrać, zobacz nasze porównanie alternatyw dla Cookiebot.
Błąd #4: „Rozumiem" zamiast jasnych opcji
Problem: Baner ma tylko przycisk „Rozumiem" lub „OK" bez faktycznej opcji odmowy.
Konsekwencje: Nie stanowi ważnej zgody — użytkownik nie wyraża ani akceptacji, ani odmowy.
Rozwiązanie: Jasne etykiety: „Akceptuję wszystkie" / „Odrzucam wszystkie" / „Dostosuj".
Błąd #5: Wstępnie zaznaczone kategorie
Problem: Kategorie „Analityczne" i „Marketingowe" są domyślnie włączone.
Konsekwencje: Wyrok Planet49 (C-673/17) — wstępnie zaznaczone pola NIE stanowią zgody.
Rozwiązanie: Wszystkie kategorie oprócz „Niezbędnych" muszą być domyślnie WYŁĄCZONE.
Błąd #6: Brak mechanizmu wycofania
Problem: Po zamknięciu banera nie ma sposobu na zmianę decyzji.
Konsekwencje: Naruszenie RODO Art. 7(3) — wycofanie musi być równie łatwe jak wyrażenie.
Rozwiązanie: Stały widget/ikona lub link „Ustawienia cookies" w stopce.
Błąd #7: Polityka cookies po angielsku
Problem: Strona po polsku, ale polityka cookies i baner po angielsku.
Konsekwencje: Naruszenie wymogu „jasnego i prostego języka" — użytkownik musi rozumieć informację.
Rozwiązanie: Pełna lokalizacja banera i polityki cookies na język polski.
Błąd #8: Brak logowania zgód
Problem: Baner działa, ale nie ma żadnych logów potwierdzających uzyskanie zgody.
Konsekwencje: Przy kontroli administrator nie może udowodnić zgodności (RODO Art. 5(2) — zasada rozliczalności).
Rozwiązanie: Implementacja pełnego logowania z timestamp, wersją, kategoriami i metodą.
Podsumowanie
Zgodny baner cookies to nie lista kontrolna do odhaczenia — to działający system, który faktycznie blokuje cookies przed zgodą, dokumentuje uzyskane zgody i daje użytkownikom realną kontrolę.
7 obowiązkowych elementów w skrócie:
- Jasna identyfikacja i cele — co, dlaczego, jak długo
- Przycisk akceptacji — wymagający aktywnego kliknięcia
- Przycisk odmowy — równie widoczny, na pierwszej warstwie
- Granularne kontrole — osobne kategorie do wyboru
- Link do polityki — pełna lista cookies i partnerów
- Ujawnienie partnerów — kto ma dostęp do danych
- Mechanizm wycofania — stały, łatwy dostęp
Kluczowe wnioski:
Dla właścicieli stron:
- Kary sięgają 3% obrotu lub 1 mln PLN — to nie są teoretyczne ryzyka
- CNIL wydał 475 mln € kar za cookies tylko we wrześniu 2025
- Polski rynek jest pod obserwacją — PKE obowiązuje od listopada 2024
- Dobra platforma CMP rozwiązuje większość wymagań technicznych automatycznie — przegląd dostępnych opcji znajdziesz w naszym porównaniu alternatyw dla Cookiebot
Dla developerów:
- Pre-consent blocking jest obowiązkowy — GTM sam nie wystarczy
- Logowanie zgód musi zawierać pełne szczegóły przez 5 lat
- Consent Mode v2 wymaga wszystkich 4 parametrów
Dla marketerów:
- Bez zgodnego banera tracisz dostęp do danych reklamowych
- Google wymaga Consent Mode v2 — spadki 90-95% bez niego
- A/B testowanie jest legalne, ale każdy wariant musi być zgodny
Napisane przez
Redakcja CookiePilot
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.