Safari blokuje 100% third-party cookies od marca 2020 roku. Firefox aktywuje Total Cookie Protection domyslnie od czerwca 2022. Chrome miakal w 2024 — Google ogloszilo, ze nie zlikwiduje third-party cookies, a w pazdzierniku 2025 wycofalo czesc API Privacy Sandbox z powodu niskiej adopcji. Mimo to wiekszosc uzytkownikow Chrome i tak je blokuje. Jesli prowadzisz reklamy lub mierzysz konwersje, roznica miedzy first-party a third-party cookies decyduje o tym, ile danych w ogole zobaczysz.
Ten przewodnik tlumaczy, czym roznia sie te dwa rodzaje cookies, jak wygladaja w praktyce na polskich stronach i co zrobic z faktem, ze third-party powoli odchodzi do historii. Jesli dopiero zaczynasz, zacznij od artykulu o banerze cookies zgodnym z RODO, ktory tlumaczy podstawy prawne. Tutaj idziemy glebiej w warstwe techniczna.
Spis tresci
- Co to jest cookie first-party
- Co to jest cookie third-party
- Tabela porownawcza first-party vs third-party
- Praktyczne przyklady (GA4, Meta Pixel, server-side)
- Dlaczego przegladarki blokuja third-party
- Co to oznacza dla Twojej strony
- First-party + Consent Mode v2
- Migracja z third-party na first-party (server-side tagging)
- Czy first-party cookies sa lepsze dla RODO
- Podsumowanie
- FAQ
Co to jest cookie first-party
Cookie first-party (cookie pierwszej strony) to plik tekstowy ustawiany przez domene, na ktorej aktualnie sie znajdujesz. Jesli wchodzisz na twojsklep.pl, kazde cookie z tej samej domeny (twojsklep.pl, .twojsklep.pl, cdn.twojsklep.pl) jest first-party.
Z perspektywy przegladarki to cookie "wlasne". Strona, na ktorej jestes, sama je ustawia i sama z niego czyta. Przegladarka traktuje je z zaufaniem.
Typowe first-party cookies:
PHPSESSID— sesja uzytkownika (logowanie, koszyk)_ga— identyfikator GA4 (ustawiony na Twojej domenie)cookie_consent— zapis zgody z banerucart_id— koszyk w sklepiecsrf_token— zabezpieczenie przed CSRF
First-party cookie moze ustawic:
- Serwer poprzez naglowek
Set-Cookiew odpowiedzi HTTP. Te zyja najdluzej, do 400 dni nawet w Safari. - JavaScript poprzez
document.cookie. W Safari sa ograniczone do 7 dni (ITP 2.1+).
Roznica miedzy serwerowym a klientowym ustawianiem cookies ma w 2026 olbrzymie znaczenie. Wrocimy do tego w sekcji o server-side taggingu.
Co to jest cookie third-party
Cookie third-party (cookie trzeciej strony) to cookie ustawiane przez domene inna niz ta, na ktorej sie znajdujesz. Jesli przegladasz twojsklep.pl, a w kodzie strony jest <iframe src="facebook.com/..."> lub <script src="connect.facebook.net">, to cookie ustawione przez facebook.com na Twojej stronie jest third-party.
Z perspektywy przegladarki to cookie "obce". Inna domena ma dostep do informacji o tym, ze odwiedziles twojsklep.pl. Jesli ta sama domena (np. Meta) jest osadzona na 1000 innych stronach, moze sledzic Twoja sciezke przez calosc internetu. Stad nazwa "tracking cookies".
Typowe third-party cookies (przed blokadami):
_fbp— Facebook Pixel (ale pod warunkiem; w domyslnej konfiguracji to first-party na Twojej domenie)IDE,DSID— Google DoubleClickMUID— Microsoft / Bing Ads_ttp— TikTok Pixellidc— LinkedIn
Wazne: niektore "tracking pixels" (jak Meta Pixel czy Google Tag) sa wprowadzane do strony jako skrypt, ktory ustawia cookie na Twojej domenie. Z perspektywy przegladarki to first-party. Dane jednak i tak ida do dostawcy zewnetrznego (Meta, Google), wiec z perspektywy RODO jest to nadal przetwarzanie przez procesora i wymaga zgody. Wiecej o tym, co jest "niezbedne" a co "marketingowe" znajdziesz w przewodniku po kategoryzacji cookies.
Tabela porownawcza first-party vs third-party
| Cecha | First-party | Third-party |
|---|---|---|
| Kto ustawia | Domena strony, na ktorej jestes | Domena trzecia (osadzony skrypt/iframe) |
| Domena cookie | .twojsklep.pl | .facebook.com, .doubleclick.net |
| Blokowane w Safari | Nie (ale JS-owe ograniczone do 7 dni) | Tak, od 2020 (100%) |
| Blokowane w Firefox | Nie | Tak, izolowane od 2022 (Total Cookie Protection) |
| Blokowane w Chrome | Nie | Domyslnie nie, ale uzytkownik moze zablokowac |
| Blokowane przez adblockery | Czesto przepuszczane | Blokowane masowo (40%+ sesji) |
| Trwalosc max | 400 dni (HTTP), 7 dni (JS w Safari) | Krotka, czesto sesyjna |
| Wymaga zgody (RODO) | Tak, jesli nie sa niezbedne | Tak, jesli nie sa niezbedne |
| Cele | Sesja, preferencje, analytics, koszyk | Cross-site tracking, retargeting, ad networks |
| Przyszlosciowe | Tak | Wygasajace |
Praktyczne przyklady (GA4, Meta Pixel, server-side)
W praktyce granica miedzy first a third-party bywa mglista. Oto trzy realne przyklady z polskich sklepow.
Przyklad 1. GA4 standard
Wkleiles na strone tag GA4 z GTM. JavaScript GA4 ustawia cookie _ga na Twojej domenie (.twojsklep.pl). To first-party cookie. Dane sa wysylane do google-analytics.com, ale sam plik cookie zyje na Twojej domenie.
Konsekwencja: Safari nie blokuje samego cookie, ale skraca jego zycie do 7 dni (bo ustawiono je przez JS). Po tygodniu uzytkownik wraca jako "nowy". Twoje raporty pokazuja zawyzona liczbe nowych uzytkownikow.
Przyklad 2. Meta Pixel klasyczny
Wkleiles <script src="https://connect.facebook.net/en_US/fbevents.js">. Meta Pixel ustawia cookie _fbp na Twojej domenie (first-party), ale tez wysyla zadania do facebook.com, ktore proboja ustawic cookie _fbc po stronie Meta (third-party).
Konsekwencja: w Safari _fbc ginie. W Firefox jest izolowany. Tracisz mozliwosc cross-site retargetingu. Dane konwersji wracajace do Meta sa niekompletne, co psuje optymalizacje kampanii. To jest dokladnie problem, ktory rozwiazuje Consent Mode v2 w polaczeniu z Conversions API.
Przyklad 3. Server-side tagging (sGTM)
Skonfigurowales subdomene metrics.twojsklep.pl z kontenerem GTM Server na Cloud Run. Tag GA4 wysyla dane do metrics.twojsklep.pl, a stamtad serwer przekazuje je do Google. Cookie _ga jest ustawiane przez serwer (Set-Cookie HTTP).
Konsekwencja: cookie zyje 400 dni nawet w Safari. Adblockery nie blokuja zadan do Twojej wlasnej domeny tak agresywnie jak do google-analytics.com. Dane konwersji sa o 30-40% pelniejsze, szczegolnie na iOS.
| Implementacja | Cookie | Trwalosc Safari | Adblock bypass |
|---|---|---|---|
| GA4 standard (gtag.js) | first-party JS | 7 dni | Slabo |
| GA4 + sGTM Cloud Run | first-party HTTP | do 400 dni | Dobrze |
| Meta Pixel klient | mieszane | 7 dni / blokada | Slabo |
| Meta CAPI + sGTM | first-party HTTP + serwer-do-serwer | 400 dni + niezalezne od cookies | Bardzo dobrze |
Dlaczego przegladarki blokuja third-party
To nie jest decyzja jednego dostawcy. Trzy najwieksze przegladarki podjely rozne sciezki, ale efekt jest podobny.
Apple Safari — ITP od 2017
Apple wprowadzilo Intelligent Tracking Prevention (ITP) we wrzesniu 2017. Kazdy kolejny rok dorzucal kolejne ograniczenia. Najwazniejsze daty:
- Safari 13.1 (marzec 2020) — pelna blokada third-party cookies. To byla pierwsza glowna przegladarka, ktora to zrobila domyslnie. Apple opisalo to w oficjalnym blogu WebKit.
- Safari 14 (2020) — ograniczenie cookies ustawianych przez JS do 7 dni.
- Safari 16+ (2022) — link decoration blocked: Safari nie zapisuje cookies, jesli URL zawiera parametry sledzace jak
fbclid.
W 2026 Apple kontynuuje zaostrzanie, w tym dodatkowe restrykcje na storage w iframe.
Mozilla Firefox — Total Cookie Protection od 2022
Firefox wprowadzil Total Cookie Protection (TCP) w wersji 91 (sierpien 2021), a od czerwca 2022 wlaczyl ja domyslnie dla wszystkich uzytkownikow. TCP nie blokuje third-party cookies wprost, ale izoluje je per-site w osobnych kontenerach. Cookie _fbp ustawione na sklepA.pl jest niewidoczne dla Meta Pixela na sklepB.pl. Z perspektywy reklamodawcy to to samo co blokada — cross-site tracking nie dziala.
Wiecej w dokumentacji Mozilla na temat Enhanced Tracking Protection.
Google Chrome — Privacy Sandbox i zwrot z 2024
Chrome od 2020 obiecywal eliminacje third-party cookies. Plan zmienial sie szesc razy. Najwazniejsze daty:
- Lipiec 2024 — Google oglasza, ze nie zlikwiduje third-party cookies. Zamiast tego planuje "user choice" prompt.
- Kwiecien 2025 — Google porzuca tez plan z promptem dla uzytkownikow.
- Pazdziernik 2025 — Google ogloszilo wycofanie czesci Privacy Sandbox API (Topics API, Attribution Reporting, IP Protection) z powodu niskiej adopcji.
Stan na 2026: third-party cookies w Chrome zostaja, ale wszyscy duzi reklamodawcy juz zainwestowali w server-side tagging, Conversions API i alternatywy. Wiekszosc uzytkownikow Chrome blokuje je manualnie. Wiecej szczegolow w oficjalnym update Privacy Sandbox.
Co to oznacza dla Twojej strony — konkretne konsekwencje
Jesli prowadzisz e-commerce w Polsce, w 2026 zalezy Ci na czterech rzeczach:
- Pomiar konwersji w GA4 — bez first-party cookies tracisz dane o powracajacych uzytkownikach. Bez Consent Mode v2 tracisz nawet zmodelowane dane.
- Optymalizacja Meta Ads — bez Conversions API tracisz 30-50% sygnalow konwersji na iOS.
- Optymalizacja Google Ads (Smart Bidding) — wymaga jakosciowych danych konwersji, ktore w 2026 ida przez first-party + sGTM.
- Retargeting — third-party w Safari/Firefox nie istnieje. Polowa polskich uzytkownikow mobile to iOS.
Praktyczna konsekwencja: jesli Twoja strona ma 100 000 odwiedzin miesiecznie, a 50% to Safari/iOS, to dla polowy ruchu kazda kampania retargetingowa oparta na third-party cookies jest niewidoczna. Nawet w Chrome dziala adblock w 30-40% sesji. Jesli polegasz na third-party, widzisz okolo 40% rzeczywistych konwersji. To nie jest abstrakcja, to bezposredni wplyw na ROAS.
Jesli planujesz wdrozenie CMP, zacznij od wyboru rozwiazania zgodnego z Consent Mode v2. Praktyczne kryteria w przewodniku jak wybrac CMP.
First-party + Consent Mode v2 — jak to dziala
Consent Mode v2 to mechanizm Google, ktory pozwala tagom Google dzialac w trybie "ograniczonym" gdy uzytkownik nie wyrazil zgody. Tagi nie ustawiaja wtedy persistentnych cookies, ale wysylaja "cookieless ping" do Google. Dane sa modelowane (ML uzupelnia luki).
Co istotne, Consent Mode v2 dziala glownie z first-party cookies (_ga, _gcl_au). Gdy zgoda jest udzielona, cookies sa zapisywane normalnie. Bez zgody — tagi sie ladujac, ale bez cookies.
// Stan domyslny (przed zgoda)
gtag('consent', 'default', {
'ad_storage': 'denied',
'analytics_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied'
});
// Po zgodzie
gtag('consent', 'update', {
'ad_storage': 'granted',
'analytics_storage': 'granted',
'ad_user_data': 'granted',
'ad_personalization': 'granted'
});
Parametr ad_storage kontroluje cookies marketingowe (w tym Google DoubleClick — historycznie third-party). analytics_storage kontroluje GA4 (first-party _ga). Jesli chcesz wdrozyc to poprawnie, sprawdz pelny przewodnik po Consent Mode v2 i krok po kroku wdrozenie w GTM.
Migracja z third-party na first-party (server-side tagging)
Server-side tagging (sGTM) to dzis standard w sredniej i duzej e-commerce. Polega na uruchomieniu wlasnego kontenera GTM po stronie serwera (najczesciej Google Cloud Run) i kierowaniu danych przez subdomene Twojej strony.
Architektura w skrocie
- Skrypt na stronie wysyla zdarzenie do
metrics.twojsklep.pl(Twoja subdomena). - Subdomena wskazuje (DNS A/CNAME) na Cloud Run, gdzie dziala serwer GTM.
- Serwer GTM przetwarza zdarzenie i wysyla je do GA4, Meta CAPI, Google Ads, TikTok Events API.
- Cookies sa ustawiane przez Set-Cookie z subdomeny (HTTP, nie JS) — pelna trwalosc.
Praktyczne zyski
| Metryka | Bez sGTM | Z sGTM |
|---|---|---|
Trwalosc _ga w Safari | 7 dni | 400 dni |
| Konwersje Meta na iOS | -50% | -10-15% |
| Sesje blokowane przez adblockery | 30-40% | 5-10% |
| Koszt | 0 PLN | ~50-150 PLN/mies (Cloud Run) |
Komplikacje, ktorych nie reklamuje sie w blogspotach
- IP alignment: dla 400-dniowych cookies w Safari serwer musi byc na tej samej puli IP co domena strony. Cloudflare Workers, Stape lub Cloud Run z load balancerem to obsluguja, ale to dodatkowy koszt.
- Consent Mode v2: musisz przeniesc logike zgody na server-side (consent settings w sGTM).
- RODO: subdomena jest Twoja, ale Cloud Run jest u Google. Nadal masz subprocesora. Zaktualizuj polityke prywatnosci.
- Migracja Meta Pixel na CAPI wymaga deduplikacji event ID.
Wiecej szczegolow w dokumentacji Google na temat Server-Side Tagging.
Czy first-party cookies sa lepsze dla RODO
Z perspektywy techniki — tak, sa bardziej trwale i mniej blokowane. Z perspektywy prawa — nie ma roznicy. RODO i polskie prawo nie roznicuja first-party od third-party. Liczy sie cel cookie i czy jest niezbedne do swiadczenia uslugi.
Klucze prawne (przypomnienie):
- Art. 173 Prawa Telekomunikacyjnego — kazde cookie nie-niezbedne wymaga zgody.
- Art. 399 PKE (od 10 listopada 2024) — zaostrza wymogi dotyczace zgody i dokumentacji.
- RODO art. 7 ust. 1 — zgoda musi byc dobrowolna, konkretna, swiadoma i jednoznaczna.
Praktycznie:
- Niezbedne first-party (sesja logowania, koszyk) — bez zgody.
- Niezbedne third-party (np. Stripe checkout iframe) — bez zgody, ale tylko do funkcji platnosci.
- Analityczne first-party (
_ga) — z zgoda. - Marketingowe first-party (
_fbp) — z zgoda. - Marketingowe third-party (DoubleClick) — z zgoda (i tak czesto blokowane).
Czyli pytanie "czy first-party omija RODO?" ma jasna odpowiedz: nie. Jesli Twoj CMP twierdzi inaczej, to bledne stanowisko prawne. UODO w 2025 wydalo kilka decyzji, w ktorych pierwszorzedna byla cel przetwarzania, nie typ cookie. Wiecej w analizie kontroli UODO ws. cookies.
Jesli szukasz prostego CMP wspierajacego Consent Mode v2, ktory nie wymaga konfigurowania server-side, sprawdz funkcje CookiePilota. Dla porownania cen z innymi rozwiazaniami zobacz zestawienie Cookiebot vs CookieYes vs CookiePilot.
Podsumowanie
- Wlasciciele sklepow internetowych: third-party cookies w 2026 to martwy kanal. Polowa Twoich klientow na iOS i tak ich nie zostawia. Zainwestuj w server-side tagging (sGTM) lub minimum w Conversions API dla Meta i Enhanced Conversions dla Google Ads.
- Developerzy: pamietaj o roznicy miedzy cookie ustawianym przez serwer (HTTP
Set-Cookie) a klienta (document.cookie). W Safari to roznica miedzy 400 dni a 7 dniami zycia. - Marketerzy: pomiar konwersji oparty wylacznie na third-party cookies daje obraz okolo 40% rzeczywistosci. Negocjuj z agencja wdrozenie sGTM albo Conversions API zanim podpiszesz kolejny budzet.
Jesli prowadzisz polski sklep i jeszcze nie masz CMP zgodnego z Consent Mode v2, to kazdy dzien bez tego to dane idace do kosza. CookiePilot integruje sie z GTM, obsluguje wszystkie 4 sygnaly Consent Mode v2 i kosztuje od 29 PLN/miesiac. Sprawdz cennik lub napisz do nas, pomozemy zaplanowac wdrozenie.
FAQ
Czy GA4 to first-party czy third-party cookie?
GA4 standardowo ustawia cookie _ga jako first-party na domenie Twojej strony. Cookie nie jest jednak third-party w sensie technicznym, ale dane sa przesylane do Google. Z perspektywy RODO to przetwarzanie przez procesora (Google), wiec wymaga zgody analytics_storage.
Czy Safari blokuje first-party cookies?
Safari nie blokuje first-party cookies, ale ogranicza te ustawiane przez JavaScript do 7 dni (ITP 2.1+). Cookies ustawiane przez serwer (HTTP Set-Cookie) moga zyc dluzej, do 400 dni. Dlatego server-side tagging ma sens w 2026.
Czy third-party cookies wymagaja zgody w RODO?
Tak, kazde cookie nie-niezbedne wymaga zgody (art. 173 Prawa Telekomunikacyjnego, RODO art. 6 ust. 1 lit. a). Third-party cookies marketingowe (Meta Pixel, Google Ads) zawsze wymagaja zgody. Niezbedne cookies sesyjne (np. logowanie) nie wymagaja zgody, niezaleznie od tego czy sa first czy third-party.
Czy Privacy Sandbox zastapil third-party cookies?
Nie. W lipcu 2024 Google ogloszilo, ze nie zlikwiduje third-party cookies w Chrome. W pazdzierniku 2025 Google wycofalo czesc API Privacy Sandbox (Topics, Attribution Reporting) z powodu niskiej adopcji. Third-party cookies zostaly w Chrome jako opt-in dla uzytkownika.
Co to jest server-side tagging i czy zamienia third-party na first-party?
Server-side tagging (sGTM) przekierowuje ruch przez subdomene Twojej strony (np. metrics.twojadomena.pl), ktora odpowiada Twoim serwerem GTM. Cookies sa wtedy ustawiane jako first-party przez naglowek HTTP. Z perspektywy RODO nadal potrzebujesz zgody, ale technicznie omijasz blokady przegladarek.
Powiazane przewodniki
- Baner cookies zgodny z RODO 2026 — kompletny przewodnik (Pillar)
- Kategorie cookies — niezbedne, analityczne, marketingowe
- Co tracisz bez Consent Mode v2 — Analytics i reklamy
- Google Consent Mode v2 — pelny przewodnik
- Co to jest CMP (Consent Management Platform)
Autor: Zespol CookiePilot — pomagamy polskim firmom wdrozyc zgodnosc z RODO i Consent Mode v2 bez bolu glowy.
Napisane przez
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.