W lutym 2025 roku UODO nalozylo kare 420 000 EUR na operatora apteki internetowej. Powod? Baner cookies bez przycisku "Odrzuc wszystkie" oraz brak podwojnej zgody na newsletter. Od 2023 do maja 2025 UODO wydalo 88 decyzji o karach na lacznie ponad 12 mln EUR, a kontrole banerow cookies sa jednym z najgoretszych tematow nadzoru w 2026 roku.
Pytanie "czy musze miec baner cookies" zadaje sobie kazdy wlasciciel malej firmy, blogger i freelancer. Krotka odpowiedz: prawie zawsze tak. Dluzsza odpowiedz, wraz z konkretnymi wyjatkami i przepisami, znajdziesz nizej.
Spis tresci
- Krotka odpowiedz: kiedy MUSISZ miec baner
- Kiedy MOZESZ nie miec banera (rzadkie wyjatki)
- Co rozni "wymog informowania" od "wymogu zgody"
- Tabela: typ strony a obowiazek banera
- Konsekwencje braku banera: kary UODO i utrata danych
- Co MINIMUM musi miec baner zgodny z prawem
- Wbudowany baner CMS czy dedykowane CMP?
- Podsumowanie i CTA
- Powiazane przewodniki
- FAQ
Krotka odpowiedz: kiedy MUSISZ miec baner cookies
Twoja strona MUSI miec baner cookies, jezeli korzysta z chocby jednego z ponizszych narzedzi:
- Google Analytics (GA4, Universal Analytics)
- Google Tag Manager (jezeli odpala tagi marketingowe)
- Meta Pixel (Facebook, Instagram)
- Google Ads, Microsoft Ads, LinkedIn Insight Tag
- Hotjar, Microsoft Clarity, Smartlook, FullStory
- Mapy Google osadzone bezposrednio (iframe)
- YouTube z autoplay (lub bez ustawienia youtube-nocookie.com)
- Reklamy AdSense, Criteo, RTB House
- Wtyczki spolecznosciowe (przyciski "Lubie to", widgety Twittera/X)
- TikTok Pixel, Pinterest Tag, Snap Pixel
- Narzedzia chat-bot z trackingiem (Intercom, Drift, Tidio z analityka)
To pokrywa praktycznie kazdy sklep, blog z reklamami i strone firmowa, ktora chce mierzyc ruch. Jezeli rozpoznajesz na tej liscie cokolwiek, co masz na stronie, potrzebujesz banera spelniajacego wymagania dla banera cookies zgodnego z RODO.
Podstawa prawna w Polsce: art. 399 Prawa Komunikacji Elektronicznej (PKE), ktora od 10 listopada 2024 zastapila wczesniejszy art. 173 Prawa Telekomunikacyjnego. Przepis wymaga uprzedniej zgody uzytkownika przed zapisaniem lub odczytaniem danych z urzadzenia koncowego, jezeli te dane nie sa scisle niezbedne do dzialania uslugi.
Drugie zrodlo to RODO, konkretnie art. 6 ust. 1 lit. a oraz art. 7. RODO definiuje, jak zgoda ma wygladac, zeby byla wazna: dobrowolna, konkretna, swiadoma i jednoznaczna (art. 4 pkt 11).
Trzecie zrodlo to dyrektywa ePrivacy 2002/58/WE, art. 5(3), oraz interpretacja EROD/EDPB Guidelines 2/2023 z listopada 2023. EROD potwierdza, ze art. 5(3) obejmuje nie tylko cookies, ale rowniez piksele sledzace, fingerprinting, lokalne API, IoT i niektore formy trackingu IP. Wniosek: nie wystarczy "wylaczyc cookies" zostawiajac Pixela, bo Pixel sam w sobie podlega obowiazkowi zgody.
Kiedy MOZESZ nie miec banera cookies
Sa trzy realne scenariusze, w ktorych baner nie jest wymagany:
1. Strona uzywa wylacznie cookies "scisle niezbednych". Cookies sesyjne (np. zalogowanie, koszyk, token CSRF, wybor jezyka) sa wylaczone z obowiazku zgody zgodnie z art. 399 ust. 2 PKE. Jezeli Twoja strona nie ma analityki, reklam, wtyczek spolecznosciowych ani fontow zewnetrznych laduj acych cookies, baner nie jest potrzebny. Pelny podzial znajdziesz w przewodniku po kategoriach cookies.
2. Statyczna wizytowka HTML bez zadnego trackingu. Strona-wizytowka, ktora wyswietla tylko adres, telefon i godziny otwarcia, hostowana jako czysty HTML, bez Google Fonts, bez reCAPTCHA, bez analityki. W 2026 roku to bardzo rzadkie. Wiekszosc szablonow Wordpress, Wix czy Squarespace dolacza Google Fonts albo wbudowana analityke od pierwszego dnia.
3. Strona dostepna tylko po zalogowaniu (intranet, panel klienta). Jezeli uzytkownik korzysta wylacznie z funkcji systemowych, ktore zamowil (np. portal pacjenta, panel B2B), cookies wewnetrzne sa niezbedne. Ale jak tylko dolozysz analityke uzytkowania albo Hotjara, baner wraca jako obowiazkowy.
UWAGA: Polityka prywatnosci/polityka cookies to OSOBNY obowiazek wynikajacy z art. 13 RODO i jest wymagana zawsze, gdy przetwarzasz jakiekolwiek dane osobowe (a IP odwiedzajacego juz nim jest). Jezeli nie masz banera, polityke i tak musisz miec. Zobacz szablon polityki cookies.
Co rozni "wymog informowania" od "wymogu zgody"
To rozroznienie myli wiekszosc malych firm.
Informowanie wynika z RODO art. 13. Mowisz uzytkownikowi: kim jestes, jakie dane zbierasz i w jakim celu. Realizuje to polityka prywatnosci, link w stopce. Nie wymaga przyciskow ani interakcji.
Zgoda wynika z art. 5(3) ePrivacy oraz art. 399 PKE. Uzytkownik aktywnie wyraza zgode na konkretne kategorie cookies/trackerow. Realizuje to baner cookies z prawdziwym wyborem (Akceptuj / Odrzuc / Ustawienia).
Krotko: polityka cookies to "powiedzialem". Baner cookies to "zapytalem i dostalem zgode". Te dwa obowiazki sa niezalezne, ale czesto pojawiaja sie razem, bo wiekszosc stron uzywa cookies marketingowych.
Tabela: typ strony a obowiazek banera
| Typ strony | Co ma na stronie | Czy potrzebujesz banera? |
|---|---|---|
| Blog osobisty bez reklam i analityki | Tylko HTML i CSS | Nie |
| Blog z Google Analytics | GA4 | Tak |
| Blog z AdSense lub Affiliate | Reklamy + GA4 | Tak (z zarzadzaniem zgoda) |
| Strona-wizytowka HTML | Brak skryptow | Nie |
| Wizytowka Wordpress | GA4, Google Fonts | Tak |
| Sklep internetowy (Shoper, WooCommerce, PrestaShop) | GA4, Pixel, koszyk | Tak |
| Lading page kampanii Google Ads | Google Ads tag | Tak |
| Aplikacja SaaS (po logowaniu) | Cookies sesyjne, Hotjar | Tak (na dashboardzie) |
| Portal medialny | GA4, Pixel, AdSense, RTB | Tak (zaawansowany CMP) |
| Strona NGO bez analityki | Tylko formularz kontaktowy | Nie |
W praktyce, jezeli korzystasz z Consent Mode v2 dla WordPressa albo Consent Mode dla Shopera, juz masz baner i sygnaly zgody trafiaja do Google.
Konsekwencje braku banera
Kary UODO
UODO od 2024 roku traktuje brak banera albo niezgodny baner jako naruszenie RODO + art. 399 PKE. Przyklady decyzji:
- Apteka internetowa, luty 2025: 420 000 EUR za baner bez "Odrzuc wszystkie" + brak double opt-in newsletter.
- Sklep internetowy, 2024: kara za pre-zaznaczone checkboxy zgody marketingowej (UODO uznalo to za "dark pattern" naruszajacy zasade dobrowolnosci).
- Portal medialny: kara za brak logow zgody (CMP nie zapisywal do bazy, kto co kliknal i kiedy).
UODO zapowiedzialo na 2025-2026 zwiekszone kontrole banerow, glownie w e-commerce i mediach. Wiecej praktycznych informacji w przewodniku kontrola UODO cookies.
Utrata danych w Google Ads i Analytics
Drugi koszt to nie kara. To utrata danych. Od marca 2024 Google Consent Mode v2 jest obowiazkowy do remarketingu i kampanii w EOG. Bez banera, ktory wysyla sygnaly zgody do Google, tracisz:
- konwersje GA4 nawet do 30-50%,
- publicznosci remarketingowe (Google Ads tworzy mniejsze listy),
- mozliwosc rzetelnego pomiaru ROAS.
Szczegoly w analizie co tracisz bez Consent Mode.
Reputacja i blokowanie placnosci
Stripe, PayPal i niektorzy operatorzy platnosci weryfikuja zgodnosc strony z RODO przy onboardingu. Brak banera moze opoznic akceptacje konta merchant.
Co MINIMUM musi miec baner zgodny z prawem
| Element | Czy obowiazkowy? | Podstawa |
|---|---|---|
| Trzy rownorzedne przyciski (Akceptuj / Odrzuc / Ustawienia) | Tak | EROD 2023, UODO 2024 |
| Brak pre-zaznaczonych checkboxow | Tak | RODO art. 4 pkt 11 |
| Cookies marketingowe wylaczone do momentu zgody | Tak | art. 399 PKE |
| Granularnosc (wybor kategorii: niezbedne / analityczne / marketingowe) | Tak | RODO art. 7 |
| Mozliwosc wycofania zgody w kazdej chwili | Tak | RODO art. 7 ust. 3 |
| Logi zgod (kto, kiedy, jaki wybor) | Tak | RODO art. 7 ust. 1 |
| Link do polityki cookies | Tak | RODO art. 13 |
| Sygnaly Consent Mode v2 do Google | Tak (jezeli uzywasz Google Ads/GA4) | Google policy 2024 |
Punkt drugi to najczesciej naruszany standard. Pelne wyjasnienie wzorcow do unikniecia w artykule o dark patterns w banerach cookies.
Najczestsze mity o banerach cookies
Mit 1: "Mam tylko Google Fonts, nie potrzebuje banera." Google Fonts ladowane z fonts.googleapis.com przesylaja IP uzytkownika do Google. Niemiecki sad krajowy w Monachium (sprawa 3 O 17493/20) uznal to za naruszenie RODO i zasadzil odszkodowanie 100 EUR. Bezpieczna opcja: hostuj fonty lokalnie albo poinformuj o nich w polityce i banerze.
Mit 2: "Wystarczy napis w stopce: korzystajac ze strony akceptujesz cookies." Nie. To tzw. implied consent, ktory EROD wprost odrzucilo w Guidelines 5/2020 i 2/2023. Zgoda musi byc aktywnym dzialaniem (klikniecie), a nie domniemana z faktu przegladania strony.
Mit 3: "Jestem mala firma, UODO mnie nie skontroluje." UODO regularnie kontroluje takze JDG i mikrofirmy, jezeli wplynie skarga uzytkownika lub konkurenta. Skarge moze zlozyc kazdy odwiedzajacy. Brak banera jest najprostszym do udowodnienia naruszeniem (wystarczy screenshot).
Mit 4: "Jestem na hostingu w USA, RODO mnie nie dotyczy." RODO dziala terytorialnie wzgledem uzytkownika, nie serwera. Jezeli kierujesz oferte do polskich klientow albo masz polska wersje strony, RODO i PKE obowiazuja niezaleznie od lokalizacji hostingu (art. 3 RODO).
Wbudowany baner CMS czy dedykowane CMP?
Krotka decyzja:
Wbudowany baner Wordpressa, Shopera albo Wix wystarczy, jezeli:
- masz prosta strone bez Google Ads,
- nie zalezy Ci na pomiarze konwersji,
- akceptujesz, ze baner nie wysyla sygnalow Consent Mode v2.
Dedykowany CMP (np. CookiePilot, Cookiebot, CookieYes) jest konieczny, gdy:
- wydajesz pieniadze na Google Ads albo Meta Ads,
- chcesz logi zgod na wypadek kontroli UODO,
- masz wiele jezykow lub wiele domen,
- potrzebujesz integracji z Google Tag Manager,
- chcesz blokady skryptow przed zgoda automatycznie.
Wiecej w przewodniku co to jest CMP. Jezeli wybierasz miedzy konkretnymi narzedziami, porownanie Cookiebot vs CookieYes vs CookiePilot pokazuje roznice w cenie i funkcjach.
Podsumowanie
- Wlasciciele malych stron firmowych: jezeli masz Google Analytics, Google Fonts albo Mapy Google, potrzebujesz banera. Statystycznie dotyczy to ponad 95% stron.
- Bloggerzy i tworcy: AdSense, Pixel Mety, wtyczki spolecznosciowe = obowiazek banera. Dotyczy praktycznie kazdego bloga z reklamami.
- Sklepy internetowe: zawsze tak. Plus Consent Mode v2 obowiazkowy do dzialania Google Ads w EOG.
- Strony-wizytowki bez trackingu: w teorii nie. W praktyce wiekszosc szablonow CMS dolacza co najmniej Google Fonts, wiec lepiej miec.
CookiePilot wdroz aktywne sygnaly Consent Mode v2 i baner zgodny z RODO w 5 minut bez kosztow integracji. Prosty wybor dla polskich firm, ktore nie chca placic 150-300 PLN miesiecznie za miedzynarodowe CMP. Sprawdz cennik CookiePilot (od 29 PLN/miesiac).
Powiazane przewodniki
- Baner cookies zgodny z RODO: kompletny przewodnik 2026
- Kategorie cookies: niezbedne, analityczne, marketingowe
- Polityka cookies: szablon do skopiowania
- Kontrola UODO w sprawie cookies: jak sie przygotowac
- Co to jest CMP i jak wybrac dla polskiej firmy
FAQ
Czy maly blog osobisty musi miec baner cookies?
Tak, jezeli blog uzywa Google Analytics, Facebook Pixel, reklam AdSense albo wtyczek spolecznosciowych. Bez tych narzedzi, jezeli strona uzywa wylacznie cookies technicznych (np. logowanie, koszyk), baner nie jest wymagany. W praktyce 95% blogow uzywa GA4, wiec potrzebuje banera.
Czy strona-wizytowka firmy musi miec baner cookies?
Statyczna strona bez analityki, bez Pixela i bez map Google nie potrzebuje banera. Wystarczy polityka prywatnosci. Jezeli jednak strona ma chocby Google Analytics, Hotjar albo Pixela Mety, baner cookies z mozliwoscia odrzucenia jest obowiazkowy zgodnie z art. 399 PKE.
Czy formularz kontaktowy wymusza baner cookies?
Sam formularz nie. Cookies sesyjne, ktore zapamietuja Twoje dane podczas wypelniania formularza, sa cookies niezbednymi i nie wymagaja zgody. Baner staje sie konieczny, gdy formularz uzywa reCAPTCHA v3, Google Tag Manager albo wysyla dane do narzedzia marketingowego (np. HubSpot, Mailchimp, Brevo).
Czy kary UODO za brak banera sa realne?
Tak. W lutym 2025 UODO nalozylo kare 420 000 EUR na operatora apteki internetowej za baner bez przycisku "Odrzuc" oraz brak double opt-in dla newslettera. Od 2023 do maja 2025 UODO nalozylo 88 kar finansowych o lacznej wartosci ponad 12 mln EUR. Kontrole rosna, glownie w e-commerce i mediach.
Czy mozna miec tylko przycisk "Akceptuje"?
Nie. Zarowno EROD (EDPB Guidelines 2/2023) jak i UODO uznaja taki baner za niezgodny z prawem. Brak przycisku "Odrzuc" lub utrudnienie odmowy zgody to dark pattern naruszajacy zasade dobrowolnosci zgody (art. 4 pkt 11 RODO). Przycisk "Odrzuc" musi byc tak samo widoczny jak "Akceptuje".
Autor: Zespol CookiePilot — pomagamy polskim firmom wdrozyc zgodnosc z RODO i Consent Mode v2 bez bolu glowy.
Napisane przez
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.