We wrzesniu 2025 CNIL nalozyl 150 mln EUR kary na Shein za baner cookies, ktory mial przycisk "Odrzuc wszystko", ale po jego klikniecu cookies reklamowe i tak sie ladowaly. Piec lat wczesniej ten sam regulator uderzyl Amazon kara 35 mln EUR za cookies bez zgody. W Polsce UODO w lutym 2025 ukaralo drogerie internetowa na 420 000 EUR za klasyczny dark pattern — brak przycisku "Odrzuc wszystkie" na pierwszej warstwie banera.
Dark patterns w banerach cookies przestaly byc kwestia estetyki UX. To dzis najszybsza droga do kilkusettysiecznej kary. Ten przewodnik pokazuje szesc typow ciemnych wzorcow wg EDPB, rzeczywiste przypadki z Polski i UE oraz checklist, jak zaprojektowac prawidlowy baner cookies, ktory przejdzie inspekcje.
Spis tresci
- Co to jest dark pattern w banerze cookies
- 6 typow dark patterns wedlug EDPB
- Najczestsze dark patterns w polskich sklepach
- Prawna podstawa — dlaczego UODO i CNIL karza
- Kary za dark patterns — przyklady z Polski i UE
- Jak zaprojektowac baner bez dark patterns — checklist
- Jak platformy CMP radza sobie z UX bez manipulacji
- Podsumowanie
Co to jest dark pattern w banerze cookies
Dark pattern (ciemny wzorzec, po polsku czasem "nieuczciwy wzorzec projektowy") to element interfejsu, ktory naklania uzytkownika do decyzji, ktorej nie podjalby w warunkach pelnej swiadomosci i rownowagi informacji. Nazwa pochodzi z 2010 roku od Harry Brignulla, ktory zebral pierwsza typologie manipulacji w e-commerce.
W kontekscie cookies dark pattern narusza kluczowy wymog RODO — zgoda musi byc dobrowolna, konkretna, swiadoma i jednoznaczna (art. 4 pkt 11 RODO). Jezeli uzytkownik kliknie "Akceptuj" dlatego, ze zielony przycisk jest trzy razy wiekszy od szarego "Odrzuc", to klikniecie nie jest dobrowolne. A zgoda, ktora nie jest dobrowolna, prawnie nie istnieje.
Wytyczne EDPB 03/2022 Deceptive Design Patterns w wersji 2.0 (luty 2023) formalizuja definicje. Choc sam dokument dotyczy social media, EDPB wprost zaznacza, ze wymienione wzorce maja zastosowanie rowniez do banerow cookies, sklepow online i aplikacji mobilnych. CNIL, UODO i inne organy ochrony danych traktuja te wytyczne jak obowiazujace przy ocenie banerow.
6 typow dark patterns wedlug EDPB
Wytyczne EDPB 03/2022 opisuja szesc glownych kategorii. Kazda jest punktowana w konkretnych decyzjach kar.
| Typ | Na czym polega | Przyklad w banerze cookies |
|---|---|---|
| Overloading | Przytlaczanie iloscia opcji, tekstu, zadan | 200 dostawcow wymienionych w jednej dlugiej liscie, uzytkownik rezygnuje z konfiguracji |
| Skipping | Projekt zachecajacy do pominiecia swiadomego wyboru | Domyslne zaznaczenie wszystkich checkboxow, "zamknij X" traktowane jak zgoda |
| Stirring | Wplyw emocjonalny, manipulacja kolorem, rozmiarem | Duzy zielony "Akceptuj", maly szary link "Odrzuc" w rogu |
| Hindering (Obstructing) | Utrudnianie podjecia decyzji niewygodnej dla firmy | Odrzucenie wymaga 5 klikniec, akceptacja jednego |
| Fickle | Niespojnosc, brak jasnosci, zmieniajace sie opcje | Raz baner ma "Odrzuc", raz tylko "Akceptuj" i "Ustawienia" |
| Left in the Dark | Ukrywanie kluczowych informacji | Informacja o transferze danych do USA wklejona w 15-stronicowej polityce |
Zapamietaj schemat: kazdy dark pattern to przesuniecie kosztu poznawczego lub operacyjnego na uzytkownika. Jezeli odmowa cokolwiek kosztuje (klikniec, czasu, uwagi) wiecej niz akceptacja, masz ciemny wzorzec — nawet jezeli zrobiles to nieswiadomie.
Overloading w praktyce
Klasyk to baner TCF (Transparency and Consent Framework) z setka dostawcow i checkboxow "legitimate interest". Uzytkownik widzi sciane tekstu, klika "Zaakceptuj wszystkie", bo konfiguracja zajmie pol godziny. UODO uznalo w jednej z decyzji 2024, ze sam rozmiar tego typu interfejsu to bariera dla dobrowolnej zgody.
Skipping w praktyce
Najpopularniejsza wersja: ikona X w rogu banera. Uzytkownik klika, baner znika, a w tle ladauja sie cookies marketingowe, bo kod traktuje "zamknij" jak "akceptuj". Druga wersja to predefiniowane zaznaczenie checkboxow "Zgadzam sie na marketing" w formularzu rejestracji. TSUE (wyrok Planet49, C-673/17) w 2019 roku przesadzil: zgoda przez pre-checked checkbox nie istnieje.
Stirring w praktyce
Zielony przycisk "Akceptuj" 200x60 px, szary tekstowy link "Odrzuc" 80x20 px. Albo teksty emocjonalne: "Nie psuj nam analityki!" "Tylko tak mozemy dla Ciebie poprawiac serwis". CNIL w decyzji przeciwko Amazonowi wprost wskazal, ze asymetria wizualna miedzy przyciskami akceptacji i odmowy zaburza dobrowolnosc zgody.
Hindering w praktyce
Uzytkownik musi otworzyc "Ustawienia zaawansowane", przejsc przez 4 kategorie, recznie odznaczyc 40 checkboxow i potwierdzic wybor. Akceptacja wszystkiego to jedno klikniecie. TSUE w wyroku z pazdziernika 2024 (C-21/23) podkreslil: odrzucenie cookies musi byc tak samo proste jak akceptacja.
Najczestsze dark patterns w polskich sklepach
Przeglad publicznie dostepnych banerow w polskim e-commerce (stan na kwiecien 2026) pokazuje powtarzajace sie motywy.
1. "Tylko Akceptuj i X" — baner ma jeden przycisk akcji i ikone X. Brak przycisku "Odrzuc". Dominuje wsrod sklepow korzystajacych z darmowych wtyczek WordPress sprzed 2024. Poprawna konfiguracja Consent Mode v2 w WordPress zmusza do dodania trzeciego przycisku.
2. "Dostosuj = labirynt" — link "Dostosuj" prowadzi do panelu z 4 zakladkami i 80 checkboxami. Akceptacja wszystkiego: jedno klikniecie. Klasyczny Hindering. W testach z 2024 roku tylko 3% uzytkownikow przechodzilo przez pelna konfiguracje — 97% klikalo "Akceptuj wszystkie" ze zmeczenia.
3. Cookies przed zgoda — baner wyswietla sie, ale Google Analytics, Meta Pixel i Hotjar laduja od razu po wejsciu na strone. To nie dark pattern wizualny, to dark pattern techniczny. UODO w kontroli sprawdza to w 5 sekund w DevTools. Wiecej w artykule o kategoriach cookies.
4. "Zapytamy znow za tydzien" — baner znika po klikniecu X bez rejestracji zgody ani odmowy. Po 7 dniach pojawia sie ponownie. Technicznie: cookies marketingowe zostaly zaladowane w miedzyczasie. Prawnie: brak podstawy do przetwarzania danych.
5. Ciemny wzorzec newslettera — checkbox "Akceptuje regulamin i wyrazam zgode marketingowa" jako jedno pole. Po wejsciu Prawa Komunikacji Elektronicznej (PKE) w styczniu 2025 to automatyczne naruszenie. Kazda zgoda marketingowa musi byc osobna. Kontekst w artykule co tracisz bez Consent Mode.
6. Cookie wall — "Akceptuj wszystkie cookies albo zaplac 5 zl miesiecznie, zeby korzystac ze strony". Model "pay or consent" znanego z niemieckiego Meta/Facebook. EDPB w opinii 08/2024 uznalo, ze "consent or pay" prawie nigdy nie spelnia wymogu dobrowolnosci.
Prawna podstawa — dlaczego UODO i CNIL karza
Dark patterns w cookies naruszaja kilka przepisow naraz. Dlatego kary czesto sumuja sie na wyzsze kwoty niz za pojedyncze naruszenie RODO.
Art. 4 pkt 11 i art. 7 RODO — definicja zgody. Ma byc dobrowolna, konkretna, swiadoma i jednoznaczna. Dark pattern uderza w "dobrowolna" i "swiadoma". Brak jednej z tych przeslanek oznacza, ze zgody prawnie nie ma.
Art. 5(3) ePrivacy (w Polsce art. 173 Prawa Telekomunikacyjnego, od stycznia 2025 art. 399 PKE) — obowiazek zgody na dostep do informacji przechowywanej na urzadzeniu. Kazde cookie analityczne i marketingowe wymaga zgody uzytkownika PRZED zaladowaniem. Dark pattern typu "cookies przed akceptacja" to czyste naruszenie.
Wyrok TSUE C-21/23 (X-FAB Dresden) z pazdziernika 2024 — Trybunal uznal, ze brak rownowaznosci miedzy "Akceptuj" a "Odrzuc" na pierwszej warstwie banera to naruszenie. To orzeczenie jest teraz cytowane w kazdej decyzji kary w UE.
Wytyczne EDPB 03/2022 — szesc typow deceptive design patterns. Nie sa formalnie obowiazujace, ale organy ochrony danych (UODO, CNIL, Garante, DPC) uzywaja ich jako standardu w ocenie.
Art. 83 RODO — sankcje administracyjne do 20 mln EUR lub 4% swiatowego obrotu rocznego (ktora kwota wyzsza). W praktyce kary siegaja kilku-kilkudziesieciu milionow EUR dla duzych graczy, kilkudziesieciu-kilkusettysiecy EUR dla MSP.
Kary za dark patterns — przyklady z Polski i UE
Tabela rzeczywistych decyzji ostatnich 5 lat. Warto zobaczyc skale przed zaprojektowaniem banera.
| Firma | Kara | Organ | Rok | Glowne naruszenie (dark pattern) |
|---|---|---|---|---|
| Shein (Infinite Styles) | 150 mln EUR | CNIL | 2025 | Cookies przed zgoda, niedzialajacy "Odrzuc", brak info o 3rd parties |
| Google LLC | 150 mln EUR | CNIL | 2022 | Brak przycisku "Odrzuc wszystko" na pierwszej warstwie |
| Google Ireland | 90 mln EUR | CNIL | 2022 | Jw., oddzielna decyzja |
| Amazon Europe Core | 35 mln EUR | CNIL | 2020 | Cookies reklamowe bez zgody, niejasna informacja |
| Facebook Ireland | 60 mln EUR | CNIL | 2022 | Odrzucenie wymagalo wielu klikniec, akceptacja jednego |
| Yahoo EMEA | 10 mln EUR | CNIL | 2024 | Cookies reklamowe bez zgody, wycofanie zgody niemozliwe |
| Drogeria (Polska) | 420 000 EUR | UODO | 2025 | Brak "Odrzuc wszystkie", newsletter bez double opt-in |
| Sklep e-commerce (Polska) | 73 000 EUR (sr.) | UODO | 2024 | Kategorie cookies zle sklasyfikowane, GA bez zgody |
Shein dostal 150 mln EUR, ale wazniejsze jest uzasadnienie. CNIL udokumentowal, ze po klikniciu "Odrzuc wszystko" nowe cookies nadal sie ladowaly. To nie byla tylko rozbieznosc UI — to byl ukryty dark pattern techniczny. Sam przycisk byl, ale nie dzialal. Pokazuje to, ze inspektorzy nie patrza juz tylko na makiete banera, sprawdzaja rzeczywiste zachowanie w DevTools.
W Polsce rekord 420 000 EUR z lutego 2025 to sygnal, ze UODO dolacza do europejskiego trendu. Od pazdziernika 2025, po wygasnieciu szesciomiesiecznego okresu przejsciowego na wytyczne UODO, inspektorzy stosuja pelen katalog sankcji. Szczegoly w artykule kontrola UODO cookies.
Jak zaprojektowac baner bez dark patterns — checklist
Siedem twardych regul, ktore musisz spelnic. Jezeli ktorejkolwiek nie spelniasz, masz dark pattern systemowy.
1. Trzy rownowazne przyciski na pierwszej warstwie. "Akceptuj wszystkie", "Odrzuc wszystkie", "Dostosuj". Na jednej warstwie, w jednym rzedzie. "Odrzuc" nie moze byc w drugim okienku ani pod linkiem tekstowym.
2. Identyczna waga wizualna przyciskow akceptacji i odmowy. Ten sam kolor, ta sama wielkosc, ten sam font, ten sam kontrast. Albo oba sa pelnymi buttonami, albo oba sa tekstowymi linkami. Bez wyjatkow.
3. Liczba klikniec do odmowy = liczba klikniec do akceptacji. Jezeli "Akceptuj wszystkie" to 1 klikniecie, "Odrzuc wszystkie" tez musi byc 1 klikniecie. Nie 2, nie 3, nie "kliknij Dostosuj i odznacz wszystko".
4. Brak predefiniowanych zaznaczen. Wszystkie kategorie cookies poza niezbednymi — domyslnie odznaczone. Uzytkownik aktywnie wyraza zgode, a nie aktywnie odmawia.
5. Neutralne teksty bez presji i emocji. Zakazane: "Pomoz nam sie rozwijac", "Tylko cookies pomoga Ci znalezc swoje ulubione produkty", "Bez cookies strona nie dziala dobrze". Dozwolone: "Ta strona uzywa cookies analitycznych i marketingowych, na ktore mozesz wyrazic zgode lub odmowic".
6. Ikona X = odmowa (nie zgoda, nie pominiecie). Klikniecie X powinno byc traktowane jak "Odrzuc wszystko" i zarejestrowane w logu zgod. Nie moze milczaco zaakceptowac ani pozostawic stanu niezdefiniowanego.
7. Latwe wycofanie zgody. Stala ikonka "Ustawienia cookies" w stopce albo pasku bocznym. Klikniecie otwiera panel — uzytkownik moze w kazdej chwili wycofac lub zmodyfikowac zgode. To wymog art. 7 ust. 3 RODO, nie dobra wola.
Niezaleznie od regul — przetestuj baner w trybie incognito, otwierajac DevTools -> Application -> Cookies. Po klikniecu "Odrzuc wszystko" w polu cookies NIE MOZE pojawic sie _ga, _fbp, _hjSessionUser ani nic innego niz cookies niezbedne. Jezeli pojawiaja sie mimo odmowy, masz dark pattern techniczny — dokladnie taki, za ktory Shein dostal 150 mln EUR.
Dobrze skonfigurowany CMP pozwala to zweryfikowac w jednym klikniciu przez eksport konfiguracji. Jezeli korzystasz ze Shopera lub WordPressa, wiekszosc platform CMP integruje sie jako wtyczka, ale diabel tkwi w domyslnych ustawieniach.
Jak platformy CMP radza sobie z UX bez manipulacji
Zobaczmy, jak konkurenci rozwiazuja UX bez dark patterns. Trzy typowe podejscia na rynku CMP:
Podejscie 1 — "wszystko w rekach klienta" Cookiebot, OneTrust i Usercentrics daja pelen edytor UI. Klient sam decyduje, jak duzy bedzie przycisk "Odrzuc" i czy w ogole ma byc na pierwszej warstwie. To potezne narzedzie, ale odpowiedzialnosc za dark patterns spada na wlasciciela strony. Jezeli administrator zle skonfiguruje baner, CMP nie zablokuje go pre-check'em.
Podejscie 2 — "safe defaults" CookieYes, Iubenda i Termly daja szablony, ktore z defaultu maja trzy rownowazne przyciski i neutralne teksty. Uzytkownik musi aktywnie wylaczyc bezpieczenstwo, zeby stworzyc dark pattern. Kompromis: mniej swobody designu.
Podejscie 3 — "compliance first, design second" CookiePilot idzie dalej — blokuje na poziomie edytora konfiguracje, ktore sa dark patternami. Nie mozna ustawic przycisku "Odrzuc" mniejszego niz "Akceptuj". Nie mozna usunac "Odrzuc wszystkie" z pierwszej warstwy. Domyslne checkboxy sa zawsze odznaczone i tego nie da sie zmienic. Dzieki temu zespol marketingu nie moze przez pomylke ustawic banera, ktorym kupi kare UODO.
Wybor podejscia zalezy od dojrzalosci zespolu compliance. Duze korporacje z wlasnymi prawnikami moga korzystac z narzedzi typu Cookiebot czy OneTrust. MSP zazwyczaj lepiej wychodza na platformach, ktore robia compliance-by-default.
Podsumowanie
Dark patterns w banerach cookies to dzis najdrozszy blad projektowy w e-commerce. 150 mln EUR dla Shein, 35 mln EUR dla Amazon, 420 000 EUR dla polskiej drogerii — to nie sa wyjatki, to nowy standard. Organy ochrony danych (CNIL, UODO, EDPB, TSUE) w ostatnich trzech latach wypracowaly spojny katalog wzorcow, ktore automatycznie kwalifikuja sie jako naruszenie RODO.
Takeaway per persona:
- Wlasciciele sklepow internetowych: otworz sklep w incognito, klikij "Odrzuc wszystkie", sprawdz w DevTools czy pojawiaja sie cookies inne niz niezbedne. Jezeli tak — masz dark pattern systemowy i potencjalna kare. Druga rzecz: porownaj liczbe klikniec do akceptacji i odmowy. Jezeli sie nie zgadzaja, to druga sciezka do UODO.
- Developerzy: zweryfikujcie, czy kod obsluguje klikniecie "X" jak "Odrzuc wszystkie". Upewnijcie sie, ze cookies marketingowe nie laduja sie przed eventem
consent_given: true. Domyslne wartosci checkboxow w konfiguratorze musza bycfalsedla wszystkich kategorii poza niezbednymi. - Marketerzy: opuscie checkboxow pre-zaznaczonych w formularzach newsletter. Rozdzielcie zgody: cookies, email, SMS, telefon to cztery rozne zgody. Unikajcie tekstow emocjonalnych i presji. Neutralny komunikat konwertuje o 15-20% slabiej, ale za to nie kosztuje Was 420 000 EUR.
Jezeli szukasz CMP, ktore z defaultu blokuje dark patterns i daje Ci audytowalne logi zgod pod ewentualna kontrole UODO, sprawdz CookiePilot — startujesz za 0 zl, pelna konfiguracja zajmuje 15 minut, a compliance jest wbudowany w edytor.
Powiazane przewodniki
- Baner Cookies Zgodny z RODO — 7 Elementow Ktore Musi Zawierac
- Kontrola UODO Cookies 2026 — Jak Przygotowac Strone
- Kategorie Cookies 2026 — Niezbedne, Analityczne, Marketingowe
- Cookiebot vs CookieYes vs CookiePilot — Porownanie CMP 2026
- Co Tracisz Bez Consent Mode v2 — Analytics i Reklamy
FAQ
Co to jest dark pattern w banerze cookies?
Dark pattern (ciemny wzorzec, deceptive design) to element interfejsu zaprojektowany tak, zeby zmanipulowac uzytkownika do decyzji, ktorej nie podjalby przy pelnej swiadomosci. W banerze cookies typowe dark patterns to: duzy zielony przycisk "Akceptuj" vs szary link "Odrzuc", ukryta opcja odmowy w drugiej warstwie, predefiniowane zaznaczenia checkboxow marketingowych, emocjonalne teksty typu "Nie psuj nam eksperymentow". EDPB traktuje dark patterns jako naruszenie art. 4 pkt 11 RODO (zgoda musi byc dobrowolna).
Ile wynosza kary za dark patterns w banerach cookies?
Rekordowe kary 2020-2025: Shein 150 mln EUR (CNIL, wrzesien 2025) za cookies przed zgoda i niedzialajacy przycisk "Odrzuc", Google 150 mln + 60 mln EUR (CNIL 2021), Amazon 35 mln EUR (CNIL 2020) za cookies reklamowe bez zgody, w Polsce UODO ukaralo drogerie internetowa na 420 000 EUR w lutym 2025 za brak przycisku "Odrzuc wszystko". Kara administracyjna z RODO siega 20 mln EUR lub 4% swiatowego obrotu.
Jakie sa typy dark patterns wedlug EDPB?
Wytyczne EDPB 03/2022 Deceptive Design Patterns (wersja 2.0 z lutego 2023) identyfikuja szesc kategorii: Overloading (przeladowanie uzytkownika wyborami), Skipping (projekt zachecajacy do pominiecia wyboru), Stirring (wplyw emocjonalny, kolorystyczny, manipulacja wizualna), Hindering/Obstructing (utrudnianie odmowy), Fickle (niespojny interfejs) i Left in the Dark (ukryte informacje). Kazdy z nich narusza wymog dobrowolnej i swiadomej zgody z RODO.
Czy ikona X w banerze cookies to dark pattern?
Sama ikona X nie jest dark patternem, ale jej dzialanie ma znaczenie. Jezeli klikniecie X zamyka baner bez zarejestrowania odmowy (czyli cookies i tak sie laduja), mamy typowy dark pattern typu "Skipping" — uzytkownik mysli, ze odmowil, a faktycznie nie ma jego zgody ani odmowy. EDPB wymaga, zeby zamkniecie banera bez wyraznej zgody bylo traktowane jak odmowa i blokowalo cookies inne niz niezbedne.
Jak zaprojektowac baner cookies bez dark patterns?
Szesc zasad: (1) trzy rownowazne przyciski na pierwszej warstwie — "Akceptuj wszystkie", "Odrzuc wszystkie", "Dostosuj"; (2) identyczny wyglad przyciskow akceptacji i odmowy (kolor, wielkosc, kontrast); (3) liczba klikniec do odmowy rowna liczbie klikniec do akceptacji; (4) brak predefiniowanych zaznaczen dla cookies innych niz niezbedne; (5) neutralne teksty bez emocji i presji; (6) latwe wycofanie zgody (link "Ustawienia cookies" w stopce). Testuj kazda zmiane na czystej przegladarce — jezeli po kliknieciu "Odrzuc" jakiekolwiek cookie poza niezbednymi sie ladauje, masz dark pattern systemowy.
Autor: Zespol CookiePilot — pomagamy polskim firmom wdrozyc zgodnosc z RODO i Consent Mode v2 bez bolu glowy.
Napisane przez
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.