W lutym 2025 UODO ukaralo operatora drogerii internetowej kara 420 000 EUR — za baner bez przycisku "Odrzuc wszystko" i wysylke newslettera bez podwojnej zgody. To rekord za pojedyncze naruszenie cookies + marketing w Polsce. Od poczatku 2023 do maja 2025 Prezes UODO nalozyl 88 kar administracyjnych na laczna kwote ponad 12 mln EUR. Polowa z nich dotyczyla e-commerce i marketingu internetowego.
Jezeli prowadzisz sklep, blog firmowy albo strone uslugowa z Google Analytics, kontrola UODO cookies to juz nie egzotyczne ryzyko. To scenariusz, ktory trzeba miec policzony. Ten artykul przeprowadzi Cie przez to, co UODO faktycznie sprawdza, jakie dokumenty musza byc gotowe i jak wygladac powinien baner cookies zgodny z wymaganiami dla banera.
Spis tresci
- Co UODO planuje skontrolowac w 2026
- Jak wyglada kontrola UODO krok po kroku
- Co konkretnie UODO sprawdza na stronie
- Checklist dokumentow do przygotowania
- Najczestsze bledy, za ktore padaja kary
- Jak obnizyc ryzyko kary w 24 godziny
- Podsumowanie
Co UODO planuje skontrolowac w 2026
Plan kontroli sektorowych UODO na 2026 rok obejmuje piec obszarow:
| Sektor | Zakres kontroli | Ryzyko dla Twojej strony |
|---|---|---|
| Marketing | Podstawy prawne przetwarzania w celach marketingowych | Wysokie — jezeli prowadzisz newsletter lub remarketing |
| Platformy dostaw online | Przetwarzanie danych przy posrednictwie sprzedazy | Wysokie dla e-commerce i marketplace |
| Podmioty lecznicze | Monitoring wizyjny, dane dzieci | Niskie dla sklepow i blogow |
| BIP (jednostki publiczne) | Anonimizacja dokumentow | Nie dotyczy sektora prywatnego |
| Wielkoskalowe systemy UE | SIS, VIS | Nie dotyczy MSP |
Dla wlasciciela sklepu internetowego realne ryzyko dotyczy pierwszych dwoch sektorow. Poza planem sektorowym UODO reaguje rowniez na skargi — a te dotycza prawie wylacznie banerow cookies, Google Analytics bez zgody i newsletterow bez double opt-in.
UODO ogloslo w 2025 roku szczegolowe wytyczne o cookies i dalo szesciomiesieczny okres przejsciowy, ktory wygasl 30 wrzesnia 2025. Od pazdziernika 2025 inspektorzy stosuja pelen katalog kar finansowych, bez taryfy ulgowej.
Jak wyglada kontrola UODO krok po kroku
Typowa kontrola skupiona na cookies ma cztery fazy. Znajomosc przebiegu daje Ci kilka okien, zeby poukladac porzadek w firmie, zanim inspektorzy przyjda do biura.
Faza 1 — preanaliza online
Inspektorzy otwieraja Twoja strone w czystej przegladarce, bez wczesniej zapisanych zgod. Sprawdzaja, ktore cookies i skrypty laduja sie jeszcze PRZED kliknieciem "Akceptuj". Jezeli Google Analytics, piksel Facebooka albo cookies reklamowe dzialaja bez zgody, to pierwszy dowod w aktach sprawy. Narzedzia uzywane przez UODO to standardowy Chrome DevTools + rozszerzenia typu Rentgen, Cookie Editor, Tag Assistant.
Faza 2 — zawiadomienie o kontroli
Zgodnie z Prawem przedsiebiorcow (ustawa z 6 marca 2018) UODO musi zawiadomic Cie o kontroli minimum 7 dni wczesniej. W zawiadomieniu jest wskazany zakres kontroli. Wyjatek: kontrola bez zapowiedzi, jezeli istnieje ryzyko powaznego naruszenia lub sprawa dotyczy bardzo konkretnej skargi.
Faza 3 — wizyta inspektorow
Kontrolerzy przychodza z pisemnym upowaznieniem Prezesa UODO i legitymacja sluzbowa. Upowaznienie musi zawierac: imie i nazwisko kontrolujacego, numer legitymacji, zakres kontroli, date. Brak choc jednego elementu daje Ci podstawe, zeby zgodnie z prawem odmowic wpuszczenia. Nie wyciagaj tej karty bez konsultacji z prawnikiem — blokada kontroli bez podstawy to odrebna sankcja.
Faza 4 — protokol i decyzja
Po kontroli UODO sporzadza protokol. Masz 7 dni na zglaszanie uwag. Jezeli zostaly stwierdzone naruszenia, Prezes UODO wydaje decyzje administracyjna — zwykle po 2-6 miesiacach od kontroli. Decyzja moze obejmowac: upomnienie, nakaz zmiany procesow, kare administracyjna albo kombinacje tych trzech.
Co konkretnie UODO sprawdza na stronie
Z analizy decyzji Prezesa UODO z ostatnich dwoch lat wychodzi dosc spojny katalog kontrolnych punktow. Jezeli przejdziesz przez nie kazdy, zamkniesz wiekszosc ryzyk kary.
1. Baner cookies — warstwa pierwsza
- Czy sa trzy rownowazne przyciski: "Akceptuj wszystkie", "Odrzuc wszystkie", "Dostosuj"?
- Czy wszystkie trzy wygladaja podobnie (kolorystyka, wielkosc, kontrast)?
- Czy odrzucenie zgody wymaga tylu samo klikniec co akceptacja?
- Czy baner mozna zamknac bez wyrazenia zgody (ikona X to NIE jest odmowa)?
- Czy cookies niezbedne sa wyraznie oddzielone od pozostalych kategorii cookies?
2. Consent Mode v2 i Google
UODO bardzo chetnie egzekwuje, czy strona dziala zgodnie z wymaganiami Google. Jezeli uzywasz Google Ads lub Analytics, musisz miec wdrozony Consent Mode dla compliance z czterema parametrami: ad_storage, analytics_storage, ad_user_data, ad_personalization. Inspektor sprawdzi w DevTools, czy sygnaly gtag('consent', ...) wychodza z prawidlowymi wartosciami. Bez tego Analytics i Google Ads dzialaja bez podstawy prawnej — a to bezposrednia sciezka do kary.
3. Logi zgod (consent log)
Administrator musi udowodnic, ze konkretna zgoda zostala wyrazona. W praktyce oznacza to, ze CMP musi zapisywac:
- identyfikator uzytkownika (hash, ID zgody — nie IP i nie email bez potrzeby)
- timestamp w formacie ISO 8601
- wersja wyswietlonego banera i polityki
- kategorie cookies, na ktore uzytkownik sie zgodzil
- metoda wyrazenia zgody (klikniecie, domyslna odmowa, ustawienia przegladarki)
Jezeli UODO poprosi o raport z ostatnich 6 miesiecy, a Ty nie masz jak go wygenerowac, to samo w sobie jest naruszeniem art. 7 ust. 1 RODO.
4. Polityka cookies i polityka prywatnosci
Dokumenty musza byc zgodne z aktualnym stanem faktycznym. Jezeli polityka wymienia 5 cookies, a faktycznie na stronie laduje ich 40, kontroler to zauwazy. Kazde cookie powinno miec: nazwe, cel, dostawce, czas przechowywania i podstawe prawna.
5. Zgody marketingowe — osobno od cookies
Od wejscia w zycie Prawa Komunikacji Elektronicznej (Art. 399 PKE, ustawa z 12 grudnia 2024) zgody marketingowe musza byc zbierane odrebnie dla kazdego kanalu (email, SMS, telefon). Zgoda na cookies to NIE jest zgoda na newsletter. Wiekszosc rekordowych kar 2024-2025 dotyczyla wlasnie tego pomieszania.
Checklist dokumentow do przygotowania
Minimum dokumentacyjne, ktore inspektor prawie na pewno zazada w pierwszym tygodniu:
| Dokument | Podstawa prawna | Gdzie trzymac |
|---|---|---|
| Polityka prywatnosci | Art. 13-14 RODO | Strona www, stopka |
| Polityka cookies | Art. 173 PrTel + Art. 399 PKE | Strona www, stopka, baner |
| Rejestr czynnosci przetwarzania | Art. 30 RODO | Dokument wewnetrzny |
| Umowy powierzenia | Art. 28 RODO | Z kazdym dostawca narzedzi (GA, Ads, CRM) |
| Analiza ryzyka / DPIA | Art. 35 RODO | Jezeli przetwarzasz dane wrazliwe lub na duza skale |
| Rejestr naruszen | Art. 33 RODO | Nawet jezeli jest pusty |
| Logi zgod CMP | Art. 7 ust. 1 RODO | Eksport z CMP za minimum 6 miesiecy |
| Zrzut konfiguracji banera | — | Zrzut ekranu + eksport JSON z CMP |
| Upowaznienia pracownikow | Art. 29 RODO | Podpisane przez kazda osobe z dostepem do danych |
Dobre CMP generuje wiekszosc tych dokumentow automatycznie. CookiePilot eksportuje gotowy raport zgod i konfiguracji banera jednym klikniem — pod audyt UODO, bez recznego kompletowania. Jezeli Twoja obecna platforma nie potrafi tego zrobic, to jeden z jasnych sygnalow, ze warto porownac platformy CMP.
Najczestsze bledy, za ktore padaja kary
Z publicznie dostepnych uzasadnien decyzji UODO z lat 2023-2025 wynika kilka powtarzajacych sie motywow.
1. Brak przycisku "Odrzuc wszystkie" na pierwszej warstwie. Klasyk. Rekordowa kara 420 000 EUR z lutego 2025 zaczela sie wlasnie od tego. Uzytkownik musial przejsc do sekcji "Dostosuj", zeby odrzucic cookies. UODO uznalo to za naruszenie zasady, ze odrzucenie ma byc tak samo latwe jak akceptacja.
2. Ladowanie skryptow analitycznych przed zgoda. Kontrola w czystej przegladarce wykrywa to w 5 sekund. Kazde zaladowanie Google Analytics, Hotjar, Meta Pixel przed kliknieciem "Akceptuj" to utrata danych analitycznych i dowod w aktach jednoczesnie.
3. Brak osobnej zgody na newsletter. Checkbox "Akceptuje regulamin i wyrazam zgody marketingowe" to prawna mina. Po wejsciu PKE kazda zgoda marketingowa musi byc oddzielna, konkretna i sprawdzalna.
4. Dark patterns w UI. Przycisk "Akceptuj" wielki i zielony, "Odrzuc" maly i szary. Znikajacy baner. Konieczna rejestracja, zeby odmowic cookies. UODO coraz agresywniej karze tego typu manipulacje.
5. Polityka cookies z szablonu bez aktualizacji. Skopiowany z internetu dokument, ktory wymienia "Google Analytics, Facebook Pixel, Hotjar", a faktycznie uzywasz teraz Clarity, LinkedIn Pixel i GA4. Rozbieznosc miedzy deklaracja a stanem faktycznym to samoistne naruszenie.
Jak obnizyc ryzyko kary w 24 godziny
Nawet jezeli kontrola juz jest zapowiedziana, mozesz w jeden dzien zamknac najwieksze luki.
- Otworz strone w trybie incognito. Sprawdz w DevTools -> Application -> Cookies, ktore pliki laduja sie przed klikiem "Akceptuj". Jezeli jest tam cokolwiek poza cookies funkcjonalnymi, popraw to dzis.
- Zweryfikuj trzy przyciski w banerze. "Akceptuj wszystkie", "Odrzuc wszystkie", "Dostosuj" — wizualnie rownowazne, dostepne na pierwszej warstwie.
- Wlacz blokade skryptow przed zgoda. Wiekszosc CMP ma taka opcje (auto-blocking). Sprawdz, czy jest aktywna.
- Wyeksportuj logi zgod. Pobierz raport z CMP za ostatnie 6 miesiecy. Jezeli raport jest pusty lub niekompletny, masz problem systemowy.
- Porownaj polityke cookies z rzeczywistoscia. Zaloguj sie jako zwykly uzytkownik, sprawdz liste wszystkich cookies i zaktualizuj polityke.
- Uruchom Consent Mode v2. Przez Google Tag Manager konfigurujesz to w 20 minut.
- Rozdziel zgody marketingowe. Checkbox na newsletter, osobny checkbox na SMS, osobny na profilowanie.
Jezeli Twoj obecny CMP nie obsluguje ktoregos z punktow 3-6, zmiana platformy zajmie Ci jedno popoludnie. CookiePilot startuje od 29 PLN/mies, ma wbudowane auto-blokowanie, Consent Mode v2 i eksport logow zgod w standardzie.
Podsumowanie
Kontrola UODO cookies to nie scenariusz hipotetyczny. 88 kar w ciagu 28 miesiecy, srednia dla MSP na poziomie 73 000 EUR, rekord 420 000 EUR — to wszystko realne dane z lat 2023-2025. Od pazdziernika 2025 nie ma juz okresu przejsciowego.
- Wlasciciele sklepow internetowych: dzis wieczor otworz sklep w incognito i sprawdz, co sie laduje przed zgoda. To jedna z pierwszych rzeczy, ktore zobaczy inspektor. Jezeli widzisz Google Analytics, Meta Pixel albo Hotjar — masz 24 godziny na naprawe.
- Developerzy: zweryfikujcie logi zgod w produkcji. Jezeli export nie ma minimum 6 miesiecy historii z timestamp + ID zgody + wersja banera, CMP nie spelnia art. 7 ust. 1 RODO.
- Marketerzy: rozdzielcie zgody marketingowe od cookies. Po wejsciu PKE wspolne okienko "Akceptuje wszystko" to automatyczne naruszenie. Pojedyncza skarga wystarczy, zeby UODO weszlo na audyt.
Jezeli potrzebujesz CMP, ktore od razu daje Ci audytowalne logi zgod, auto-blokowanie skryptow i gotowy raport pod UODO, sprawdz CookiePilot — zaczynasz za darmo, wdrozenie 15 minut. Nie ma magii, tylko porzadek w dokumentacji i technice.
Powiazane przewodniki
- Baner Cookies Zgodny z RODO — 7 Elementow Ktore Musi Zawierac
- Google Consent Mode v2 — Kompletny Przewodnik 2026
- Cookiebot vs CookieYes vs CookiePilot — Porownanie CMP 2026
- Co Tracisz Bez Consent Mode v2?
- Jak Wybrac CMP w 2026? 7 Krokow do Wlasciwej Decyzji
FAQ
Czy UODO zapowiada kontrole cookies wczesniej?
W wiekszosci przypadkow tak. Zgodnie z ustawa Prawo przedsiebiorcow UODO zawiadamia kontrolowanego co najmniej 7 dni przed kontrola. Wyjatek dotyczy sytuacji, w ktorych istnieje ryzyko powaznego naruszenia danych lub kontrola jest prowadzona na podstawie skargi. W praktyce inspekcje cookies czesto startuja od zdalnej analizy strony w czystej przegladarce, bez zapowiedzi, a dopiero potem UODO kontaktuje sie z administratorem.
Ile wynosi kara UODO za zly baner cookies?
Nie ma stalej stawki. Teoretyczne maksimum z RODO to 20 mln EUR lub 4% swiatowego obrotu. W praktyce polskie kary za baner cookies w 2024 roku wynosily srednio ok. 73 000 EUR dla MSP, a rekordowa kara dla drogerii internetowej w lutym 2025 to 420 000 EUR. Za naruszenia marketingowe PKE przewiduje do 10% obrotu (B2C) lub 3% obrotu (B2B).
Czy UODO moze skontrolowac mala firme?
Tak. Plan kontroli sektorowych UODO na 2026 obejmuje m.in. platformy dostaw online, podmioty marketingowe i sektor e-commerce, ale kontrola moze dotyczyc kazdego administratora danych po skardze uzytkownika. W 2024 roku 37% skarg do UODO dotyczylo sektorow fashion, beauty i health.
Jakie dokumenty powinienem miec przygotowane na kontrole UODO?
Minimum to: polityka prywatnosci, polityka cookies, rejestr czynnosci przetwarzania (art. 30 RODO), dokumentacja zgod (logi CMP z timestamp), umowy powierzenia z dostawcami, analiza ryzyka (DPIA jezeli dotyczy), dowod na dzialanie Consent Mode v2 oraz zrzut konfiguracji banera. CMP powinno generowac raport audytowy z ostatnich 6-12 miesiecy.
Czy moge odmowic wpuszczenia kontrolerow UODO?
Tylko w scisle okreslonych przypadkach. Kontrolerzy musza okazac pisemne upowaznienie Prezesa UODO i legitymacje sluzbowa. Jezeli upowaznienie zawiera braki formalne (np. nie ma numeru legitymacji, daty, zakresu kontroli), mozesz zgodnie z prawem odmowic wstepu. Blokowanie bez podstawy prawnej grozi odpowiedzialnoscia karna i dodatkowa kara administracyjna.
Autor: Zespol CookiePilot — pomagamy polskim firmom wdrozyc zgodnosc z RODO i Consent Mode v2 bez bolu glowy.
Napisane przez
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.