Od 10 listopada 2024 r. polskie zasady dotyczące cookies są opisane w art. 399 Prawa komunikacji elektronicznej. Dla właściciela strony albo sklepu internetowego najważniejszy wniosek jest prosty: samo pokazanie paska z komunikatem zwykle nie wystarcza, jeśli narzędzia marketingowe i analityczne uruchamiają się przed decyzją użytkownika.
Ten przewodnik wyjaśnia, co PKE Art. 399 oznacza dla cookies w 2026 r., jak łączy się z RODO i kiedy potrzebny jest baner. Jeśli chcesz zacząć od podstaw, zobacz też nasz przewodnik o banerze cookies zgodnym z RODO.
Spis treści
- Co zmienił art. 399 PKE w temacie cookies
- PKE, RODO i zgoda: jak to połączyć w praktyce
- Kiedy strona albo sklep potrzebuje zgody na cookies
- Co powinien zawierać baner cookies w 2026
- Checklist dla e-commerce i stron firmowych
- Najczęstsze błędy po wejściu PKE
- FAQ
Co zmienił art. 399 PKE w temacie cookies
Art. 399 PKE przejął rolę, którą przez lata pełnił art. 173 Prawa telekomunikacyjnego. Przepis dotyczy przechowywania informacji w urządzeniu końcowym użytkownika lub uzyskiwania dostępu do informacji już zapisanych. W języku właściciela strony chodzi najczęściej o cookies, local storage, piksele reklamowe, identyfikatory analityczne i podobne technologie.
Oficjalny tekst ustawy znajdziesz w Dzienniku Ustaw, poz. 1221 z 2024 r., a rządowe omówienie reformy jest dostępne na stronie gov.pl o Prawie komunikacji elektronicznej. W praktyce PKE nie usuwa wymogu zgody na marketingowe i analityczne cookies. Porządkuje go w nowej ustawie i łączy z szerszym pakietem regulacji dla komunikacji elektronicznej.
Dla firm najważniejsze są trzy konsekwencje:
| Obszar | Co oznacza w praktyce |
|---|---|
| Zgoda przed zapisem lub odczytem | Cookies reklamowe i analityczne zwykle nie powinny działać przed wyborem użytkownika. |
| Jasna informacja | Baner powinien mówić, po co używasz cookies i kto może otrzymać dane. |
| Możliwość zmiany decyzji | Użytkownik powinien móc łatwo wrócić do ustawień i wycofać zgodę. |
PKE nie działa w próżni. Jeśli przez cookies zbierasz dane osobowe lub identyfikatory pozwalające rozpoznać użytkownika, dochodzi jeszcze RODO. Dlatego dobra konfiguracja cookies to nie tylko tekst w polityce prywatności. To także realne sterowanie skryptami.
PKE, RODO i zgoda: jak to połączyć w praktyce
PKE odpowiada na pytanie, kiedy możesz zapisać albo odczytać informacje z urządzenia użytkownika. RODO odpowiada na pytanie, jak przetwarzasz dane osobowe, jeśli takie dane pojawiają się w tym procesie. Te dwa porządki często spotykają się przy Google Analytics, Meta Pixel, remarketingu, narzędziach heatmap i platformach afiliacyjnych.
RODO wymaga, żeby zgoda była dobrowolna, konkretna, świadoma i możliwa do wycofania. Warunki zgody opisuje art. 7 RODO w EUR-Lex. Dodatkowe wyjaśnienia dotyczące zgody publikuje Europejska Rada Ochrony Danych w wytycznych 05/2020 o zgodzie.
W praktyce oznacza to, że baner cookies powinien robić więcej niż informować. Powinien pozwalać na wybór, zapamiętać ten wybór i przekazać go do skryptów na stronie. Jeśli korzystasz z Google Ads albo Google Analytics, dochodzi jeszcze Google Consent Mode v2. Oficjalna dokumentacja Google opisuje, jak tagi mają reagować na status zgody, na przykład dla analytics_storage, ad_storage, ad_user_data i ad_personalization: Consent Mode w pomocy Google.
Tu właśnie pomaga CMP, czyli platforma do zarządzania zgodami. CookiePilot zbiera decyzję użytkownika, zapisuje ją i pomaga przekazać odpowiedni stan zgody do narzędzi marketingowych. To nie zastępuje konsultacji prawnej, ale ułatwia techniczne wdrożenie zgodne z założeniami PKE, RODO i Consent Mode v2.
Kiedy strona albo sklep potrzebuje zgody na cookies
Najprostszy test brzmi tak: czy dana technologia jest konieczna do działania usługi, o którą prosi użytkownik? Jeśli nie, zgoda zwykle będzie potrzebna.
| Przykład technologii | Czy zwykle wymaga zgody? | Komentarz |
|---|---|---|
| Koszyk zakupowy i sesja logowania | Zwykle nie | Jeśli są niezbędne do działania sklepu. |
| Google Analytics | Zwykle tak | Szczególnie przy identyfikatorach i raportowaniu użytkowników. |
| Meta Pixel, Google Ads, remarketing | Tak | To typowy obszar zgód marketingowych. |
| Chat, heatmapy, nagrywanie sesji | Często tak | Zależy od konfiguracji i danych. |
| Preferencje językowe lub walutowe | Czasem nie | Jeśli są potrzebne do żądanej funkcji. |
Jeśli nadal nie masz pewności, czy Twoja strona wymaga banera, przeczytaj osobny poradnik: czy muszę mieć baner cookies. Dla sklepów odpowiedź bardzo często brzmi: tak, ponieważ e-commerce korzysta z analityki, reklam, integracji płatności, marketplace, porównywarek cenowych i narzędzi automatyzacji marketingu.
Warto też pamiętać, że zgoda na cookies nie powinna być domyślnie zaznaczona. Użytkownik powinien świadomie wybrać kategorie, a odmowa nie powinna wymagać więcej wysiłku niż akceptacja. To szczególnie ważne po dyskusjach o dark patterns i po kontrolach dotyczących banerów, o których piszemy w artykule o kontrolach UODO dotyczących cookies.
Co powinien zawierać baner cookies w 2026
Dobry baner cookies w 2026 r. powinien być krótki na pierwszym ekranie, ale kompletny w ustawieniach. Użytkownik nie chce czytać ściany tekstu, a Ty potrzebujesz decyzji, którą da się później wykazać.
Minimalny zestaw elementów wygląda tak:
- Krótka informacja, że strona używa cookies i podobnych technologii.
- Podział na kategorie, na przykład niezbędne, analityczne, marketingowe i preferencyjne.
- Przycisk akceptacji wszystkich zgód.
- Przycisk odmowy albo zapisania tylko niezbędnych ustawień.
- Link do szczegółowych ustawień.
- Link do polityki prywatności lub polityki cookies.
- Mechanizm ponownego otwarcia ustawień zgody.
- Blokowanie skryptów do czasu decyzji, jeśli skrypty wymagają zgody.
Najczęstszy problem nie leży w treści banera, tylko w technice. Strona wygląda poprawnie, ale Google Analytics, piksel reklamowy albo widget marketingowy uruchamia się zanim użytkownik kliknie akceptację. W takim układzie baner jest bardziej dekoracją niż mechanizmem zgody.
CookiePilot pomaga uniknąć tego problemu, bo łączy baner, kategorie cookies, logikę zgody i integrację z Consent Mode v2. Możesz sprawdzić działanie bez rozmowy sprzedażowej na stronie demo CookiePilot. Jeśli chcesz od razu porównać koszty, zobacz cennik CookiePilot, plany zaczynają się od 29 PLN miesięcznie.
Checklist dla e-commerce i stron firmowych
Poniższa lista nie jest poradą prawną, ale pomaga uporządkować wdrożenie przed audytem, migracją strony albo startem kampanii reklamowej.
| Krok | Co sprawdzić | Dlaczego to ważne |
|---|---|---|
| 1 | Zrób skan cookies i skryptów | Nie da się poprawnie skonfigurować zgód bez wiedzy, co działa na stronie. |
| 2 | Podziel narzędzia na kategorie | Analityka i marketing nie powinny trafiać do jednej ogólnej zgody. |
| 3 | Zablokuj skrypty przed zgodą | To najważniejszy test praktyczny dla PKE Art. 399. |
| 4 | Wdróż Consent Mode v2 | Google Ads i Analytics potrzebują sygnałów zgody. |
| 5 | Dodaj łatwy powrót do ustawień | Wycofanie zgody powinno być realne, nie ukryte. |
| 6 | Aktualizuj politykę cookies | Treść dokumentu musi pasować do faktycznej konfiguracji. |
| 7 | Zapisuj historię zgód | W razie sporu łatwiej pokazać, kiedy i na co użytkownik się zgodził. |
Dla sklepów dodaj jeszcze jeden punkt: sprawdź checkout. Część narzędzi marketingowych jest podpinana osobno na stronach koszyka, płatności i potwierdzenia zamówienia. Jeśli CMP działa tylko na stronie głównej, wdrożenie będzie niepełne.
Najczęstsze błędy po wejściu PKE
Pierwszy błąd to komunikat bez wyboru. Tekst w stylu "korzystając ze strony, akceptujesz cookies" nie jest dobrym modelem zgody dla analityki i marketingu. Użytkownik powinien mieć realną decyzję.
Drugi błąd to brak symetrii. Jeśli akceptacja jest jednym dużym przyciskiem, a odmowa wymaga wejścia w kilka ekranów, rośnie ryzyko uznania takiego wzorca za nieuczciwy. W praktyce lepiej zaprojektować baner jasno: akceptuję, odrzucam, ustawienia.
Trzeci błąd to brak technicznego blokowania. Wiele stron ma poprawnie brzmiącą politykę cookies, ale skrypty reklamowe startują od razu. To łatwo sprawdzić w DevTools, Tag Assistant albo poprzez audyt sieciowy.
Czwarty błąd to jednorazowe wdrożenie bez utrzymania. Marketing dodaje nowe narzędzie, agencja podpina piksel, developer wkleja skrypt chatbota i nikt nie aktualizuje kategorii. CMP powinien być elementem procesu, nie jednorazowym checkboxem przy starcie strony.
Piąty błąd to zbyt odważne deklaracje prawne. Żadne narzędzie nie gwarantuje zgodności samo z siebie. CMP pomaga wdrożyć zgody i uporządkować dokumentację, ale konkretne podstawy prawne, treść polityki prywatności i ryzyka branżowe warto skonsultować z prawnikiem.
Podsumowanie
PKE Art. 399 nie oznacza rewolucji, w której nagle każda strona musi zaczynać od zera. Oznacza raczej, że w 2026 r. trudniej bronić banera, który tylko informuje, ale nie steruje realnym działaniem cookies.
Najważniejsze wnioski:
- Właściciele sklepów: sprawdź, czy analityka, reklamy i piksele nie uruchamiają się przed zgodą.
- Developerzy: testuj nie tylko UI banera, ale też requesty, tagi i stan Consent Mode v2.
- Marketerzy: zaplanuj kampanie tak, żeby zgody były zbierane poprawnie, a utrata części danych była uwzględniona w raportowaniu.
- Osoby od compliance: porównaj treść polityki cookies z faktyczną listą narzędzi na stronie.
Jeśli chcesz wdrożyć prosty baner z polskim panelem, Consent Mode v2 i wsparciem po polsku, sprawdź demo CookiePilot albo przejdź do cennika. Narzędzie pomaga uporządkować zgody, ale w nietypowych przypadkach, na przykład przy rozbudowanej reklamie behawioralnej albo wielu partnerach danych, warto skonsultować konfigurację z prawnikiem.
FAQ
Czy PKE Art. 399 zastąpił art. 173 Prawa telekomunikacyjnego?
Tak, w praktyce regulacja cookies została przeniesiona do Prawa komunikacji elektronicznej. Dla właścicieli stron najważniejsze pozostaje to, że zapis lub odczyt informacji z urządzenia użytkownika zwykle wymaga wcześniejszej zgody, chyba że działa wyjątek dla technologii niezbędnych.
Czy cookies niezbędne wymagają zgody?
Zwykle nie, jeśli są naprawdę potrzebne do działania usługi, na przykład koszyk zakupowy, sesja logowania albo ustawienia bezpieczeństwa. Nie warto jednak wrzucać do tej kategorii analityki lub marketingu tylko dlatego, że są przydatne biznesowo.
Czy Google Analytics wymaga zgody po PKE?
W typowej konfiguracji tak. Google Analytics zapisuje lub odczytuje identyfikatory i może wiązać się z przetwarzaniem danych osobowych. Dlatego w praktyce powinien reagować na decyzję użytkownika, najlepiej przez CMP i Consent Mode v2.
Czy sam tekst w polityce cookies wystarczy?
Nie w większości przypadków. Polityka cookies jest ważna, ale musi iść w parze z mechanizmem wyboru oraz technicznym blokowaniem skryptów przed zgodą. Inaczej użytkownik dostaje informację, ale nie kontrolę.
Powiązane przewodniki
- Baner cookies zgodny z RODO
- Kontrola UODO a cookies
- Czy muszę mieć baner cookies
- Demo CookiePilot
- Cennik CookiePilot
Autor: Zespół CookiePilot, pomagamy polskim firmom wdrażać zgody, RODO/PKE i Consent Mode v2 bez zbędnej komplikacji.
Napisane przez
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.