Audyt kilkuset polskich stron e-commerce z pierwszego kwartalu 2026 pokazuje: 62% polityk cookies jest starsza niz 18 miesiecy, a 41% powiela szablon skopiowany z konkurencji bez zmian. W 2025 roku UODO otworzyl postepowania w sprawach, w ktorych polityka cookies wymieniala narzedzia nieistniejace na stronie, a pomijala GA4, Meta Pixel i Hotjar, ktore rzeczywiscie ladowaly sie w tle.

Polityka cookies nie jest formalnoscia. To dokument, ktorym bronisz sie przed kontrola — a jezeli jest niezgodny, to pierwszy dowod przeciwko Tobie. W tym przewodniku pokaze, co musi zawierac polityka cookies w 2026 roku wedlug RODO i PKE, wymienie najczestsze bledy, a na koncu znajdziesz gotowy szablon do skopiowania i podpowiedzi, jak dostosowac go do WordPress, Shoper, Shopify czy wlasnego sklepu. Polityka jest czesca szerszej ukladanki RODO — dlatego zacznij od zrozumienia, jakie sa wymogi RODO dla banera, a potem wroc do tego dokumentu.

Spis tresci

Co musi zawierac polityka cookies wedlug RODO i PKE
Najczestsze bledy w polityce cookies
Szablon polityki cookies — gotowy do skopiowania
Jak dostosowac szablon do wlasnej strony
Gdzie umiescic polityke cookies
Kiedy aktualizowac polityke cookies
Szablon vs generator CMP — kiedy co sie oplaca
Polityka cookies dla WordPress, Shoper, Shopify
Podsumowanie
FAQ

Co musi zawierac polityka cookies wedlug RODO i PKE

Dwa akty prawne nakladaja obowiazek dokumentu o cookies:

Art. 13 RODO — obowiazek informacyjny przy zbieraniu danych osobowych. Cookies czesto zawieraja identyfikatory uznawane za dane osobowe (np. _ga, _fbp, IDE), wiec RODO dotyczy ich wprost.
Art. 399 Prawa Komunikacji Elektronicznej (PKE) — obowiazuje od 10 listopada 2024, zastapil art. 173 Prawa Telekomunikacyjnego. Wymaga poinformowania uzytkownika o zakresie, celu i czasie przechowywania informacji na jego urzadzeniu oraz zebrania aktywnej zgody przed wywolaniem skryptu.

Na tej podstawie polityka cookies musi zawierac konkretne elementy. Tabela ponizej pokazuje mapping wymogow na sekcje dokumentu:

Element polityki	Podstawa prawna	Co musi zawierac
Administrator danych	Art. 13 ust. 1 lit. a RODO	Pelna nazwa firmy, NIP, adres, email kontaktowy
Inspektor Ochrony Danych (jesli powolany)	Art. 13 ust. 1 lit. b RODO	Dane kontaktowe IOD / DPO
Definicja cookies	Art. 399 PKE	Krotka definicja techniczna — co to sa cookies, local storage, pixel
Lista cookies	Art. 399 PKE + art. 13 RODO	Tabela: nazwa, cel, dostawca, typ (1st/3rd party), czas przechowywania, podstawa prawna
Cel przetwarzania	Art. 13 ust. 1 lit. c RODO	Dla kazdej kategorii: dlaczego ja uzywasz
Podstawa prawna	Art. 13 ust. 1 lit. c RODO	Art. 6 ust. 1 lit. a (zgoda), lit. f (uzasadniony interes) — dla kazdej kategorii osobno
Odbiorcy danych	Art. 13 ust. 1 lit. e RODO	Lista dostawcow third-party: Google, Meta, Hotjar itd.
Transfer poza EOG	Art. 13 ust. 1 lit. f RODO	Jezeli dane ida do USA lub innych krajow — podstawa transferu (SCC, Data Privacy Framework)
Czas przechowywania	Art. 13 ust. 2 lit. a RODO	Dla kazdego cookie osobno
Prawa uzytkownika	Art. 13 ust. 2 lit. b-d RODO	Dostep, sprostowanie, usuniecie, ograniczenie, przenoszenie, sprzeciw, wycofanie zgody
Zarzadzanie zgodami	Art. 399 PKE	Jak odwolac zgode (link do banera, ustawienia CMP, instrukcja dla przegladarek)
Skarga do UODO	Art. 13 ust. 2 lit. d RODO	Informacja o prawie skargi do Prezesa UODO
Data ostatniej aktualizacji	Praktyka UODO	Data + wersja dokumentu

Brak jednego z powyzszych elementow UODO traktuje jako brak formalny, ktory przy kontroli zapisuje sie jako osobne naruszenie. W praktyce duzo polskich polityk cookies ma 8-10 z 13 wymaganych elementow — i wlasnie ta niekompletnosc jest najczestszym zarzutem w postepowaniach z 2025 roku.

Najczestsze bledy w polityce cookies

Z audytu UODO 2024-2025 oraz analizy polskich sklepow:

1. Nieaktualna lista cookies. Polityka wymienia Google Analytics Universal (wygaszony w lipcu 2023), pomija GA4, Meta Pixel, Hotjar albo CookiePilot. Efekt: dokument klamie o tym, co rzeczywiscie dzieje sie na stronie.

2. Brak czasu zycia. Tabela cookies zawiera nazwe i cel, ale nie mowi, jak dlugo cookie zyje na urzadzeniu uzytkownika. To osobny wymog PKE (art. 399 ust. 1) — musi byc konkretnie: 30 dni, 12 miesiecy, session.

3. Brak podstawy prawnej dla kazdej kategorii. Wiele polityk wpisuje ogolnie "zgoda uzytkownika", ale nie rozrozniia cookies strictly necessary (uzasadniony interes / art. 6 ust. 1 lit. f) od analitycznych i marketingowych (zgoda / art. 6 ust. 1 lit. a). UODO tego wymaga.

4. Kopiuj-wklej szablon. Wymieniana jest polityka cookies z generatora sprzed 3 lat albo wprost skopiowana od konkurencji. Sygnaly: brak nazwy Twojej firmy w polu administratora, generyczne sformulowania, odwolania do nieistniejacych narzedzi.

5. Brak danych administratora. Polityka mowi "My uzywamy cookies", ale nie precyzuje, kto jest administratorem. Pusta nazwa firmy, brak NIP, brak adresu. Formalnie to dokument bez strony odpowiedzialnej — w RODO nieakceptowalne.

6. Brak sekcji o third-party. Polityka opisuje tylko wlasne cookies, pomija dostawcow zewnetrznych (Google, Meta, Microsoft, Hotjar). To naruszenie art. 13 ust. 1 lit. e RODO — uzytkownik musi wiedziec, komu trafiaja jego dane.

7. Brak informacji o transferze danych do USA. Jezeli uzywasz GA4, Meta Pixel, Hotjar czy Google Ads, dane ida do USA. Polityka musi wymieniac te transfery i podstawe (Data Privacy Framework dla firm z listy DPF). Brak sekcji = osobne naruszenie.

8. Link do polityki ukryty glebiej niz w stopce. Polityka ma byc dostepna "w kazdej chwili". Schowanie linka w zakladce FAQ albo na podstronie "Regulamin" jest interpretowane jako utrudnianie dostepu.

9. Brak wskazania, jak wycofac zgode. Uzytkownik ma prawo do wycofania zgody w kazdej chwili i dokladnie tak samo latwo, jak ja udzielil (art. 7 ust. 3 RODO). Polityka musi zawierac link "Zmien ustawienia cookies" uruchamiajacy ponownie baner.

10. Brak wersji i daty aktualizacji. Dokument bez daty = dokument o niewyjasnionym statusie. Wersja jest tym, co UODO porownuje z datami zmian w CMP, GTM i analytics.

Szablon polityki cookies — gotowy do skopiowania

Ponizej pelny szablon tekstowy. Zastapuje pola w {} wlasnymi danymi i uzupelnij tabele cookies o narzedzia, ktorych naprawde uzywasz. Po skopiowaniu dodaj polskie diakrytyki jezeli Twoj CMS ich wymaga.

Polityka cookies {nazwa_firmy}

Data ostatniej aktualizacji: {data, np. 21.04.2026} Wersja: {numer wersji, np. 2.1}

1. Administrator danych

Administratorem danych osobowych zbieranych za pomoca plikow cookies jest:

Nazwa firmy: {nazwa_firmy}
Adres siedziby: {adres}
NIP: {nip}
REGON: {regon}
KRS (jesli dotyczy): {krs}
Adres email: {email_kontakt}
Inspektor Ochrony Danych (IOD/DPO): {email_iod — lub wpisz "Nie powolano IOD" jezeli nie dotyczy}

2. Co to sa pliki cookies

Pliki cookies (tzw. "ciasteczka") to niewielkie pliki tekstowe zapisywane na urzadzeniu koncowym uzytkownika podczas odwiedzin strony {adres_strony}. Cookies pozwalaja rozpoznac urzadzenie uzytkownika i dostosowac dzialanie strony do jego preferencji.

Oprocz cookies uzywamy rowniez innych technologii sledzacych:

Local storage / session storage — pamiec przegladarki o wiekszej pojemnosci niz cookies
Pixels — male obrazki 1x1 pikseli sledzace interakcje uzytkownika
Fingerprinting (jezeli dotyczy) — identyfikacja urzadzenia na podstawie cech przegladarki

Wszystkie powyzsze technologie traktujemy rownorzednie w polityce cookies zgodnie z Wytycznymi EDPB 2/2023 oraz art. 399 Prawa Komunikacji Elektronicznej.

3. Jakie cookies uzywamy

Ponizsza tabela wymienia wszystkie cookies, ktore moga byc zapisane na Twoim urzadzeniu podczas korzystania z naszej strony. Tabela jest aktualizowana przy kazdej zmianie narzedzi.

3.1 Cookies niezbedne (strictly necessary)

Cookies niezbedne do dzialania strony. Nie wymagaja zgody, ale wymagaja informacji. Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora).

Nazwa cookie	Cel	Dostawca	Typ	Czas przechowywania
`{cookie_consent}`	Zapamietanie wyboru w banerze cookies	{nazwa_firmy} (1st party)	first-party	12 miesiecy
`PHPSESSID`	Sesja uzytkownika na serwerze	{nazwa_firmy} (1st party)	first-party	sesja (do zamkniecia przegladarki)
`XSRF-TOKEN`	Ochrona przed atakami CSRF	{nazwa_firmy} (1st party)	first-party	sesja
`{cart_cookie}`	Przechowanie produktow w koszyku	{nazwa_firmy} (1st party)	first-party	30 dni

3.2 Cookies analityczne (statistics)

Mierza zachowanie uzytkownikow, liczbe odwiedzin, czas na stronie. Wymagaja zgody. Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda).

Nazwa cookie	Cel	Dostawca	Typ	Czas przechowywania
`_ga`, `_ga_<ID>`	Google Analytics 4 — identyfikacja uzytkownika	Google LLC	third-party	24 miesiace
`_gid`	Google Analytics — sesja	Google LLC	third-party	24 godziny
`_hjSessionUser_*`	Hotjar — heatmapy i nagrania sesji	Hotjar Ltd.	third-party	12 miesiecy
`_clck`, `_clsk`	Microsoft Clarity — analityka behawioralna	Microsoft Corp.	third-party	12 miesiecy / sesja

3.3 Cookies marketingowe (advertising)

Sluza personalizacji reklam, remarketingowi, atrybucji. Wymagaja zgody. Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda).

Nazwa cookie	Cel	Dostawca	Typ	Czas przechowywania
`_gcl_au`, `IDE`	Google Ads — remarketing i konwersje	Google LLC	third-party	90 dni / 13 miesiecy
`_fbp`, `_fbc`	Meta Pixel — remarketing Facebook i Instagram	Meta Platforms Inc.	third-party	90 dni
`li_sugr`, `lidc`	LinkedIn Insight Tag	LinkedIn Corp.	third-party	90 dni / 24 godziny
`_ttp`	TikTok Pixel	TikTok Ltd.	third-party	13 miesiecy

3.4 Cookies funkcjonalne (preferences)

Poprawiaja wygode korzystania, ale strona dziala bez nich. Wymagaja zgody. Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda).

Nazwa cookie	Cel	Dostawca	Typ	Czas przechowywania
`language`	Zapamietanie wybranego jezyka	{nazwa_firmy} (1st party)	first-party	12 miesiecy
`currency`	Zapamietanie waluty	{nazwa_firmy} (1st party)	first-party	12 miesiecy
`theme`	Zapamietanie trybu ciemnego / jasnego	{nazwa_firmy} (1st party)	first-party	12 miesiecy

4. Odbiorcy danych i transfer do krajow trzecich

Dane zbierane za pomoca cookies moga byc przekazywane nastepujacym podmiotom trzecim:

Google LLC (USA) — Google Analytics, Google Ads. Transfer na podstawie Data Privacy Framework (DPF).
Meta Platforms Inc. (USA) — Meta Pixel. Transfer na podstawie Data Privacy Framework (DPF).
Microsoft Corporation (USA) — Microsoft Clarity, Bing Ads. Transfer na podstawie Data Privacy Framework (DPF).
Hotjar Ltd. (Malta) — heatmapy. Transfer wewnatrz EOG.
LinkedIn Corporation (USA) — LinkedIn Insight Tag. Transfer na podstawie Data Privacy Framework (DPF).
TikTok Ltd. (Irlandia, z dalszym transferem do USA/Chin) — TikTok Pixel. Transfer na podstawie Standard Contractual Clauses.

Lista podmiotow moze byc aktualizowana. Najbardziej aktualna wersja jest zawsze w panelu CMP dostepnym przez link "Zmien ustawienia cookies" na dole kazdej strony.

5. Jak zarzadzac cookies

Masz pelne prawo decydowac, ktore cookies akceptujesz. Mozesz:

1. Zarzadzac zgodami przez nasz baner CMP:

Podczas pierwszej wizyty pokazujemy baner z wyborem kategorii cookies.
W kazdej chwili mozesz zmienic decyzje klikajac link "Zmien ustawienia cookies" w stopce kazdej strony.
Wycofanie zgody jest rownie proste, jak jej udzielenie, i nie wplywa na legalnosc przetwarzania przed wycofaniem.

2. Zarzadzac cookies w ustawieniach przegladarki:

Google Chrome: Ustawienia -> Prywatnosc i bezpieczenstwo -> Pliki cookie i inne dane witryn
Mozilla Firefox: Ustawienia -> Prywatnosc i bezpieczenstwo -> Ciasteczka i dane stron
Safari: Preferencje -> Prywatnosc -> Zarzadzaj danymi witryn
Microsoft Edge: Ustawienia -> Pliki cookie i uprawnienia witryn
Opera: Ustawienia -> Zaawansowane -> Prywatnosc i bezpieczenstwo -> Ustawienia witryn -> Pliki cookie

Zablokowanie wszystkich cookies, wlaczajac niezbedne, moze sprawic, ze czesc funkcji strony przestanie dzialac (koszyk, logowanie, preferencje).

6. Dane osobowe a cookies

Niektore cookies, ktore uzywamy, moga zawierac identyfikatory uznawane za dane osobowe w rozumieniu RODO — w szczegolnosci identyfikatory urzadzenia, adresy IP, identyfikatory przegladarki. W tym zakresie przetwarzanie tych danych opisujemy szczegolowo w naszej Polityce Prywatnosci.

Polityka cookies uzupelnia Polityke Prywatnosci — obowiazuja oba dokumenty rownolegle.

7. Prawa uzytkownika

Masz prawo do:

Dostepu do swoich danych (art. 15 RODO)
Sprostowania nieprawidlowych danych (art. 16 RODO)
Usuniecia danych, "prawo do bycia zapomnianym" (art. 17 RODO)
Ograniczenia przetwarzania (art. 18 RODO)
Przenoszenia danych (art. 20 RODO)
Sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO)
Wycofania zgody w kazdej chwili (art. 7 ust. 3 RODO)
Skargi do Prezesa Urzedu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa)

Zeby skorzystac z praw, napisz na: {email_kontakt}.

8. Zmiany polityki cookies

Polityka cookies moze byc zmieniana w zwiazku ze zmianami prawnymi, aktualizacjami narzedzi na stronie albo zmianami w procesach przetwarzania. Kazda zmiana jest sygnalizowana przez:

Aktualizacje daty na gorze polityki
Zwiekszenie numeru wersji
W przypadku istotnych zmian — ponowne wyswietlenie banera cookies z prosba o nowa zgode

Wczesniejsze wersje polityki przechowujemy {opcjonalnie: przez 5 lat w archiwum dostepnym na zadanie}.

9. Kontakt

W sprawach dotyczacych polityki cookies i danych osobowych:

Email: {email_kontakt}
IOD/DPO: {email_iod}
Adres: {adres}

KONIEC SZABLONU

Szablon zawiera wszystkie 13 elementow wymaganych przez RODO i PKE. Dla wygody mozna go pobrac rowniez w formatach do edycji — jezeli potrzebujesz, napisz do nas albo wygeneruj polityke automatycznie na podstawie skanu Twojej strony.

Jak dostosowac szablon do wlasnej strony

Szablon to rusztowanie — rzeczywista polityka wymaga trzech krokow dostosowania:

Krok 1: Skan cookies. Otworz swoja strone w incognito, przejdz typowa sciezka uzytkownika (strona glowna -> produkt -> koszyk -> checkout) i wypisz wszystkie cookies z DevTools. Porownaj z tabela w sekcji 3 szablonu — dopisz brakujace, usun te, ktorych nie uzywasz. Lista kategorii cookies pomoze Ci przyporzadkowac kazde cookie do wlasciwej sekcji.

Krok 2: Dane administratora. Pola w {} zastap konkretnymi danymi Twojej firmy. Pamietaj o NIP, REGON, adresie. Jezeli prowadzisz dzialalnosc gospodarcza, nie spolke — podaj imie i nazwisko, nazwe dzialalnosci, NIP i adres.

Krok 3: Transfer danych. Sekcja 4 wymienia najczestszych dostawcow (Google, Meta, Microsoft, Hotjar, LinkedIn, TikTok). Zostaw tylko tych, ktorych uzywasz. Jezeli uzywasz innych narzedzi — sprawdz ich polityke prywatnosci i dodaj osobna pozycje z podstawa transferu (SCC, DPF, adekwatnosc).

Przyklad praktyczny: sklep na Shoperze z GA4 i Meta Pixel. Tabele z sekcji 3.1, 3.2 i 3.3 uzupelniasz tylko o te narzedzia. Sekcja 4 wymienia Google LLC i Meta Platforms — bez LinkedIn, TikTok i Microsoft Clarity, bo ich nie uzywasz. W sekcji 3.1 nazwy cookies zastapisz Shoperowymi (shop_session, _scc, cart_<id>).

Gdzie umiescic polityke cookies

Polityka cookies musi byc "dostepna w kazdej chwili" (art. 399 PKE). W praktyce oznacza to trzy miejsca:

1. Strona dedykowana. Polityka ma wlasny URL typu /polityka-cookies/ albo /cookies/. To podstawowe miejsce, gdzie linkuja wszystkie pozostale.

2. Link w banerze cookies. Baner CMP pokazywany przy pierwszej wizycie musi zawierac link "Wiecej informacji" albo "Polityka cookies" prowadzacy do strony dedykowanej. Bez tego linka baner nie spelnia obowiazku informacyjnego — za co UODO daje kare bezposrednio.

3. Stopka strony. Link "Polityka cookies" w stopce, widoczny na kazdej podstronie, wlaczajac checkout sklepu. Czesto obok "Polityka prywatnosci" i "Regulamin".

4. Moment checkoutu. Dla sklepow rekomendacja UODO — link do polityki cookies w checkoutie razem z polityka prywatnosci. Uzasadnienie: uzytkownik akceptuje zlozone reguly w momencie konwersji.

Polityka cookies nie moze byc ukryta za logowaniem ani w ciezko dostepnej zakladce typu "O nas > Dokumenty prawne > Inne". Link musi byc dostepny w maksymalnie 2 klikniecia od strony glownej.

Kiedy aktualizowac polityke cookies

Aktualizacja polityki jest obowiazkiem, nie uprzejmoscia. Trigger zmiany:

Nowe narzedzie na stronie. Dodajesz Hotjar? Aktualizuj polityke jeszcze przed wdrozeniem.
Usuniecie narzedzia. Przestajesz uzywac Meta Pixel? Usun go z tabeli cookies.
Zmiana CMP. Migracja z Cookiebot na CookiePilot? Polityka musi wymieniac nowy CMP i jego cookies (nazwa cookie zgody sie zmienia).
Zmiana czasu zycia cookie. Skracasz GA4 z 24 miesiecy do 14 dni? Aktualizuj tabele.
Zmiana przepisow. Nowe Wytyczne EDPB, zmiana w PKE, zmiana w interpretacji UODO.
Raz w roku — audyt. Minimum. Nawet jezeli nic sie nie zmienilo formalnie, rok to dlugo — jezeli cos umknelo, audyt to wychwyci.

Po kazdej aktualizacji:

Zwieksz numer wersji (np. z 2.1 na 2.2).
Wpisz nowa date.
W przypadku istotnych zmian (nowa kategoria cookies, nowy dostawca third-party) — ponownie wyswietl baner cookies, zeby uzytkownik mogl zrewidowac zgode. To wymog z EDPB Guidelines 05/2020 on consent.

Automatyzacja tego procesu to wlasnie to, co daje dobre CMP. CookiePilot po wykryciu nowego cookie w skanie sam aktualizuje tabele w polityce, zwieksza wersje i logujs zmiane. Bez automatyzacji te kroki czesto wypadaja — a to jest wlasnie pierwszy sygnal, ktory kontrola UODO wychwytuje.

Szablon vs generator CMP — kiedy co sie oplaca

Kryterium	Szablon tekstowy	Generator zintegrowany z CMP
Koszt startu	0 zl	0-300 zl/mies.
Aktualizacja listy cookies	Recznie, co zmiane	Automatycznie przy kazdym skanie
Ryzyko nieaktualnej listy	Wysokie po 6 miesiacach	Bliskie zeru
Zgodnosc z polskim prawem	Zalezy od jakosci szablonu	Wbudowane reguly dla polskiego prawa
Integracja z banerem cookies	Brak	Pelna — polityka, baner i skan sa w jednym miejscu
Wersjonowanie	Recznie	Automatyczne logowanie zmian
Audyt / dowody dla UODO	Recznie w arkuszach	Automatyczne raporty

Szablon ma sens, jezeli: masz jedna mala strone bez zewnetrznych narzedzi, jestes developerem, ktory aktualizuje polityke przy kazdym deployu, masz budzet zerowy. Dla sklepow e-commerce, firm SaaS, agencji, redakcji — generator CMP jest praktyczniej. Koszt 50-300 zl miesiecznie zwraca sie przy pierwszym audycie.

Jezeli myslisz o przejsciu ze szablonu na generator, warto zaczac od porownania CMP — wybor platformy wplywa na to, jak dobra polityka zostanie wygenerowana.

Polityka cookies dla WordPress, Shoper, Shopify

WordPress: polityke cookies dodajesz jako osobna strone (Strony -> Dodaj nowa), wklejasz szablon, linkujesz w menu stopki przez widget "Menu nawigacji". Jezeli uzywasz CMP jako wtyczki (np. CookiePilot, Complianz, Real Cookie Banner), polityka czesto generowana jest automatycznie przez wtyczke — wystarczy, ze dodasz strone typu [cookiepilot-policy] albo uzyjesz shortcode wtyczki. Szczegoly wdrozenia opisalem w przewodniku Consent Mode v2 dla WordPress.

Shoper: panel Shopera ma wbudowane sekcje na polityke cookies w Wyglad -> Strony informacyjne -> Polityka cookies. Wklejasz szablon, zapisujesz, link pojawia sie automatycznie w stopce. Integracja z zewnetrznym CMP (CookiePilot, Cookiebot) wymaga dodania skryptu w Ustawienia -> Kody marketingowe, a nastepnie podmiany linku w stopce, zeby prowadzil do dynamicznie generowanej polityki przez CMP zamiast do statycznej strony w panelu. Zobacz tez Consent Mode v2 dla Shoper.

Shopify: polityke dodajesz w Sklep online -> Strony -> Dodaj strone. Shopify ma takze domyslne pole na polityki w Ustawieniach prawnych (Ustawienia -> Zasady), ktore generuje pusty szablon do wypelnienia. Po stworzeniu strony link dodajesz do stopki w Sklep online -> Nawigacja -> Stopka. Shopify natywnie wspiera Customer Privacy API, wiec jezeli uzywasz Consent Mode v2, polityka cookies powinna opisywac nie tylko cookies, ale tez Shop App Bridge API i jego zakres danych.

Wlasny sklep / headless: jedynym ograniczeniem jest deploy. Trzymaj polityke cookies w CMS albo repozytorium razem z polityka prywatnosci, wersjonuj przez git. Jezeli polityka jest statyczna, przy kazdym deployu zmieniaj date, nawet jezeli nic innego sie nie zmienia — tak masz dowod przegladu.

Podsumowanie

Polityka cookies to dokument, ktory przy dobrym przygotowaniu chroni Cie przed kara UODO, a przy zlym — dostarcza pierwszego dowodu przeciwko Tobie. 13 obowiazkowych elementow, tabela cookies aktualna co do tygodnia, link w widocznym miejscu, wersjonowanie. Tyle wystarczy, zeby byc zgodnym.

Wlasciciele sklepow e-commerce: zacznij od skanu cookies na wlasnej stronie. Wypelnij tabele z szablonu konkretnymi nazwami. Ustal jedna osobe odpowiedzialna za audyt polityki raz na kwartal.
Prawnicy in-house i compliance: porownaj obecna polityke klienta z tabela 13 elementow z tego artykulu. Brakujacy element = osobne ryzyko. Wynik audytu to dokument w kancelaryjnym folderze RODO.
Developerzy: dodajcie do pipeline'u deploy krok "sprawdzenie daty aktualizacji polityki cookies". Jezeli w danym deploycie dodawany jest nowy skrypt analityczny albo marketingowy, polityka musi byc zaktualizowana w tym samym commicie.

Jezeli nie chce Ci sie utrzymywac tego recznie — CookiePilot skanuje strone, automatycznie generuje polityke cookies zgodna z RODO i PKE, wersjonuje kazda zmiane i pokazuje uzytkownikowi aktualny stan przez link w stopce. Mozesz wygenerowac polityke automatycznie i zaczac za darmo.

Powiazane przewodniki

FAQ

Czy polityka cookies jest obowiazkowa w Polsce?

Tak. Obowiazek wynika z art. 13 RODO (informacja o przetwarzaniu danych) oraz z art. 399 Prawa Komunikacji Elektronicznej, ktory zastapil art. 173 Prawa Telekomunikacyjnego 10 listopada 2024. Kazda strona, ktora uzywa cookies innych niz strictly necessary, musi poinformowac uzytkownika o ich zakresie, celu i czasie przechowywania. Sama zgoda w banerze nie wystarczy — informacja powinna byc dostepna w kazdej chwili, najczesciej przez link w stopce.

Czy mozna skopiowac polityke cookies od konkurencji?

Nie warto. UODO w Poradniku dla e-commerce z marca 2025 wprost wskazal kopiuj-wklej jako jeden z najczestszych bledow. Polityka musi wymieniac dokladnie te cookies, ktore dziala na Twojej stronie — z nazwami, czasem zycia i dostawcami. Kopia od konkurencji niemal zawsze klamie, bo laduje inne narzedzia. Skopiowana polityka daje tez dowod, ze nie przeprowadzono audytu — co w postepowaniu UODO dziala na Twoja niekorzysc.

Jak czesto aktualizowac polityke cookies?

Przy kazdej zmianie technologii (nowy piksel, nowe narzedzie analityczne, zmiana CMP) oraz minimum raz w roku w ramach przegladu. Dodaj do polityki pole "data ostatniej aktualizacji" i "wersja". Bez daty aktualizacji UODO w pierwszej kolejnosci zakwestionuje, czy polityka odzwierciedla rzeczywisty stan. Zautomatyzowane CMP aktualizuja polityke przy kazdej zmianie skanu cookies.

Czy polityka cookies musi byc osobnym dokumentem od polityki prywatnosci?

Nie ma prawnego obowiazku rozdzialu, ale praktyka rynkowa i rekomendacja UODO idzie w strone osobnych dokumentow. Polityka prywatnosci opisuje przetwarzanie danych osobowych (art. 13-14 RODO), polityka cookies opisuje technologie sledzace (art. 5(3) ePrivacy / art. 399 PKE). Oba dokumenty sie uzupelniaja i powinny odsylac do siebie nawzajem. Rozdzial ulatwia tez aktualizacje — zmieniasz CMP, aktualizujesz tylko polityke cookies.

Czy wystarczy wkleic polityke cookies z generatora online?

Generator daje punkt startowy, ale sam w sobie nie wystarczy. Kazdy generator, ktory nie skanuje Twojej strony, pokazuje tylko szkielet dokumentu z placeholderami. Zeby polityka byla zgodna, musisz wymienic w niej konkretne cookies dzialajace na stronie — z nazwami, dostawcami i czasem zycia. Najlepsze rozwiazanie: generator zintegrowany z CMP, ktory czyta skan cookies i sam aktualizuje tabele przy kazdej zmianie.

Autor: Zespol CookiePilot — pomagamy polskim firmom wdrozyc zgodnosc z RODO i Consent Mode v2 bez bolu glowy.

Polityka Cookies 2026: Wzor, Szablon i Przyklad RODO