Cookies w 2026. Czy baner na stronie to nadal wystarczy?
Share
Krótka odpowiedź: to zależy od tego jak wygląda Twój baner. Długa odpowiedź: większość banerów które widzę na polskich stronach – nie wystarczy. I to nie jest opinia – to jest kierunek w którym idą decyzje organów nadzorczych.
Jest taki moment który zna każdy właściciel strony internetowej.
Ktoś mówi żeby "zrobić ten baner z cookies bo RODO wymaga." Wchodzisz na stronę z gotowymi rozwiązaniami. Instalujesz plugin. Pojawia się pasek na dole strony z napisem "Ta strona używa plików cookies" i przyciskiem "Akceptuj." Temat zamknięty.
Nie jest zamknięty.
Ten baner – w tej formie – narusza przepisy. I robi to na kilka różnych sposobów jednocześnie.
Trzy przepisy które regulują cookies w Polsce
Zacznijmy od fundamentu
Cookies w Polsce regulują nie jeden a dwa oddzielne reżimy prawne które muszą być spełnione równocześnie.
RODO – wymaga podstawy prawnej dla każdego przetwarzania danych osobowych.
Prawo komunikacji elektronicznej (PKE) – ustawa która zastąpiła stare Prawo telekomunikacyjne i implementuje dyrektywę ePrivacy. PKE reguluje bezpośrednio kwestię cookies – wymaga uprzedniej zgody użytkownika przed zapisaniem lub odczytem plików cookies które nie są technicznie niezbędne. To jest osobny wymóg niezależny od RODO który dotyczy każdego abonenta i użytkownika końcowego niezależnie od tego czy jest osobą fizyczną czy prawną.
Co jest absolutnie pewne i co jest absolutnie zakazane
Tu nie ma szarej strefy.
Baner bez przycisku "Odrzuć" jest nielegalny.
Zgodny z RODO i ePrivacy baner cookies musi dawać użytkownikowi realny granularny wybór oraz opierać się na aktywnej zgodzie. Minimalne wymogi to wyraźne przyciski "Akceptuję" i "Odrzucam" na tym samym poziomie bez ukrywania odmowy.
Zielony przycisk "Akceptuj" i szary mały tekst "Zarządzaj preferencjami" zamiast "Odrzuć" – to dark pattern który UODO może uznać za naruszenie dobrowolności zgody. Użytkownik musi mieć równie łatwy dostęp do odmowy jak do akceptacji.
Domyślnie zaznaczone checkboxy są nielegalne.
Checkbox przy kategorii "Marketing" który jest domyślnie zaznaczony i wymaga odznaczenia – nie jest zgodą. Jest wymuszeniem. RODO wymaga aktywnego działania użytkownika.
Google Analytics ładujący się przed zgodą jest naruszeniem.
Jeśli Google Analytics ładuje się przy wejściu na stronę naruszasz przepisy niezależnie od tego czy masz baner.
To jest kwestia techniczna którą wiele osób pomija. Nie wystarczy mieć baner. Skrypty śledzące muszą być zablokowane do momentu gdy użytkownik wyrazi zgodę. Baner który pojawia się ale skrypty już działają – jest formą pozornej zgodności.
Brak przycisku "Odrzuć wszystkie" na pierwszym ekranie.
Operator drogerii internetowej zapłacił 420 tysięcy euro za stosowanie banera bez przycisku "Odrzuć wszystkie" oraz wysyłkę newslettera bez podwójnego potwierdzenia zgody.
Ukrywanie możliwości odmowy pod kilkoma kliknięciami – "Ustawienia" -> "Pokaż kategorie" -> "Odznacz wszystkie" -> "Zapisz" – gdy akceptacja jest jednym kliknięciem – to asymetria która jest dark patternem.
Zgoda czy uzasadniony interes – co naprawdę reguluje cookies
RODO przewiduje sześć podstaw prawnych przetwarzania danych. Zgoda jest tylko jedną z nich. I dla większości działań związanych z cookies – nie jest podstawą którą musisz stosować.
Uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO jest dopuszczalną i często właściwą podstawą dla wielu typów cookies. Co więcej – motyw 47 RODO wprost wskazuje marketing bezpośredni jako przykład prawnie uzasadnionego interesu. Branżowe organizacje reklamowe i część organów nadzorczych przez lata opierały znaczną część ekosystemu reklamowego właśnie na tej podstawie.
Gdzie więc zaczyna się konieczność zgody?
Zgoda jest wymagana gdy przetwarzanie jest szczególnie inwazyjne – gdy śledzisz użytkownika między różnymi serwisami bez jego wiedzy, gdy budujesz szczegółowe profile behawioralne, gdy stosujesz technologie które trudno zidentyfikować i kontrolować. Innymi słowy: im bardziej inwazyjna metoda przetwarzania tym trudniej obronić uzasadniony interes i tym bardziej zgoda staje się jedyną realną podstawą.
PKE nakłada natomiast odrębny wymóg dotyczący samego aktu zapisania lub odczytu pliku na urządzeniu użytkownika – i tu rzeczywiście pojawia się wymóg uprzedniej zgody dla cookies innych niż technicznie niezbędne. Ale to jest inny poziom analizy niż podstawa prawna przetwarzania danych w rozumieniu RODO.
W praktyce oznacza to że większość cookies analitycznych i znaczna część marketingowych może być oparta na uzasadnionym interesie – pod warunkiem że przetwarzanie jest proporcjonalne, transparentne i użytkownik ma realną możliwość sprzeciwu. Baner cookies nie musi więc być bramką do wyrażenia zgody na wszystko. Może być – i często powinien być – miejscem gdzie informujesz o przetwarzaniu i dajesz możliwość sprzeciwu.
To jest zasadniczo inna filozofia niż "kliknij zgadzam się żeby cokolwiek zadziałało."
Jak wygląda zgodny baner w praktyce
Na podstawie wytycznych organów europejskich i decyzji które już zapadły – minimalny zgodny baner powinien mieć:
Wyraźny przycisk "Akceptuj wszystkie" i równie wyraźny przycisk "Odrzuć wszystkie" – na tym samym poziomie, podobnych rozmiarów, bez asymetrii kolorystycznej która faworyzuje akceptację.
Możliwość granularnego wyboru kategorii – przynajmniej rozróżnienie między niezbędnymi, analitycznymi i marketingowymi.
Żadnych domyślnie zaznaczonych opcji poza niezbędnymi cookies technicznymi.
Skrypty zablokowane do momentu wyrażenia zgody – nie tylko baner ale faktyczna blokada techniczna.
Możliwość wycofania zgody tak samo łatwo jak jej wyrażenia – nie można utrudniać rezygnacji z cookies po tym jak ktoś już wyraził zgodę.
Dowód zgody – każda zgoda jest rejestrowana z datą godziną wersją polityki prywatności i zakresem zaakceptowanych kategorii. W razie kontroli UODO możesz przedstawić pełny log zgód.
Co UOKiK i UODO faktycznie sprawdzają
Analiza decyzji UODO z lat 2023-2025 ujawnia powtarzalny wzorzec błędów. Pierwszy to stosowanie pre-checked checkboxów lub banerów w których przycisk "Akceptuję" jest zielony a "Odrzuć" szary. Drugi to brak dowodu zgody – niewdrożony opt-in lub brak logów zebranych przez CMP.
Po kilku latach względnego luzu w zakresie cookies europejskie organy nadzorcze weszły w fazę egzekwowania przepisów. Decyzje CNIL EDPB UODO czy austriackiego DSB jasno pokazują że baner cookies i konfiguracja narzędzi śledzących to dziś ważne obszary ryzyka a użytkownicy są świadomi swoich praw.
Wzorzec błędów jest powtarzalny i przewidywalny. Organy nie szukają egzotycznych naruszeń. Sprawdzają czy przycisk "Odrzuć" istnieje i jest równie widoczny. Czy skrypty ładują się przed zgodą. Czy masz dowód że zgoda była zebrana. Czy możesz ją wycofać.
Które cookies nie wymagają zgody
Ważne rozróżnienie którego wiele banerów nie robi prawidłowo.
Cookies technicznie niezbędne do działania strony nie wymagają zgody i nie powinny być w banerze jako opcja do wyboru. To między innymi sesja logowania, koszyk w sklepie, zapamiętanie preferencji językowych, ochrona przed CSRF.
Wszystko inne – analityczne, marketingowe, profilujące, śledzące – wymaga zgody.
Problem polega na tym że wiele firm klasyfikuje cookies analityczne jako "niezbędne" żeby uniknąć konieczności zbierania zgody. To jest błędna klasyfikacja której organy są świadome i którą kwestionują.
Co zrobić jeśli masz stary baner
Trzy kroki w kolejności.
Krok pierwszy: sprawdź czy skrypty śledzące ładują się przed wyrażeniem zgody. Możesz to zrobić przez inspekcję sieci w narzędziach deweloperskich przeglądarki – sprawdź czy żądania do Google Analytics, Facebook Pixel czy innych narzędzi wychodzą przed kliknięciem "Akceptuj."
Krok drugi: sprawdź czy masz przycisk "Odrzuć wszystkie" na pierwszym ekranie banera – nie ukryty pod "Ustawieniami."
Krok trzeci: jeśli używasz CMP (Consent Management Platform) – sprawdź czy zbiera logi zgód które możesz przedstawić przy kontroli.
Jeśli którykolwiek z tych elementów jest problematyczny – masz wiedzę od czego zacząć.
Uczciwe podsumowanie
Baner który mówi "używamy cookies" i ma jeden przycisk "OK" – nie wystarczy. Nigdy nie wystarczał ale przez lata nikt tego nie egzekwował rygorystycznie.
Faza egzekwowania właśnie trwa.
Czy Twoja strona jest w grupie ryzyka? Zależy od skali – mały blog bez reklam i z podstawową analityką ma inne ryzyko niż sklep internetowy który profiluje użytkowników i wysyła retargeting.
Ale zasada jest jedna dla wszystkich: jeśli zbierasz dane przez cookies to musisz mieć realną zgodę na ich zbieranie. Nie pozorną. Realną.
Baner to tylko interfejs tej zgody. Jeśli interfejs jest zepsuty – zgoda jest nieważna niezależnie od tego jak ładnie wygląda.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.