Cookies i RODO — jak wdrożyć baner cookies zgodny z prawem

Pliki cookies to jeden z tematów, w którym rozbieżność między praktyką a prawem jest największa. Większość stron internetowych w Polsce stosuje banery cookies, ale znaczna część z nich jest niezgodna z RODO i dyrektywą ePrivacy — albo dlatego, że nie daje użytkownikowi rzeczywistego wyboru, albo dlatego, że cookies analityczne i marketingowe są ładowane jeszcze przed wyrażeniem zgody.

W tym artykule wyjaśniam, jakie przepisy regulują stosowanie cookies, jak prawidłowo wdrożyć mechanizm zgód, jakie są najczęstsze błędy i jakie kary grożą za nieprzestrzeganie tych zasad.

Jakie przepisy regulują cookies?

Stosowanie cookies regulują równolegle dwa akty prawne:

Dyrektywa 2002/58/WE (dyrektywa ePrivacy) — art. 5 ust. 3 tej dyrektywy wymaga uzyskania zgody użytkownika przed zapisaniem lub odczytaniem cookies na jego urządzeniu. W Polsce dyrektywę ePrivacy implementuje art. 173 ustawy z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne.

RODO (GDPR) — stosuje się do przetwarzania danych osobowych zbieranych za pomocą cookies. Jeśli cookies pozwalają na identyfikację użytkownika (a większość cookies analitycznych i marketingowych to umożliwia), mamy do czynienia z przetwarzaniem danych osobowych podlegającym RODO.

W praktyce oznacza to, że stosowanie cookies wymaga spełnienia wymogów obu regulacji jednocześnie — zarówno uzyskania zgody na zapisanie cookies (ePrivacy/Prawo telekomunikacyjne), jak i posiadania podstawy prawnej przetwarzania danych osobowych zbieranych za ich pośrednictwem (RODO).

Rodzaje cookies i ich kwalifikacja prawna

Nie wszystkie cookies wymagają zgody. Kluczowe jest rozróżnienie na:

Cookies niezbędne (strictly necessary) — są absolutnie niezbędne do funkcjonowania strony internetowej. Przykłady: cookies sesyjne umożliwiające logowanie, cookies zapamiętujące zawartość koszyka w sklepie internetowym, cookies zapewniające bezpieczeństwo (np. ochrona przed CSRF). Te cookies nie wymagają zgody — mogą być stosowane na podstawie uzasadnionego interesu administratora i są niezbędne do świadczenia usługi, o którą prosił użytkownik.

Cookies analityczne (analytics) — służą do zbierania informacji o sposobie korzystania ze strony (liczba odwiedzin, popularne podstrony, czas spędzony na stronie). Przykłady: Google Analytics, Matomo, Hotjar. Te cookies wymagają zgody użytkownika przed ich uruchomieniem.

Cookies marketingowe / reklamowe (advertising) — służą do śledzenia użytkownika w celach reklamowych, profilowania i wyświetlania spersonalizowanych reklam. Przykłady: Facebook Pixel, Google Ads remarketing, piksele śledzące sieci reklamowych. Te cookies wymagają zgody — a ich stosowanie wiąże się z najwyższym ryzykiem prawnym.

Cookies funkcjonalne (preferences) — zapamiętują preferencje użytkownika (język, region, rozmiar czcionki). W zależności od implementacji mogą wymagać zgody lub nie — jeśli zbierają dane pozwalające na identyfikację, zgoda jest wymagana.

Jak powinna wyglądać prawidłowa zgoda na cookies?

Zgoda na cookies musi spełniać te same wymogi co zgoda na przetwarzanie danych osobowych w RODO (art. 7 GDPR) oraz wymogi dyrektywy ePrivacy. EDPB i europejskie organy nadzorcze wielokrotnie precyzowały, jak powinna wyglądać prawidłowa zgoda:

Dobrowolna — użytkownik musi mieć rzeczywisty, swobodny wybór. Nie może być przymuszony do zaakceptowania cookies, aby uzyskać dostęp do strony (tzw. cookie wall). EDPB w wytycznych 05/2020 wskazał, że uzależnienie dostępu do strony od zaakceptowania cookies co do zasady nie stanowi dobrowolnej zgody.

Konkretna — zgoda powinna dotyczyć określonych celów i kategorii cookies. Użytkownik powinien mieć możliwość wyrażenia zgody oddzielnie na cookies analityczne i oddzielnie na marketingowe — nie tylko jednym przyciskiem „akceptuję wszystko”.

Świadoma — użytkownik musi wiedzieć, na co się zgadza. Baner powinien informować o tym, jakie rodzaje cookies są stosowane, w jakim celu, kto jest administratorem danych i jak długo cookies będą przechowywane. Link do pełnej polityki cookies powinien być łatwo dostępny.

Jednoznaczna — zgoda wymaga aktywnego działania użytkownika (kliknięcie przycisku). Dalsze przeglądanie strony, przewijanie, zamknięcie banera krzyżykiem czy brak reakcji nie stanowią ważnej zgody. Wstępne zaznaczenie checkboxów (pre-ticked boxes) jest niedopuszczalne — potwierdził to TSUE w wyroku w sprawie Planet49 (C-673/17).

Możliwa do wycofania — użytkownik musi mieć możliwość wycofania zgody w dowolnym momencie, w sposób równie łatwy jak jej udzielenie. W praktyce oznacza to, że na stronie powinien być stale dostępny link lub przycisk umożliwiający zmianę ustawień cookies (np. „Zarządzaj cookies” w stopce strony).

Więcej o podstawach prawnych przetwarzania danych przeczytasz w naszym przewodniku po RODO.

Najczęstsze błędy w banerach cookies

Na podstawie decyzji europejskich organów nadzorczych (szczególnie CNIL — francuskiego organu ochrony danych, który nałożył najwyższe kary za naruszenia dotyczące cookies) i kontroli UODO, najczęstsze błędy to:

Brak opcji odmowy — baner oferuje tylko przycisk „Akceptuję” bez równoważnej opcji „Odmów” lub „Tylko niezbędne”. Użytkownik nie ma rzeczywistego wyboru.

Asymetryczny design — przycisk „Akceptuję wszystko” jest duży i wyraźny, a opcja odmowy jest ukryta, wymaga dodatkowych kliknięć lub jest napisana drobnym drukiem. CNIL uznał to za naruszenie — obie opcje powinny być równie łatwo dostępne (zasada symetrii).

Ładowanie cookies przed zgodą — cookies analityczne i marketingowe uruchamiają się natychmiast po wejściu na stronę, jeszcze zanim użytkownik wyrazi zgodę. To jedno z najpoważniejszych naruszeń — zgoda musi być uprzednia (prior consent).

Pre-ticked boxes — checkboxy w ustawieniach zaawansowanych są domyślnie zaznaczone. Użytkownik musiałby je aktywnie odznaczyć, aby odmówić. TSUE w sprawie Planet49 jednoznacznie stwierdził, że to nie stanowi ważnej zgody.

Cookie wall — strona wymaga zaakceptowania wszystkich cookies jako warunku dostępu do treści. EDPB co do zasady uznaje to za naruszenie dobrowolności zgody (choć w niektórych jurysdykcjach toczy się dyskusja o wyjątkach).

Brak możliwości wycofania zgody — po zaakceptowaniu cookies użytkownik nie ma możliwości zmiany decyzji, bo na stronie nie ma linku do zarządzania cookies.

Niekompletna informacja — baner zawiera ogólnikowe stwierdzenie „ta strona używa cookies” bez informacji o rodzajach cookies, celach i administratorze.

Brak polityki cookies — strona stosuje cookies, ale nie posiada dokumentu opisującego szczegółowo stosowane cookies, ich cel, okres przechowywania i sposób zarządzania.

Jak prawidłowo wdrożyć baner cookies — krok po kroku

1. Przeprowadź audyt cookies — zidentyfikuj wszystkie cookies stosowane na Twojej stronie. Skorzystaj z narzędzi takich jak: wbudowane narzędzia przeglądarki (DevTools → Application → Cookies), Cookiebot Scanner, Cookie-Script Scanner. Dla każdego cookie ustal: nazwę, dostawcę, cel, kategorię (niezbędne/analityczne/marketingowe/funkcjonalne), czas przechowywania.

2. Sklasyfikuj cookies — przypisz każde cookie do jednej z kategorii (niezbędne, analityczne, marketingowe, funkcjonalne). Bądź konserwatywny — jeśli masz wątpliwości, czy cookie jest „niezbędne”, zakwalifikuj je do kategorii wymagającej zgody.

3. Wybierz platformę do zarządzania zgodami (CMP) — Consent Management Platform to narzędzie, które wyświetla baner cookies, zbiera i przechowuje zgody oraz blokuje cookies do momentu uzyskania zgody. Popularne rozwiązania: Cookiebot (płatne, bardzo dobre dla zgodności z europejskimi wymogami), Cookie-Script, Complianz (plugin WordPress), Osano, OneTrust (dla dużych organizacji). Wybierz rozwiązanie, które rzeczywiście blokuje skrypty przed zgodą (tzw. prior blocking) — nie tylko wyświetla baner.

4. Skonfiguruj baner zgodnie z wymogami:

Pierwsza warstwa (baner): informacja o cookies + trzy równoważne przyciski: „Akceptuję wszystko”, „Odmawiam” (lub „Tylko niezbędne”), „Ustawienia” (lub „Zarządzaj”).

Druga warstwa (panel ustawień): lista kategorii cookies z opisem, możliwość zaznaczenia/odznaczenia każdej kategorii, przycisk „Zapisz ustawienia”. Kategoria „niezbędne” może być zaznaczona i zablokowana (nie da się jej odznaczyć).

5. Zapewnij prior blocking — skonfiguruj CMP tak, aby skrypty cookies analitycznych i marketingowych nie ładowały się do momentu uzyskania zgody. To kluczowy element — sam baner bez blokowania skryptów jest bezwartościowy.

6. Przygotuj politykę cookies — osobny dokument (lub sekcja w polityce prywatności) opisujący: czym są cookies, jakie cookies stosuje Twoja strona (tabela z nazwami, celami, okresem przechowywania, dostawcami), jak zarządzać cookies w przeglądarce, dane kontaktowe administratora. Jak prawidłowo przygotować klauzulę informacyjną opisujemy w osobnym artykule.

7. Dodaj link „Zarządzaj cookies” — umieść w stopce strony stały link umożliwiający ponowne otwarcie panelu zarządzania cookies. Użytkownik musi mieć możliwość zmiany decyzji w każdej chwili.

8. Dokumentuj zgody — CMP powinien przechowywać dowody udzielenia zgody (kto, kiedy, na co wyraził zgodę). Jest to konieczne na wypadek kontroli.

Google Analytics a RODO — na co uważać

Google Analytics zasługuje na osobną wzmiankę, ponieważ jest najpopularniejszym narzędziem analitycznym i jednocześnie źródłem licznych kontrowersji prawnych.

Google Analytics 4 (GA4) — obecna wersja — przetwarza dane osobowe użytkowników (identyfikatory cookies, adresy IP, dane o zachowaniu na stronie). W 2022 roku kilka europejskich organów nadzorczych (austriacki, francuski, włoski) uznało, że stosowanie Google Analytics narusza RODO z uwagi na transfer danych do USA.

Sytuacja częściowo zmieniła się po przyjęciu EU-US Data Privacy Framework w 2023 r. — Google LLC jest objęty tym porozumieniem, co zapewnia mechanizm transferu danych do USA. Jednak trwałość tego porozumienia jest niepewna (potencjalne Schrems III).

Co zrobić, aby stosować Google Analytics zgodnie z RODO?

Uzyskaj zgodę użytkownika przed uruchomieniem GA4 — Google Analytics to cookies analityczne, które wymagają zgody.

Włącz anonimizację IP w GA4 — w GA4 anonimizacja jest domyślnie włączona, ale warto to zweryfikować.

Rozważ ustawienie przechowywania danych na minimum — w GA4 możesz ustawić okres przechowywania danych na 2 miesiące (zamiast domyślnych 14 miesięcy).

Skonfiguruj tryb zgody Google (Google Consent Mode v2) — mechanizm, który dostosowuje działanie tagów Google w zależności od decyzji użytkownika w banerze cookies.

Rozważ alternatywy — Matomo (open source, możliwość hostowania na własnym serwerze, konfiguracja bez cookies), Plausible, Fathom — narzędzia zaprojektowane z myślą o prywatności, które w odpowiedniej konfiguracji mogą nie wymagać zgody.

Przeprowadź Transfer Impact Assessment (TIA) — jeśli korzystasz z GA4, udokumentuj ocenę ryzyka transferu danych do USA.

Kary za naruszenia dotyczące cookies

Europejskie organy nadzorcze nakładają coraz wyższe kary za nieprawidłowe stosowanie cookies. Kary dotyczą przede wszystkim braku zgody, ładowania cookies przed uzyskaniem zgody oraz asymetrycznych banerów.

Francuska CNIL nałożyła jedne z najwyższych kar w tym zakresie — wielomilionowe kary na duże podmioty za ładowanie cookies reklamowych bez uprzedniej zgody użytkownika i za banery cookies utrudniające odmowę.

W Polsce UODO jak dotąd nakładał niższe kary w tym obszarze, ale trend europejski jest jednoznaczny — kary za cookies rosną i będą rosły.

Nadchodząca zmiana — rozporządzenie ePrivacy

Warto wiedzieć, że Unia Europejska od lat pracuje nad rozporządzeniem ePrivacy (ePrivacy Regulation), które ma zastąpić obecną dyrektywę ePrivacy z 2002 r. Nowe rozporządzenie ma m.in. ujednolicić zasady dotyczące cookies w całej UE (obecnie każdy kraj implementuje dyrektywę inaczej), doprecyzować relację między ePrivacy a RODO oraz potencjalnie uprościć zasady dla niektórych kategorii cookies.

Prace nad rozporządzeniem trwają od 2017 r. i wielokrotnie utykały w Radzie UE. Na chwilę obecną nie ma pewnej daty wejścia w życie, ale organizacje powinny już teraz stosować najwyższe standardy — bo rozporządzenie raczej zaaostrzy niż złagodzi wymogi.

Checklist — cookies zgodne z prawem

1. Przeprowadź audyt cookies na swojej stronie.
2. Sklasyfikuj cookies (niezbędne, analityczne, marketingowe, funkcjonalne).
3. Wdróż CMP z funkcją prior blocking.
4. Zapewnij równoważne opcje „Akceptuję” i „Odmawiam” w banerze.
5. Nie stosuj pre-ticked boxes.
6. Nie stosuj cookie wall.
7. Dodaj link „Zarządzaj cookies” w stopce strony.
8. Przygotuj politykę cookies z tabelą cookies.
9. Skonfiguruj Google Consent Mode v2 (jeśli korzystasz z Google Analytics/Ads).
10. Dokumentuj zgody i przechowuj dowody.
11. Regularnie aktualizuj listę cookies (nowe wtyczki, skrypty, narzędzia mogą dodawać cookies).

Potrzebujesz audytu cookies?

Nieprawidłowy baner cookies to jedno z najłatwiej wykrywalnych naruszeń RODO — wystarczy wejść na stronę, aby ocenić, czy mechanizm zgód działa prawidłowo. UODO i europejskie organy nadzorcze coraz częściej przeprowadzają kontrole „z urzędu” właśnie w tym zakresie.

W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont przeprowadzamy kompleksowe audyty cookies — od identyfikacji wszystkich cookies na stronie, przez ocenę zgodności banera, po wdrożenie prawidłowego mechanizmu zgód i przygotowanie polityki cookies.