Baner cookies to jeden z tych elementów strony internetowej, który właściciele firm najczęściej traktują jak formalność. Kopiują gotowy szablon, klikają „opublikuj” i uważają temat za zamknięty. W praktyce jest to jeden z obszarów, w których UODO najczęściej stwierdza naruszenia i nakłada kary finansowe.

W 2024 roku jedna z firm e-commerce zapłaciła 65 000 zł kary za nieprawidłowy baner cookies i brak możliwości odrzucenia śledzenia. To nie jest wyjątek — to coraz częstsza praktyka organu nadzorczego.

W tym artykule wyjaśniamy:

• czym są cookies i kiedy wymagają zgody,
• co musi zawierać prawidłowy baner cookies zgodny z RODO,
• jakie błędy są najczęstsze i jak ich unikać,
• oraz co grozi za brak lub błędne wdrożenie.

Czym są pliki cookies i dlaczego RODO ma z nimi związek?

Pliki cookies (ciasteczka) to małe pliki tekstowe zapisywane w przeglądarce użytkownika podczas odwiedzania strony. Mogą one przechowywać informacje o sesji, preferencjach użytkownika, ale też — w przypadku cookies analitycznych i reklamowych — śledzić zachowanie użytkownika między różnymi stronami internetowymi.

Jeśli cookies są powiązane z możliwością identyfikacji konkretnej osoby, stają się danymi osobowymi w rozumieniu RODO. To właśnie dlatego ich zbieranie bez prawidłowej podstawy prawnej jest naruszeniem przepisów.

Zasadniczo wyróżniamy trzy rodzaje cookies z perspektywy RODO:

Cookies niezbędne — konieczne do działania strony (logowanie, koszyk w sklepie). Nie wymagają zgody użytkownika i można je umieszczać bez pytania.

Cookies analityczne — zbierają dane o tym, jak użytkownicy korzystają ze strony (np. Google Analytics). Co do zasady wymagają zgody, choć istnieją wyjątki dla narzędzi skonfigurowanych w sposób minimalizujący ingerencję w prywatność.

Cookies marketingowe i profilujące — służą do wyświetlania spersonalizowanych reklam i śledzenia użytkownika między stronami. Zawsze wymagają wyraźnej, dobrowolnej zgody.

Co musi zawierać prawidłowy baner cookies?

Baner cookies nie jest jedynie kwestią estetyczną. Jego treść i funkcjonalność muszą spełniać konkretne wymagania wynikające z RODO oraz dyrektywy ePrivacy.

1. Informacja o tym, jakie cookies są używane

Użytkownik musi wiedzieć, jakie kategorie plików cookies są stosowane na stronie, w jakim celu i przez kogo (w tym przez firmy trzecie, np. Google, Meta).

2. Możliwość wyboru — w tym odrzucenia

To jeden z najczęstszych błędów. Baner, który oferuje wyłącznie przycisk „Akceptuj wszystkie” bez opcji odrzucenia lub dostosowania ustawień, jest niezgodny z RODO. Użytkownik musi mieć realną możliwość odmowy.

Przyciski „Akceptuj” i „Odrzuć” muszą być równorzędne — zarówno pod względem widoczności, jak i łatwości kliknięcia. Ukrywanie przycisku odmowy, stosowanie mniejszej czcionki czy mniej kontrastowego koloru to praktyki, które organy nadzorcze traktują jako manipulację.

Zobacz: Sprawozdanie grupy zadaniowej EROD ds. banerów cookie

3. Brak wstępnie zaznaczonych zgód

Zgoda na cookies musi być aktywnym działaniem użytkownika. Wstępnie zaznaczone checkboxy lub domyślnie aktywne kategorie cookies (poza niezbędnymi) są niedozwolone.

Zobacz: Wytyczne EROD 05/2020 dotyczące zgody

4. Możliwość wycofania zgody

Użytkownik, który wyraził zgodę, musi mieć możliwość jej wycofania w dowolnym momencie — równie łatwo, jak jej udzielił. Najczęściej realizuje się to przez ikonę lub link w stopce strony prowadzący do panelu ustawień cookies.

5. Link do polityki prywatności i polityki cookies

Baner powinien zawierać odnośnik do pełnej informacji o cookies — ich typach, celach, podmiotach trzecich i czasie przechowywania.

Najczęstsze błędy w banerach cookies

Na podstawie decyzji UODO i wytycznych europejskich organów nadzorczych można wskazać błędy, które powtarzają się najczęściej:

Brak przycisku „Odrzuć”. Użytkownik widzi tylko „Akceptuj wszystkie” i musi szukać opcji odmowy w rozbudowanym menu — lub nie ma jej wcale.

Cookies analityczne ładują się przed udzieleniem zgody. Skrypty Google Analytics lub Meta Pixel uruchamiają się zaraz po wejściu na stronę, zanim użytkownik cokolwiek wybierze.

Zgoda jest domniemana. Baner informuje, że „korzystając ze strony, zgadzasz się na cookies” — bez żadnego aktywnego działania ze strony użytkownika. To podejście nie spełnia wymogów RODO.

Brak dokumentacji zgód. Administrator danych powinien być w stanie wykazać, że zgoda została udzielona. Jeśli nie ma systemu rejestrującego, kiedy i na co użytkownik wyraził zgodę, zasada rozliczalności nie jest spełniona.

Szablon niedostosowany do konkretnej strony. Polityka cookies opisuje narzędzia, których strona nie używa, albo nie wymienia tych, których używa rzeczywiście (np. remarketing, heatmapy).

Co grozi za nieprawidłowy baner cookies?

UODO ma prawo nałożyć karę finansową na każdy podmiot, który przetwarza dane użytkowników bez prawidłowej podstawy prawnej. W przypadku cookies — brak ważnej zgody lub manipulacyjny baner — naruszenie może skutkować:

• karą finansową (dla MŚP zazwyczaj od kilku do kilkudziesięciu tysięcy złotych),
• nakazem dostosowania strony do przepisów,
• upublicznieniem decyzji (co wpływa na reputację firmy).

Warto pamiętać, że decyzje UODO są publiczne — widoczne na stronie urzędu i indeksowane przez wyszukiwarki. Dla wielu firm utrata reputacji bywa dotkliwsza niż sama kara pieniężna.

Narzędzia do wdrożenia prawidłowego banera cookies (CMP)

Systemy zarządzania zgodami (ang. Consent Management Platform, CMP) to narzędzia, które automatyzują zbieranie, przechowywanie i dokumentowanie zgód na cookies. Popularne rozwiązania to m.in. Cookiebot, Usercentrics czy CookieYes.

Dobry CMP powinien:

• automatycznie wykrywać cookies używane na stronie,
• blokować skrypty śledzące do momentu udzielenia zgody,
• rejestrować zgody z datą i wersją polityki,
• umożliwiać łatwe wycofanie zgody.

Sama instalacja CMP nie gwarantuje jednak zgodności. Narzędzie musi być odpowiednio skonfigurowane — przypisanie cookies do właściwych kategorii, prawidłowe opisy celów i podmiotów trzecich to zadania, które wymagają przeglądu przez osobę znającą przepisy.

Cookies a zarządzanie RODO w organizacji

Baner cookies to tylko jeden z elementów zgodności z RODO. Za zbieraniem zgód stoi szerszy obowiązek: dokumentowanie podstaw prawnych przetwarzania, prowadzenie rejestru czynności przetwarzania, a także zapewnienie możliwości realizacji praw osób, których dane dotyczą — w tym prawa do usunięcia danych.

Jeśli twoja organizacja korzysta z narzędzi analitycznych, reklamowych lub systemów CRM zasilanych danymi ze strony www, dane zbierane przez cookies powinny być uwzględnione w rejestrze czynności przetwarzania oraz w ocenie ryzyka.

Zarządzanie tym całościowo — od cookies przez rejestr po upoważnienia i retencję — jest znacznie prostsze, gdy odbywa się w jednym systemie. Właśnie temu służy iGDPR.

Podsumowanie

Prawidłowy baner cookies to nie kwestia wyglądu strony, lecz realny obowiązek prawny. Jego nieprawidłowe wdrożenie może skutkować karą finansową, ale przede wszystkim oznacza, że przetwarzasz dane użytkowników bez ważnej podstawy prawnej — co jest naruszeniem RODO niezależnie od wysokości ewentualnej kary.

Kluczowe zasady, o których warto pamiętać:

• cookies analityczne i marketingowe wymagają aktywnej, dobrowolnej zgody,
• użytkownik musi mieć możliwość łatwego odrzucenia cookies — na równych zasadach z akceptacją,
• skrypty śledzące nie mogą ładować się przed udzieleniem zgody,
• zgody muszą być dokumentowane,
• użytkownik może wycofać zgodę w każdej chwili.

Jeśli chcesz sprawdzić, czy twoja strona spełnia te wymagania, zacznij od audytu aktualnego banera cookies i listy narzędzi zewnętrznych, które go działają na twojej stronie.