Czy zgoda na cookies jest wymagana?

Q: Czy zgoda na cookies jest wymagana?

To, czy zgoda na cookies jest wymagana, zależy bezpośrednio od stosowanych na stronie narzędzi analitycznych i reklamowych. Od marca 2024 roku firma Google narzuca wdrożenie standardu Consent Mode v2 służącego do technicznego przekazywania decyzji użytkowników. Brak wdrożenia tego systemu skutkuje znacznym ograniczeniem kampanii marketingowych oraz niekompletnością danych pomiarowych gromadzonych przez właściciela witryny.

14 dni temu 0 wyświetleń

To, czy zgoda na cookies jest wymagana, zależy bezpośrednio od stosowanych na stronie narzędzi analitycznych i reklamowych. Od marca 2024 roku firma Google narzuca wdrożenie standardu Consent Mode v2 służącego do technicznego przekazywania decyzji użytkowników. Brak wdrożenia tego systemu skutkuje znacznym ograniczeniem kampanii marketingowych oraz niekompletnością danych pomiarowych gromadzonych przez właściciela witryny.

Komentarz 0 polubień

Może chcesz zapytać o to?Więcej

Czy zgoda na cookies jest wymagana? Zmiany od marca 2024

Analiza tego, czy zgoda na cookies jest wymagana, decyduje o skuteczności analityki strony internetowej. Poprawne zarządzanie ustawieniami prywatności chroni przed nagłą utratą cennych informacji o ruchu użytkowników. Brak odpowiednich rozwiązań technologicznych paraliżuje działania marketingowe w internecie. Właściwe podejście zapobiega problemom z gromadzeniem danych oraz wspiera przejrzystość wobec wszystkich odwiedzających.

Czy zgoda na cookies jest wymagana? Krótka odpowiedź

Tak – w Polsce i całej Unii Europejskiej czy zgoda na cookies jest wymagana to kluczowa kwestia dla właścicieli witryn. Zgoda użytkownika jest bezwzględnie wymagana dla wszystkich plików cookies, które nie są ściśle niezbędne do działania strony internetowej. Mówią o tym przepisy Prawa telekomunikacyjnego oraz RODO, a naruszenie tych zasad grozi poważnymi konsekwencjami finansowymi. Zgoda musi być dobrowolna, świadoma i wyrażona przed zapisaniem ciasteczek – zwykle poprzez kliknięcie w baner lub zaznaczenie opcji.

W praktyce oznacza to, że żaden baner nie może zapisywać plików marketingowych, analitycznych czy śledzących, zanim użytkownik nie podejmie aktywnej decyzji. Co więcej, nie można uzależniać dostępu do treści strony od zgody na niepotrzebne cookies. Jeśli prowadzisz sklep internetowy, bloga czy firmową witrynę – musisz wdrożyć poprawny mechanizm zgód.

Kiedy zgoda na cookies JEST wymagana, a kiedy NIE?

Kluczowe jest rozróżnienie między plikami technicznymi (niezbędnymi) a tymi, które służą do śledzenia użytkowników, analiz czy targetowania reklam. Zgoda nie jest potrzebna tylko w przypadku pierwszej grupy – ale uwaga: granica często bywa nieostra, co prowadzi do błędów interpretacyjnych.

Cookies niezbędne – to na przykład ciasteczka odpowiadające za zapamiętanie koszyka w sklepie, utrzymanie sesji po zalogowaniu czy ustawienia wyświetlania (np. kontrast). Możesz je stosować bez zgody, ale masz obowiązek poinformować o nich w polityce prywatności. Wszystkie pozostałe, w tym Google Analytics czy Facebook Pixel, to elementy, dla których czy cookies wymagają zgody pozostaje pytaniem retorycznym – wymagają one wyraźnej akcji przed ich wczytaniem.

Wielu przedsiębiorców zakłada, że wystarczy poinformować użytkownika o ciasteczkach – to mit. Sam komunikat bez możliwości odrzucenia (lub preakceptowane checkboxy) nie spełnia wymogów RODO. Zgoda musi być aktywna, np. przez kliknięcie przycisku „Akceptuję wszystkie” lub indywidualny wybór w panelu.

Wymagania prawne: RODO, Prawo telekomunikacyjne i stanowisko UODO

Podstawą prawną obowiązku zgody jest art. 173 ustawy pliki cookies prawo telekomunikacyjne w połączeniu z RODO (art. 6 ust. 1 lit. a). To właśnie RODO nakazuje, by zgoda była dobrowolna, konkretna, świadoma i jednoznaczna. UODO (Urząd Ochrony Danych Osobowych) wielokrotnie wskazywał, że ciche domniemanie zgody (np. dalsze korzystanie ze strony) jest niewystarczające.

Organ nadzorczy w 2024 roku zintensyfikował kontrole – szczególnie pod kątem banerów, które nie blokują skryptów przed wyrażeniem zgody. Co ciekawe, nawet jeśli korzystasz z popularnej wtyczki do zgód, musisz sprawdzić, czy faktycznie wyłącza ona uruchamianie Google Analytics przed akceptacją. W przeciwnym razie narażasz się na zarzut nielegalnego przetwarzania danych.

Co zmieniło się w 2024 roku? Consent Mode v2

Od marca 2024 roku Google wymaga wdrożenia tzw. Consent Mode v2 w przypadku korzystania z narzędzi reklamowych i analitycznych.^[3] To rozwiązanie techniczne, które przekazuje do Google informację o tym, czy użytkownik wyraził zgodę na statystyki i reklamy spersonalizowane. Jeśli go nie wdrożysz, Twoje kampanie mogą zostać ograniczone, a dane pomiarowe staną się niekompletne. Nowy standard zmusza właścicieli stron do jeszcze precyzyjniejszego zarządzania zgodami.

Rodzaje cookies – porównanie: techniczne vs marketingowe

Aby ułatwić decyzję, które ciasteczka można uruchomić od razu, a które wymagają zgody, przygotowałem zestawienie. Poniższe zestawienie pomoże uniknąć pomyłek i pokaże, kiedy nie trzeba zgody na cookies podczas konfiguracji banera.

Pamiętaj, że za każdy rodzaj cookies odpowiada kod (skrypt) umieszczony na stronie – jeśli skrypt nie jest blokowany przed zgodą, to naruszasz przepisy, nawet jeśli teoretycznie masz baner.

Porównanie: cookies niezbędne vs marketingowe/analityczne

Oto kryteria, które pomogą odróżnić pliki wymagające zgody od tych, które możesz stosować bez zgody:

Cookies techniczne (niezbędne)

ciasteczka sesyjne (PHPSESSID), zapamiętanie wyboru waluty, pliki związane z równoważeniem obciążenia serwera.
NIE – możesz je stosować bez zgody, ale musisz poinformować o nich w polityce prywatności.
Zapewnienie podstawowej funkcjonalności strony: koszyk, sesja logowania, ustawienia bezpieczeństwa.
Jeśli używasz tylko takich plików, nie potrzebujesz banera akceptacyjnego – wystarczy informacja w stopce lub polityce.

Cookies marketingowe / analityczne

ga, fbp, pliki remarketingowe, piksele śledzące, skrypty do hotjar.
TAK – przed wczytaniem tych skryptów musisz uzyskać wyraźną, aktywną zgodę.
Śledzenie zachowań użytkownika, pomiar ruchu (Google Analytics), wyświetlanie spersonalizowanych reklam (Facebook Pixel).
Uruchomienie bez zgody to naruszenie RODO, które może skutkować kontrolą UODO i karą finansową.

Kluczowa różnica leży w celu przetwarzania: jeśli plik służy do zapewnienia usługi, którą użytkownik wyraźnie zamówił (np. zakupy), jest niezbędny. Wszystko, co wykracza poza to – analityka, marketing, personalizacja niezwiązana bezpośrednio z realizacją zamówienia – wymaga zgody.

Jak mały e-sklep uniknął kary UODO – wdrożenie Consent Mode v2

SklepMebli.pl, prowadzony przez dwie osoby, otrzymał w czerwcu 2024 roku pismo z Urzędu Ochrony Danych Osobowych. Kontrola wykazała, że baner cookies nie blokował skryptów Google Analytics przed kliknięciem „akceptuję”. Właściciele byli przekonani, że samo wyświetlenie komunikatu wystarczy.

Początkowo chcieli tylko dodać checkbox z preakceptowaną opcją – to błąd, który dodatkowo pogorszyłby sytuację. Zamiast tego skontaktowali się z programistą, który zaimplementował mechanizm Consent Mode v2 i dostosował baner do wymagań: skrypty analityczne były wyłączone do czasu wyrażenia zgody.

Proces nie był prosty – testowanie trwało 2 tygodnie, a początkowo wtyczka do zgód nieprawidłowo wyłączała również skrypt koszyka. Po poprawkach okazało się, że użytkownicy nadal akceptują ciasteczka, ale teraz zgodnie z prawem.

Efekt: strona uniknęła kary (UODO odstąpił od nałożenia sankcji po udokumentowaniu poprawek), a współczynnik konwersji nie spadł – okazało się, że 68% użytkowników i tak akceptuje wszystkie cookies, gdy baner jest przejrzysty. Właściciele przyznali, że strach przed karą był gorszy niż sama implementacja.

Co warto zapamiętać

Rozdziel cookies na niezbędne i pozostałe

Nigdy nie uruchamiaj skryptów analitycznych ani marketingowych przed wyraźną zgodą użytkownika. To najczęstszy błąd, który generuje ryzyko kontroli.

Wdróż Consent Mode v2, jeśli korzystasz z Google Ads

Od marca 2024 jest to wymagane, aby nie utracić części danych pomiarowych i nie ograniczać kampanii. Spełnisz też wymóg blokowania skryptów do momentu zgody.

Nie licz na „ciche domniemanie”

Dalsze korzystanie ze strony bez aktywnego kliknięcia nie może być uznane za zgodę. Baner musi oferować rzeczywisty wybór – „akceptuję” oraz „odrzucam” lub „tylko niezbędne”.

Jeśli masz wątpliwości co do wdrożenia na swojej stronie, dowiedz się, czy pliki cookies wymagają zgody.

Dokumentuj zgodę

Przechowuj dowód wyrażenia zgody (czas, rodzaj, wersja polityki). UODO podczas kontroli zawsze prosi o taki audyt.

Dodatkowe informacje

Czy mogę ukryć przycisk „odrzuć” w banerze?

Nie – UODO jednoznacznie wskazuje, że możliwość odrzucenia zgody musi być równie łatwa jak jej wyrażenie. Ukrywanie przycisku lub stosowanie wprowadzających grafik może zostać uznane za naruszenie dobrowolności zgody.

Czy muszę zbierać zgodę na pliki analityczne Google Analytics?

Tak, jeśli używasz standardowej konfiguracji Google Analytics (z identyfikatorami użytkowników, plikami _ga). Wyjątkiem jest tryb „anonymize IP” bez wykorzystywania danych do marketingu, ale i tak wielu prawników zaleca uzyskanie zgody – zwłaszcza po wyroku TSUE w sprawie „Planet49”.

Jaką karę mogę dostać za brak zgód na cookies?

Wysokość kary może sięgać do 2% rocznego obrotu lub 10 mln euro w przypadku naruszenia przepisów RODO. UODO w 2024 roku nałożył kary pieniężne, w tym kilka w zakresie od kilkuset tysięcy złotych, m.in. za naruszenia związane z ochroną danych. Sankcje mogą też nakładać organy ochrony konsumentów. ^[1]

Czy baner cookies musi zawierać opcję „ustawienia zaawansowane”?

Nie jest to wymagane wprost, ale ułatwia spełnienie wymogu świadomej zgody. Jeśli dajesz tylko „akceptuję wszystkie” i rezygnację poprzez pozostanie na stronie – to prawdopodobnie jest niezgodne z RODO. Najbezpieczniej: dwa przyciski (akceptuję wszystkie / tylko niezbędne) oraz możliwość przejścia do szczegółowych ustawień.