Cookies na stronie internetowej. Jak robić to zgodnie z prawem w Polsce?

Cookies (pliki cookies) to niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika podczas korzystania ze strony internetowej. Umożliwiają one rozpoznanie urządzenia lub przeglądarki przy kolejnych odwiedzinach.

Nie wszystkie cookies zawierają dane osobowe. Jednak wiele z nich może być wykorzystywanych do identyfikacji użytkownika lub łączonych z innymi informacjami, dlatego ich stosowanie często podlega zarówno przepisom dotyczącym cookies, jak i RODO.

Najczęściej spotykane rodzaje cookies to:

• Niezbędne – odpowiadają za podstawowe funkcjonowanie strony, np. utrzymanie sesji użytkownika, zawartość koszyka zakupowego, zapisanie wybranego języka czy realizację procesu zakupu.

• Funkcjonalne – umożliwiają zapamiętywanie preferencji użytkownika i personalizację działania serwisu.

• Analityczne i pomiarowe – służą do analizy ruchu i skuteczności strony, np. Google Analytics czy Matomo.

• Marketingowe i reklamowe – wykorzystywane do personalizacji reklam i działań remarketingowych, np. Google Ads czy Meta Pixel.

• Badania zachowań użytkowników – narzędzia takie jak Hotjar, Smartlook czy Microsoft Clarity pomagają analizować sposób korzystania ze strony.

Zgoda użytkownika nie jest wymagana dla cookies niezbędnych do świadczenia usługi, o którą użytkownik wyraźnie poprosił. Dotyczy to np. utrzymania koszyka zakupowego lub logowania do serwisu.

W przypadku większości cookies analitycznych, marketingowych i funkcjonalnych wymagana jest wcześniejsza zgoda użytkownika.

Zgoda powinna być:

• dobrowolna,

• konkretna,

• świadoma,

• jednoznaczna,

• możliwa do wycofania w dowolnym momencie.

Oznacza to, że samo dalsze korzystanie ze strony, zamknięcie okna lub kliknięcie przycisku „Rozumiem” zazwyczaj nie spełnia obecnych wymagań dotyczących ważnej zgody.

Użytkownik powinien mieć możliwość łatwego wyboru zakresu zgody. Dobrą praktyką jest umieszczenie na pierwszej warstwie banera przycisków o porównywalnej widoczności, takich jak:

• „Akceptuję wszystkie”

• „Odrzucam wszystkie” lub „Tylko niezbędne”

• „Ustawienia preferencji”

Baner powinien także zawierać podstawowe informacje o celach przetwarzania oraz link do polityki cookies lub polityki prywatności.

Samo wdrożenie banera nie wystarczy. Należy również zadbać o aktualne dokumenty informacyjne i prawidłową konfigurację narzędzi śledzących.

Obowiązki prawne nie dotyczą wyłącznie klasycznych cookies. Podobne zasady mogą mieć zastosowanie również do innych technologii przechowujących lub odczytujących informacje na urządzeniu użytkownika, takich jak:

• Local Storage,

• Session Storage,

• identyfikatory reklamowe,

• piksele śledzące,

• niektóre rozwiązania antyspamowe i bezpieczeństwa.

Przed wdrożeniem nowych narzędzi warto sprawdzić, czy wymagają one uzyskania zgody użytkownika.

Dane zbierane za zgodą użytkownika mogą być wykorzystywane do analizy zachowań odwiedzających i prowadzenia działań marketingowych.

Przykładowe zastosowania obejmują:

• analizę skuteczności kampanii reklamowych,

• remarketing,

• personalizację treści,

• segmentację odbiorców,

• automatyzację komunikacji marketingowej.

W przypadku braku zgody użytkownika część tych funkcji może być ograniczona lub niedostępna. Nie oznacza to jednak, że e‑mail marketing staje się niemożliwy – jego prowadzenie zależy również od podstaw prawnych związanych z samą komunikacją marketingową i przetwarzaniem danych kontaktowych.

Przeprowadź audyt strony i sprawdź, jakie cookies oraz skrypty są uruchamiane.

Określ, które są niezbędne, a które wymagają zgody użytkownika.

Wiele stron korzysta z narzędzi, które nie są faktycznie wykorzystywane lub dublują swoje funkcje.

Dokument powinien zawierać m.in.:

• cele wykorzystywania cookies,

• informacje o dostawcach narzędzi,

• okres przechowywania danych,

• sposób wycofania zgody.

Mechanizm powinien umożliwiać:

• wyrażenie zgody,

• odmowę zgody,

• zmianę decyzji w dowolnym momencie.

Narzędzia analityczne i marketingowe nie powinny uruchamiać się przed uzyskaniem odpowiedniej zgody.

Przykładowo Google Analytics 4 oferuje rozwiązania ograniczające wykorzystanie cookies, jednak standardowa konfiguracja nadal wymaga odpowiedniego zarządzania zgodami użytkowników.

Zweryfikuj, jakie dane są przekazywane dostawcom narzędzi i czy odbywa się to zgodnie z obowiązującymi przepisami.

Upewnij się, że brak zgody na cookies nie powoduje nieprawidłowego działania serwisu.

W przypadku kontroli warto posiadać możliwość wykazania, kiedy i na co użytkownik wyraził zgodę.

Użytkownik powinien mieć możliwość zmiany ustawień cookies bez konieczności kontaktowania się z administratorem strony.

Nie. Zgoda musi być dobrowolna.

Niedopuszczalne jest ukrywanie możliwości odmowy zgody, stosowanie mylących interfejsów lub utrudnianie wycofania zgody.

Szczególną ostrożność należy zachować przy tzw. cookie wallach, czyli rozwiązaniach uzależniających dostęp do treści od zgody na cookies. Ich zgodność z prawem zależy od konkretnych okoliczności i nadal budzi liczne kontrowersje.

SPRAWDŹ: Powitaj swoich klientów niezapomnianymi kampaniami powitalnymi

Standardowe osadzanie filmów YouTube może powodować przekazywanie danych użytkownika do Google.

Aby ograniczyć zakres zbieranych danych przed rozpoczęciem odtwarzania filmu, warto korzystać z trybu rozszerzonej ochrony prywatności (Privacy Enhanced Mode), który wykorzystuje domenę:

youtube‑nocookie.com

Rozwiązanie to ogranicza śledzenie użytkownika przed odtworzeniem filmu, ale nie eliminuje całkowicie przetwarzania danych po rozpoczęciu odtwarzania.

Przez kilka lat Google zapowiadał wycofanie cookies stron trzecich (third‑party cookies) w przeglądarce Chrome. Ostatecznie firma zrezygnowała z planu ich całkowitego usunięcia i kontynuuje rozwój inicjatywy Privacy Sandbox.

Dla właścicieli stron oznacza to, że:

• obowiązki związane z uzyskiwaniem zgody na cookies nadal obowiązują,

• cookies stron trzecich nadal są wykorzystywane,

• warto rozwijać własne źródła danych (first‑party data),

• nie należy opierać całej strategii marketingowej wyłącznie na third‑party cookies.

Prawidłowe wdrożenie cookies wymaga współpracy specjalistów z obszaru prawa, marketingu, UX i IT. Kluczowe jest nie tylko przygotowanie odpowiedniego banera cookies, ale również prawidłowa konfiguracja narzędzi analitycznych i marketingowych, aktualna dokumentacja oraz możliwość wykazania, że zgody użytkowników są zbierane i zarządzane zgodnie z obowiązującymi przepisami.