Trzy warstwy regulacji — PKE, RODO, ePrivacy
Zgody na cookies w polskim e-commerce regulują trzy akty prawne jednocześnie. Każdy dotyczy innego aspektu — i każdy nakłada własne kary za naruszenie.
Prawo Komunikacji Elektronicznej — Art. 399 i 402
Ustawa z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej. Art. 399 wymaga uzyskania zgody przed zapisaniem lub odczytaniem informacji w urządzeniu końcowym użytkownika (cookies, localStorage, fingerprinting). Art. 402 precyzuje, że zgoda musi spełniać wymogi RODO (art. 4 pkt 11 i art. 7) — dobrowolna, konkretna, świadoma, jednoznaczna, z możliwością wycofania. Zastąpiło art. 173 Prawa telekomunikacyjnego z 2004 r.
Dyrektywa 2002/58/WE (ePrivacy Directive) — Art. 5 ust. 3
Dyrektywa o prywatności i łączności elektronicznej. Art. 5 ust. 3 ustanawia zasadę: zapisywanie informacji w urządzeniu użytkownika lub dostęp do tych informacji jest dozwolony wyłącznie za zgodą, po przekazaniu jasnej i wyczerpującej informacji o celach przetwarzania. Wyjątek: cookies technicznie niezbędne do świadczenia usługi (np. sesja koszyka zakupowego). PKE Art. 399 jest polską implementacją tego przepisu.
RODO (Rozporządzenie 2016/679) — Art. 4 pkt 11, Art. 7
Ogólne rozporządzenie o ochronie danych. Definiuje co oznacza „zgoda" (art. 4 pkt 11): dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego. Art. 7 określa warunki wyrażenia zgody — w tym prawo do wycofania zgody w dowolnym momencie, z zachowaniem takiej samej łatwości jak przy jej wyrażeniu. RODO stosuje się do przetwarzania danych osobowych — a cookies identyfikujące użytkownika stanowią dane osobowe.
10 obowiązkowych wymagań minimum
Na podstawie PKE Art. 399–402, RODO Art. 4/7, wytycznych EDPB 05/2020 oraz Cookie Banner Taskforce Report (2023), każdy banner cookie consent w polskim e-commerce musi spełniać następujące wymagania:
Zgoda przed zapisem — opt-in, nie opt-out
Żaden cookie opcjonalny (analityczny, marketingowy, funkcjonalny) nie może być zapisany przed wyrażeniem zgody przez użytkownika. Skrypty third-party (Google Analytics, Meta Pixel, Hotjar) muszą być blokowane do momentu uzyskania zgody na odpowiednią kategorię.
Informacja o celach — zanim użytkownik kliknie
Użytkownik musi wiedzieć, na co się zgadza, zanim wyrazi zgodę. Banner musi informować o kategoriach cookies i ich celach. Szczegółowa polityka cookies (z listą poszczególnych cookies, ich dostawców i czasu wygaśnięcia) może być w osobnym dokumencie, ale musi być dostępna z poziomu bannera.
Granularność — osobna zgoda na każdą kategorię
Jedno „Akceptuję wszystko" nie wystarczy jako jedyna opcja. Użytkownik musi mieć możliwość wyrażenia zgody na poszczególne kategorie cookies niezależnie — np. zgoda na analityczne, ale odmowa marketingowych.
„Odrzuć wszystkie" z równą widocznością
Przycisk odrzucenia musi być równie łatwo dostępny jak przycisk akceptacji. Niedopuszczalne: ukrywanie odmowy za dodatkowym kliknięciem, zmniejszona czcionka, mniejszy kontrast, umieszczenie w „Ustawieniach" zamiast na pierwszym ekranie bannera.
Brak preselection — checkboxy domyślnie odznaczone
Kategorie opcjonalne (analityczne, marketingowe, funkcjonalne) muszą być domyślnie wyłączone. Wstępne zaznaczenie checkboxów nie stanowi ważnej zgody — potwierdził to TSUE w wyroku Planet49 (C-673/17, 1 października 2019).
Cookies niezbędne nie wymagają zgody
Cookies technicznie niezbędne do świadczenia usługi (sesja, koszyk, uwierzytelnianie, load balancing) mogą być zapisywane bez zgody. Ale użytkownik musi być o nich poinformowany. Cookie analityczne i marketingowe nigdy nie są „niezbędne" — nawet first-party analytics.
Mechanizm wycofania zgody
Użytkownik musi mieć możliwość wycofania zgody w dowolnym momencie — z taką samą łatwością, z jaką ją wyraził. W praktyce: stały link „Ustawienia cookies" w stopce strony, otwierający panel zarządzania zgodami. Wycofanie musi skutkować usunięciem cookies i zaprzestaniem ładowania skryptów danej kategorii.
Zapis dowodu zgody
Administrator musi być w stanie udowodnić, że zgoda została udzielona — kiedy, w jakiej wersji bannera, na jakie kategorie. W praktyce: zapis timestampa, wersji konfiguracji bannera, wybranych kategorii i identyfikatora zgody. Przechowywanie tak długo, jak trwa przetwarzanie + okres przedawnienia roszczeń.
Ważność zgody — max 12 miesięcy
Większość europejskich organów ochrony danych (CNIL, AEPD, Datatilsynet) uznaje 12 miesięcy za maksymalny okres ważności zgody na cookies. Po tym czasie banner musi się pojawić ponownie. Dla użytkowników, którzy odrzucili cookies, ponowne wyświetlenie bannera nie powinno nastąpić wcześniej niż po 6 miesiącach — aby nie wymuszać „zmęczenia zgodami" (consent fatigue).
Brak cookie wall — dostęp do treści bez zgody
Uzależnianie dostępu do strony od akceptacji cookies (tzw. cookie wall) jest niedopuszczalne, chyba że istnieje równoważna alternatywa bez cookies. Użytkownik, który odmówi cookies opcjonalnych, musi mieć pełny dostęp do treści i funkcjonalności sklepu. Wyjątek: strony wyłącznie finansowane z reklam mogą oferować model „zgoda lub płatność" — ale sklep internetowy nie jest taką stroną.
4 kategorie cookies — co wymaga zgody, a co nie
Standard branżowy (IAB TCF, Google Consent Mode, większość CMP) dzieli cookies na cztery kategorie. Każda ma inny status prawny.
Niezbędne (Strictly Necessary)
Cookies technicznie konieczne do działania sklepu. Sesja użytkownika, stan koszyka, token CSRF, preferencje językowe, load balancing. Nie wymagają zgody, ale wymagają informacji.
Funkcjonalne (Functional)
Cookies poprawiające UX, ale niekonieczne do działania sklepu. Zapamiętywanie preferencji wyświetlania, ostatnio oglądane produkty, czat live. Nie służą do śledzenia, ale wykraczają poza „strict necessary".
Analityczne (Analytics)
Cookies zbierające dane o zachowaniu użytkowników — odsłony, ścieżki nawigacji, czas na stronie. Obejmują Google Analytics, Hotjar, Plausible (jeśli z cookies), Microsoft Clarity. First-party analytics też wymagają zgody, jeśli zapisują cookies lub identyfikują użytkownika.
Marketingowe / Reklamowe (Marketing)
Cookies do śledzenia użytkowników między stronami w celu wyświetlania reklam. Meta Pixel, Google Ads, TikTok Pixel, remarketing. Najwyższy poziom inwazyjności — profilowanie cross-site. Wymaga jednoznacznej, świadomej zgody.
Kary — PKE i RODO nakładają się
Naruszenie zasad cookie consent podlega karom z dwóch reżimów jednocześnie. PKE dotyczy samego zapisu cookies bez zgody. RODO dotyczy przetwarzania danych osobowych zebranych przez te cookies.
Art. 435 PKE. Kary nakładane przez Prezesa UKE (Urząd Komunikacji Elektronicznej). Dotyczą naruszenia Art. 399 — zapisywania cookies bez ważnej zgody. Kwota zależy od wagi naruszenia, czasu trwania, liczby poszkodowanych i stopnia współpracy z organem.
Art. 83 RODO. Kary nakładane przez UODO (Urząd Ochrony Danych Osobowych). Dotyczą przetwarzania danych osobowych bez podstawy prawnej — jeśli cookies identyfikują użytkownika, a zgoda nie została prawidłowo uzyskana.
Kary w praktyce — europejskie precedensy
Organy nadzorcze coraz aktywniej weryfikują techniczne działanie mechanizmów consent — nie wystarczy mieć banner, trzeba udowodnić, że faktycznie blokuje.
SHEIN — 150 mln EUR (CNIL, 2025)
Cookies instalowane przed wyrażeniem zgody. Przycisk „Odrzuć" nie działał prawidłowo.
Google — 325 mln EUR (CNIL, 2025)
Cookies bez zgody. Odmowa wymagała więcej kliknięć niż akceptacja (dark pattern). Trzecia kara za ten sam problem.
American Express — 1,5 mln EUR (CNIL, 2025)
Cookies zapisywane mimo odmowy i kontynuowały działanie po wycofaniu zgody.
Google — 150 mln EUR, Meta — 60 mln EUR (CNIL, 2022)
Brak równoważnej opcji odmowy cookies.
EDPB Cookie Banner Taskforce — co uznano za naruszenie
W styczniu 2023 Europejska Rada Ochrony Danych (EDPB) opublikowała raport Cookie Banner Taskforce, będący wynikiem koordynowanych działań organów ochrony danych z 27 krajów UE. Raport jednoznacznie wskazuje, które praktyki w bannerach cookies stanowią naruszenie.
Brak przycisku „Odrzuć" na pierwszej warstwie
Jeśli „Akceptuję wszystkie" jest na pierwszym ekranie bannera, to „Odrzuć wszystkie" musi być na tym samym ekranie z równą widocznością. Ukrycie odmowy w „Ustawienia" lub „Więcej opcji" to naruszenie.
Link zamiast przycisku dla odmowy
Odmowa w formie mniej widocznego linku (mniejsza czcionka, mniejszy kontrast, brak obramowania) wobec przycisku akceptacji — naruszenie zasady równoważności. Oba działania muszą mieć porównywalną widoczność wizualną.
Deceptive design w kolorystyce
Jaskrawy przycisk „Akceptuj" i szary/wygaszony „Odrzuć", przycisk odmowy w kolorze tła bannera, mniejszy rozmiar przycisku odmowy — to manipulacja wizualna traktowana jako naruszenie dobrowolności zgody.
Wstępnie zaznaczone checkboxy
Checkboxy kategorii opcjonalnych zaznaczone domyślnie wymagające odznaczenia — nie stanowią ważnej zgody. Potwierdzone wyrokiem TSUE w sprawie Planet49 (C-673/17).
Legitimate interest dla cookies marketingowych
Powołanie się na „prawnie uzasadniony interes" (art. 6(1)(f) RODO) jako podstawę prawną do cookies analitycznych lub marketingowych — naruszenie. ePrivacy Art. 5(3) wymaga zgody (consent), nie oferuje alternatywnej podstawy prawnej.
Dopuszczalne podejście do bannera
Pierwsza warstwa: krótka informacja + „Akceptuj wszystkie" + „Odrzuć wszystkie" + „Ustawienia" (link do granularnych opcji). Druga warstwa: szczegółowe kategorie z opisami, lista cookies, przełączniki per kategoria. Obie warstwy: przycisk zapisu wybranych preferencji.
Dlaczego blokowanie samych cookies nie wystarczy
Większość narzędzi cookie consent działa jako nakładka — próbuje przechwycić cookies po tym, jak skrypt third-party już się załadował. To podejście ma fundamentalne problemy techniczne, które potwierdzają badania akademickie na dziesiątkach tysięcy stron.
Sam request HTTP = przetwarzanie danych
Nawet jeśli skrypt nie zapisze żadnego cookie, sam fakt załadowania go z serwera third-party (np. Google, Meta) transmituje adres IP użytkownika, User-Agent, referrer i inne dane identyfikujące. Pod RODO to już przetwarzanie danych osobowych — bez podstawy prawnej.
Trackery nie ograniczają się do cookies
Nowoczesne trackery używają localStorage, IndexedDB, canvas fingerprinting i session storage. Narzędzie blokujące tylko document.cookie nie widzi tych mechanizmów — skrypt dalej identyfikuje użytkownika.
Preload scanner i race conditions
Przeglądarki mają wbudowany preload scanner, który spekulatywnie pobiera zasoby z HTML zanim JavaScript CMP zdąży je zablokować. Klasyczne narzędzia CMP ładują się jako async i próbują przechwycić inne skrypty przez MutationObserver — ale jeśli tracking script załaduje się szybciej (CDN, cache), wykona się przed CMP. Sami vendorzy narzędzi consent przyznają, że ich automatyczne blokowanie nie jest w 100% niezawodne. To niestabilne rozwiązanie — wynik zależy od kolejności ładowania, której nikt nie kontroluje.
Server-side cookies — niewidoczne dla CMP
Cookies ustawiane w nagłówkach HTTP response (server-side) są zapisywane zanim jakikolwiek JavaScript się wykona. Kliencki CMP nie ma nad nimi żadnej kontroli.
Co mówią badania
94,7% stron z naruszeniem (USENIX Security 2022)
Analiza 30 000 stron. 69,7% ładowało cookies zanim użytkownik podjął decyzję. 21,3% zapisywało cookies mimo jawnej odmowy.
65% stron ignoruje odmowę (USENIX Security 2024)
97 000 stron (ETH Zurich). 65,4% dalej zbiera dane mimo jawnego „Odrzuć". 85,6% stron z IAB TCF miało naruszenia.
75% stron ładuje cookies przed zgodą (Cookie Information, 2024)
Audyt 1000 stron w DK/SE/NO/UK. W e-commerce problem dotyczył 83% stron.
Tylko 15% spełnia minimum GDPR (CHI 2025)
254 148 stron w 31 krajach UE. 67% bannerów pochodzi z profesjonalnych narzędzi CMP — a mimo to nie spełniają wymagań.
Jak to rozwiązuje headless storefront Witly
W headless storefront Witly cookie consent jest zintegrowaną częścią frontendu — jednocześnie bannerem zgód i menedżerem skryptów. Skrypty third-party w ogóle nie istnieją w kodzie strony, dopóki użytkownik nie wyrazi zgody. Nie są „blokowane po załadowaniu" — po prostu nie zostają dodane do DOM.
Architektura zamiast wyścigu
Typowe narzędzia consent „blokują" skrypty przez modyfikację atrybutu type, MutationObserver lub synchroniczny skrypt w <head> — każde z tych podejść opiera się na wyścigu z przeglądarką. W headless storefront nie ma wyścigu, bo nie ma czego blokować. Każdy skrypt (GA4, Meta Pixel, TikTok, Hotjar) jest zarejestrowany w konfiguracji i dodawany do DOM dopiero po weryfikacji zgody. Ponieważ frontend jest w pełni zarządzany przez Witly, nie ma sytuacji w której platforma ładuje skrypty „z boku".
Banner, wycofanie zgody i Google Consent Mode v2
„Akceptuj wszystkie" i „Odrzuć wszystkie" z równą widocznością na pierwszym ekranie + granularne ustawienia per kategoria. Checkboxy domyślnie wyłączone. Wycofanie zgody usuwa cookies danej kategorii — przy następnym wczytaniu strony skrypty nie zostaną dodane. Google Consent Mode v2 działa jako dodatkowa warstwa bezpieczeństwa (domyślny stan „denied"), ale nie jest jedyną ochroną — nawet bez GCM skrypty Google nie ładują się bez zgody. Zgoda zapisywana z timestampem, banner wyświetla się ponownie po 12 miesiącach.
Efekt uboczny: wydajność
Jeśli użytkownik nie wyrazi zgody na cookies marketingowe, skrypty third-party po prostu nie istnieją na stronie. Mniej requestów HTTP, mniej JavaScript, mniej blokowania main thread.
Platformy e-commerce z cookie consent Witly
Headless storefront Witly działa jako frontend dla popularnych platform e-commerce — zastępuje domyślny szablon sklepu własnym, w pełni zarządzanym frontendem. Cookie consent jest wbudowany w ten frontend niezależnie od platformy backendowej.
Shoper
Polska platforma SaaS — najpopularniejsze rozwiązanie e-commerce w Polsce. Obsługuje kilkadziesiąt tysięcy sklepów internetowych. Headless storefront Witly łączy się z API Shoper i przejmuje warstwę prezentacji, w tym zarządzanie skryptami third-party i cookie consent.
WooCommerce
Otwartoźródłowy plugin e-commerce dla WordPress — najczęściej wybierana platforma e-commerce na świecie. Popularna w Polsce ze względu na elastyczność i duży ekosystem wtyczek. Witly jako headless frontend integruje się z WooCommerce REST API.
PrestaShop
Otwartoźródłowa platforma e-commerce popularna w Europie, szczególnie we Francji, Hiszpanii i Polsce. Witly łączy się z PrestaShop Web Services API i zarządza frontendem sklepu razem z cookie consent i skryptami analityczno-marketingowymi.
Niezależnie od platformy backendowej, mechanizm cookie consent jest identyczny: skrypty third-party nie istnieją w kodzie strony do momentu wyrażenia zgody przez użytkownika. Platforma (Shoper, WooCommerce, PrestaShop) zarządza produktami, zamówieniami i magazynem — Witly zarządza frontendem, w tym cookie consent i skryptami analityczno-marketingowymi.
Cookie consent to nie opcja — to wymóg prawny
PKE Art. 399 od 10 listopada 2024 jednoznacznie wymaga zgody opt-in na cookies opcjonalne. RODO Art. 7 definiuje, czym ta zgoda musi być — dobrowolna, konkretna, świadoma, z możliwością wycofania. EDPB Cookie Banner Taskforce z 2023 roku precyzuje, jak banner musi wyglądać — z „Odrzuć wszystkie" na pierwszym ekranie.
Kary: do 3% przychodu z PKE + do 4% globalnego przychodu z RODO. Precedensy europejskie pokazują, że organy nadzorcze aktywnie kontrolują bannery cookies — szczególnie w e-commerce.
W headless storefront Witly cookie consent jest zintegrowanym menedżerem skryptów — skrypty third-party nie istnieją na stronie do momentu zgody. To architektoniczne podejście eliminuje problemy race conditions, preload scannera i wycieków danych przez requesty HTTP, z którymi zmagają się zewnętrzne narzędzia CMP działające jako nakładki.
Źródła
- Prawo Komunikacji Elektronicznej — Dz.U. 2024 poz. 1221 (ustawa z 12.07.2024)
isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240001221 - Dyrektywa 2002/58/WE (ePrivacy) — EUR-Lex, Dz.U. UE L 201, 31.7.2002
eur-lex.europa.eu/eli/dir/2002/58/oj - RODO (Rozporządzenie 2016/679) — EUR-Lex, Dz.U. UE L 119, 4.5.2016
eur-lex.europa.eu/eli/reg/2016/679/oj - EDPB Guidelines 05/2020 on Consent under Regulation 2016/679 (v1.1, maj 2020)
edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en - EDPB Cookie Banner Taskforce Report (styczeń 2023)
edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf - TSUE C-673/17 Planet49 — wyrok z 1 października 2019
curia.europa.eu/juris/liste.jsf?num=C-673/17 - CNIL — sankcja Google 150 mln EUR (31.12.2021, deliberation SAN-2021-023)
techcrunch.com/2022/01/06/cnil-facebook-google-cookie-consent-eprivacy-breaches/ - CNIL — sankcja Facebook/Meta 60 mln EUR (31.12.2021, deliberation SAN-2021-024)
cnil.fr/en/cookies-closure-injunction-issued-against-facebook - Datatilsynet (Norwegia) — sankcja Grindr 6,5 mln EUR (2021)
datatilsynet.no/en/regulations-and-tools/regulations/avgjorelser-fra-datatilsynet/2021/gebyr-til-grindr/ - Google Consent Mode v2 — dokumentacja techniczna
developers.google.com/tag-platform/security/guides/consent - CNIL Lignes directrices sur les cookies et autres traceurs (2020)
cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/lignes-directrices-modificatives-et-recommandation - Bollinger et al. „Automating Cookie Consent and GDPR Violation Detection" — USENIX Security 2022
usenix.org/conference/usenixsecurity22/presentation/bollinger - Bouhoula et al. „Automated Large-Scale Analysis of Cookie Notice Compliance" — USENIX Security 2024
usenix.org/conference/usenixsecurity24/presentation/bouhoula - Nouwens et al. „A Cross-Country Analysis of GDPR Cookie Banners" — CHI 2025 (n=254 148 stron, 31 krajów UE)
arxiv.org/abs/2503.19655 - Bruegel — „EU data processing consent reform must account for market incentives" (grudzień 2025)
bruegel.org/analysis/eu-data-processing-consent-reform-must-account-market-incentives - Cookie Information — audyt 1000 stron w DK/SE/NO/UK: „Is your CMP blocking cookies before consent?" (2024)
cookieinformation.com/blog/blocking-cookies-before-consent/ - CNIL — sankcja SHEIN 150 mln EUR za cookies przed zgodą (wrzesień 2025)
cnil.fr/en/cookies-placed-without-consent-shein-fined-150-million-euros-cnil - CNIL — sankcja Google 325 mln EUR — trzecia kara za cookies (wrzesień 2025)
cnil.fr/en/cookies-and-advertisements-inserted-between-emails-google-fined-325-million-euros-cnil - CNIL — sankcja American Express 1,5 mln EUR za cookies mimo odmowy (listopad 2025)
cnil.fr/en/cookies-american-express-fined-eu15-million-cnil - ICO — przegląd cookie compliance top 1000 stron UK (styczeń 2025)
ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/01/ico-takes-action-to-tackle-cookie-compliance-across-the-uk-s-top-1-000-websites/