Trzy warstwy regulacji — PKE, RODO, ePrivacy
Zgody na cookies w polskim e-commerce regulują trzy akty prawne jednocześnie. Każdy dotyczy innego aspektu — i każdy nakłada własne kary za naruszenie.
Prawo Komunikacji Elektronicznej — Art. 399 i 402
Ustawa z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej. Art. 399 wymaga uzyskania zgody przed zapisaniem lub odczytaniem informacji w urządzeniu końcowym użytkownika (cookies, localStorage, fingerprinting). Art. 402 precyzuje, że zgoda musi spełniać wymogi RODO (art. 4 pkt 11 i art. 7) — dobrowolna, konkretna, świadoma, jednoznaczna, z możliwością wycofania. Zastąpiło art. 173 Prawa telekomunikacyjnego z 2004 r.
Dyrektywa 2002/58/WE (ePrivacy Directive) — Art. 5 ust. 3
Dyrektywa o prywatności i łączności elektronicznej. Art. 5 ust. 3 ustanawia zasadę: zapisywanie informacji w urządzeniu użytkownika lub dostęp do tych informacji jest dozwolony wyłącznie za zgodą, po przekazaniu jasnej i wyczerpującej informacji o celach przetwarzania. Wyjątek: cookies technicznie niezbędne do świadczenia usługi (np. sesja koszyka zakupowego). PKE Art. 399 jest polską implementacją tego przepisu.
RODO (Rozporządzenie 2016/679) — Art. 4 pkt 11, Art. 7
Ogólne rozporządzenie o ochronie danych. Definiuje co oznacza „zgoda" (art. 4 pkt 11): dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego. Art. 7 określa warunki wyrażenia zgody — w tym prawo do wycofania zgody w dowolnym momencie, z zachowaniem takiej samej łatwości jak przy jej wyrażeniu. RODO stosuje się do przetwarzania danych osobowych — a cookies identyfikujące użytkownika stanowią dane osobowe.
10 obowiązkowych wymagań minimum
Na podstawie PKE Art. 399–402, RODO Art. 4/7, wytycznych EDPB 05/2020 oraz Cookie Banner Taskforce Report (2023), każdy banner cookie consent w polskim e-commerce musi spełniać następujące wymagania:
Zgoda przed zapisem — opt-in, nie opt-out
Żaden cookie opcjonalny (analityczny, marketingowy, funkcjonalny) nie może być zapisany przed wyrażeniem zgody przez użytkownika. Skrypty third-party (Google Analytics, Meta Pixel, Hotjar) muszą być blokowane do momentu uzyskania zgody na odpowiednią kategorię.
Informacja o celach — zanim użytkownik kliknie
Użytkownik musi wiedzieć, na co się zgadza, zanim wyrazi zgodę. Banner musi informować o kategoriach cookies i ich celach. Szczegółowa polityka cookies (z listą poszczególnych cookies, ich dostawców i czasu wygaśnięcia) może być w osobnym dokumencie, ale musi być dostępna z poziomu bannera.
Granularność — osobna zgoda na każdą kategorię
Jedno „Akceptuję wszystko" nie wystarczy jako jedyna opcja. Użytkownik musi mieć możliwość wyrażenia zgody na poszczególne kategorie cookies niezależnie — np. zgoda na analityczne, ale odmowa marketingowych.
„Odrzuć wszystkie" z równą widocznością
Przycisk odrzucenia musi być równie łatwo dostępny jak przycisk akceptacji. Niedopuszczalne: ukrywanie odmowy za dodatkowym kliknięciem, zmniejszona czcionka, mniejszy kontrast, umieszczenie w „Ustawieniach" zamiast na pierwszym ekranie bannera.
Brak preselection — checkboxy domyślnie odznaczone
Kategorie opcjonalne (analityczne, marketingowe, funkcjonalne) muszą być domyślnie wyłączone. Wstępne zaznaczenie checkboxów nie stanowi ważnej zgody — potwierdził to TSUE w wyroku Planet49 (C-673/17, 1 października 2019).
Cookies niezbędne nie wymagają zgody
Cookies technicznie niezbędne do świadczenia usługi (sesja, koszyk, uwierzytelnianie, load balancing) mogą być zapisywane bez zgody. Ale użytkownik musi być o nich poinformowany. Cookie analityczne i marketingowe nigdy nie są „niezbędne" — nawet first-party analytics.
Mechanizm wycofania zgody
Użytkownik musi mieć możliwość wycofania zgody w dowolnym momencie — z taką samą łatwością, z jaką ją wyraził. W praktyce: stały link „Ustawienia cookies" w stopce strony, otwierający panel zarządzania zgodami. Wycofanie musi skutkować usunięciem cookies i zaprzestaniem ładowania skryptów danej kategorii.
Zapis dowodu zgody
Administrator musi być w stanie udowodnić, że zgoda została udzielona — kiedy, w jakiej wersji bannera, na jakie kategorie. W praktyce: zapis timestampa, wersji konfiguracji bannera, wybranych kategorii i identyfikatora zgody. Przechowywanie tak długo, jak trwa przetwarzanie + okres przedawnienia roszczeń.
Ważność zgody — max 12 miesięcy
Większość europejskich organów ochrony danych (CNIL, AEPD, Datatilsynet) uznaje 12 miesięcy za maksymalny okres ważności zgody na cookies. Po tym czasie banner musi się pojawić ponownie. Dla użytkowników, którzy odrzucili cookies, ponowne wyświetlenie bannera nie powinno nastąpić wcześniej niż po 6 miesiącach — aby nie wymuszać „zmęczenia zgodami" (consent fatigue).
Brak cookie wall — dostęp do treści bez zgody
Uzależnianie dostępu do strony od akceptacji cookies (tzw. cookie wall) jest niedopuszczalne, chyba że istnieje równoważna alternatywa bez cookies. Użytkownik, który odmówi cookies opcjonalnych, musi mieć pełny dostęp do treści i funkcjonalności sklepu. Wyjątek: strony wyłącznie finansowane z reklam mogą oferować model „zgoda lub płatność" — ale sklep internetowy nie jest taką stroną.
4 kategorie cookies — co wymaga zgody, a co nie
Standard branżowy (IAB TCF, Google Consent Mode, większość CMP) dzieli cookies na cztery kategorie. Każda ma inny status prawny.
Niezbędne (Strictly Necessary)
Cookies technicznie konieczne do działania sklepu. Sesja użytkownika, stan koszyka, token CSRF, preferencje językowe, load balancing. Nie wymagają zgody, ale wymagają informacji.
Funkcjonalne (Functional)
Cookies poprawiające UX, ale niekonieczne do działania sklepu. Zapamiętywanie preferencji wyświetlania, ostatnio oglądane produkty, czat live. Nie służą do śledzenia, ale wykraczają poza „strict necessary".
Analityczne (Analytics)
Cookies zbierające dane o zachowaniu użytkowników — odsłony, ścieżki nawigacji, czas na stronie. Obejmują Google Analytics, Hotjar, Plausible (jeśli z cookies), Microsoft Clarity. First-party analytics też wymagają zgody, jeśli zapisują cookies lub identyfikują użytkownika.
Marketingowe / Reklamowe (Marketing)
Cookies do śledzenia użytkowników między stronami w celu wyświetlania reklam. Meta Pixel, Google Ads, TikTok Pixel, remarketing. Najwyższy poziom inwazyjności — profilowanie cross-site. Wymaga jednoznacznej, świadomej zgody.
Kary — PKE i RODO nakładają się
Naruszenie zasad cookie consent podlega karom z dwóch reżimów jednocześnie. PKE dotyczy samego zapisu cookies bez zgody. RODO dotyczy przetwarzania danych osobowych zebranych przez te cookies.
Art. 435 PKE. Kary nakładane przez Prezesa UKE (Urząd Komunikacji Elektronicznej). Dotyczą naruszenia Art. 399 — zapisywania cookies bez ważnej zgody. Kwota zależy od wagi naruszenia, czasu trwania, liczby poszkodowanych i stopnia współpracy z organem.
Art. 83 RODO. Kary nakładane przez UODO (Urząd Ochrony Danych Osobowych). Dotyczą przetwarzania danych osobowych bez podstawy prawnej — jeśli cookies identyfikują użytkownika, a zgoda nie została prawidłowo uzyskana.
Kary w praktyce — europejskie precedensy. CNIL (Francja): Google — 150 mln EUR i Facebook — 60 mln EUR za brak równoważnej opcji odmowy cookies (2022). Datatilsynet (Norwegia): Grindr — 6,5 mln EUR za udostępnianie danych reklamodawcom bez ważnej zgody (2021). AEPD (Hiszpania): CaixaBank — 6 mln EUR za brak prawidłowej zgody na cookies marketingowe (2021). W Polsce: UODO nałożył w 2022 r. karę 30 000 PLN na spółkę medyczną za brak prawidłowego bannera cookies i profilowanie bez zgody.
EDPB Cookie Banner Taskforce — co uznano za naruszenie
W styczniu 2023 Europejska Rada Ochrony Danych (EDPB) opublikowała raport Cookie Banner Taskforce, będący wynikiem koordynowanych działań organów ochrony danych z 27 krajów UE. Raport jednoznacznie wskazuje, które praktyki w bannerach cookies stanowią naruszenie.
Brak przycisku „Odrzuć" na pierwszej warstwie
Jeśli „Akceptuję wszystkie" jest na pierwszym ekranie bannera, to „Odrzuć wszystkie" musi być na tym samym ekranie z równą widocznością. Ukrycie odmowy w „Ustawienia" lub „Więcej opcji" to naruszenie.
Link zamiast przycisku dla odmowy
Odmowa w formie mniej widocznego linku (mniejsza czcionka, mniejszy kontrast, brak obramowania) wobec przycisku akceptacji — naruszenie zasady równoważności. Oba działania muszą mieć porównywalną widoczność wizualną.
Deceptive design w kolorystyce
Jaskrawy przycisk „Akceptuj" i szary/wygaszony „Odrzuć", przycisk odmowy w kolorze tła bannera, mniejszy rozmiar przycisku odmowy — to manipulacja wizualna traktowana jako naruszenie dobrowolności zgody.
Wstępnie zaznaczone checkboxy
Checkboxy kategorii opcjonalnych zaznaczone domyślnie wymagające odznaczenia — nie stanowią ważnej zgody. Potwierdzone wyrokiem TSUE w sprawie Planet49 (C-673/17).
Legitimate interest dla cookies marketingowych
Powołanie się na „prawnie uzasadniony interes" (art. 6(1)(f) RODO) jako podstawę prawną do cookies analitycznych lub marketingowych — naruszenie. ePrivacy Art. 5(3) wymaga zgody (consent), nie oferuje alternatywnej podstawy prawnej.
Dopuszczalne podejście do bannera
Pierwsza warstwa: krótka informacja + „Akceptuj wszystkie" + „Odrzuć wszystkie" + „Ustawienia" (link do granularnych opcji). Druga warstwa: szczegółowe kategorie z opisami, lista cookies, przełączniki per kategoria. Obie warstwy: przycisk zapisu wybranych preferencji.
Jak Witly to rozwiązuje
Mikro-aplikacja cookie consent jest częścią ekosystemu Witly — wstrzykiwana na stronę sklepu jednym skryptem JavaScript, z konfiguracją z poziomu panelu administracyjnego. Mechanizm działa tak samo jak CookieBot, OneTrust czy inne profesjonalne rozwiązania consent — blokuje skrypty do momentu zgody i zapisuje dowody do bazy.
Co blokujemy
Wszystkie skrypty zarządzane przez Witly (GA4, tracking, newsletter popup/slider) są blokowane do momentu zgody na odpowiednią kategorię. Mechanizm: hasConsent(category) blokuje inicjalizację komponentu — jeśli użytkownik nie wyrazi zgody, skrypt się nie uruchomi.
Ograniczenie platformy (async/defer)
Shoper i inne platformy SaaS pozwalają na wstrzyknięcie skryptów TYLKO jako async/defer — nie synchronicznie w <head>. Podejście CookieBot/OneTrust (synchroniczny skrypt blokujący) jest technicznie niemożliwe w środowisku SaaS. Dlatego stosujemy inne, równie skuteczne podejście.
Czego NIE blokujemy
Skrypty dodane bezpośrednio przez admina w panelu platformy (Meta Pixel, Hotjar, TikTok Pixel wklejone w „Dodatkowe skrypty" Shoper). Te ładuje platforma zanim Witly się zainicjalizuje. Rozwiązanie: przenieś te skrypty do Witly Script Registry (patrz niżej).
Google Consent Mode v2 — siatka bezpieczeństwa
GCM inicjalizowany synchronicznie z domyślnym stanem „denied". GA4/Google Ads działają w trybie cookieless z modelowaniem konwersji. To siatka bezpieczeństwa dla skryptów Google — ale nie pomaga na skrypty non-Google (Meta, Hotjar, TikTok).
Rejestr skryptów — rozwiązanie problemu
Admin przenosi skrypty z panelu Shoper do Witly Script Registry. Witly ładuje je dopiero po zgodzie użytkownika na odpowiednią kategorię. Dzięki temu Meta Pixel, Hotjar i inne skrypty third-party są w pełni kontrolowane przez mechanizm consent.
Banner zgodny z EDPB
„Akceptuj wszystkie" i „Odrzuć wszystkie" — dwa przyciski o równej widoczności na pierwszym ekranie. Trzeci przycisk „Ustawienia" prowadzi do granularnych opcji per kategoria. Checkboxy domyślnie wyłączone — zgodne z EDPB Cookie Banner Taskforce Report.
Dowód zgody i wycofanie
Każda zgoda (i jej wycofanie) zapisywana do bazy z timestampem, wersją konfiguracji i wybranymi kategoriami. Link „Ustawienia cookies" w stopce sklepu umożliwia zmianę preferencji w dowolnym momencie. Banner wyświetla się ponownie automatycznie po 12 miesiącach.
Praktyczny przewodnik — na co zwrócić uwagę
Poniżej wyjaśniamy prostym językiem, jak działa nasze rozwiązanie i jakie są pułapki, o których warto wiedzieć.
Jak to działa — krok po kroku
Gdy klient wchodzi na Twój sklep, widzi banner z pytaniem o zgodę na cookies. Dopóki nie kliknie „Akceptuj" — skrypty analityczne i marketingowe NIE działają. Żadne cookies śledzące nie są zapisywane. Po kliknięciu „Akceptuj" — skrypty uruchamiają się normalnie. Działa to identycznie jak CookieBot, OneTrust czy inne profesjonalne narzędzia consent, z którymi mógłeś się spotkać na innych stronach.
Pułapka nr 1: skrypty w panelu Shoper
Jeśli masz Meta Pixel, Hotjar lub inny skrypt wklejony w „Dodatkowe skrypty" w panelu Shoper — ten skrypt ładuje się ZANIM Witly zdąży go zablokować. To ograniczenie platformy, nie naszego rozwiązania. Rozwiązanie: przenieś te skrypty z panelu Shoper do Witly Script Registry (w ustawieniach Cookie Consent). Wtedy Witly kontroluje ich ładowanie.
Pułapka nr 2: „odblokowanie" nie cofa efektów
Gdy klient najpierw zaakceptuje cookies, a potem zmieni zdanie i wycofa zgodę — skrypty zostają usunięte ze strony, ale ich efekty uboczne (np. cookies już zapisane w przeglądarce, dane już wysłane do Google/Meta) nie znikną. To ograniczenie techniczne wspólne dla WSZYSTKICH narzędzi consent na rynku — nie da się „cofnąć" czegoś, co już się wykonało. Przy następnym wczytaniu strony te skrypty po prostu się nie uruchomią.
Pułapka nr 3: Google Consent Mode to nie pełne rozwiązanie
Google Consent Mode v2 (GCM) chroni Cię tylko w kontekście usług Google (GA4, Google Ads). Jeśli masz też Meta Pixel lub Hotjar — GCM nie ma na nie wpływu. Dlatego potrzebujesz Script Registry, żeby mieć pełną kontrolę nad wszystkimi skryptami third-party.
Cookie consent to nie opcja — to wymóg prawny
PKE Art. 399 od 10 listopada 2024 jednoznacznie wymaga zgody opt-in na cookies opcjonalne. RODO Art. 7 definiuje, czym ta zgoda musi być — dobrowolna, konkretna, świadoma, z możliwością wycofania. EDPB Cookie Banner Taskforce z 2023 roku precyzuje, jak banner musi wyglądać — z „Odrzuć wszystkie" na pierwszym ekranie.
Kary: do 3% przychodu z PKE + do 4% globalnego przychodu z RODO. Precedensy europejskie pokazują, że organy nadzorcze aktywnie kontrolują bannery cookies — szczególnie w e-commerce.
Witly oferuje mechanizm cookie consent spełniający wszystkie 10 wymagań opisanych w tym artykule — mikro-aplikacja wstrzykiwana jednym skryptem, z blokowaniem skryptów, zapisem dowodów zgody, mechanizmem wycofania i Script Registry do kontroli skryptów zewnętrznych.
Źródła
- Prawo Komunikacji Elektronicznej — Dz.U. 2024 poz. 1221 (ustawa z 12.07.2024)
isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240001221 - Dyrektywa 2002/58/WE (ePrivacy) — EUR-Lex, Dz.U. UE L 201, 31.7.2002
eur-lex.europa.eu/eli/dir/2002/58/oj - RODO (Rozporządzenie 2016/679) — EUR-Lex, Dz.U. UE L 119, 4.5.2016
eur-lex.europa.eu/eli/reg/2016/679/oj - EDPB Guidelines 05/2020 on Consent under Regulation 2016/679 (v1.1, maj 2020)
edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en - EDPB Cookie Banner Taskforce Report (styczeń 2023)
edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf - TSUE C-673/17 Planet49 — wyrok z 1 października 2019
curia.europa.eu/juris/liste.jsf?num=C-673/17 - CNIL — sankcja Google 150 mln EUR (31.12.2021, deliberation SAN-2021-023)
techcrunch.com/2022/01/06/cnil-facebook-google-cookie-consent-eprivacy-breaches/ - CNIL — sankcja Facebook/Meta 60 mln EUR (31.12.2021, deliberation SAN-2021-024)
cnil.fr/en/cookies-closure-injunction-issued-against-facebook - Datatilsynet (Norwegia) — sankcja Grindr 6,5 mln EUR (2021)
datatilsynet.no/en/regulations-and-tools/regulations/avgjorelser-fra-datatilsynet/2021/gebyr-til-grindr/ - Google Consent Mode v2 — dokumentacja techniczna
developers.google.com/tag-platform/security/guides/consent - CNIL Lignes directrices sur les cookies et autres traceurs (2020)
cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/lignes-directrices-modificatives-et-recommandation