monaltro . pl
← Dziennik
Web 2 cze 2026 · 10 min czytania · Zespół Monaltro

Baner cookie na stronie firmowej 2026 — wymogi UODO i co trzeba naprawić po październiku

Od 1 października 2025 UODO egzekwuje nowe zasady bez okresu łaskawości. Sprawdź pięć wymogów prawidłowego banera cookie i dowiedz się, co naprawić, zanim inspektor sam to zauważy.

Od 1 października 2025 UODO egzekwuje nowe zasady bez okresu łaskawości. Sprawdź pięć wymogów prawidłowego banera cookie i dowiedz się, co naprawić, zanim inspektor sam to zauważy.

Baner cookies pojawił się na Twojej stronie kilka lat temu, ktoś go skonfigurował i od tamtej pory nikt nie zajrzał. Tymczasem od 1 października 2025 roku — kiedy skończył się ogłoszony przez UODO sześciomiesięczny okres dostosowawczy — urząd zaczął stosować pełen zakres sankcji za niezgodne banery. Według danych firm dostarczających platformy zarządzania zgodami, rekordy kar w Polsce z tego tytułu sięgają kilkuset tysięcy euro, a ich liczba systematycznie rośnie.

Dla właściciela małej lub średniej firmy to nie jest problem, którym zajmuje się prawnik raz w roku. To element strony internetowej, który powinien działać poprawnie tak samo jak certyfikat SSL — cicho, niezauważalnie, ale zgodnie z prawem.

Dlaczego cookies w 2026 to zupełnie inna gra niż cztery lata temu

Kiedy RODO weszło w życie w maju 2018 roku, większość firm dosłownie z dnia na dzień postawiła jakiś baner — często zielony przycisk „OK, rozumiem” i mała wzmianka o prywatności. Przez kilka lat organy nadzorcze skupiały się na poważniejszych naruszeniach: wyciekach danych, nielegalnym profilowaniu, marketingu bez zgody. Banery cookie były nisko w hierarchii priorytetów.

W marcu 2025 roku UODO opublikował „Poradnik dla e-commerce — pliki cookies i zgody marketingowe”, który po raz pierwszy szczegółowo opisał, jak baner musi wyglądać w praktyce. Jednocześnie urząd zapowiedział, że przez sześć miesięcy (do 30 września 2025) nie będzie stosował pełnych sankcji wobec firm, które wdrożą zmiany w dobrej wierze. Ten termin dawno minął.

Równolegle Trybunał Sprawiedliwości UE w wyrokach z lat 2023–2024 jasno potwierdził, że użytkownik musi mieć równie łatwą możliwość odrzucenia ciasteczek, jak ich zaakceptowania, a dostęp do treści strony nie może być uzależniony od przymusowej akceptacji cookies marketingowych. EROD w Opinii 08/2024 dopuściła model „zgoda lub zapłata”, ale tylko wtedy, gdy płatna wersja serwisu stanowi realną, porównywalną funkcjonalnie alternatywę.

Europejska Rada Ochrony Danych (EROD/EDPB) z kolei powołała specjalną grupę zadaniową ds. banerów cookie, która skoordynowała egzekwowanie przepisów we wszystkich krajach UE. Raport końcowy tej grupy wskazał pięć wzorców interfejsu (tzw. dark patterns), które są traktowane jako naruszenie prawa i mogą skutkować karą — niezależnie od tego, czy to celowe działanie administratora, czy przypadek.

RODO skończyło właśnie osiem lat od wejścia w życie. Okres „rozruchu” i pobłażliwości wobec nieznajomości przepisów jest definitywnie za nami.

Które cookies wymagają zgody, a które nie

Zanim zajmiemy się samym banerem, warto rozumieć, o co w ogóle chodzi w podziale cookies. Prawo komunikacji elektronicznej (PKE, Dz.U. 2024) oraz RODO (rozporządzenie 2016/679) nakładają obowiązek uzyskania zgody na instalowanie na urządzeniu użytkownika plików cookies, które nie są niezbędne do działania serwisu. Kryterium „ścisłej konieczności” jest interpretowane zawężająco — poniżej przykłady, żeby było jasno.

Nie wymagają zgody — bo są technicznie niezbędne do działania usługi:

  • Koszyk zakupowy (zapamiętuje produkty w sesji)
  • Sesja logowania (utrzymuje zalogowanie)
  • Cookie z preferencjami językowymi ustawionymi przez użytkownika
  • Zabezpieczenia przed atakami CSRF

Wymagają zgody — bo służą celom, które nie są konieczne do działania strony:

  • Analityczne — Google Analytics 4, Cloudflare Web Analytics z identyfikacją użytkownika, Hotjar, Microsoft Clarity
  • Marketingowe/reklamowe — Google Ads pixel, Meta Pixel (Facebook Pixel), LinkedIn Insight Tag, TikTok Pixel
  • Personalizacyjne — zapamiętywanie historii przeglądania, rekomendacje produktów
  • A/B testowe — narzędzia do testowania wariantów strony, jeśli wiążą się z profilowaniem użytkownika

Ważne: cookies statystyczne (analityczne) NIE są uznawane za niezbędne do działania strony — wymagają zgody, nawet jeśli są anonimizowane. TSUE i UODO potwierdziły, że właściciel strony może prowadzić biznes bez Google Analytics. Analityka to jego wygoda, nie konieczność techniczna.

RODO w art. 6 ust. 1 lit. a wymaga, żeby zgoda była dobrowolna, konkretna, świadoma i jednoznaczna — czyli aktywna akcja użytkownika (kliknięcie lub przesunięcie suwaka). Sama wizyta na stronie czy scrollowanie nie stanowi zgody. Wycofanie zgody (art. 7 RODO) musi być równie łatwe jak jej udzielenie — i nie może wiązać się z żadnymi negatywnymi konsekwencjami dla użytkownika.

Jeśli zastanawiasz się, jakie narzędzia analityczne działają bez cookies wymagających zgody, pisaliśmy o tym szczegółowo w zestawieniu GA4 vs Cloudflare Analytics vs Plausible.

Poniżej pięć konkretnych zasad z poradnika UODO i wytycznych EROD, które Twój baner musi spełniać. Sprawdź każdą z nich.

1. Symetria wyboru — “Odrzuć wszystkie” widoczny tak samo jak “Akceptuj”

To jest punkt, w którym upada większość banerów. Przycisk odrzucenia musi być w tej samej warstwie banera co przycisk akceptacji, w zbliżonym rozmiarze i kolorze. Nie może być:

  • Ukryty w małym linku na dole banera
  • Dostępny dopiero po kliknięciu „Preferencje”
  • Opisany mylącym językiem (np. „Kontynuuj bez akceptowania” w szarym, trudnym do odczytania tekście)

Jeśli Twój baner ma duży zielony przycisk „Akceptuj wszystkie” i małą szarą strzałkę „więcej opcji” prowadzącą do panelu preferencji — to naruszenie zasady symetrii.

2. Baner nie może zasłaniać treści strony i blokować dostępu

Pełnoekranowe pop-upy blokujące dostęp do strony do czasu kliknięcia „Akceptuj” są traktowane przez UODO jako narzędzie przymusu, które podważa dobrowolność zgody. Wg Poradnika UODO opublikowanego w marcu 2025 roku, baner nie powinien zasłaniać głównej treści strony w stopniu uniemożliwiającym jej odczytanie — zasada jest płynna, ale pełnoekranowy blokujący pop-up jest wyraźnie za daleko.

3. Panel preferencji musi być łatwy do zamknięcia

Gdy użytkownik kliknie „Zarządzaj preferencjami”, otwiera się panel kategorii. Musi on mieć wyraźnie widoczny przycisk zamknięcia lub powrotu, dostępny przez cały czas. Rozwiązania, które „przyklejają” panel i nie pozwalają go zamknąć bez zapisania wyboru, naruszają zasadę swobody użytkownika.

4. Na urządzeniach mobilnych — dolny pasek zamiast fullscreen

Poradnik UODO zaleca, żeby na urządzeniach mobilnych baner prezentowany był jako dolny pasek ekranu (tzw. bottom bar), nie jako pełnoekranowe okno. Pełnoekranowe banery na mobilnym mogą całkowicie uniemożliwiać korzystanie ze strony i są traktowane jako dark pattern.

5. Granularność — oddzielne zgody na każdą kategorię

Użytkownik musi móc oddzielnie zaakceptować lub odrzucić każdą kategorię cookies. „Jedno pole wyboru na wszystko” nie wystarcza, jeśli brakuje rozróżnienia między analityką a marketingiem. Wzorzec:

  • Niezbędne — zawsze włączone (bez możliwości wyłączenia)
  • Analityczne — toggle z wyjaśnieniem, do czego służą i kto jest dostawcą
  • Marketingowe — toggle z wymienionymi dostawcami (Google Ads, Meta, LinkedIn)
  • ❌ Ogólne pole Zgadzam się na pliki cookies bez podziału na kategorie

Europejski framework TCF v2.2 (Transparency and Consent Framework) — obowiązkowy dla wydawców reklam od listopada 2023 roku — narzuca dodatkowo wymóg podawania dokładnej liczby partnerów (dostawców) już w pierwszej warstwie banera, z automatyczną aktualizacją tej liczby.

Dark patterns — pięć wzorców, za które UODO może ukarać

Raport końcowy grupy zadaniowej EROD wskazał pięć konkretnych wzorców interfejsu, które są traktowane przez organy nadzorcze jako manipulacyjne projektowanie (dark patterns) w kontekście zgody na cookies. Żaden z nich nie jest automatycznie karany — ale każdy może być podstawą decyzji w razie kontroli.

1. Ukryty lub trudno dostępny przycisk “Odrzuć”

Najczęstszy przypadek: przycisk „Odrzuć wszystkie” istnieje, ale jest ukryty za kilkoma kliknięciami, małą czcionką lub w miejscu, którego przeciętny użytkownik nie zauważy w pierwszych sekundach. Zasada jest prosta — jeśli komuś trudno to znaleźć, UODO uzna, że celowo utrudniałeś wycofanie zgody.

2. Zielony kolor tylko przy “Akceptuj”

Użycie koloru zielonego, dużego przycisku, lub języka „zalecane” wyłącznie przy opcji akceptacji cookies, a szarego, mniejszego lub wyszarzonego przy odrzuceniu. EROD wprost wskazuje, że kontrast wizualny między opcjami musi być zbliżony. W praktyce oznacza to, że oba kluczowe przyciski — akceptacja i odrzucenie — powinny mieć zbliżone rozmiary i wyrazistość, żaden z nich nie może być wizualnie „ukryty” przez kontrastowe zestawienie kolorów.

3. Domyślnie zaznaczone checkboksy

Jeśli po otwarciu panelu preferencji wszystkie kategorie cookies są domyślnie zaznaczone, a użytkownik musi je ręcznie odznaczać — to naruszenie. RODO art. 4 pkt 11 wymaga, żeby zgoda była udzielana przez „wyraźne działanie potwierdzające” (aktywne opt-in). Odznaczanie gotowych wyborów (opt-out) nie spełnia tej definicji, bo zakłada z góry, że użytkownik zgadza się na wszystko, jeśli nie powie inaczej — a to jest odwrócenie logiki przepisów.

4. Wieloetapowe odrzucanie vs. jednoetapowa akceptacja

„Akceptuj” = jeden klik. „Odrzuć” = klik w Preferencje → przełączenie toggleów → potwierdzenie. To asymetria, którą UODO i EROD wprost klasyfikują jako dark pattern. Obie ścieżki muszą wymagać porównywalnej liczby kroków.

5. Brak przycisku “Odrzuć” lub “Zamknij” w pierwszej warstwie

Pierwsze okno banera musi dawać użytkownikowi realną możliwość odrzucenia cookie bez zagłębiania się w ustawienia. Baner, który pokazuje tylko „Akceptuj” i „Preferencje” (bez „Odrzuć wszystkie” na tym samym poziomie), nie spełnia tego wymogu.

Ostrzeżenie: Według danych firm specjalizujących się w zarządzaniu zgodami, ponad połowa polskich stron firmowych nadal narusza co najmniej jedną z powyższych zasad. Kontrole UODO są planowe i sektorowe — po fashion i beauty kolejne branże.

Trzy kroki, które właściciel firmy powinien zrobić dzisiaj

Nie musisz znać prawa na pamięć ani zatrudniać prawnika od danych osobowych, żeby doprowadzić baner do porządku. Pokazujemy, od czego zacząć, w trzech krokach.

Krok 1. Sprawdź, czy masz “Odrzuć wszystkie” w pierwszej warstwie

Wejdź na swoją stronę w trybie incognito (żeby baner pojawił się świeżo, bez zapisanych wcześniej decyzji) i odpowiedz na trzy pytania:

  • Czy widzę przycisk „Odrzuć wszystkie” (lub równoznaczny) bez klikania w „Preferencje”?
  • Czy ten przycisk jest porównywalny wizualnie do „Akceptuj wszystkie”?
  • Czy po kliknięciu „Odrzuć” strona działa normalnie?

Jeśli na któreś pytanie odpowiedź brzmi „nie” — masz problem do rozwiązania.

Krok 2. Zidentyfikuj wszystkie cookies, których używasz

Otwórz narzędzia deweloperskie przeglądarki (F12 → zakładka Application → Cookies) i sprawdź, jakie pliki cookie ustawia Twoja strona. Stwórz listę. Typowa strona firmowa ma:

  • Google Analytics 4 — analityczne
  • Google Ads pixel / Consent Mode — marketingowe
  • Meta Pixel — marketingowe
  • Hotjar lub Microsoft Clarity (jeśli używasz) — analityczne

Każdy z tych dostawców musi być wymieniony w banera i polityce cookies Twojej strony. Jeśli masz Google Ads, koniecznie skonfiguruj też Consent Mode v2 — bez tego Google Ads traci dane konwersji dla użytkowników, którzy nie zaakceptują cookies.

Krok 3. Wdróż certyfikowaną platformę zarządzania zgodami (CMP)

Ręczna implementacja banera cookie od zera jest możliwa, ale ryzykowna. Lepszym rozwiązaniem dla MŚP jest certyfikowana platforma CMP (Consent Management Platform), która:

  • Automatycznie wykrywa cookies na stronie
  • Generuje zgodny z TCF v2.2 baner
  • Przechowuje logi zgód (kto, kiedy, co wybrał)
  • Aktualizuje się wraz ze zmianami regulacyjnymi

Popularne opcje dla stron MŚP w Polsce:

  • Cookiebot (od Usercentrics) — płatny, certyfikowany IAB, działa z WordPress, Astro, każdym HTML
  • CookieYes — freemium do 25 tys. wizyt/mies., prosty w konfiguracji
  • OneTrust — droższy, bardziej rozbudowany, raczej dla większych firm
  • Complianz — plugin WordPress, polecany przy WooCommerce

Jeśli korzystasz z Astro lub innego framework SSG, implementacja CMP sprowadza się do wklejenia skryptu w <head> z odpowiednimi atrybutami blokującymi załadowanie pozostałych skryptów do czasu udzielenia zgody. Kluczowe jest, żeby skrypty analityczne i piksele reklamowe ładowały się tylko po udzieleniu stosownej zgody przez użytkownika — nie automatycznie przy każdej wizycie.

Co CMP musi przechowywać. RODO art. 7 nakłada na administratora obowiązek udowodnienia, że zgoda była udzielona. Oznacza to, że Twoja platforma zarządzania zgodami powinna logować: znacznik czasowy zgody, wersję banera obowiązującą w momencie zgody, kategorie zaakceptowane i odrzucone, unikalny identyfikator sesji. To nie jest wymaganie, które UODO sprawdza przy każdej wizytacji, ale w razie sporu — dowód, że zgoda była prawidłowo udzielona, leży po stronie administratora, nie po stronie użytkownika.

Jedno ostrzeżenie praktyczne: sama instalacja CMP nie zastępuje przeglądu polityki cookies i polityki prywatności. Platforma wygeneruje baner, ale tekst polityki prywatności na Twojej stronie musi zgadzać się z rzeczywistością — jeśli piszesz „nie przekazujemy danych podmiotom trzecim”, a jednocześnie korzystasz z Meta Pixel i Google Analytics, masz sprzeczność, którą UODO może zakwestionować niezależnie od jakości banera. Warto raz w roku przejść przez listę wszystkich dostawców cookies na stronie i sprawdzić, czy polityka prywatności ich wymienia. Przy okazji każdej zmiany technologii na stronie — nowego narzędzia analitycznego, nowego pixela reklamowego — polityka powinna być aktualizowana.

Podsumowanie

Baner cookie to jeden z tych elementów, które właściciel strony ustawia raz i zapomina — aż do momentu, gdy nie zapomina UODO. W 2026 roku, po zakończeniu okresu łaskawości, egzekwowanie przepisów jest realne i dotyczy firm każdej wielkości.

Pięć kluczowych rzeczy, które warto zapamiętać:

  • Przycisk „Odrzuć wszystkie” musi być widoczny w pierwszej warstwie banera, bez dodatkowych kliknięć
  • Pełnoekranowe pop-upy blokujące dostęp do treści są niedopuszczalne — baner nie może zastępować strony
  • Zgoda musi być granularna — oddzielnie na analitykę i marketing
  • Domyślnie zaznaczone checkboksy i asymetria wizualna między “Akceptuj” a “Odrzuć” to dark patterns w rozumieniu EROD
  • Cookies analityczne (Google Analytics) wymagają zgody — nawet jeśli używasz ich tylko do optymalizacji strony, nie do reklamy

Wskazówka: Zamiast traktować zgodę na cookies jako biurokratyczny obowiązek, warto spojrzeć na to inaczej: przejrzysty baner, w którym użytkownik może łatwo wybrać, co akceptuje, buduje zaufanie do marki. Firma, która nie ukrywa przycisku „Odrzuć”, pokazuje, że szanuje decyzję odwiedzającego — i to widać.

Jeśli masz stronę na WordPressie, Astro lub innym frameworku i chcesz sprawdzić, jak wygląda prawidłowa implementacja CMP w Twoim konkretnym przypadku — chętnie rzucimy okiem.

§ Zaczynamy

Napisz. Odpiszemy.

Umów 30 minut →