W jednym zdaniu. Platforma zarządzania zgodami (CMP) do zgód cookie dla polskiej strony musi w 2026 r. spełniać wymogi Prawa komunikacji elektronicznej (PKE), obsługiwać standard IAB TCF 2.2, oferować granularność celów i — co kluczowe — przechowywać dowód zgody na wypadek kontroli UODO.
Jaką platformę zarządzania zgodami (CMP) wybrać dla polskiej strony w 2026 r.? Taką, która spełnia trzy warunki: zgodność z Prawem komunikacji elektronicznej (PKE) obowiązującym od listopada 2024 r., obsługę standardu IAB TCF 2.2 oraz przechowywanie dowodu zgody w formie możliwej do przedstawienia UODO. CMP to nie tylko banner — to system, który zbiera, rejestruje i egzekwuje zgody użytkowników na cookies i inne technologie śledzące. Poniżej porównuję kategorie platform i wskazuję kryteria istotne w polskim kontekście prawnym.
Najważniejsze punkty
- PKE zastąpiło art. 173 Prawa telekomunikacyjnego jako podstawę wymogu zgody na cookies (szczegóły przepisów warto weryfikować u źródła).
- Zgoda na cookies inne niż niezbędne musi być uprzednia, dobrowolna i granularna.
- Standard IAB TCF 2.2 porządkuje przekazywanie zgód w ekosystemie reklamowym.
- Dowód zgody to warunek obrony podczas kontroli UODO — banner bez logowania zgód jest bezwartościowy dowodowo.
- CMP rozwiązuje wąski problem cookies; nie zastępuje pełnej dokumentacji RODO.
Kontekst prawny: PKE i zgoda na cookies
Podstawa prawna wymogu zgody na cookies w Polsce zmieniła się. Do niedawna źródłem obowiązku był art. 173 Prawa telekomunikacyjnego. Od listopada 2024 r. weszło w życie Prawo komunikacji elektronicznej (PKE), które zastąpiło dotychczasowe przepisy telekomunikacyjne, w tym reżim zgody na przechowywanie i dostęp do informacji w urządzeniu końcowym użytkownika (cookies). Dokładne brzmienie i numerację przepisów PKE warto potwierdzić u źródła, bo to nowa regulacja.
Zasada pozostaje spójna z ePrivacy i RODO: zgoda na cookies inne niż ściśle niezbędne musi być uprzednia (przed zapisem cookie), dobrowolna, konkretna i jednoznaczna. To wyklucza mechanizmy, które CNIL i inne organy uznały za wadliwe: cookie walls wymuszające zgodę, zgodę domyślną, brak równie łatwej opcji „odrzuć wszystko" jak „zaakceptuj wszystko". Standard zgody definiuje art. 7 RODO i rozwija przewodnik RODO – zgoda na pliki cookies oraz Prawo telekomunikacyjne a cookies.
Warto rozdzielić dwie warstwy prawne, które użytkownicy często mylą. PKE (dawniej Prawo telekomunikacyjne) reguluje sam fakt umieszczenia informacji w urządzeniu końcowym i wymaga na to zgody. RODO reguluje dalsze przetwarzanie danych osobowych, które dzięki cookie zbierasz — profilowanie, remarketing, budowanie profilu użytkownika. To dwie podstawy, które muszą być spełnione łącznie: zgoda na cookie z PKE i legalne przetwarzanie danych z RODO. Dobra CMP obsługuje przede wszystkim tę pierwszą warstwę, ale generowany przez nią dowód zgody jest użyteczny również przy wykazywaniu podstawy z RODO. Dlatego CMP nie jest wyłącznie kwestią techniczną — to element dokumentacji rozliczalności.
Co musi mieć dobra platforma CMP
CMP to nie ozdobny banner, lecz system egzekwujący zgodę i dokumentujący ją. Oto kryteria, które faktycznie decydują.
Uprzednie blokowanie skryptów. Kluczowe technicznie: CMP musi blokować cookies i skrypty śledzące do momentu uzyskania zgody. Banner, który wyświetla się, gdy trackery już się załadowały, jest bezwartościowy prawnie.
Granularność celów. Użytkownik musi móc zgodzić się na wybrane cele (np. analityka) i odmówić innym (np. marketing), a nie tylko „wszystko albo nic". Symetria przycisków „zaakceptuj" i „odrzuć" jest wymogiem, nie dobrą praktyką.
Obsługa IAB TCF 2.2. Dla stron korzystających z ekosystemu reklamy programmatic standard Transparency and Consent Framework 2.2 porządkuje przekazywanie sygnałów zgody do partnerów reklamowych. Nie każda strona go potrzebuje, ale wydawcy i e-commerce — zwykle tak.
Dowód zgody (consent logging). Najważniejsze z perspektywy kontroli: CMP musi rejestrować i przechowywać dowód każdej zgody — kiedy, na co i w jakiej wersji bannera została udzielona. Bez tego nie wykażesz zgodności podczas kontroli UODO.
Rekonsent i wersjonowanie. Zmiana celów lub dostawców wymaga ponownego zebrania zgody. Platforma powinna zarządzać wersjami i ponawiać pytanie, gdy zakres się zmienia.
Łatwe wycofanie zgody. RODO wymaga, by wycofanie zgody było równie proste jak jej udzielenie (art. 7 ust. 3). W praktyce oznacza to trwale dostępny mechanizm zmiany preferencji — najczęściej dyskretny odnośnik lub ikonę na każdej podstronie — a nie zgodę, którą da się cofnąć dopiero po napisaniu maila. Brak łatwego wycofania to jeden z częstszych zarzutów organów wobec bannerów cookie.
Porównanie kategorii platform CMP
| Platforma | Profil | Mocna strona | Uwaga |
|---|---|---|---|
| Didomi | Europejska (FR) | TCF 2.2, granularność | Cena na zapytanie |
| Usercentrics | Europejska (DE) | Dojrzała, TCF 2.2 | Wyższy próg dla małych |
| Cookiebot (Usercentrics) | Europejska | Skan cookies, prostota | Limity w tańszych planach |
| CookieYes / prostsze CMP | Globalne | Niska cena, łatwość | Płytszy dowód zgody |
| Moduł CMP w platformie RODO | Zintegrowany | Spójność z dokumentacją | Węższy niż dedykowany CMP |
Didomi i Usercentrics to dojrzałe europejskie platformy z pełną obsługą TCF 2.2 i granularności — trafne dla wydawców i większego e-commerce, choć cena bywa „na zapytanie". Ich przewagą jest europejski rodowód i hosting w UE, co dla części kupujących waży niezależnie od funkcji. Cookiebot wyróżnia się automatycznym skanowaniem cookies i prostotą wdrożenia. Prostsze CMP (jak CookieYes) kuszą niską ceną, ale weryfikuj głębię logowania zgód — to tam najczęściej są kompromisy. Dla firm, które chcą spójności między zgodami a resztą dokumentacji, sensowny bywa zintegrowany moduł w szerszej platformie RODO, choć nie dorówna głębią dedykowanemu CMP dla dużego wydawcy.
CMP a pełna zgodność RODO
Ważne rozróżnienie: CMP rozwiązuje wąski problem cookies, nie całość RODO. Platforma zgód zadresuje ePrivacy/PKE i zgodę na śledzenie, ale nie zastąpi rejestru czynności, obsługi wniosków podmiotów danych, umów powierzenia czy rejestru naruszeń. Firma potrzebuje obu warstw: CMP dla cookies i szerszego narzędzia dla dokumentacji RODO. Jak te elementy układają się w całość, opisuje przewodnik po zgodności z RODO 2026; zgoda na cookies łączy się też z regułami marketingu bezpośredniego.
W praktyce firmy popełniają tu jeden z dwóch błędów. Pierwszy to wdrożenie dopracowanego CMP i uznanie, że „RODO jest załatwione" — mimo braku rejestru czynności czy procedury obsługi wniosków. Drugi, odwrotny, to zbudowanie pełnej dokumentacji RODO przy pozostawieniu na stronie bannera-atrapy, który nie loguje zgód. Oba pozostawiają realną lukę. Zgodność jest kompletna dopiero wtedy, gdy obie warstwy działają i są spójne — a im mniej narzędzi trzeba synchronizować ręcznie, tym mniejsze ryzyko, że jedna z nich cicho się zdezaktualizuje.
Egzekwowanie: dlaczego dowód zgody jest kluczowy
Organy nadzoru w UE traktują cookie compliance poważnie. CNIL nakładał wielomilionowe kary za wadliwe bannery — m.in. na Google i Amazon w grudniu 2020 r. (odpowiednio 100 mln i 35 mln EUR, później częściowo związane z brakiem łatwego odrzucenia cookies). UODO również kontroluje strony pod kątem cookies. Wspólny mianownik: bez rejestru zgód nie udowodnisz, że użytkownik faktycznie wyraził zgodę w wymaganej formie. Dlatego consent logging nie jest funkcją premium — jest sednem CMP. Banner bez dowodu zgody daje złudzenie zgodności, a w kontroli okazuje się bezwartościowy.
Ciężar dowodu jest tu wyraźnie przesunięty na administratora. Art. 7 ust. 1 RODO stanowi, że to administrator musi być w stanie wykazać, iż osoba wyraziła zgodę. W praktyce oznacza to, że w sporze z organem lub użytkownikiem to Ty udowadniasz zgodę, a nie użytkownik jej brak. Bez logu zgód nie masz czym tego udowodnić — deklaracja „mieliśmy banner" nie wystarczy, jeśli nie potrafisz pokazać, że konkretny użytkownik zobaczył konkretną wersję bannera i dokonał konkretnego wyboru. To dlatego przy wyborze CMP pytanie o głębię i format logowania zgód jest ważniejsze niż wygląd samego okna — okno widzi użytkownik, ale to log ratuje Cię podczas kontroli.
Drugi praktyczny wniosek: log zgód musi być trwały i możliwy do wyeksportowania. Zgoda przechowywana wyłącznie w cookie w przeglądarce użytkownika znika, gdy ten wyczyści przeglądarkę — a wtedy tracisz dowód. Dobra platforma przechowuje dowód po stronie serwera, w formie, którą można przedstawić organowi wraz z datą, zakresem i wersją polityki.
FAQ
Czy platforma CMP jest obowiązkowa dla polskiej strony?
Nie ma obowiązku używania konkretnej platformy, ale każda strona stosująca cookies inne niż niezbędne musi uzyskać uprzednią, dobrowolną i granularną zgodę oraz umieć ją wykazać. W praktyce spełnienie tych wymogów bez narzędzia jest trudne — CMP automatyzuje zbieranie, egzekwowanie i dokumentowanie zgód zgodnie z PKE i RODO.
Czym jest IAB TCF 2.2 i czy go potrzebuję?
Transparency and Consent Framework 2.2 to standard IAB Europe porządkujący przekazywanie sygnałów zgody w ekosystemie reklamy programmatic. Potrzebują go przede wszystkim wydawcy i sklepy korzystające z sieci reklamowych i partnerów RTB. Prosta strona firmowa bez reklamy programmatic zwykle go nie wymaga, ale i tak musi spełnić wymóg zgody na analitykę czy remarketing.
Co się zmieniło po wejściu PKE w listopadzie 2024?
Prawo komunikacji elektronicznej zastąpiło dotychczasowe przepisy telekomunikacyjne, w tym podstawę wymogu zgody na cookies, którą wcześniej stanowił art. 173 Prawa telekomunikacyjnego. Sama zasada — uprzednia, dobrowolna i granularna zgoda na cookies inne niż niezbędne — pozostaje spójna z RODO i ePrivacy. Dokładne brzmienie przepisów PKE warto potwierdzić u źródła.
Czy CMP zastępuje pełne oprogramowanie RODO?
Nie. CMP obsługuje wyłącznie zgody na cookies i śledzenie. Nie prowadzi rejestru czynności, nie obsługuje wniosków podmiotów danych, nie zarządza umowami powierzenia ani rejestrem naruszeń. Firma potrzebuje obu warstw: dedykowanego CMP dla cookies i szerszego narzędzia dla dokumentacji RODO — albo platformy łączącej oba obszary.
Legiscope porządkuje dokumentację RODO — rejestr czynności, DPIA, wnioski i naruszenia — w jednym systemie hostowanym w UE, spójnie z warstwą zarządzania zgodami. Zobacz, jak Legiscope łączy zgodność cookie z pełną dokumentacją RODO, zamiast prowadzić osobne, rozjeżdżające się silosy.
Źródła: Dyrektywa 2002/58/WE (ePrivacy), EUR-Lex · Urząd Ochrony Danych Osobowych (UODO) · Europejska Rada Ochrony Danych (EDPB).
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo