Ochrona Danych

Platforma zarządzania zgodami: porównanie CMP 2026

Platforma zarządzania zgodami (CMP) 2026: porównanie narzędzi do zgód cookie dla polskich stron w świetle PKE. Kryteria: TCF 2.2, dowód zgody, UODO.

Also available in:English·Deutsch

W jednym zdaniu. Platforma zarządzania zgodami (CMP) do zgód cookie dla polskiej strony musi w 2026 r. spełniać wymogi Prawa komunikacji elektronicznej (PKE), obsługiwać standard IAB TCF 2.2, oferować granularność celów i — co kluczowe — przechowywać dowód zgody na wypadek kontroli UODO.

Jaką platformę zarządzania zgodami (CMP) wybrać dla polskiej strony w 2026 r.? Taką, która spełnia trzy warunki: zgodność z Prawem komunikacji elektronicznej (PKE) obowiązującym od listopada 2024 r., obsługę standardu IAB TCF 2.2 oraz przechowywanie dowodu zgody w formie możliwej do przedstawienia UODO. CMP to nie tylko banner — to system, który zbiera, rejestruje i egzekwuje zgody użytkowników na cookies i inne technologie śledzące. Poniżej porównuję kategorie platform i wskazuję kryteria istotne w polskim kontekście prawnym.

Najważniejsze punkty

  • PKE zastąpiło art. 173 Prawa telekomunikacyjnego jako podstawę wymogu zgody na cookies (szczegóły przepisów warto weryfikować u źródła).
  • Zgoda na cookies inne niż niezbędne musi być uprzednia, dobrowolna i granularna.
  • Standard IAB TCF 2.2 porządkuje przekazywanie zgód w ekosystemie reklamowym.
  • Dowód zgody to warunek obrony podczas kontroli UODO — banner bez logowania zgód jest bezwartościowy dowodowo.
  • CMP rozwiązuje wąski problem cookies; nie zastępuje pełnej dokumentacji RODO.

Kontekst prawny: PKE i zgoda na cookies

Podstawa prawna wymogu zgody na cookies w Polsce zmieniła się. Do niedawna źródłem obowiązku był art. 173 Prawa telekomunikacyjnego. Od listopada 2024 r. weszło w życie Prawo komunikacji elektronicznej (PKE), które zastąpiło dotychczasowe przepisy telekomunikacyjne, w tym reżim zgody na przechowywanie i dostęp do informacji w urządzeniu końcowym użytkownika (cookies). Dokładne brzmienie i numerację przepisów PKE warto potwierdzić u źródła, bo to nowa regulacja.

Zasada pozostaje spójna z ePrivacy i RODO: zgoda na cookies inne niż ściśle niezbędne musi być uprzednia (przed zapisem cookie), dobrowolna, konkretna i jednoznaczna. To wyklucza mechanizmy, które CNIL i inne organy uznały za wadliwe: cookie walls wymuszające zgodę, zgodę domyślną, brak równie łatwej opcji „odrzuć wszystko" jak „zaakceptuj wszystko". Standard zgody definiuje art. 7 RODO i rozwija przewodnik RODO – zgoda na pliki cookies oraz Prawo telekomunikacyjne a cookies.

Warto rozdzielić dwie warstwy prawne, które użytkownicy często mylą. PKE (dawniej Prawo telekomunikacyjne) reguluje sam fakt umieszczenia informacji w urządzeniu końcowym i wymaga na to zgody. RODO reguluje dalsze przetwarzanie danych osobowych, które dzięki cookie zbierasz — profilowanie, remarketing, budowanie profilu użytkownika. To dwie podstawy, które muszą być spełnione łącznie: zgoda na cookie z PKE i legalne przetwarzanie danych z RODO. Dobra CMP obsługuje przede wszystkim tę pierwszą warstwę, ale generowany przez nią dowód zgody jest użyteczny również przy wykazywaniu podstawy z RODO. Dlatego CMP nie jest wyłącznie kwestią techniczną — to element dokumentacji rozliczalności.

Co musi mieć dobra platforma CMP

CMP to nie ozdobny banner, lecz system egzekwujący zgodę i dokumentujący ją. Oto kryteria, które faktycznie decydują.

Uprzednie blokowanie skryptów. Kluczowe technicznie: CMP musi blokować cookies i skrypty śledzące do momentu uzyskania zgody. Banner, który wyświetla się, gdy trackery już się załadowały, jest bezwartościowy prawnie.

Granularność celów. Użytkownik musi móc zgodzić się na wybrane cele (np. analityka) i odmówić innym (np. marketing), a nie tylko „wszystko albo nic". Symetria przycisków „zaakceptuj" i „odrzuć" jest wymogiem, nie dobrą praktyką.

Obsługa IAB TCF 2.2. Dla stron korzystających z ekosystemu reklamy programmatic standard Transparency and Consent Framework 2.2 porządkuje przekazywanie sygnałów zgody do partnerów reklamowych. Nie każda strona go potrzebuje, ale wydawcy i e-commerce — zwykle tak.

Dowód zgody (consent logging). Najważniejsze z perspektywy kontroli: CMP musi rejestrować i przechowywać dowód każdej zgody — kiedy, na co i w jakiej wersji bannera została udzielona. Bez tego nie wykażesz zgodności podczas kontroli UODO.

Rekonsent i wersjonowanie. Zmiana celów lub dostawców wymaga ponownego zebrania zgody. Platforma powinna zarządzać wersjami i ponawiać pytanie, gdy zakres się zmienia.

Łatwe wycofanie zgody. RODO wymaga, by wycofanie zgody było równie proste jak jej udzielenie (art. 7 ust. 3). W praktyce oznacza to trwale dostępny mechanizm zmiany preferencji — najczęściej dyskretny odnośnik lub ikonę na każdej podstronie — a nie zgodę, którą da się cofnąć dopiero po napisaniu maila. Brak łatwego wycofania to jeden z częstszych zarzutów organów wobec bannerów cookie.

Porównanie kategorii platform CMP

Platforma Profil Mocna strona Uwaga
Didomi Europejska (FR) TCF 2.2, granularność Cena na zapytanie
Usercentrics Europejska (DE) Dojrzała, TCF 2.2 Wyższy próg dla małych
Cookiebot (Usercentrics) Europejska Skan cookies, prostota Limity w tańszych planach
CookieYes / prostsze CMP Globalne Niska cena, łatwość Płytszy dowód zgody
Moduł CMP w platformie RODO Zintegrowany Spójność z dokumentacją Węższy niż dedykowany CMP

Didomi i Usercentrics to dojrzałe europejskie platformy z pełną obsługą TCF 2.2 i granularności — trafne dla wydawców i większego e-commerce, choć cena bywa „na zapytanie". Ich przewagą jest europejski rodowód i hosting w UE, co dla części kupujących waży niezależnie od funkcji. Cookiebot wyróżnia się automatycznym skanowaniem cookies i prostotą wdrożenia. Prostsze CMP (jak CookieYes) kuszą niską ceną, ale weryfikuj głębię logowania zgód — to tam najczęściej są kompromisy. Dla firm, które chcą spójności między zgodami a resztą dokumentacji, sensowny bywa zintegrowany moduł w szerszej platformie RODO, choć nie dorówna głębią dedykowanemu CMP dla dużego wydawcy.

CMP a pełna zgodność RODO

Ważne rozróżnienie: CMP rozwiązuje wąski problem cookies, nie całość RODO. Platforma zgód zadresuje ePrivacy/PKE i zgodę na śledzenie, ale nie zastąpi rejestru czynności, obsługi wniosków podmiotów danych, umów powierzenia czy rejestru naruszeń. Firma potrzebuje obu warstw: CMP dla cookies i szerszego narzędzia dla dokumentacji RODO. Jak te elementy układają się w całość, opisuje przewodnik po zgodności z RODO 2026; zgoda na cookies łączy się też z regułami marketingu bezpośredniego.

W praktyce firmy popełniają tu jeden z dwóch błędów. Pierwszy to wdrożenie dopracowanego CMP i uznanie, że „RODO jest załatwione" — mimo braku rejestru czynności czy procedury obsługi wniosków. Drugi, odwrotny, to zbudowanie pełnej dokumentacji RODO przy pozostawieniu na stronie bannera-atrapy, który nie loguje zgód. Oba pozostawiają realną lukę. Zgodność jest kompletna dopiero wtedy, gdy obie warstwy działają i są spójne — a im mniej narzędzi trzeba synchronizować ręcznie, tym mniejsze ryzyko, że jedna z nich cicho się zdezaktualizuje.

Egzekwowanie: dlaczego dowód zgody jest kluczowy

Organy nadzoru w UE traktują cookie compliance poważnie. CNIL nakładał wielomilionowe kary za wadliwe bannery — m.in. na Google i Amazon w grudniu 2020 r. (odpowiednio 100 mln i 35 mln EUR, później częściowo związane z brakiem łatwego odrzucenia cookies). UODO również kontroluje strony pod kątem cookies. Wspólny mianownik: bez rejestru zgód nie udowodnisz, że użytkownik faktycznie wyraził zgodę w wymaganej formie. Dlatego consent logging nie jest funkcją premium — jest sednem CMP. Banner bez dowodu zgody daje złudzenie zgodności, a w kontroli okazuje się bezwartościowy.

Ciężar dowodu jest tu wyraźnie przesunięty na administratora. Art. 7 ust. 1 RODO stanowi, że to administrator musi być w stanie wykazać, iż osoba wyraziła zgodę. W praktyce oznacza to, że w sporze z organem lub użytkownikiem to Ty udowadniasz zgodę, a nie użytkownik jej brak. Bez logu zgód nie masz czym tego udowodnić — deklaracja „mieliśmy banner" nie wystarczy, jeśli nie potrafisz pokazać, że konkretny użytkownik zobaczył konkretną wersję bannera i dokonał konkretnego wyboru. To dlatego przy wyborze CMP pytanie o głębię i format logowania zgód jest ważniejsze niż wygląd samego okna — okno widzi użytkownik, ale to log ratuje Cię podczas kontroli.

Drugi praktyczny wniosek: log zgód musi być trwały i możliwy do wyeksportowania. Zgoda przechowywana wyłącznie w cookie w przeglądarce użytkownika znika, gdy ten wyczyści przeglądarkę — a wtedy tracisz dowód. Dobra platforma przechowuje dowód po stronie serwera, w formie, którą można przedstawić organowi wraz z datą, zakresem i wersją polityki.

FAQ

Czy platforma CMP jest obowiązkowa dla polskiej strony?

Nie ma obowiązku używania konkretnej platformy, ale każda strona stosująca cookies inne niż niezbędne musi uzyskać uprzednią, dobrowolną i granularną zgodę oraz umieć ją wykazać. W praktyce spełnienie tych wymogów bez narzędzia jest trudne — CMP automatyzuje zbieranie, egzekwowanie i dokumentowanie zgód zgodnie z PKE i RODO.

Czym jest IAB TCF 2.2 i czy go potrzebuję?

Transparency and Consent Framework 2.2 to standard IAB Europe porządkujący przekazywanie sygnałów zgody w ekosystemie reklamy programmatic. Potrzebują go przede wszystkim wydawcy i sklepy korzystające z sieci reklamowych i partnerów RTB. Prosta strona firmowa bez reklamy programmatic zwykle go nie wymaga, ale i tak musi spełnić wymóg zgody na analitykę czy remarketing.

Co się zmieniło po wejściu PKE w listopadzie 2024?

Prawo komunikacji elektronicznej zastąpiło dotychczasowe przepisy telekomunikacyjne, w tym podstawę wymogu zgody na cookies, którą wcześniej stanowił art. 173 Prawa telekomunikacyjnego. Sama zasada — uprzednia, dobrowolna i granularna zgoda na cookies inne niż niezbędne — pozostaje spójna z RODO i ePrivacy. Dokładne brzmienie przepisów PKE warto potwierdzić u źródła.

Czy CMP zastępuje pełne oprogramowanie RODO?

Nie. CMP obsługuje wyłącznie zgody na cookies i śledzenie. Nie prowadzi rejestru czynności, nie obsługuje wniosków podmiotów danych, nie zarządza umowami powierzenia ani rejestrem naruszeń. Firma potrzebuje obu warstw: dedykowanego CMP dla cookies i szerszego narzędzia dla dokumentacji RODO — albo platformy łączącej oba obszary.


Legiscope porządkuje dokumentację RODO — rejestr czynności, DPIA, wnioski i naruszenia — w jednym systemie hostowanym w UE, spójnie z warstwą zarządzania zgodami. Zobacz, jak Legiscope łączy zgodność cookie z pełną dokumentacją RODO, zamiast prowadzić osobne, rozjeżdżające się silosy.

Źródła: Dyrektywa 2002/58/WE (ePrivacy), EUR-Lex · Urząd Ochrony Danych Osobowych (UODO) · Europejska Rada Ochrony Danych (EDPB).

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →