W jednym zdaniu. Cookies w Polsce reguluje art. 173 Prawa telekomunikacyjnego (implementacja dyrektywy ePrivacy), który wymaga zgody na przechowywanie informacji w urządzeniu końcowym, z wyjątkiem cookies “ściśle niezbędnych” do działania usługi.
Najważniejsze punkty
- Art. 173 PT — podstawowy przepis o cookies w Polsce.
- Implementacja dyrektywy ePrivacy 2002/58/WE (zmienionej 2009/136/WE).
- Wyjątek: cookies niezbędne do transmisji lub usługi żądanej przez użytkownika.
- Standard zgody — równoważny z RODO (od czasu Planet49 i RODO).
- Nadzór: UODO (dane) + UKE (telekomunikacja).
- ePrivacy Regulation w przygotowaniu od 2017 r.
1. Geneza prawa cookies w Polsce
Dyrektywa 2002/58/WE (ePrivacy) wprowadziła zasadę “informowanej zgody” na cookies. Nowelizacja 2009/136/WE wzmocniła wymóg — zgoda explicit, nie domniemana. Polska implementacja: ustawa Prawo telekomunikacyjne z 16 lipca 2004 r., art. 173. Nowelizacja w 2013 r. dostosowała przepisy do standardu UE. Obowiązki informacyjne o cookies ujmuje się zwykle w polityce prywatności — gotowy wzór polityki prywatności uwzględnia tę część.
2. Art. 173 Prawa telekomunikacyjnego
Treść normy:
- Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym dopuszczalne pod warunkiem:
- poinformowania użytkownika końcowego o celu i okresie przechowywania,
- umożliwienia wyrażenia zgody przez ustawienia oprogramowania.
- Zgoda może być wyrażona przez ustawienia przeglądarki (kontrowersyjne) lub aktywne działanie (banner).
3. Wyjątek — cookies niezbędne
Art. 173 ust. 3 zwalnia z obowiązku zgody cookies, których celem jest:
- Wykonanie transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej.
- Świadczenie usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Przykłady: cookie sesji, koszyk, preferencje języka wybrane przez użytkownika, token bezpieczeństwa, balancer obciążenia.
4. Standard zgody — wpływ RODO
Od 25 maja 2018 r. zgoda na cookies musi spełniać definicję z art. 4 pkt 11 RODO: dobrowolna, konkretna, świadoma, jednoznaczna. Wyrok TSUE Planet49 (C-673/17) potwierdził: domyślnie zaznaczone checkboxy nie spełniają tego standardu. EROD Guidelines 05/2020 i 03/2022 doprecyzowały praktyczne wymogi.
5. Klasyfikacja cookies
| Kategoria | Wymóg zgody | Przykład |
|---|---|---|
| Ściśle niezbędne | nie | sesja, koszyk, CSRF |
| Funkcjonalne | tak (czasem wyjątek) | preferencje języka |
| Analityczne | tak | GA4, Matomo |
| Marketingowe | tak | Meta Pixel, Google Ads |
| Profilujące | tak | recommenders, AdTech |
UODO interpretuje wąsko “ściśle niezbędne” — analityka (nawet pierwszej strony) wymaga zgody w Polsce.
6. Wymogi banera cookies
Standard rynkowy 2026:
- Wyświetlenie na pierwszej wizycie i przed załadowaniem cookies niesensje.
- Trzy równoważne przyciski: “Akceptuj wszystkie”, “Odrzuć wszystkie”, “Ustawienia”.
- Granularność per kategoria (analityczne, marketingowe, funkcjonalne).
- Brak domyślnie zaznaczonych checkboxów.
- Link do polityki cookies.
- Możliwość zmiany preferencji w każdej chwili (link/ikona w stopce).
- Log zgody z timestampem.
7. Wyroki i decyzje europejskie
| Sprawa | Sankcja | Powód |
|---|---|---|
| Planet49 (TSUE C-673/17) | wyrok | domyślne checkboxy |
| Google (CNIL) | 150 mln EUR (2022) | brak “Odrzuć” |
| Facebook (CNIL) | 60 mln EUR (2022) | brak “Odrzuć” |
| Microsoft (CNIL) | 60 mln EUR (2022) | brak zgody Bing |
| Yahoo (CNIL) | 10 mln EUR (2023) | brak zgody |
| TikTok (CNIL) | 5 mln EUR (2023) | dark patterns |
UODO nie wydał jeszcze przełomowej decyzji, ale rozpoczął postępowania w 2024 r.
8. Nadzór UODO i UKE
UODO — nadzór nad zgodą i danymi osobowymi pozyskanymi przez cookies. UKE — nadzór nad przepisami telekomunikacyjnymi (art. 173 PT).
W praktyce UODO ma wiodącą rolę w sprawach cookies, UKE rzadko interweniuje. Możliwe wspólne postępowania w dużych sprawach (np. operatorzy telekomunikacyjni). Analogiczna współpraca obu organów obejmuje marketing bezpośredni na podstawie art. 172 PT.
9. Google Consent Mode v2
Od marca 2024 r. Google wymaga sygnałów consent_v2 dla wszystkich integracji Google Ads i Analytics w EOG:
- ad_storage — zgoda na cookies reklamowe.
- analytics_storage — zgoda na cookies analityczne.
- ad_user_data — zgoda na przekazanie danych do Google.
- ad_personalization — zgoda na personalizację reklam.
Brak prawidłowej integracji = utrata danych konwersji + ryzyko sankcji UODO.
10. Dark patterns — niedozwolone praktyki
EROD Guidelines 03/2022 (Deceptive Design Patterns) zakazują:
- Ukrywania przycisku “Odrzuć”.
- Tworzenia presji emocjonalnej.
- Wieloetapowego procesu odmowy.
- Cookie wall (brak dostępu bez zgody) — z wyjątkiem “pay-or-consent” (sporne).
- Pre-zaznaczonych opcji.
- Niejasnego języka.
- Ukrywania liczby trackerów.
11. ePrivacy Regulation (przyszłość)
Projekt rozporządzenia ePrivacy w pracach od 2017 r. — ma zastąpić dyrektywę 2002/58/WE. Cele: harmonizacja, zgodność z RODO, modernizacja (komunikatory, IoT, cookies). Status: kompromisy między Parlamentem a Radą trudne, planowane przyjęcie 2026 r. Wpływ: większa harmonizacja, możliwe ograniczenie cookie walls, szczegółowe reguły dla komunikatorów.
12. Checklista zgodności cookies dla strony
- Audyt wszystkich cookies (manualny lub automatyczny — Cookiebot, OneTrust).
- Klasyfikacja per kategoria.
- Implementacja CMP z banerem.
- Trzy równoważne przyciski.
- Granularność preferencji.
- Log zgody (timestamp, IP, wersja).
- Polityka cookies (osobny dokument).
- Google Consent Mode v2.
- Lazy loading dla social plugins.
- Test wycofania zgody (jedno kliknięcie).
- Przegląd co 6 miesięcy. Zobacz cookie law.
13. Pełny tekst art. 173-174 Prawa telekomunikacyjnego
Art. 173 ust. 1. “Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone pod warunkiem że: 1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o celu przechowywania i uzyskiwania dostępu do tej informacji oraz o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym (…); 2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę; 3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i w oprogramowaniu zainstalowanym w tym urządzeniu.”
Art. 174 ust. 1. “Sankcje za naruszenie obowiązków, o których mowa w art. 173, nakładane są na podstawie ustawy.”
Prezes UKE może nakładać kary do 3% obrotu (art. 209 PT) za naruszenia. UODO równolegle sankcjonuje na podstawie RODO. W 2026 r. przewiduje się nowelizację Prawa telekomunikacyjnego dostosowującą terminologię do projektu ePrivacy Regulation.
14. Polskie sprawy enforcement cookies i przewidywania 2026
UODO i UKE rozpoczęły wspólne postępowania od 2024 r. Sprawy w toku: 3 duże portale informacyjne (dark patterns w banerze), 2 platformy marketplace (brak równoważnego “Odrzuć”), 1 operator telekomunikacyjny (cookies marketingowe bez zgody). Pierwsze sankcje cookies w Polsce oczekiwane w 2026 r. (analogia do francuskich kar CNIL 150 mln EUR dla Google i 60 mln EUR dla Facebook/Microsoft). UODO publikował wytyczne dotyczące CMP w 2024 r. — podstawowe wymogi: równoważne przyciski “Akceptuj”/“Odrzuć”, brak presji wizualnej (kolory, rozmiary), granularność per cel, log zgody z timestampem, łatwe wycofanie. Trendy 2026: większy nacisk na audyty CMP, kontrole “pay-or-consent” walls, badanie integracji z Google Consent Mode v2, sprawdzanie czy analityka serwerowa nie omija obowiązków. Patrz Kary UODO 2025, RODO Art. 5 zasady, umowa powierzenia wzór.
FAQ
Czy mogę używać Google Analytics bez zgody?
Nie w Polsce. UODO interpretuje “ściśle niezbędne” wąsko — analityka wymaga zgody. Alternatywa: anonimizowane statystyki Matomo z opt-out (akceptowane przez niektóre organy UE), ale nie ma jednoznacznych wytycznych UODO.
Czy ustawienia przeglądarki to zgoda?
Art. 173 PT teoretycznie tak, ale w praktyce ustawienia przeglądarki nie są wystarczająco granularne i świadome. EROD i większość organów UE wymagają banera. Standard rynkowy: CMP + przeglądarka jako dodatkowa kontrola.
Co z aplikacjami mobilnymi?
Aplikacje mobilne też podlegają ePrivacy w zakresie SDK (Software Development Kits) trackingu. Wymagana zgoda na SDK marketingowe (Facebook SDK, Adjust, AppsFlyer). iOS ATT (App Tracking Transparency) — komplementarne do ePrivacy.
Czy mogę logować IP użytkownika bez zgody?
Tylko jeśli IP jest niezbędne do bezpieczeństwa (anty-fraud, DDoS) — interes uzasadniony. Pełne logowanie IP dla analityki — wymaga zgody (IP jest danymi osobowymi per TSUE C-582/14 Breyer).
Co jeśli użytkownik odmówi zgody?
Strona musi działać bez cookies marketingowych/analitycznych. Cookies niezbędne (sesja, bezpieczeństwo) załadują się bez zgody. Cookie wall jest niedopuszczalny — nie można uzależnić dostępu od zgody.
Czy fingerprinting wymaga zgody?
Tak. Fingerprinting (canvas, audio, font detection, WebGL) to alternatywa dla cookies pozwalająca identyfikować urządzenie. Art. 173 PT i wytyczne EROD 2/2023 jednoznacznie obejmują fingerprinting tym samym reżimem co cookies. Wymaga: zgody przed uruchomieniem, klasyfikacji w polityce (zwykle “ściśle niezbędne” tylko dla anti-fraud), informacji w polityce prywatności. CNIL i włoski Garante sankcjonowali ukryte fingerprinting w 2024 r. UODO planuje sektorowe kontrole AdTech w 2026 r.
Czy “pay-or-consent” walls są legalne w Polsce?
Stanowisko EROD z kwietnia 2024 r. dla dużych platform: “consent-or-pay” jest możliwy tylko jeśli alternatywa płatna jest realnie dostępna, cena rozsądna, a użytkownik ma rzeczywisty wybór. Meta wdrożyło ten model w UE (od listopada 2023) — krytykowane przez NOYB. UODO nie wydał jeszcze polskiego stanowiska. Praktyka: małe portale informacyjne mogą próbować “pay-or-consent” przy niskiej cenie (np. 9-19 zł/mies.), ale ryzyko sankcji jest realne. Bezpieczniejsza alternatywa: kontekstowa reklama bez tracking.
Czy server-side analytics (np. Plausible, Fathom, server-side GA4) wymaga zgody?
Zależy od konfiguracji. Pełna anonimizacja (brak IP, brak fingerprintingu, brak cookies, brak cross-site tracking) — wytyczne CNIL i EDPS akceptują bez zgody jako “ściśle niezbędne” dla statystyk podstawowych. UODO nie wydał jednoznacznego stanowiska. Plausible i Fathom oferują konfiguracje akceptowane w większości DPA UE. Server-side GA4 z anonymize IP + brak User-ID + brak Google signals = strefa szara, ostrożność. Server-side tracking wykorzystywany jako bypass CMP — zdecydowanie niedopuszczalny.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial