Ochrona Danych

Prawo telekomunikacyjne i cookies w Polsce 2026

Cookies w polskim prawie: art. 173 Prawa telekomunikacyjnego + ePrivacy + RODO. Wymogi, sankcje, ePrivacy Regulation 2026.

W jednym zdaniu. Cookies w Polsce reguluje art. 173 Prawa telekomunikacyjnego (implementacja dyrektywy ePrivacy), który wymaga zgody na przechowywanie informacji w urządzeniu końcowym, z wyjątkiem cookies “ściśle niezbędnych” do działania usługi.

Najważniejsze punkty

  • Art. 173 PT — podstawowy przepis o cookies w Polsce.
  • Implementacja dyrektywy ePrivacy 2002/58/WE (zmienionej 2009/136/WE).
  • Wyjątek: cookies niezbędne do transmisji lub usługi żądanej przez użytkownika.
  • Standard zgody — równoważny z RODO (od czasu Planet49 i RODO).
  • Nadzór: UODO (dane) + UKE (telekomunikacja).
  • ePrivacy Regulation w przygotowaniu od 2017 r.

1. Geneza prawa cookies w Polsce

Dyrektywa 2002/58/WE (ePrivacy) wprowadziła zasadę “informowanej zgody” na cookies. Nowelizacja 2009/136/WE wzmocniła wymóg — zgoda explicit, nie domniemana. Polska implementacja: ustawa Prawo telekomunikacyjne z 16 lipca 2004 r., art. 173. Nowelizacja w 2013 r. dostosowała przepisy do standardu UE. Obowiązki informacyjne o cookies ujmuje się zwykle w polityce prywatności — gotowy wzór polityki prywatności uwzględnia tę część.

2. Art. 173 Prawa telekomunikacyjnego

Treść normy:

  • Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym dopuszczalne pod warunkiem:
    • poinformowania użytkownika końcowego o celu i okresie przechowywania,
    • umożliwienia wyrażenia zgody przez ustawienia oprogramowania.
  • Zgoda może być wyrażona przez ustawienia przeglądarki (kontrowersyjne) lub aktywne działanie (banner).

3. Wyjątek — cookies niezbędne

Art. 173 ust. 3 zwalnia z obowiązku zgody cookies, których celem jest:

  • Wykonanie transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej.
  • Świadczenie usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Przykłady: cookie sesji, koszyk, preferencje języka wybrane przez użytkownika, token bezpieczeństwa, balancer obciążenia.

4. Standard zgody — wpływ RODO

Od 25 maja 2018 r. zgoda na cookies musi spełniać definicję z art. 4 pkt 11 RODO: dobrowolna, konkretna, świadoma, jednoznaczna. Wyrok TSUE Planet49 (C-673/17) potwierdził: domyślnie zaznaczone checkboxy nie spełniają tego standardu. EROD Guidelines 05/2020 i 03/2022 doprecyzowały praktyczne wymogi.

5. Klasyfikacja cookies

Kategoria Wymóg zgody Przykład
Ściśle niezbędne nie sesja, koszyk, CSRF
Funkcjonalne tak (czasem wyjątek) preferencje języka
Analityczne tak GA4, Matomo
Marketingowe tak Meta Pixel, Google Ads
Profilujące tak recommenders, AdTech

UODO interpretuje wąsko “ściśle niezbędne” — analityka (nawet pierwszej strony) wymaga zgody w Polsce.

6. Wymogi banera cookies

Standard rynkowy 2026:

  • Wyświetlenie na pierwszej wizycie i przed załadowaniem cookies niesensje.
  • Trzy równoważne przyciski: “Akceptuj wszystkie”, “Odrzuć wszystkie”, “Ustawienia”.
  • Granularność per kategoria (analityczne, marketingowe, funkcjonalne).
  • Brak domyślnie zaznaczonych checkboxów.
  • Link do polityki cookies.
  • Możliwość zmiany preferencji w każdej chwili (link/ikona w stopce).
  • Log zgody z timestampem.

7. Wyroki i decyzje europejskie

Sprawa Sankcja Powód
Planet49 (TSUE C-673/17) wyrok domyślne checkboxy
Google (CNIL) 150 mln EUR (2022) brak “Odrzuć”
Facebook (CNIL) 60 mln EUR (2022) brak “Odrzuć”
Microsoft (CNIL) 60 mln EUR (2022) brak zgody Bing
Yahoo (CNIL) 10 mln EUR (2023) brak zgody
TikTok (CNIL) 5 mln EUR (2023) dark patterns

UODO nie wydał jeszcze przełomowej decyzji, ale rozpoczął postępowania w 2024 r.

8. Nadzór UODO i UKE

UODO — nadzór nad zgodą i danymi osobowymi pozyskanymi przez cookies. UKE — nadzór nad przepisami telekomunikacyjnymi (art. 173 PT).

W praktyce UODO ma wiodącą rolę w sprawach cookies, UKE rzadko interweniuje. Możliwe wspólne postępowania w dużych sprawach (np. operatorzy telekomunikacyjni). Analogiczna współpraca obu organów obejmuje marketing bezpośredni na podstawie art. 172 PT.

Od marca 2024 r. Google wymaga sygnałów consent_v2 dla wszystkich integracji Google Ads i Analytics w EOG:

  • ad_storage — zgoda na cookies reklamowe.
  • analytics_storage — zgoda na cookies analityczne.
  • ad_user_data — zgoda na przekazanie danych do Google.
  • ad_personalization — zgoda na personalizację reklam.

Brak prawidłowej integracji = utrata danych konwersji + ryzyko sankcji UODO.

10. Dark patterns — niedozwolone praktyki

EROD Guidelines 03/2022 (Deceptive Design Patterns) zakazują:

  • Ukrywania przycisku “Odrzuć”.
  • Tworzenia presji emocjonalnej.
  • Wieloetapowego procesu odmowy.
  • Cookie wall (brak dostępu bez zgody) — z wyjątkiem “pay-or-consent” (sporne).
  • Pre-zaznaczonych opcji.
  • Niejasnego języka.
  • Ukrywania liczby trackerów.

11. ePrivacy Regulation (przyszłość)

Projekt rozporządzenia ePrivacy w pracach od 2017 r. — ma zastąpić dyrektywę 2002/58/WE. Cele: harmonizacja, zgodność z RODO, modernizacja (komunikatory, IoT, cookies). Status: kompromisy między Parlamentem a Radą trudne, planowane przyjęcie 2026 r. Wpływ: większa harmonizacja, możliwe ograniczenie cookie walls, szczegółowe reguły dla komunikatorów.

12. Checklista zgodności cookies dla strony

  • Audyt wszystkich cookies (manualny lub automatyczny — Cookiebot, OneTrust).
  • Klasyfikacja per kategoria.
  • Implementacja CMP z banerem.
  • Trzy równoważne przyciski.
  • Granularność preferencji.
  • Log zgody (timestamp, IP, wersja).
  • Polityka cookies (osobny dokument).
  • Google Consent Mode v2.
  • Lazy loading dla social plugins.
  • Test wycofania zgody (jedno kliknięcie).
  • Przegląd co 6 miesięcy. Zobacz cookie law.

13. Pełny tekst art. 173-174 Prawa telekomunikacyjnego

Art. 173 ust. 1. “Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone pod warunkiem że: 1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o celu przechowywania i uzyskiwania dostępu do tej informacji oraz o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym (…); 2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę; 3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i w oprogramowaniu zainstalowanym w tym urządzeniu.”

Art. 174 ust. 1. “Sankcje za naruszenie obowiązków, o których mowa w art. 173, nakładane są na podstawie ustawy.”

Prezes UKE może nakładać kary do 3% obrotu (art. 209 PT) za naruszenia. UODO równolegle sankcjonuje na podstawie RODO. W 2026 r. przewiduje się nowelizację Prawa telekomunikacyjnego dostosowującą terminologię do projektu ePrivacy Regulation.

14. Polskie sprawy enforcement cookies i przewidywania 2026

UODO i UKE rozpoczęły wspólne postępowania od 2024 r. Sprawy w toku: 3 duże portale informacyjne (dark patterns w banerze), 2 platformy marketplace (brak równoważnego “Odrzuć”), 1 operator telekomunikacyjny (cookies marketingowe bez zgody). Pierwsze sankcje cookies w Polsce oczekiwane w 2026 r. (analogia do francuskich kar CNIL 150 mln EUR dla Google i 60 mln EUR dla Facebook/Microsoft). UODO publikował wytyczne dotyczące CMP w 2024 r. — podstawowe wymogi: równoważne przyciski “Akceptuj”/“Odrzuć”, brak presji wizualnej (kolory, rozmiary), granularność per cel, log zgody z timestampem, łatwe wycofanie. Trendy 2026: większy nacisk na audyty CMP, kontrole “pay-or-consent” walls, badanie integracji z Google Consent Mode v2, sprawdzanie czy analityka serwerowa nie omija obowiązków. Patrz Kary UODO 2025, RODO Art. 5 zasady, umowa powierzenia wzór.

FAQ

Czy mogę używać Google Analytics bez zgody?

Nie w Polsce. UODO interpretuje “ściśle niezbędne” wąsko — analityka wymaga zgody. Alternatywa: anonimizowane statystyki Matomo z opt-out (akceptowane przez niektóre organy UE), ale nie ma jednoznacznych wytycznych UODO.

Czy ustawienia przeglądarki to zgoda?

Art. 173 PT teoretycznie tak, ale w praktyce ustawienia przeglądarki nie są wystarczająco granularne i świadome. EROD i większość organów UE wymagają banera. Standard rynkowy: CMP + przeglądarka jako dodatkowa kontrola.

Co z aplikacjami mobilnymi?

Aplikacje mobilne też podlegają ePrivacy w zakresie SDK (Software Development Kits) trackingu. Wymagana zgoda na SDK marketingowe (Facebook SDK, Adjust, AppsFlyer). iOS ATT (App Tracking Transparency) — komplementarne do ePrivacy.

Czy mogę logować IP użytkownika bez zgody?

Tylko jeśli IP jest niezbędne do bezpieczeństwa (anty-fraud, DDoS) — interes uzasadniony. Pełne logowanie IP dla analityki — wymaga zgody (IP jest danymi osobowymi per TSUE C-582/14 Breyer).

Co jeśli użytkownik odmówi zgody?

Strona musi działać bez cookies marketingowych/analitycznych. Cookies niezbędne (sesja, bezpieczeństwo) załadują się bez zgody. Cookie wall jest niedopuszczalny — nie można uzależnić dostępu od zgody.

Czy fingerprinting wymaga zgody?

Tak. Fingerprinting (canvas, audio, font detection, WebGL) to alternatywa dla cookies pozwalająca identyfikować urządzenie. Art. 173 PT i wytyczne EROD 2/2023 jednoznacznie obejmują fingerprinting tym samym reżimem co cookies. Wymaga: zgody przed uruchomieniem, klasyfikacji w polityce (zwykle “ściśle niezbędne” tylko dla anti-fraud), informacji w polityce prywatności. CNIL i włoski Garante sankcjonowali ukryte fingerprinting w 2024 r. UODO planuje sektorowe kontrole AdTech w 2026 r.

Stanowisko EROD z kwietnia 2024 r. dla dużych platform: “consent-or-pay” jest możliwy tylko jeśli alternatywa płatna jest realnie dostępna, cena rozsądna, a użytkownik ma rzeczywisty wybór. Meta wdrożyło ten model w UE (od listopada 2023) — krytykowane przez NOYB. UODO nie wydał jeszcze polskiego stanowiska. Praktyka: małe portale informacyjne mogą próbować “pay-or-consent” przy niskiej cenie (np. 9-19 zł/mies.), ale ryzyko sankcji jest realne. Bezpieczniejsza alternatywa: kontekstowa reklama bez tracking.

Czy server-side analytics (np. Plausible, Fathom, server-side GA4) wymaga zgody?

Zależy od konfiguracji. Pełna anonimizacja (brak IP, brak fingerprintingu, brak cookies, brak cross-site tracking) — wytyczne CNIL i EDPS akceptują bez zgody jako “ściśle niezbędne” dla statystyk podstawowych. UODO nie wydał jednoznacznego stanowiska. Plausible i Fathom oferują konfiguracje akceptowane w większości DPA UE. Server-side GA4 z anonymize IP + brak User-ID + brak Google signals = strefa szara, ostrożność. Server-side tracking wykorzystywany jako bypass CMP — zdecydowanie niedopuszczalny.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →