W jednym zdaniu. Zgoda na cookies w Polsce wymaga jednoczesnego spełnienia wymogów art. 173 Prawa telekomunikacyjnego i art. 7 RODO — dobrowolnej, konkretnej, świadomej, jednoznacznej oraz równie łatwej do wycofania, jak do udzielenia.
Najważniejsze punkty
- Podstawa: art. 173 Prawa telekomunikacyjnego + art. 7 RODO.
- Wyjątek: cookies “ściśle niezbędne” do działania usługi (sesja, koszyk, bezpieczeństwo).
- Zgoda na cookies marketingowych, analitycznych i profilujących — obowiązkowa.
- Domyślnie zaznaczone checkboxy są niedopuszczalne (TSUE C-673/17 Planet49).
- Przycisk “odrzuć wszystkie” musi być równie widoczny jak “zaakceptuj wszystkie”.
- Log zgody przechowywany min. 12 miesięcy.
1. Podwójna podstawa prawna
Polski reżim cookies opiera się na dwóch aktach: art. 173 ustawy Prawo telekomunikacyjne (implementacja dyrektywy ePrivacy 2002/58/WE) reguluje “informacje przechowywane w urządzeniu końcowym użytkownika”, a RODO określa standard ważnej zgody (art. 7) oraz przetwarzania danych pozyskanych przez cookies (art. 6). Brak zgody = naruszenie obu aktów. Techniczną obsługę zgód realizuje platforma zarządzania zgodami (CMP), a zakres wykorzystywanych cookies opisuje się w polityce prywatności.
2. Cookies “ściśle niezbędne” — bez zgody
Art. 173 ust. 3 PT zwalnia z obowiązku zgody cookies, których celem jest “wykonanie transmisji komunikatu” lub “świadczenie usługi telekomunikacyjnej żądanej wyraźnie przez abonenta lub użytkownika”. W praktyce: cookies sesyjne, koszyk e-commerce, preferencje językowe wybrane przez użytkownika, tokeny CSRF i bezpieczeństwa, równoważenie obciążenia.
3. Cookies wymagające zgody
- Analityczne (Google Analytics, Matomo, Hotjar) — z wyjątkiem ściśle anonimowych statystyk pierwszej strony zgodnie z wytycznymi CNIL (UODO nie wydał własnych wytycznych w tym zakresie).
- Marketingowe i reklamowe (Google Ads, Meta Pixel, LinkedIn Insight).
- Profilujące (recommenders, personalizacja treści).
- Trackery stron trzecich (DoubleClick, AppNexus, Criteo).
- Social plugins (Like button, Twitter embed).
4. Wymogi banera cookies
| Element | Standard |
|---|---|
| Informacja | cele, kategorie, czas |
| Przyciski równoważne | “Akceptuj” = “Odrzuć” |
| Granularność | per kategoria minimum |
| Akcja aktywna | brak checkboxów domyślnie |
| Wycofanie | link/ikona stale dostępna |
| Log zgody | timestamp, treść, IP/sesja |
5. Wyrok TSUE Planet49 (C-673/17)
Wyrok z 1 października 2019 r. ustalił, że zgoda wyrażona przez domyślnie zaznaczony checkbox nie spełnia wymogów RODO. Dodatkowo TSUE potwierdził, że informacja o czasie trwania cookies i podmiotach trzecich jest częścią obowiązku informacyjnego. Standard ten obowiązuje wprost w Polsce.
6. Wymóg równoważności przycisków
EROD Guidelines 03/2022 oraz orzecznictwo CNIL i Garante wskazują, że przyciski “Akceptuj wszystkie” i “Odrzuć wszystkie” muszą być równorzędne wizualnie i dostępne na pierwszym poziomie banera. Praktyka “Akceptuj wszystkie” wyróżnione + “Ustawienia” w drugim kroku — narusza ten wymóg.
7. Log zgody — wymagania dowodowe
Art. 7 ust. 1 RODO: “administrator musi być w stanie wykazać, że osoba […] wyraziła zgodę”. Log zgody powinien zawierać: identyfikator sesji/użytkownika, timestamp ISO 8601, wersję banera (hash), treść preferencji (które kategorie), źródło żądania (URL), opcjonalnie IP. Retencja zgodna z polityką — minimum 12 miesięcy.
8. CMP — Consent Management Platform
Polski rynek CMP: Cookiebot (popularny w MŚP), OneTrust (enterprise), Usercentrics, Iubenda, Didomi. CMP automatyzuje: skanowanie cookies, generowanie banera, log zgody, eksport do dowodu, integrację z Google Consent Mode v2. Wybór CMP wpływa na zgodność — UODO traktuje administratora jako odpowiedzialnego za poprawność konfiguracji.
9. Google Consent Mode v2
Od marca 2024 r. Google wymaga sygnałów consent_v2 (ad_storage, analytics_storage, ad_user_data, ad_personalization) dla wszystkich integracji Google Ads i Analytics w EOG. Brak prawidłowej integracji = utrata danych konwersji + ryzyko sankcji za nielegalne przekazywanie danych. CMP musi obsługiwać Consent Mode v2.
10. Sankcje za nieprawidłową zgodę
UODO nie wydał jeszcze przełomowej decyzji w sprawie cookies, ale prowadzi postępowania od 2024 r. Inne organy UE: CNIL — Google 150 mln EUR (2022), Facebook 60 mln EUR (2022), Microsoft 60 mln EUR (2022); Garante — Trenitalia 100 tys. EUR; APD Belgia — IAB Europe (TCF) wymóg zmian. Polskie sankcje przewidywane w 2026 r.
11. Dark patterns — co jest zakazane
Wytyczne EROD 03/2022 zakazują: niewidocznego przycisku “Odrzuć”, emocjonalnego nacisku (“Twoje preferencje pomogą nam się rozwijać”), procesu wieloetapowego dla odmowy, łączenia zgody z dostępem do usługi (cookie wall), preselekcji opcji, niejasnego języka, ukrywania informacji o stronach trzecich. UODO będzie stosował te wytyczne w postępowaniach.
12. Checklista zgodności cookies
- Skan wszystkich cookies (Cookiebot Audit lub manualnie).
- Klasyfikacja: ściśle niezbędne / pozostałe.
- Baner z równoważnymi przyciskami.
- Polityka cookies (osobny dokument).
- Implementacja Google Consent Mode v2.
- Log zgody z dowodem 12+ miesięcy.
- Test wycofania zgody (jedno kliknięcie).
- Przegląd co 6 miesięcy. Zobacz też cookie consent guide.
13. Polskie sprawy enforcement cookies — stan na 2025-2026
UODO i UKE w 2024-2025 rozpoczęły systematyczne kontrole banerów cookies. Postępowania w toku (sierpień 2025): 3 duże portale informacyjne za dark patterns (przycisk “Akceptuj” w zielonej dużej czcionce, “Odrzuć” mały szary), 2 platformy marketplace za brak równoważnego “Odrzuć” na pierwszym poziomie, 1 operator telekomunikacyjny za ładowanie cookies marketingowych przed uzyskaniem zgody, kilka sklepów internetowych za “consent fatigue” (pokazywanie banera ponownie po każdym wejściu mimo zapisanej decyzji). Pierwsze sankcje cookies UODO oczekiwane w drugiej połowie 2026 r., spodziewany zakres: 200 tys. - 2 mln zł dla największych platform (analogicznie do francuskich kar CNIL 150 mln EUR dla Google, 60 mln EUR dla Facebook). UODO i Prezes UKE wydały w 2024 r. wspólny komunikat doprecyzowujący wymogi banera: równoważność wizualna, granularność, łatwość wycofania, log z timestampem. Patrz Kary UODO 2025, UODO przewodnik.
14. Najczęstsze błędy implementacji CMP
(1) Cookies ładowane przed wyświetleniem banera — klasyczny błąd techniczny, sankcjonowany jako brak zgody. (2) “Akceptuj wszystkie” zielony duży, “Odrzuć” szary mały — naruszenie równoważności (CNIL Google 150 mln EUR). (3) “Ustawienia” jako jedyna alternatywa dla “Akceptuj” na pierwszym poziomie — wymóg dodatkowych kliknięć dla odmowy. (4) Brak granularności (jedna zgoda na wszystko) — narusza art. 7 ust. 2 RODO. (5) Brak możliwości łatwego wycofania (ikona ukryta w stopce, link tylko po zalogowaniu). (6) Log zgody niewystarczający (brak timestampu, brak wersji banera, brak treści preferencji). (7) Cookies sub-procesorów strony trzecich (np. CDN Cloudflare) klasyfikowane jako “ściśle niezbędne” bez uzasadnienia. (8) Brak integracji z Google Consent Mode v2 mimo deklaracji granularności. (9) Pre-checked checkboxy w “Ustawieniach” zaawansowanych (Planet49 C-673/17). (10) Cookie wall lub utrudniony dostęp dla użytkowników odmawiających zgody. Patrz RODO Art. 5 zasady, umowa powierzenia wzór.
15. Źródła urzędowe
- RODO — art. 7 (warunki zgody), EUR-Lex
- Dyrektywa ePrivacy 2002/58/WE (EUR-Lex)
- EROD — Wytyczne 03/2022 dotyczące dark patterns i zgody
- UODO — cookies i marketing elektroniczny
FAQ
Czy Google Analytics 4 wymaga zgody?
Tak, w standardowej konfiguracji. Wyjątek: tryb anonimowy z wyłączeniem identyfikatorów, ale wówczas znacznie ograniczone dane. Dodatkowo problem transferów do USA (DPF od 2023 r. częściowo rozwiązuje).
Czy mogę używać cookie wall?
Cookie wall (brak dostępu bez zgody) jest co do zasady niedopuszczalny zgodnie z wytycznymi EROD 05/2020 — narusza dobrowolność zgody. Wyjątek: pay-or-consent walls są przedmiotem aktualnej dyskusji (decyzje EDPB 2024).
Jak długo przechowywać log zgody?
Minimum 12 miesięcy. Rekomendacja: 24 miesiące dla łatwego dowodu w postępowaniu. Po wycofaniu zgody — przechowywać dowód wycofania.
Czy social plugins wymagają zgody?
Tak. Like button, Twitter embed, YouTube embed przekazują dane do stron trzecich już przy załadowaniu. Rekomendacja: lazy load po akceptacji lub statyczne obrazy z linkiem.
Co z newsletterem — wymaga zgody RODO i ePrivacy?
Tak. E-mail marketing wymaga zgody zgodnie z art. 172 PT (komunikacja elektroniczna) i art. 10 ustawy o świadczeniu usług drogą elektroniczną. Wyjątek soft opt-in dla podobnych produktów własnych z możliwością rezygnacji.
Czy mogę zsynchronizować zgodę cookies z różnych subdomen?
Tak, na poziomie tej samej organizacji (administratora). Synchronizacja między subdomenami sklep.firma.pl i blog.firma.pl jest dozwolona przy spełnieniu wymogów: te same kategorie cookies, ten sam mechanizm CMP, jasna informacja w polityce prywatności o zakresie obowiązywania zgody. Synchronizacja między różnymi domenami (np. allegro.pl i ceneo.pl) nawet w tej samej grupie kapitałowej — wymaga osobnej zgody, ponieważ stanowi inny kontekst dla użytkownika. CMP typu OneTrust i Cookiebot oferują funkcję cross-domain consent dla scenariuszy korporacyjnych.
Jak postępować z zgodą cookies od dzieci?
Dla użytkowników poniżej 13 lat (polski próg z art. 8 RODO + Ustawa z 10 maja 2018 r.) wymagana jest zgoda rodzica/opiekuna. W praktyce strony skierowane do dzieci powinny: domyślnie blokować wszystkie cookies poza ściśle niezbędnymi, oferować osobny baner dla rodziców z mechanizmem weryfikacji wieku/zgody, nie używać cookies marketingowych ani profilujących. Strony mieszane (skierowane również do dzieci) powinny używać konserwatywnej konfiguracji domyślnej. UODO w 2023 r. ostrzegał platformy EdTech przed bezkrytycznym używaniem trackers analitycznych dla nieletnich użytkowników.
Czy cookies w aplikacjach mobilnych podlegają tym samym wymogom?
Tak, w pełnym zakresie. SDK marketingowe (Facebook SDK, Adjust, AppsFlyer, Singular) i analityczne (Firebase Analytics, Mixpanel, Amplitude) podlegają art. 173 PT + art. 7 RODO. Wymagany jest analogiczny mechanizm zgody — typowo CMP wbudowane w aplikację (Didomi, OneTrust, Usercentrics oferują SDK mobilne). Dodatkowe wymogi platform: iOS App Tracking Transparency (ATT) od iOS 14.5, Android Privacy Sandbox. Brak zgody w aplikacji = brak SDK marketingowych. Kary za naruszenia w aplikacjach są analogiczne do web — pierwsze postępowania UODO planowane na 2026 r.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial