RODO i banner cookies — checklist 2026 (taki, jaki naprawdę czytają regulatorzy)

Większość bannerów cookies w polskim i europejskim internecie nie jest zgodna z RODO. To nie jest pop-narracja — to wniosek z przeglądów prowadzonych przez CNIL we Francji, Garante we Włoszech, niemiecki DSK i UODO w Polsce. Kary trafiają już nie tylko do Google i Meta — w 2025 r. weszły w cykl średniej wielkości firmy. Poniżej działająca lista, której używamy przy review wdrożeń u klientów.

1. Domyślnie denied

Brak pre-zaznaczonych zgód. Brak „kontynuując korzystanie ze strony, akceptujesz cookies”. TSUE rozstrzygnął to w sprawie Planet49 (2019), a CNIL i UODO konsekwentnie cytują tę linię.

2. Odrzucenie tak proste jak akceptacja

Jeśli „Akceptuję wszystkie” jest jednym kliknięciem, a „Odrzucam wszystkie” wymaga dwóch — jesteś niezgodny. Albo oba przyciski na pierwszej warstwie, albo oba ukryte w tej samej liczbie kliknięć. CNIL nałożył kary za ten konkretny wzorzec co najmniej dziewięć razy publicznie.

3. Granularne kategorie

Minimum: niezbędne, analityczne, marketingowe. Większość stron skorzysta też z kategorii „preferencje / funkcjonalne”. Użytkownik musi móc niezależnie zaakceptować każdą.

4. Wymień konkretne cookies

Albo w preference center, albo na podlinkowanej stronie deklaracji cookies — wymień każdą nazwę cookie, kto ją ustawia, do czego, jak długo żyje. „Używamy cookies do analityki” to za mało.

5. Wycofanie tak proste jak udzielenie

Art. 7 ust. 3 RODO mówi wprost: musi być „tak samo łatwe wycofać zgodę, jak ją wyrazić”. W praktyce oznacza to stały link „Twoje wybory prywatności” w stopce, który ponownie otwiera banner.

6. Brak dark patterns

Nie ukrywaj „odrzuć” w trzech podmenu. Nie koloruj „akceptuję” na zielono, a „odrzuć” na szaro, żeby skłonić użytkownika. Niemiecki DSK wydał w 2023 r. wytyczne dokładnie o tym i mają one moc — kary nakładane są regularnie.

7. Blokuj skrypty PRZED zgodą

To jest błąd, który najczęściej popełniają zespoły inżynierskie. Cookie sama w sobie nie jest problemem — problem to skrypt third-party, który dzwoni do domu. Twój CMP musi blokować ładowanie skryptu do momentu zgody, a nie tylko czyścić cookies post factum.

8. Geo-targeting z głową

Użytkownik z EOG widzi opt-in. Użytkownik z Kalifornii — opt-out z linkiem „Do Not Sell or Share”. Użytkownik z reszty świata może zobaczyć miękkie powiadomienie. Pokazywanie ostrego opt-in wszystkim na świecie nie jest nielegalne, ale obniża acceptance rate o 20–40%.

9. Re-consent przy zmianie polityki

Gdy dodajesz nowego vendora, zwiększ wersję zgody. Stare decyzje nie rozciągają się na nowe przetwarzanie. CookieGuard robi to automatycznie po każdej zmianie konfiguracji.

10. Trzymaj dowód

Art. 7 ust. 1 RODO wymaga, żebyś mógł wykazać, że zgoda została wyrażona. To znaczy: zapisuj per użytkownika timestamp, wybór, wersję polityki, język — i najlepiej hash chain, żeby można było udowodnić, że rekord nie został później edytowany.

11. Bądź dostępny

Banner musi działać z klawiatury, być ogłaszany przez czytniki ekranu (rola dialog, focus management), zachowywać kontrast 4.5:1, respektować prefers-reduced-motion. Niedostępny banner łamie nie tylko unijne dyrektywy o dostępności, ale też w 2025-26 jest traktowany przez włoski Garante jako naruszenie RODO.

12. Nie blokuj całej strony

„Cookie walls” — bannery, które uniemożliwiają jakiekolwiek przeglądanie do momentu zgody — są nielegalne we Francji, Holandii i coraz większej liczbie państw. Wyjątkiem jest płatna prasa z opcją „pay or consent”, która sama jest na cienkim lodzie regulacyjnym w 2026 r.

Skrót

Zbudować wszystkie 12 punktów poprawnie zajmuje tygodnie. CookieGuard ma je włączone domyślnie. Jeśli chcesz sprawdzić obecny banner, uruchom bezpłatny audyt 30-dniowy — oznaczy każdy z punktów powyżej.