CookieGuard
Rozpocznij
← Strona głównaCompliance · GDPR

RODO i banner cookies — co naprawdę musisz zrobić w 2026

Konkretna lista tego, czego wymaga prawo, za co regulatorzy karzą w 2026 i najmniejszy zestaw zmian, który zamyka temat.

RODO obowiązuje od maja 2018 r., ale to, co liczy się jako zgodny banner zgody, zmieniło się w ostatnich 18 miesiącach. CNIL we Francji, Garante we Włoszech i belgijski DPA powtarzają w decyzjach ten sam zestaw błędów. Ta strona streszcza, co realnie trzeba zrobić — bez prawniczego żargonu.

Kogo to dotyczy

RODO dotyczy każdej strony, która przetwarza dane osobowe mieszkańców UE/EOG — niezależnie od tego, gdzie firma ma siedzibę. Sklep Shopify z USA z jednym klientem w Polsce już podlega RODO.

Pliki cookies i podobne technologie śledzące prawie zawsze są przetwarzaniem danych osobowych, bo w minimum zawierają identyfikator urządzenia. Dyrektywa ePrivacy z 2002 r. (tzw. „prawo cookies") nakłada dodatkowy wymóg zgody.

12 rzeczy, które banner musi robić

Każdy regulator ma własne akcenty, ale poniższa lista to część wspólna wytycznych CNIL, Garante, niemieckiej DSK i Europejskiej Rady Ochrony Danych.

  • Domyślnie każda kategoria poza „niezbędne" = denied. Brak pre-zaznaczonych checkboxów.
  • Odrzucenie tak proste jak akceptacja. Ta sama liczba kliknięć, ten sam wizualny ciężar.
  • Pogrupuj cookies na granularne kategorie — minimum: niezbędne, analityczne, marketingowe.
  • Zaewidencjonuj każdą nazwę cookie, vendora, cel i czas życia na powiązanej stronie.
  • Wycofanie zgody musi być tak proste jak jej udzielenie (art. 7 ust. 3 RODO).
  • Zablokuj skrypty PRZED zgodą — nie tylko usuń cookies po fakcie.
  • Geo-targeting: opt-in w EOG, miękkie powiadomienie w pozostałych krajach.
  • Pytaj ponownie, gdy lista vendorów się zmieni.
  • Trzymaj nieusuwalny rejestr każdej decyzji (art. 7 ust. 1).
  • Bądź dostępny — keyboard nav, role ARIA, kontrast ≥ 4.5:1.
  • Nie blokuj strony („cookie walls" są nielegalne w NL, FR i coraz więcej krajach).
  • Brak dark patterns: ten sam ciężar wizualny przycisków Akceptuję i Odrzucam.

Za co regulatorzy karzą w 2026

Dominujący wzorzec w decyzjach to asymetryczne UI Accept/Reject — zielony przycisk Akceptuję na pierwszym ekranie, Odrzuć schowane dwa kliknięcia głębiej. CNIL ukarał ten wzorzec co najmniej dziewięć razy od 2023 r.

Drugi częsty powód: skrypty odpalające się przed zgodą — analytics albo pixele ładowane przy starcie strony, CMP blokuje tylko cookies, nie network beacony.

Trzeci: brak zapisów zgód. Jeśli nie umiesz pokazać per-user logu z timestampem, listą kategorii i wersją polityki — nie masz „demonstrable consent".

Najszybsza droga do zgodności

Zespoły niedoceniają, ile z tego rozwiązuje sam CMP. CookieGuard wszystkie 12 pozycji ma domyślnie włączone — bez dodatkowej konfiguracji jesteś zgodny w EOG. Zmieniasz kolory i copy; defaulty prawne zostają.

Najczęstsze pytania

Czy potrzebuję bannera, jeśli mam tylko analytics?

Tak, jeśli analytics zapisuje cookies lub wysyła identyfikator urządzenia. Nawet cookieless GA4 wymaga zgody w większości państw EU.

Czy zgoda dorozumiana („przeglądając stronę akceptujesz cookies") jest legalna?

Nie. TSUE w sprawie Planet49 (2019) orzekł, że zgoda musi być konkretna, świadoma i wyrażona przez jednoznaczne działanie afirmatywne. Scroll się nie liczy.

Jak długo mogę pamiętać zgodę przed ponownym pytaniem?

Brak twardego limitu prawnego, praktyka to 6–12 miesięcy. Większość regulatorów uznaje 13 miesięcy za rozsądne.

Czy potrzebuję osobnego bannera dla UK?

UK GDPR + PECR są funkcjonalnie identyczne z RODO + ePrivacy dla bannera. Jeden banner z domyślnymi ustawieniami EOG pokrywa oba.

Ile maksymalnie wynosi kara?

Do 4% globalnego rocznego obrotu lub 10-20 mln euro, w zależności co większe. Największa kara CNIL za sam banner: 150 mln euro (Google, 2022).

Chcesz banner, który domyślnie jest zgodny?

Domyślne ustawienia CookieGuard są pod najostrzejszą interpretację EU, automatycznie luzują się dla reszty świata i zapisują tamper-evident audit trail każdej zgody.

Zacznij 30-dniowy darmowy okresZobacz demo →