CJakCiasteczko
Rozpocznij
Przewodnik

RODO i banner cookies — co dokładnie musisz mieć na stronie

Z RODO + ePrivacy + ustawą o świadczeniu usług drogą elektroniczną (art. 173 prawa telekomunikacyjnego) wynika kilka twardych wymagań dla bannera zgody. Przedstawiamy je po kolei — bez prawniczego żargonu — oraz jak każde z nich realizujemy domyślnie.

Co właściwie chroni RODO + ePrivacy

Każde cookie / localStorage / lokalny identyfikator, który nie jest ściśle niezbędny do świadczenia usługi żądanej przez użytkownika, wymaga jego świadomej, dobrowolnej, jednoznacznej zgody.

„Ściśle niezbędne" to bardzo wąska kategoria — token sesji, CSRF, koszyk. Wszystko poza tym (analityka, marketing, personalizacja, social widgets) wymaga opt-in.

Praktyczny checklist — 7 wymagań

  1. Banner pojawia się przy pierwszej wizycie z czterema opcjami: Zaakceptuj wszystkie / Odrzuć wszystkie / Zarządzaj preferencjami / Link do polityki cookies
  2. Odrzucenie musi być tak samo łatwe jak akceptacja (UODO Wytyczne 5/2020). Czyli: nie ukrywaj „Reject all" w ciemnych miniaturach
  3. Domyślnie nic nie odpalamy — żadne cookies analityczne / marketingowe nie są zapisane przed kliknięciem Akceptuję
  4. Visitor może wycofać zgodę — równie łatwo jak ją wyraził (RODO art. 7(3)). W praktyce: floating button w rogu albo link w stopce do otwarcia preferencji
  5. Granularne kategorie — necessary, preferences, analytics, marketing — visitor wybiera, na co konkretnie się zgadza
  6. Audit trail — masz log każdej zgody z timestamp, źródłem, kategoriami. W razie kontroli UODO udowodnisz, że konkretny visitor zgodę faktycznie wyraził
  7. Zgodność dla EOG + miękkie powiadomienie poza EOG (CCPA / opt-out gdzie to obowiązuje, brak gates poza tymi rygorami)

Co jeszcze (poza bannerem) musi być na stronie

  • Polityka cookies — osobny dokument lub sekcja w polityce prywatności. Wymienia każdy używany cookie / localStorage z celem, czasem życia i kategorią
  • Polityka prywatności — kto jest administratorem, jak przechowujemy dane, prawa visitora, kontakt do IOD/DPO
  • Mapowanie do Google Consent Mode v2 jeśli używasz GA / Google Ads — bez tego od marca 2024 tracisz dostęp do remarketingu w EOG

Co grozi za brak / nieprawidłowy banner

UODO ma kompetencje do nakładania kar za RODO do 20 mln EUR lub 4% rocznego globalnego obrotu. W praktyce dla małych/średnich firm w PL kary idą od kilkunastu tysięcy do kilkuset tysięcy złotych.

Najczęstsze powody decyzji UODO za cookies:

  • Brak banner zgody na stronie z analityką (decyzja ZSO.421)
  • Banner z dark patterns — „Akceptuj" wyróżniony, „Odrzuć" ukryty
  • Brak możliwości wycofania zgody
  • Cookies analityczne ustawione przed wyrażeniem zgody

Plus poza karami — Google sam zaczyna ograniczać funkcje (od marca 2024 brak Consent Mode v2 = brak personalizowanego remarketingu w EOG).

Jak rozwiązać to w 60 sekund

CJakCiasteczko domyślnie spełnia wszystkie 7 wymagań z checklisty:

  1. Wklejasz dwie linijki w <head> swojej strony
  2. Banner pojawia się przy pierwszej wizycie — Akceptuj / Odrzuć równoważne, link do polityki w body
  3. Domyślnie wszystkie cookies analityczne i marketingowe są zablokowane (Google Consent Mode v2 default = denied)
  4. Po decyzji — floating button w rogu, klik otwiera preferencje
  5. Każda zgoda zapisuje się z hash-chained timestamp w naszym panelu — eksport CSV/NDJSON jednym klikiem

Brakujące elementy — polityka cookies + polityka prywatności — generujemy z szablonu (RODO + ePrivacy compliant) na bazie Twojej domeny i listy używanych narzędzi.

Najczęstsze pytania

Czy potrzebuję bannera, jeśli moja strona nie używa Google Analytics?

Jeśli używasz cokolwiek poza ściśle niezbędnymi cookies (Hotjar, Facebook Pixel, embedy YouTube, custom analytics), tak. Jeśli rzeczywiście masz tylko sesyjne tokeny — technicznie nie. W praktyce zawsze jest coś co wymaga zgody.

Czy banner musi być po polsku?

Tak, jeśli kierujesz ofertę do polskich konsumentów. Ustawa o ochronie konkurencji i konsumentów wymaga komunikacji w języku polskim. CJakCiasteczko ma 40 języków, polski to default.

Co z subdomenami?

Każda subdomena to osobna „witryna" z punktu widzenia browsera — zgody nie propagują się automatycznie. Jeśli shop.example.pl i www.example.pl mają być wspólne, ustawiasz cookie domain na .example.pl. Konfigurujesz w panelu CJakCiasteczko.

Czy mogę użyć tylko CMP bez polityki prywatności?

Nie. Banner zbiera zgodę, ale visitor musi mieć skąd dowiedzieć się, kto, co i dlaczego z jego danymi robi. Polityka prywatności to osobny wymóg RODO art. 13.

Wdróż banner zgodny z RODO w 60 sekund

30 dni za darmo. Bez karty. Anulujesz jednym klikiem.

Sprawdź swoją stronęDlaczego CJakCiasteczkoZałóż konto (30 dni za darmo)