zZmiany w Prawie
Słownik

Baner cookies (zgoda na cookies)

Baner cookies — interfejs zgody na pliki cookies inne niż niezbędne, wymagany przez przepisy o łączności elektronicznej i RODO.

Ostatnia weryfikacja:

ZmianyWPrawie monitoruje proces legislacyjny — to nie jest porada prawna. Treści mają charakter informacyjny i edukacyjny. Stan prawny zmienia się w czasie; zawsze weryfikuj w oficjalnym źródle (Sejm, RCL, ISAP, EUR-Lex) lub skonsultuj się z prawnikiem.

Baner cookies (popularnie: „okienko cookies") to interfejs, w którym witryna **pyta użytkownika o zgodę** na pliki cookies i inne technologie śledzące, które nie są niezbędne do świadczenia usługi. W Polsce wymogi dotyczące zgody wynikają jednocześnie z przepisów o łączności elektronicznej oraz [RODO](/slownik/gdpr-rodo) — gdy cookies wiążą się z przetwarzaniem danych osobowych. Pojęcie jest blisko związane z [DSA](/slownik/dsa-akt-o-uslugach-cyfrowych) (transparentność reklam) i z całą branżą [e-commerce](/branze/e-commerce). Kierunek dla całej UE wyznacza dyrektywa o prywatności w łączności elektronicznej (ePrivacy) — od lat negocjowane jest zastępujące ją rozporządzenie.

Decyzje UODO i UKE, projekty zmieniające zasady cookies — śledź w jednej osi czasu —otwórz tracker

Definicja

Baner cookies to element interfejsu witryny internetowej, który informuje użytkownika o stosowanych plikach cookies i podobnych technologiach oraz pozwala mu wyrazić lub odmówić zgody na te, które nie są niezbędne do świadczenia żądanej usługi. Pliki niezbędne (np. utrzymanie sesji, koszyk w sklepie, mechanizm bezpieczeństwa) co do zasady nie wymagają zgody. Cookies analityczne, reklamowe, profilujące oraz te, które przekazują dane stronom trzecim — wymagają zgody udzielonej zanim trafią na urządzenie użytkownika.

Podstawa prawna

Wymogi dotyczące zgody na cookies w Polsce wynikają z dwóch warstw przepisów:

  • Dyrektywa ePrivacy (2002/58/WE w sprawie prywatności i łączności elektronicznej) — wymaga zgody na przechowywanie informacji w urządzeniu końcowym użytkownika i uzyskiwanie do nich dostępu (z wyjątkiem absolutnie niezbędnych),
  • Polskie przepisy o łączności elektronicznej — przez wiele lat regulował to art. 173 Prawa telekomunikacyjnego; od 2024 r. obowiązki te wynikają z ustawy Prawo komunikacji elektronicznej (PKE),
  • RODO — gdy cookies prowadzą do przetwarzania danych osobowych (typowo: identyfikatory reklamowe, profilowanie), zgoda musi spełniać też standard z RODO (dobrowolna, świadoma, konkretna, jednoznaczna).

Do całości dochodzą wytyczne EROD i decyzje krajowych organów (w Polsce — Prezesa UODO) oraz orzecznictwo TSUE.

Wymogi prawidłowego banera

Z połączenia ePrivacy, RODO i orzecznictwa wynikają następujące wymogi dla banera cookies:

  • Zgoda przed instalacją cookies innych niż niezbędne — domyślnie nie są ustawiane,
  • Aktywne działanie użytkownika — brak domyślnie zaznaczonych checkboxów (sprawa TSUE C-673/17 Planet49),
  • Równorzędność opcji — „Akceptuj wszystkie" nie może być łatwiejsze do kliknięcia niż „Odrzuć wszystkie" / „Tylko niezbędne",
  • Granularność — możliwość wyrażenia zgody na poszczególne cele (analityka, reklamy, personalizacja),
  • Informacje — cel, kategoria, czas przechowywania cookies oraz odbiorcy danych,
  • Możliwość wycofania zgody — łatwa i w każdej chwili, zwykle przez stały link do ustawień,
  • Dokumentowanie zgody — administrator powinien móc wykazać, że zgoda została udzielona (zasada rozliczalności z RODO),
  • Brak ciemnych wzorców (dark patterns) — wzorców interfejsu manipulujących wyborem.

Z tych wymogów wynika m.in. praktyka „trzech przycisków": Akceptuję wszystkie / Tylko niezbędne / Ustawienia.

Rozporządzenie ePrivacy nadal jest w negocjacjach

Plan dla e-commerce alarmuje o zmianach przepisów o cookies, łączności elektronicznej i pracach UE nad ePrivacy. 3 dni za darmo.

Wypróbuj plan dla e-commerce

Egzekwowanie i kierunki zmian

Naruszenia dotyczące cookies są ścigane na dwóch ścieżkach. Na gruncie RODO sankcje nakłada Prezes UODO (do 20 mln EUR lub 4% rocznego obrotu globalnego). Na gruncie przepisów o łączności elektronicznej organem właściwym jest Prezes UKE, a postępowanie może też zainicjować Prezes UOKiK (jeśli praktyka narusza zbiorowe interesy konsumentów).

W UE od lat negocjowane jest rozporządzenie ePrivacy, które ma zastąpić dotychczasową dyrektywę i ujednolicić zasady (w tym dotyczące cookies) we wszystkich państwach członkowskich. Prace nad rozporządzeniem są przedłużone; w międzyczasie wykładnię uzupełniają orzecznictwo TSUE oraz wytyczne EROD i krajowych organów. Aktualny stan zmian — zarówno polskiego Prawa komunikacji elektronicznej, jak i unijnego pakietu ePrivacy — warto śledzić w oficjalnych źródłach.

Powiązane pojęcia

Pojęcia, które łączą się z banerem cookies:

  • RODO — zasady udzielania zgody na przetwarzanie danych osobowych,
  • DSA — obowiązki transparentności reklam na platformach,
  • Dyrektywa Omnibus — modernizacja ochrony konsumentów online,
  • Transpozycja dyrektywy — dyrektywa ePrivacy wymagała wdrożenia do prawa krajowego,
  • EUR-Lex — tam znajdziesz tekst dyrektywy 2002/58/WE i prac nad rozporządzeniem ePrivacy,
  • E-commerce — branża najczęściej kontrolowana pod kątem cookies.

Najczęstsze pytania

Czy każda strona internetowa musi mieć baner cookies?

Baner z prośbą o zgodę jest potrzebny tam, gdzie strona używa cookies innych niż niezbędne do świadczenia usługi — w praktyce dotyczy to większości stron komercyjnych. Cookies niezbędne (np. utrzymanie sesji, koszyk) zgody nie wymagają, ale o ich stosowaniu i tak należy poinformować w polityce prywatności.

Jakie cookies wymagają zgody, a jakie nie?

Zgody wymagają cookies inne niż absolutnie niezbędne — typowo analityczne, reklamowe, profilujące i przekazujące dane stronom trzecim. Cookies niezbędne do świadczenia żądanej usługi (sesja, logowanie, koszyk, mechanizmy bezpieczeństwa) co do zasady zgody nie wymagają. Granica wynika z dyrektywy ePrivacy i wytycznych organów ochrony danych.

Jakie wymogi musi spełnić zgoda na cookies?

Zgoda musi być dobrowolna, świadoma, konkretna i jednoznaczna — wyrażona przez aktywne działanie użytkownika, bez domyślnie zaznaczonych checkboxów. Opcje akceptacji i odrzucenia powinny być równorzędne. Użytkownik musi móc wybrać cele zgody (granularność) oraz w każdej chwili łatwo wycofać zgodę.

Czy „Akceptuję wszystkie" może być łatwiejsze niż „Odrzuć"?

Wytyczne organów ochrony danych oraz orzecznictwo wskazują, że opcja odrzucenia cookies powinna być równie wyraźna i równie łatwo dostępna jak akceptacja. Konstrukcje, w których „Odrzuć" wymaga dodatkowych kroków albo jest ukryte, są kwestionowane jako dark patterns. Praktyka stosowania „trzech przycisków" odpowiada na ten wymóg.

Kto kontroluje banery cookies w Polsce?

Po stronie RODO — Prezes Urzędu Ochrony Danych Osobowych (UODO). Po stronie przepisów o łączności elektronicznej — Prezes UKE. Praktyki kierowane do konsumentów mogą też zainteresować Prezesa UOKiK, jeśli naruszają zbiorowe interesy konsumentów. Dodatkowo wytyczne wydaje Europejska Rada Ochrony Danych (EROD).

Co zmieni rozporządzenie ePrivacy?

Rozporządzenie ePrivacy, negocjowane w UE od lat, ma zastąpić dyrektywę 2002/58/WE i ujednolicić zasady prywatności w łączności elektronicznej (w tym dotyczące cookies) we wszystkich państwach członkowskich. Jako rozporządzenie obowiązywałoby bezpośrednio. Prace nad jego ostatecznym kształtem są przedłużone — aktualny status warto sprawdzać w oficjalnych źródłach.

Zmiany dla Twojej branży — dziennie na maila

Streszczenie projektu, ocena wpływu i linki do źródeł (Sejm, RCL, ISAP, EUR-Lex). Bez doradztwa — same fakty.

Zobacz plany

Źródła

Powiązane hasła

Słownik
RODO (GDPR)
Słownik
DSA (Akt o usługach cyfrowych)
Słownik
Dyrektywa Omnibus
Słownik
Transpozycja dyrektywy
Słownik
EUR-Lex
Branże
E-commerce

ZmianyWPrawie monitoruje proces legislacyjny — to nie jest porada prawna. Treści mają charakter informacyjny i edukacyjny. Stan prawny zmienia się w czasie; zawsze weryfikuj w oficjalnym źródle (Sejm, RCL, ISAP, EUR-Lex) lub skonsultuj się z prawnikiem.