Czym są pliki cookie?
Pliki cookie to niewielkie pliki tekstowe, które strony internetowe zapisują w Twojej przeglądarce. Gdy odwiedzasz witrynę, serwer może wysłać plik cookie wraz z treścią strony. Twoja przeglądarka zapisuje ten plik i odsyła go z powrotem do serwera przy każdym kolejnym żądaniu. Ten prosty mechanizm — zapisz wartość, odeślij ją z powrotem — stanowi fundament niemal każdego spersonalizowanego doświadczenia w sieci.
Zrozumienie, czym są pliki cookie, jak działają i do czego służą, to niezbędny pierwszy krok na drodze do zgodności w zakresie plików cookie. Nie sposób regulować czegoś, czego się nie rozumie.
Jak pliki cookie działają od strony technicznej
W swej istocie pliki cookie to pary klucz-wartość. Plik cookie ma nazwę, wartość oraz zestaw atrybutów sterujących jego zachowaniem. Gdy serwer chce ustawić plik cookie, dołącza nagłówek Set-Cookie do swojej odpowiedzi HTTP:
Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly
To instrukcja dla przeglądarki: „Zapisz plik cookie o nazwie session_id i wartości abc123. Wysyłaj go z każdym żądaniem do dowolnej ścieżki w tej domenie. Przechowuj go do marca 2027 roku. Wysyłaj wyłącznie przez HTTPS. I nie pozwól, aby JavaScript miał do niego dostęp”.
Przy każdym kolejnym żądaniu do tej domeny przeglądarka automatycznie dołącza plik cookie w nagłówku Cookie:
Cookie: session_id=abc123
Serwer odczytuje tę wartość i wie, od kogo pochodzi żądanie. Na tym polega cały mechanizm. Pliki cookie nie są programami. Nie mogą wykonywać kodu, uzyskiwać dostępu do Twojego systemu plików ani niczego instalować. To pasywne dane — ciągi tekstowe kursujące pomiędzy przeglądarką a serwerem.
Do czego służą pliki cookie
Pliki cookie pełnią we współczesnej sieci cztery główne funkcje:
Uwierzytelnianie i zarządzanie sesją
Gdy logujesz się na stronie, serwer tworzy sesję i zapisuje unikalny identyfikator sesji w pliku cookie. Bez tego pliku serwer nie miałby jak rozpoznać, że kolejne żądanie strony pochodzi od tego samego zalogowanego użytkownika. Każde załadowanie strony sprawiałoby wrażenie pierwszej wizyty. Koszyki zakupowe, konta użytkowników, panele administracyjne — żadne z nich nie działa bez plików cookie sesji.
Preferencje użytkownika
Pliki cookie zapamiętują Twoje wybory. Preferencje językowe, ustawienia motywu (tryb ciemny vs. jasny), wybór waluty, a nawet same wybory dotyczące zgody na pliki cookie — wszystko to zazwyczaj przechowywane jest w plikach cookie. Gdy wracasz na stronę, a ona już wie, że wolisz język niemiecki, ta wiedza żyje w pliku cookie.
Analityka i wydajność
Usługi takie jak Google Analytics, Matomo czy Plausible wykorzystują pliki cookie, aby odróżnić unikalnych odwiedzających od powracających, śledzić, które strony są przeglądane w ramach jednej sesji, oraz mierzyć sposób poruszania się użytkowników po witrynie. Plik cookie analityczny zazwyczaj nie zawiera bezpośrednio informacji osobowych — zawiera anonimowy identyfikator, na przykład _ga=GA1.2.123456789.1710000000.
Reklama i śledzenie
To właśnie tutaj pliki cookie stają się problemem dla prywatności. Sieci reklamowe wykorzystują pliki cookie do śledzenia użytkowników w wielu witrynach, budując profile zachowań w sieci, które umożliwiają reklamę ukierunkowaną. Gdy odwiedzasz stronę z wiadomościami, a później widzisz reklamy produktu oglądanego na zupełnie innej stronie, to właśnie międzywitrynowe pliki cookie śledzące to umożliwiły. Te pliki cookie stron trzecich są głównym celem współczesnych regulacji dotyczących prywatności.
Krótka historia plików cookie
Pliki cookie zostały wynalezione w 1994 roku przez Lou Montulliego, programistę z Netscape Communications. Pierwotny cel był skromny: Netscape potrzebowało sposobu na wdrożenie koszyka zakupowego dla klienta e-commerce bez przechowywania zawartości koszyka każdego użytkownika na serwerze. Montulli zaadaptował koncepcję „magicznych ciasteczek” (magic cookies) z systemów Unix — niewielkich tokenów przekazywanych między programami w celu utrzymania stanu.
Pierwsze pliki cookie były praktycznym rozwiązaniem inżynierskim. Ich potencjał w zakresie śledzenia dostrzeżono jednak szybko. Już w 1996 roku Financial Times opublikował pierwszy głośny artykuł podnoszący obawy o prywatność w związku z plikami cookie. Do 2002 roku UE uchwaliła dyrektywę ePrivacy, która wprost ich dotyczyła.
W ciągu następnych dwóch dekad pliki cookie przekształciły się z prostego narzędzia do zarządzania sesją w kręgosłup branży reklamy cyfrowej — i główny cel ustawodawstwa o ochronie prywatności na całym świecie.
Dlaczego pliki cookie budzą obawy o prywatność
Problem z prywatnością nie tkwi w samej technologii. Plik cookie, który zapamiętuje Twoje preferencje językowe, jest nieszkodliwy. Obawy wynikają z trzech konkretnych zastosowań:
- Śledzenie międzywitrynowe. Pliki cookie stron trzecich pozwalają sieciom reklamowym śledzić użytkowników w całej sieci, budując szczegółowe profile ich zachowań. Użytkownik, który odwiedza stronę z informacjami medycznymi, stronę organizacji politycznej oraz portal randkowy, ujawnia informacje wrażliwe — a wszystko to można powiązać za pomocą plików cookie.
- Brak przejrzystości. Większość użytkowników nie ma pojęcia, ile plików cookie zostaje ustawionych podczas wizyty na typowej stronie. Pojedynczy serwis informacyjny może ustawić 50–100 plików cookie z kilkudziesięciu różnych domen. Użytkownik widzi jedną witrynę; w tle jego wizytę obserwuje kilkadziesiąt firm.
- Trwałość. Pliki cookie mogą przetrwać całe lata. Plik śledzący ustawiony w 2024 roku może wciąż identyfikować tego samego użytkownika w 2026 roku. Ta zdolność do długoterminowego śledzenia, w połączeniu z zasięgiem międzywitrynowym, tworzy infrastrukturę inwigilacji działającą bez wiedzy większości użytkowników i bez ich świadomej zgody.
To właśnie z powodu tych obaw dyrektywa ePrivacy (art. 5 ust. 3) wymaga świadomej zgody przed umieszczeniem nieistotnych plików cookie, a GDPR (art. 4 pkt 11 oraz art. 7) określa surowe warunki tego, jak ma wyglądać ważna zgoda.
Poza plikami cookie: inne technologie śledzące
Współczesne regulacje dotyczące prywatności obejmują nie tylko pliki cookie. Dyrektywa ePrivacy odnosi się do „przechowywania informacji lub uzyskiwania dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika”. Takie sformułowanie celowo obejmuje każdy mechanizm przechowywania danych po stronie klienta, w tym:
- localStorage i sessionStorage — interfejsy Web Storage API, które pozwalają witrynom przechowywać większe ilości danych w przeglądarce. W przeciwieństwie do plików cookie dane te nie są automatycznie wysyłane do serwera, ale wciąż mogą być wykorzystywane do śledzenia i wymagają zgody na tych samych zasadach.
- IndexedDB — bardziej zaawansowana baza danych po stronie klienta. Obowiązują te same zasady dotyczące zgody.
- Fingerprinting przeglądarki — zbieranie cech urządzenia (rozdzielczość ekranu, zainstalowane czcionki, wtyczki przeglądarki, strefa czasowa) w celu utworzenia unikalnego identyfikatora bez przechowywania czegokolwiek na urządzeniu. Choć fingerprinting nie korzysta z plików cookie, jest coraz częściej uznawany za technologię śledzącą wymagającą zgody. Francuski CNIL i kilka innych organów ochrony danych wydały wytyczne to potwierdzające.
- Piksele śledzące — maleńkie, niewidoczne obrazy ładowane z serwera strony trzeciej. Samo żądanie ujawnia adres IP użytkownika, jego przeglądarkę oraz stronę, na której się znajduje. Piksele śledzące często współpracują z plikami cookie, ale mogą działać także niezależnie.
- ETagi i śledzenie oparte na pamięci podręcznej — techniki wykorzystujące buforowanie przeglądarki do przechowywania i odczytywania identyfikatorów. Są rzadziej stosowane, ale dobrze pokazują, dlaczego regulacje skupiają się na efekcie (śledzeniu), a nie na konkretnej technologii.
Praktyczny wniosek: jeśli Twoja witryna przechowuje informacje na urządzeniu użytkownika lub uzyskuje do nich dostęp w celach nieistotnych, albo jeśli stosuje techniki śledzenia użytkowników pomiędzy sesjami, zgoda jest niemal na pewno wymagana — niezależnie od tego, czy mechanizm jest technicznie „plikiem cookie”.
Skaner plików cookie Passiro wykrywa wszystkie pliki cookie i technologie śledzące na Twojej stronie, w tym wykorzystanie localStorage, skrypty stron trzecich oraz piksele śledzące — dając Ci pełny obraz tego, co zbiera Twoja witryna.
Najważniejsze wnioski
- Pliki cookie to niewielkie pliki tekstowe zapisywane przez przeglądarkę i odsyłane do serwera przy każdym żądaniu.
- Służą celom uzasadnionym (uwierzytelnianie, preferencje) oraz celom wrażliwym dla prywatności (analityka, reklama).
- Pliki cookie stron trzecich służące do śledzenia są głównym przedmiotem regulacji dotyczących prywatności.
- Inne technologie (localStorage, fingerprinting, piksele) podlegają tym samym wymogom w zakresie zgody.
- Zrozumienie, jakich plików cookie używa Twoja witryna, to pierwszy krok w kierunku zgodności.
W dalszej kolejności przyjrzyjmy się szczegółowo różnym rodzajom plików cookie — bo to właśnie rodzaj decyduje o wymogach dotyczących zgody.
W tej sekcji
Czy Twoja strona jest zgodna z przepisami o cookies?
Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.
Przeskanuj cookies za darmo