Lista kontrolna zgodności cookies: 25 punktów do pełnej zgodności
Zgodność w zakresie plików cookie obejmuje wdrożenie techniczne, dokumentację prawną oraz bieżące procesy operacyjne. Pominięcie choćby jednego elementu może skutkować niezgodnością, nawet jeśli wszystko inne jest w porządku. Ta uporządkowana lista kontrolna zawierająca 25 punktów obejmuje każdy aspekt zgodności cookies w świetle GDPR, dyrektywy ePrivacy oraz najważniejszych międzynarodowych przepisów o ochronie prywatności. Wykorzystaj ją zarówno jako przewodnik wdrożeniowy, jak i narzędzie do regularnych audytów.
Inwentaryzacja plików cookie
Nie da się zarządzać czymś, czego się nie zmierzyło. Kompletny, dokładny wykaz plików cookie stanowi podstawę wszystkich pozostałych działań w zakresie zgodności.
-
Wszystkie pliki cookie zidentyfikowane i udokumentowane
Każdy plik cookie, który ustawia Twoja witryna, musi zostać zidentyfikowany, w tym cookies ustawiane przez skrypty firm trzecich, osadzone treści oraz dynamicznie ładowane zasoby. Skorzystaj z automatycznego skanowania, aby zapewnić pełne pokrycie wszystkich podstron, a nie tylko strony głównej. Twój wykaz powinien obejmować pliki cookie HTTP, wpisy w localStorage, wpisy w sessionStorage oraz wszelkie inne mechanizmy przechowywania danych po stronie klienta wykorzystywane do śledzenia.
-
Każdy plik cookie prawidłowo skategoryzowany
Każdy plik cookie musi zostać przypisany do właściwej kategorii zgodności: ściśle niezbędne, funkcjonalne, analityczne/wydajnościowe lub marketingowe/reklamowe. Kategoryzacja musi być uczciwa — plik cookie, który śledzi użytkowników w celach reklamowych, nie może zostać zaklasyfikowany jako „funkcjonalny” tylko dlatego, że zapewnia również pewną korzyść funkcjonalną. W razie wątpliwości należy zastosować bardziej rygorystyczną kategorię. Organy ochrony danych szczegółowo analizują kategoryzację, a błędna klasyfikacja jest jednym z najczęstszych ustaleń w postępowaniach egzekucyjnych.
-
Pliki cookie firm trzecich zidentyfikowane wraz z dostawcami
Dla każdego pliku cookie firmy trzeciej w Twojej witrynie udokumentuj, która usługa go ustawia, dlaczego znajduje się na Twojej stronie oraz jakie dane gromadzi lub udostępnia. Do najczęstszych źródeł cookies firm trzecich należą platformy analityczne (Google Analytics, Adobe Analytics), sieci reklamowe (Google Ads, Meta Pixel, LinkedIn Insight Tag), widżety mediów społecznościowych, osadzone materiały wideo (YouTube, Vimeo), narzędzia czatu (Intercom, Drift) oraz platformy do testów A/B (Optimizely, VWO). Z każdym dostawcą zewnętrznym powinna być zawarta umowa powierzenia przetwarzania danych.
-
Udokumentowane okresy przechowywania plików cookie
Zapisz okres wygaśnięcia dla każdego pliku cookie. Cookies sesyjne wygasają po zamknięciu przeglądarki. Cookies trwałe mają określony czas życia, który musi zostać udokumentowany (np. 30 dni, 1 rok, 2 lata). Zgodnie z zasadami minimalizacji danych i ograniczenia przechowywania wynikającymi z GDPR, okresy przechowywania cookies powinny być proporcjonalne do ich celu. Trudno byłoby uzasadnić analityczny plik cookie utrzymujący się przez 10 lat. CNIL zaleca maksymalnie 13 miesięcy dla analitycznych plików cookie.
-
Cele plików cookie udokumentowane prostym językiem
Cel każdego pliku cookie musi być opisany w sposób zrozumiały dla przeciętnego użytkownika witryny. „Ten plik cookie przechowuje unikalny identyfikator w celu śledzenia Twojej aktywności przeglądania w naszej witrynie na potrzeby analityki” jest jasne. „
_ga: Wykorzystywany przez Google Analytics do rozróżniania użytkowników” nie jest wystarczające dla większości użytkowników. Opis celu powinien odpowiadać na pytanie: „Co robi ten plik cookie i dlaczego miałbym na niego wyrazić zgodę?”
Mechanizm zgody
Mechanizm zgody to miejsce, w którym wymogi prawne spotykają się z wdrożeniem technicznym. Prawidłowe jego zaprojektowanie jest najważniejszym — i najczęściej zawodzącym — aspektem zgodności cookies.
-
Zgoda uzyskana PRZED ustawieniem cookies nieistotnych
To najważniejszy pojedynczy wymóg techniczny. Żadne pliki cookie analityczne, reklamowe ani inne nieistotne nie mogą zostać ustawione, dopóki użytkownik nie wyrazi wyraźnej zgody. Oznacza to, że skrypty firm trzecich muszą być zablokowane przed załadowaniem do momentu otrzymania zgody. Zwykłe usuwanie plików cookie po fakcie nie jest zgodne z przepisami — dyrektywa ePrivacy wymaga zgody przed zapisaniem danych, a nie ich wstecznego usunięcia. Przetestuj to, odwiedzając swoją witrynę w oknie incognito i sprawdzając, które pliki cookie są ustawiane przed interakcją z bannerem.
-
Skrypty zablokowane do momentu wyrażenia zgody
Blokowanie plików cookie nie wystarczy — skrypty, które je ustawiają, muszą mieć uniemożliwione wykonanie. Skrypt, który ładuje się i uruchamia, lecz nie może zapisać pliku cookie, wciąż może gromadzić i przesyłać dane (za pomocą pikseli, sygnalizatorów lub wywołań API). Twój system zarządzania zgodą musi uniemożliwiać załadowanie samego skryptu do czasu zaakceptowania odpowiedniej kategorii zgody. Do najczęstszych podejść wdrożeniowych należą zmiana atrybutu
typetagów skryptów (np. ztext/javascriptnatext/plain) oraz dynamiczne wstrzykiwanie skryptów po wyrażeniu zgody. -
Przyciski Akceptuj i Odrzuć równie widoczne
Opcja odrzucenia nieistotnych plików cookie musi być przedstawiona z taką samą widocznością jak opcja ich zaakceptowania. Oznacza to identyczne opracowanie wizualne: ten sam rozmiar, tę samą intensywność koloru, tę samą warstwę interfejsu. Duży, zielony przycisk „Zaakceptuj wszystkie” obok małego, szarego linku „Zarządzaj ustawieniami” nie stanowi równej widoczności. CNIL, Garante oraz wiele innych organów ochrony danych nakładały kary właśnie za ten problem. Obie opcje powinny znajdować się na pierwszej warstwie bannera cookies, bez konieczności dodatkowych kliknięć.
-
Dostępna szczegółowa zgoda na poziomie kategorii
Użytkownicy muszą mieć możliwość niezależnego wyrażenia zgody na poszczególne kategorie plików cookie. Zaakceptowanie cookies analitycznych nie powinno wymagać jednoczesnego zaakceptowania cookies reklamowych. Zapewnij co najmniej oddzielne przełączniki dla: ściśle niezbędnych (zawsze włączone, bez możliwości przełączania), funkcjonalnych, analitycznych/wydajnościowych oraz marketingowych/reklamowych. Jeśli używasz cookies do wielu odrębnych celów w obrębie jednej kategorii, rozważ udostępnienie jeszcze bardziej szczegółowych opcji.
-
Brak wstępnie zaznaczonych pól wyboru
Gdy użytkownik otworzy szczegółowe preferencje dotyczące cookies, wszystkie opcjonalne kategorie muszą być domyślnie odznaczone. Wstępnie włączone mogą być jedynie cookies ściśle niezbędne (które nie wymagają zgody). Trybunał Sprawiedliwości UE potwierdził w wyroku Planet49 (sprawa C-673/17), że wstępnie zaznaczone pola wyboru nie stanowią ważnej zgody. Dotyczy to niezależnie od tego, czy użytkownik może je odznaczyć — stan domyślny musi oznaczać brak zgody i wymagać wyraźnego działania w celu jej wyrażenia.
-
Wycofanie zgody równie łatwe jak jej udzielenie
Artykuł 7 ust. 3 GDPR wymaga, aby wycofanie zgody było równie łatwe jak jej udzielenie. Jeśli użytkownik może zaakceptować cookies jednym kliknięciem w bannerze, musi mieć możliwość wycofania zgody z porównywalną łatwością. Najlepszą praktyką jest trwały, zawsze widoczny link lub ikona (np. w stopce lub jako pływający przycisk), która otwiera centrum preferencji dotyczących cookies, gdzie użytkownik może zmienić lub cofnąć swoje wybory. Wymaganie od użytkownika wyczyszczenia plików cookie w przeglądarce, przejścia do ukrytej strony ustawień lub kontaktu z pomocą techniczną nie spełnia tego standardu.
-
Zapisy zgody przechowywane wraz ze znacznikami czasu
Musisz być w stanie wykazać, że zgoda została udzielona. Przechowuj rejestr każdego działania związanego ze zgodą, obejmujący: znacznik czasu, dokonane wybory zgody (które kategorie zaakceptowano/odrzucono), wersję bannera i polityki cookies obowiązującą w danym momencie oraz unikalny identyfikator zgody (niekoniecznie powiązany z kontem użytkownika w przypadku anonimowych odwiedzających). Zgodnie z zasadą rozliczalności wynikającą z GDPR ciężar dowodu w zakresie zgody spoczywa na administratorze. Jeśli nie możesz przedstawić dowodu, że konkretny użytkownik wyraził zgodę, jego zgoda jest w praktyce nieudowodniona.
Polityka cookies
Twoja polityka cookies jest zarówno dokumentem prawnym, jak i narzędziem transparentności. Musi być dokładna, kompletna i zrozumiała.
-
Polityka cookies istnieje i jest dostępna
Dedykowana polityka cookies (lub wyraźna sekcja dotycząca cookies w polityce prywatności) musi istnieć i być łatwa do odnalezienia. Najlepszą praktyką jest dedykowana strona z linkami w stopce witryny, w bannerze cookies oraz w głównej polityce prywatności. Polityka musi być dostępna bez akceptacji cookies — użytkownicy powinni móc się z nią zapoznać przed podjęciem decyzji o zgodzie.
-
Wszystkie pliki cookie wymienione wraz z nazwami, celami, typami i okresami przechowywania
Twoja polityka cookies musi zawierać tabelę lub uporządkowaną listę każdego pliku cookie, który ustawia witryna, obejmującą: nazwę cookie, kto go ustawia (własny czy dostawca zewnętrzny), co robi (prostym językiem), czy jest cookie sesyjnym czy trwałym oraz jak długo się utrzymuje. Nie jest to opcjonalne — to wyraźny wymóg wynikający z przepisów o transparentności GDPR (art. 12-14) oraz wymogu świadomej zgody z dyrektywy ePrivacy.
-
Zidentyfikowani dostawcy zewnętrzni
Twoja polityka musi wymieniać z nazwy usługi firm trzecich, które ustawiają cookies w Twojej witrynie. „Używamy analitycznych cookies firm trzecich” nie wystarczy. Wystarczające jest natomiast: „Używamy Google Analytics (Google LLC), które ustawia następujące pliki cookie:
_ga,_gid,_gat”. Użytkownicy mają prawo wiedzieć, kto gromadzi dane na ich temat, oraz podejmować świadome decyzje dotyczące każdego dostawcy. -
Zawarte instrukcje zarządzania plikami cookie
Twoja polityka powinna wyjaśniać, jak użytkownicy mogą zarządzać swoimi preferencjami dotyczącymi cookies, w tym: jak uzyskać dostęp do centrum preferencji cookies w celu zmiany wyborów zgody, jak usunąć istniejące pliki cookie za pośrednictwem ustawień przeglądarki oraz linki do polityk prywatności głównych dostawców cookies firm trzecich. Choć zarządzanie plikami cookie na poziomie przeglądarki należy do obowiązków użytkownika, zapewnienie jasnych instrukcji świadczy o dobrej wierze i wspiera zasadę wzmacniania pozycji użytkownika.
-
Polityka opatrzona datą i regularnie aktualizowana
Twoja polityka cookies musi zawierać datę ostatniej aktualizacji. Za każdym razem, gdy dodajesz nowe pliki cookie, usuwasz istniejące, zmieniasz dostawców zewnętrznych lub modyfikujesz cele cookies, polityka musi zostać zaktualizowana, aby odzwierciedlić tę zmianę. Polityka bez daty lub taka, która nie była aktualizowana od ponad roku, to sygnał ostrzegawczy dla organów ochrony danych. Najlepsza praktyka: zintegruj wyniki skanowania cookies z polityką, aby była ona aktualizowana automatycznie po wykryciu nowych plików cookie.
Banner cookies
Banner cookies to widoczny interfejs Twojego systemu zarządzania zgodą. Musi łączyć zgodność prawną z użytecznością.
-
Banner wyświetla się przy pierwszej wizycie, przed ustawieniem cookies
Banner cookies musi pojawiać się przy pierwszej wizycie użytkownika w witrynie, zanim zostaną ustawione jakiekolwiek nieistotne pliki cookie. Banner powinien być natychmiast widoczny bez przewijania, nie powinien być łatwo zamykany przez przypadkowe kliknięcia i powinien pozostawać na ekranie, dopóki użytkownik nie dokona aktywnego wyboru. Banner nie może utrudniać użytkownikowi opuszczenia strony ani dostępu do niezbędnych treści (chociaż ograniczanie dostępu do treści za wymogiem zgody może być dopuszczalne w niektórych jurysdykcjach, bezpieczniejszym podejściem jest umożliwienie nawigacji podczas wyświetlania bannera).
-
Banner jest dostępny (obsługa klawiatury, zgodność z czytnikami ekranu)
Twój banner cookies musi sam być dostępny. Oznacza to, że: wszystkie elementy interaktywne (przyciski, przełączniki, linki) muszą być osiągalne i obsługiwane za pomocą klawiatury; banner musi być prawidłowo zapowiadany czytnikom ekranu z odpowiednimi atrybutami ARIA; fokus musi być poprawnie zarządzany (powinien przenosić się na banner po jego pojawieniu i wracać na stronę po zamknięciu); kontrast kolorów musi spełniać standardy WCAG 2.1 AA (4,5:1 dla zwykłego tekstu, 3:1 dla dużego tekstu); a banner musi być użyteczny przy różnych poziomach powiększenia i rozmiarach ekranu. Niedostępny banner cookies to zarówno ryzyko prawne (niespełnienie wymogów WCAG), jak i ryzyko wizerunkowe dla każdej organizacji deklarującej dbałość o prywatność i inkluzywność.
-
Banner zawiera link do pełnej polityki cookies
Banner cookies musi zawierać link do pełnej polityki cookies, umożliwiając użytkownikom zapoznanie się ze szczegółowymi informacjami o każdym pliku cookie przed podjęciem decyzji o zgodzie. Link powinien być wyraźnie widoczny i opisany (np. „Przeczytaj naszą politykę cookies” lub „Dowiedz się więcej”). GDPR wymaga, aby zgoda była „świadoma”, co oznacza, że informacje niezbędne do podjęcia świadomej decyzji muszą być dostępne w momencie jej wyrażania.
-
Banner nie stosuje zwodniczych wzorców (dark patterns)
Zwodnicze wzorce w bannerach cookies podważają ważność zgody. Unikaj: nadawania przyciskowi akceptacji wizualnej dominacji (większy, jaśniejszy, bardziej widoczny) przy jednoczesnym uczynieniu opcji odrzucenia subtelną lub ukrytą; używania mylącego języka („Zaakceptuj zalecane ustawienia” zamiast jasnych opcji); wymagania większej liczby kliknięć do odrzucenia niż do akceptacji; stosowania kolorystyki sugerującej, że odrzucenie jest błędem (czerwony dla odrzucenia, zielony dla akceptacji); posługiwania się językiem zawstydzającym („Nie, nie zależy mi na moim doświadczeniu”) oraz wszelkich innych projektów, które nakłaniają, manipulują lub podstępem skłaniają użytkowników do akceptacji. Wytyczne EDPB dotyczące zwodniczych wzorców (przyjęte w lutym 2023 r.) zawierają szczegółowe przykłady zakazanych praktyk.
Aspekty techniczne i bieżące
Zgodność cookies nie jest projektem z datą zakończenia. To ciągły proces operacyjny.
-
Wdrożony Google Consent Mode v2 (w przypadku korzystania z usług Google)
Jeśli korzystasz z jakichkolwiek usług Google (Analytics, Ads, Tag Manager), Google Consent Mode v2 jest wymagany od marca 2024 r. do wyświetlania reklam na terenie EOG. Consent Mode przekazuje wybory zgody na cookies Twoich użytkowników do tagów Google, dostosowując ich działanie w zależności od statusu zgody. Bez Consent Mode tagi Google mogą nie działać poprawnie z Twoją platformą zarządzania zgodą, co prowadzi albo do utraty danych (całkowite zablokowanie tagów), albo do naruszeń zgodności (uruchamianie tagów bez zgody). Wdróż zarówno parametr zgody
ad_storage, jak ianalytics_storageoraz upewnij się, że domyślnie mają one wartość „denied” do momentu wyrażenia zgody. -
Zaplanowane regularne skanowanie plików cookie
Skonfiguruj automatyczne skanowanie cookies w cyklicznym harmonogramie. Skanuj co najmniej raz w miesiącu. Idealnie zintegruj skanowanie z procesem wdrożeniowym, aby każde wydanie było skanowane automatycznie. Skonfiguruj powiadomienia o nowych lub zmienionych plikach cookie, aby Twój zespół mógł je szybko ocenić i skategoryzować. Skanowanie, które jest przeprowadzane, ale nigdy nie jest analizowane, nie przynosi żadnych korzyści dla zgodności.
-
Proces przeglądu nowych skryptów firm trzecich
Ustanów formalny proces, który musi być przestrzegany, zanim dodasz do witryny jakikolwiek nowy skrypt, wtyczkę lub usługę firmy trzeciej. Proces powinien obejmować: ustalenie, jakie cookies ustawia dany skrypt, skategoryzowanie tych cookies, zaktualizowanie konfiguracji systemu zarządzania zgodą w celu ich uwzględnienia, zaktualizowanie polityki cookies oraz zweryfikowanie, że skrypt jest prawidłowo blokowany do momentu wyrażenia odpowiedniej zgody. Proces ten powinien obejmować zarówno przegląd techniczny (dział rozwoju), jak i przegląd zgodności (prawny/prywatności). Najczęstszą przyczyną naruszeń zgodności cookies jest dodawanie do witryny nowych skryptów bez przeprowadzenia przeglądu pod kątem prywatności.
-
Personel przeszkolony w zakresie zgodności cookies
Wszyscy zaangażowani w prace nad Twoją witryną — programiści, marketerzy, twórcy treści i menedżerowie — powinni rozumieć podstawy zgodności cookies oraz swoją rolę w jej utrzymaniu. Programiści muszą wiedzieć, jak dodawać skrypty w sposób uwzględniający zgodę. Marketerzy muszą rozumieć, że dodanie nowego piksela śledzącego wymaga przeglądu zgodności. Twórcy treści muszą wiedzieć, że osadzenie filmu z YouTube wprowadza cookies firm trzecich. Szkolenie nie musi być obszerne, ale musi obejmować kluczową zasadę: żadnego nowego śledzenia bez przeglądu. Jeden nieprzeszkolony członek zespołu, który doda skrypt marketingowy bez przejścia przez proces przeglądu, może zniweczyć miesiące pracy nad zgodnością.
Jak korzystać z tej listy kontrolnej
Ta lista kontrolna została zaprojektowana do zastosowania na trzy sposoby:
- Wdrożenie początkowe: Przejdź po kolei przez wszystkie 25 punktów podczas pierwszego konfigurowania zgodności cookies. Nie pomijaj punktów ani nie odkładaj ich na później — częściowa zgodność wciąż oznacza niezgodność.
- Regularny audyt: Przeglądaj listę kontrolną co kwartał, aby zweryfikować, że wszystkie punkty pozostają spełnione. Zwróć szczególną uwagę na elementy bieżące (punkty 22-25), ponieważ to one najbardziej narażone są na dezaktualizację z czasem.
- Po wprowadzeniu zmian: Za każdym razem, gdy Twoja witryna przechodzi istotną zmianę (nowe funkcje, nowe usługi firm trzecich, przeprojektowanie, migracja CMS), przejdź przez odpowiednie sekcje listy kontrolnej, aby zweryfikować utrzymanie zgodności.
Zgodność cookies jest osiągalna. Wymaga uwagi i odpowiedniego procesu, ale żaden z pojedynczych wymogów nie jest nadmiernie trudny. Organizacje, które mają z nią problemy, to zazwyczaj te, które traktują zgodność jako jednorazowy projekt, a nie bieżącą kwestię operacyjną. Wbuduj ją w swój tok pracy, przypisz jasną odpowiedzialność i wykorzystuj tę listę kontrolną jako cykliczne narzędzie weryfikacji.
Czy Twoja strona jest zgodna z przepisami o cookies?
Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.
Przeskanuj cookies za darmo