Skip to main content

Skanowanie i audyt plików cookie: poznaj pliki ustawiane przez Twoją witrynę

Nie da się spełnić wymogów przepisów dotyczących plików cookie, jeśli nie wiadomo, które pliki cookie ustawia Twoja witryna. Wydaje się to oczywiste, a jednak jest to najczęstsza przyczyna niezgodności z przepisami dotyczącymi plików cookie. Witryny nieustannie się zmieniają — instalowane są nowe wtyczki, dodawane są znaczniki marketingowe, aktualizowane są skrypty firm trzecich — a każda zmiana może wprowadzić nowe pliki cookie. Audyt plików cookie nie jest działaniem jednorazowym. To ciągły proces, który musi nadążać za rozwojem Twojej witryny.

Dlaczego skanowanie plików cookie ma znaczenie

Każdy obowiązek związany ze zgodnością w zakresie plików cookie zależy od posiadania dokładnego i kompletnego wykazu plików cookie. Bez niego:

  • Twój baner cookie jest niekompletny. Jeśli baner wymienia cztery kategorie plików cookie, a Twoja witryna faktycznie ustawia pliki w piątej kategorii, użytkownicy nie mogą wyrazić świadomej zgody. Ich zgoda jest nieważna w świetle GDPR.
  • Twoja polityka cookie jest nieprawidłowa. Organy ochrony danych oczekują, że polityka cookie wymieni każdy plik cookie z nazwą, celem, typem i czasem przechowywania. Niekompletna lub nieaktualna polityka to naruszenie zgodności, którego organy aktywnie poszukują podczas kontroli.
  • Twój mechanizm zgody może nie blokować wszystkich plików cookie. Jeśli nowo dodany skrypt ustawia pliki cookie, które nie zostały uwzględnione w konfiguracji zarządzania zgodami, pliki te uruchamiają się bez zgody — co stanowi bezpośrednie naruszenie art. 5 ust. 3 dyrektywy ePrivacy.
  • Nie możesz odpowiadać na żądania użytkowników. Zgodnie z GDPR użytkownicy mają prawo wiedzieć, jakie dane o nich zbierasz. Jeśli nie wiesz, które pliki cookie ustawia Twoja witryna, nie możesz udzielić dokładnych odpowiedzi na żądania dostępu do danych osobowych.

Co ujawnia skan plików cookie

Dokładny skan plików cookie identyfikuje:

  • Nazwy plików cookie: dokładny identyfikator każdego pliku cookie (np. _ga, _fbp, JSESSIONID).
  • Pochodzenie: czy plik cookie jest własny (ustawiany przez Twoją domenę), czy pochodzi od firmy trzeciej (ustawiany przez domenę zewnętrzną).
  • Typ: plik cookie sesyjny (usuwany po zamknięciu przeglądarki) lub trwały (pozostający przez określony czas).
  • Czas przechowywania: jak długo plik cookie pozostaje aktywny, zanim wygaśnie (np. 30 minut, 1 rok, 2 lata).
  • Cel: co robi dany plik cookie — zarządzanie sesją, analityka, reklama, personalizacja lub funkcje techniczne.
  • Kategoria: kategoria zgodności, do której należy plik cookie — ściśle niezbędne, funkcjonalne, analityczne/wydajnościowe lub marketingowe/reklamowe.
  • Dostawca zewnętrzny: jeśli plik cookie jest ustawiany przez firmę trzecią, do której usługi należy (Google Analytics, Facebook, HubSpot, Hotjar itd.).
  • Zbierane dane: jakie informacje przechowuje dany plik cookie lub czego zbieranie umożliwia.

Ręczne skanowanie plików cookie za pomocą narzędzi deweloperskich przeglądarki

Najbardziej podstawowa metoda skanowania plików cookie wykorzystuje narzędzia deweloperskie wbudowane w każdą nowoczesną przeglądarkę. Choć skanowanie ręczne ma poważne ograniczenia, jest przydatne do wyrywkowej kontroli i zrozumienia, jak pliki cookie działają na Twojej witrynie.

Krok po kroku: ręczny audyt plików cookie w Chrome

  1. Otwórz okno incognito/prywatne. Zapewni to czysty start — bez istniejących plików cookie z poprzednich wizyt.
  2. Otwórz narzędzia deweloperskie (naciśnij F12 lub kliknij prawym przyciskiem myszy i wybierz „Zbadaj”).
  3. Przejdź do zakładki Application (w Chrome) lub zakładki Storage (w Firefoksie).
  4. Rozwiń sekcję „Cookies” w lewym pasku bocznym. Zobaczysz listę domen.
  5. Odwiedź swoją witrynę bez interakcji z banerem cookie. Zwróć uwagę, które pliki cookie są ustawiane od razu — to pliki cookie ustawiane przed wyrażeniem zgody, którymi powinny być wyłącznie ściśle niezbędne pliki cookie.
  6. Zaakceptuj wszystkie pliki cookie w banerze cookie. Odśwież zakładkę Application/Storage i zwróć uwagę na nowe pliki cookie, które się pojawią.
  7. Przejdź przez kluczowe strony swojej witryny (strona główna, strony produktów, kasa, formularz kontaktowy, blog). Niektóre pliki cookie są ustawiane tylko na określonych stronach lub po określonych interakcjach.
  8. Udokumentuj każdy plik cookie: dla każdego znalezionego pliku cookie zapisz jego nazwę, domenę, ścieżkę, datę wygaśnięcia, rozmiar oraz to, czy jest to plik HTTP-only lub secure.
  9. Sprawdź zakładkę Network pod kątem dodatkowego śledzenia. Niektóre technologie śledzące wykorzystują piksele, sygnalizatory (beacons) lub wywołania API zamiast tradycyjnych plików cookie. Zakładka Network ujawnia wszystkie żądania wychodzące do domen firm trzecich.

Ograniczenia skanowania ręcznego

Skanowanie ręczne jest cenne do nauki i wyrywkowej kontroli, ale ma poważne ograniczenia w kontekście zgodności z przepisami:

  • Niepełny zakres. Możesz sprawdzić tylko strony, które ręcznie odwiedzisz. Duża witryna z setkami stron może ustawiać różne pliki cookie na różnych stronach. Skanowanie ręczne w praktyce nie jest w stanie objąć ich wszystkich.
  • Brak kategoryzacji. Narzędzia deweloperskie pokazują surowe dane plików cookie, ale nie kategoryzują ich według celu ani kategorii zgodności. Każdy plik cookie musisz zbadać osobno.
  • Tylko obraz z danej chwili. Skanowanie ręczne daje jedynie migawkę. Nie wykrywa nowych plików cookie dodanych po audycie.
  • Brak weryfikacji blokowania skryptów. Skanowanie ręczne nie pozwala łatwo zweryfikować, czy platforma zarządzania zgodami prawidłowo blokuje skrypty przed wyrażeniem zgody.
  • Czasochłonność. Nawet dla witryny liczącej 20 stron ręczne sprawdzanie każdej strony i dokumentowanie każdego pliku cookie zajmuje wiele godzin.

Automatyczne skanowanie plików cookie

Narzędzia do automatycznego skanowania plików cookie eliminują ograniczenia skanowania ręcznego, przeszukując całą witrynę, identyfikując wszystkie pliki cookie i systematycznie je kategoryzując. Dobre narzędzie do automatycznego skanowania zapewnia:

  • Kompleksowe przeszukiwanie: skaner odwiedza każdą stronę Twojej witryny (lub zdefiniowany podzbiór), w tym strony dostępne wyłącznie poprzez nawigację lub wyszukiwanie.
  • Przed i po wyrażeniu zgody: skaner sprawdza, które pliki cookie są ustawiane przed wyrażeniem zgody, które pojawiają się po jej wyrażeniu oraz czy odrzucone kategorie są prawidłowo blokowane.
  • Automatyczna kategoryzacja: znane pliki cookie (takie jak _ga Google Analytics czy _fbp Facebooka) są automatycznie kategoryzowane na podstawie utrzymywanych baz danych celów plików cookie.
  • Identyfikacja firm trzecich: wszystkie domeny firm trzecich ustawiające pliki cookie są identyfikowane i dokumentowane.
  • Skanowanie zaplanowane: skanowanie uruchamia się automatycznie według harmonogramu (co tydzień, po wdrożeniach), aby wychwycić nowe pliki cookie w chwili ich pojawienia się.
  • Wykrywanie zmian: skaner powiadamia Cię, gdy pojawią się nowe pliki cookie lub zmienią się istniejące, dzięki czemu możesz zaktualizować mechanizm zgody i politykę cookie.
  • Raporty zgodności: wyniki są sformatowane w sposób wspierający Twoją dokumentację zgodności.

Na co zwrócić uwagę przy wyborze narzędzia do skanowania plików cookie

Oceniając rozwiązania do automatycznego skanowania plików cookie, weź pod uwagę:

  1. Renderowanie JavaScript: wiele plików cookie jest ustawianych przez JavaScript uruchamiany po załadowaniu strony. Skaner musi wykonywać JavaScript (za pomocą prawdziwego silnika przeglądarki), aby wykryć te pliki cookie. Proste crawlery HTTP, które nie renderują JavaScriptu, pominą większość plików cookie firm trzecich.
  2. Głębokość przeszukiwania: skaner powinien podążać za linkami wewnętrznymi i przeszukiwać całą witrynę, a nie tylko stronę główną. Pliki cookie ustawiane przez osadzone filmy, formularze, widżety czatu czy operatorów płatności na konkretnych stronach zostaną pominięte, jeśli skanowana jest tylko strona główna.
  3. Symulacja pierwszej wizyty: skaner powinien symulować użytkownika odwiedzającego witrynę po raz pierwszy (bez istniejących plików cookie, bez wyrażonej zgody), aby zweryfikować, że przed wyrażeniem zgody nie są ustawiane żadne nieistotne pliki cookie.
  4. Baza danych plików cookie: utrzymywana baza znanych plików cookie wraz z ich celami i kategoriami znacząco zmniejsza nakład pracy ręcznej przy klasyfikacji.
  5. Raportowanie: przejrzyste, eksportowalne raporty, które można udostępnić zespołom prawnym, marketingowym i deweloperskim.
  6. Harmonogramowanie i powiadomienia: automatyczne skanowanie według konfigurowalnego harmonogramu z powiadomieniami o wykryciu nowych plików cookie.

Proces skanowania plików cookie

Dokładny skan plików cookie obejmuje pięć kroków, niezależnie od tego, czy jest wykonywany ręcznie, czy za pomocą narzędzi automatycznych:

Krok 1: Przeszukaj wszystkie strony

Zacznij od zbudowania kompletnej mapy swojej witryny. Obejmuje ona wszystkie strony publiczne, strony wymagające uwierzytelnienia (jeśli dotyczy), strony docelowe, strony z podziękowaniem, strony błędów oraz każdą stronę, do której może dotrzeć odwiedzający. Nie ograniczaj skanu do strony głównej — pliki cookie są często ustawiane przez skrypty firm trzecich ładujące się wyłącznie na konkretnych stronach (np. osadzone wideo YouTube na wpisie blogowym, operator płatności na stronie kasy lub widżet czatu pojawiający się tylko na stronach wsparcia).

Krok 2: Zidentyfikuj wszystkie pliki cookie

Dla każdej strony zapisz każdy ustawiany plik cookie. Obejmuje to zarówno pliki cookie HTTP (widoczne w nagłówku Set-Cookie i w pamięci plików cookie przeglądarki), jak i mechanizmy pamięci po stronie klienta (localStorage, sessionStorage, IndexedDB), które mogą pełnić funkcję technologii śledzących, choć technicznie nie są plikami cookie.

Krok 3: Ustal pochodzenie plików cookie

Dla każdego pliku cookie ustal, czy jest własny (ustawiany przez Twoją domenę), czy pochodzi od firmy trzeciej (ustawiany przez domenę zewnętrzną). Pliki cookie firm trzecich są szczególnie istotne dla zgodności, ponieważ zazwyczaj wiążą się z udostępnianiem danych organizacjom zewnętrznym, co wymaga ujawnienia w polityce cookie oraz, w wielu przypadkach, zawarcia umowy powierzenia przetwarzania danych.

Krok 4: Sklasyfikuj pliki cookie według kategorii

Przypisz każdy plik cookie do kategorii zgodności:

  • Ściśle niezbędne: wymagane do prawidłowego działania witryny. Nie mogą zostać wyłączone przez użytkownika. Przykłady: pliki cookie sesyjne, tokeny CSRF, pliki równoważenia obciążenia, pliki cookie zapisujące preferencje zgody.
  • Funkcjonalne: umożliwiają rozszerzone funkcje i personalizację. Przykłady: preferencje językowe, wybór regionu, ostatnio przeglądane produkty (gdy nie są wykorzystywane do celów reklamowych).
  • Analityczne/wydajnościowe: zbierają informacje o tym, jak odwiedzający korzystają z witryny. Przykłady: pliki cookie Google Analytics, Hotjar, Matomo.
  • Marketingowe/reklamowe: śledzą odwiedzających w wielu witrynach w celach reklamowych. Przykłady: Facebook Pixel, pliki cookie Google Ads, pliki cookie remarketingowe, pliki śledzenia afiliacyjnego.

Krok 5: Udokumentuj cel, czas przechowywania i typ

Dla każdego pliku cookie udokumentuj jego cel prostym językiem zrozumiałym dla osoby nietechnicznej, czas przechowywania (sesyjny czy trwały, a jeśli trwały — jak długo) oraz typ (plik cookie HTTP, localStorage itd.). Dokumentacja ta stanowi podstawę Twojej polityki cookie oraz informacji przedstawianych w banerze cookie.

Bieżące monitorowanie

Skan plików cookie jest ważny wyłącznie w chwili jego wykonania. Twoja witryna nie jest statyczna — zmienia się z każdym wdrożeniem, aktualizacją wtyczki i kampanią marketingową. Bieżące monitorowanie jest niezbędne, ponieważ:

  • Nowe skrypty wprowadzają nowe pliki cookie. Gdy deweloper dodaje nowe narzędzie analityczne, zespół marketingowy instaluje nowy piksel śledzący lub aktualizowana jest wtyczka, na Twojej witrynie mogą pojawić się nowe pliki cookie, mimo że nikt świadomie nie zdecydował o ich dodaniu.
  • Skrypty firm trzecich się zmieniają. Nawet jeśli nie zmieniasz swojej witryny, wykorzystywane przez Ciebie usługi firm trzecich mogą zaktualizować swoje skrypty i wprowadzić nowe pliki cookie. Aktualizacja Google Analytics, zmiana widżetu mediów społecznościowych czy zmiana konfiguracji CDN — wszystko to może wpłynąć na pliki cookie na Twojej witrynie.
  • Zgodność jest procesem ciągłym. Organy ochrony danych oczekują, że Twoja polityka cookie i mechanizm zgody będą odzwierciedlać aktualny stan witryny. Polityka, która była poprawna pół roku temu, ale nie uwzględnia dodanych od tego czasu plików cookie, jest dziś niezgodna z przepisami.

Najlepszą praktyką jest uruchamianie automatycznych skanów po każdym wdrożeniu oraz co najmniej raz w miesiącu. Skonfiguruj powiadomienia o nowych plikach cookie, aby Twój zespół mógł je ocenić, sklasyfikować i dodać do mechanizmu zgody, zanim staną się problemem związanym ze zgodnością.

Skanowanie plików cookie a Twoja polityka cookie

Twoja polityka cookie i wyniki skanowania plików cookie muszą pozostawać zsynchronizowane. Każdy plik cookie zidentyfikowany podczas skanu powinien być udokumentowany w polityce, a każdy plik cookie wymieniony w polityce powinien faktycznie występować na Twojej witrynie. Rozbieżność w którymkolwiek kierunku stanowi problem:

  • Pliki cookie na witrynie, ale nie w polityce: oznacza to, że użytkownicy nie są informowani o całym śledzeniu na Twojej witrynie. Ich zgoda, nawet jeśli została udzielona, może nie obejmować nieujawnionych plików cookie.
  • Pliki cookie w polityce, ale nie na witrynie: choć mniej poważne, wymienianie nieistniejących plików cookie wprowadza zamęt i podważa zaufanie do dokładności Twojej dokumentacji.

Najbardziej efektywnym podejściem jest zintegrowanie narzędzia do skanowania z polityką cookie, tak aby polityka była automatycznie aktualizowana po wykryciu nowych plików cookie. Eliminuje to ręczny etap aktualizacji polityki po każdym skanie i zmniejsza ryzyko rozejścia się obu dokumentów.

Jak Passiro obsługuje skanowanie plików cookie

Skaner Passiro wykorzystuje silnik przeglądarki bezgłowej (headless), aby odwiedzić każdą stronę Twojej witryny, wykonując JavaScript dokładnie tak, jak zrobiłaby to przeglądarka prawdziwego odwiedzającego. Zapewnia to wykrycie wszystkich plików cookie ustawianych przez dynamicznie ładowane skrypty, osadzoną treść oraz frameworki aplikacji jednostronicowych (SPA). Skaner uruchamia się przed i po symulowanej zgodzie, aby zweryfikować, że zarządzanie zgodami działa prawidłowo — że nieistotne pliki cookie są rzeczywiście blokowane do momentu wyrażenia zgody.

Wyniki skanowania są automatycznie kategoryzowane na podstawie stale aktualizowanej bazy znanych plików cookie, z możliwością ręcznej klasyfikacji lub reklasyfikacji dowolnego pliku cookie. Zaplanowane skany działają według konfigurowalnego harmonogramu, a Ty otrzymujesz powiadomienia o pojawieniu się nowych plików cookie na witrynie, dzięki czemu możesz zareagować, zanim staną się ryzykiem dla zgodności.

Jak często należy skanować?

Właściwa częstotliwość skanowania zależy od tego, jak często zmienia się Twoja witryna:

  • Po każdym wdrożeniu: każda zmiana w kodzie może potencjalnie wprowadzić nowe pliki cookie. Zintegruj skanowanie plików cookie ze swoim procesem CI/CD lub uruchamiaj skan po każdym wydaniu.
  • Po dodaniu usług firm trzecich: zawsze gdy dodajesz nowe narzędzie analityczne, platformę marketingową, widżet czatu, operatora płatności lub jakikolwiek skrypt firmy trzeciej, wykonaj skan niezwłocznie.
  • Co najmniej raz w miesiącu: nawet jeśli nie wprowadzasz żadnych zmian, skrypty firm trzecich na Twojej witrynie mogą się zaktualizować i wprowadzić nowe pliki cookie. Miesięczny skan wychwytuje te zmiany.
  • Po aktualizacjach CMP: jeśli aktualizujesz platformę zarządzania zgodami lub zmieniasz kategorie plików cookie, wykonaj skan, aby zweryfikować, że zmiany działają zgodnie z oczekiwaniami.
  • Przegląd kwartalny: poza automatycznym skanowaniem przeprowadzaj kwartalny ręczny przegląd wykazu plików cookie, aby zweryfikować, że kategoryzacje są nadal poprawne, że dostawcy zewnętrzni są nadal niezbędni, a Twoja polityka cookie odzwierciedla rzeczywistość.

Organizacje, które traktują skanowanie plików cookie jako rutynową czynność konserwacyjną, a nie okresowy audyt, to te, które utrzymują ciągłą zgodność — i unikają nieprzyjemnej niespodzianki w postaci odkrycia nieudokumentowanych plików cookie śledzących podczas kontroli organu ochrony danych.

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo