Skip to main content

Kiedy zgoda na pliki cookie jest wymagana?

Zasada ogólna jest prosta: zgoda jest wymagana dla wszystkich plików cookie z wyjątkiem tych ściśle niezbędnych. Ale szczegóły mają znaczenie. Dokładna wiedza o tym, kiedy zgoda jest, a kiedy nie jest wymagana, pozwala uniknąć zarówno nadmiernej zgodności (zniechęcania użytkowników zbędnymi zapytaniami o zgodę), jak i niedostatecznej zgodności (umieszczania plików cookie bez podstawy prawnej).

Zasada ogólna

Artykuł 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej (ePrivacy) ustanawia punkt wyjścia:

Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził na to zgodę, po otrzymaniu jasnych i wyczerpujących informacji [...] o celach przetwarzania.

Obejmuje to wszystkie pliki cookie, całą pamięć lokalną oraz wszelkie przechowywanie lub dostęp na poziomie urządzenia. Jeśli Twoja witryna zapisuje cokolwiek na urządzeniu użytkownika, zgoda jest domyślnym wymogiem.

Wyjątek dotyczący plików ściśle niezbędnych

Ten sam artykuł przewiduje jedyny wyjątek:

Nie stanowi to przeszkody dla technicznego przechowywania danych lub dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to bezwzględnie konieczne w celu świadczenia usługi społeczeństwa informacyjnego wyraźnie zażądanej przez abonenta lub użytkownika.

Wyjątek ten składa się z dwóch części:

  1. Transmisja techniczna: pliki cookie technicznie niezbędne do przeprowadzenia komunikacji. Zakres jest wąski — w praktyce ogranicza się do plików cookie równoważenia obciążenia i podobnych elementów niezbędnych na poziomie sieci.
  2. Ściśle niezbędne dla usługi: pliki cookie kluczowe dla usługi, o którą użytkownik wyraźnie zażądał. Kluczowe jest sformułowanie „wyraźnie zażądanej przez abonenta lub użytkownika". Usługa musi być czymś, o co użytkownik poprosił, a plik cookie musi być niezbędny do jej świadczenia.

Pliki cookie ściśle niezbędne (zgoda niewymagana)

  • Sesyjne pliki cookie uwierzytelniania. Gdy użytkownik loguje się, plik cookie sesji utrzymujący jego uwierzytelniony stan jest ściśle niezbędny dla usługi, o którą poprosił (dostęp do konta).
  • Pliki cookie koszyka zakupowego. W sklepie internetowym plik cookie śledzący produkty w koszyku jest ściśle niezbędny dla usługi zakupowej, z której korzysta użytkownik.
  • Tokeny ochrony CSRF. Są ściśle niezbędne dla bezpiecznego działania przesyłania formularzy.
  • Pliki cookie przechowujące preferencje zgody na cookie. Plik cookie zapisujący wybory dotyczące zgody użytkownika jest ściśle niezbędny — bez niego nie można respektować jego preferencji dotyczących prywatności.
  • Pliki cookie związane z danymi wejściowymi. Pliki cookie zapamiętujące dane wprowadzane w wieloetapowym procesie (jak formularz zamówienia), który użytkownik sam zainicjował.
  • Pliki cookie równoważenia obciążenia. Techniczne pliki cookie kierujące żądania do właściwego serwera. Podlegają one części wyjątku dotyczącej „transmisji".
  • Pliki cookie personalizacji interfejsu użytkownika. Gdy użytkownik wyraźnie wybiera język lub motyw za pomocą elementu sterującego na stronie, plik cookie zapisujący ten wybór jest ściśle niezbędny dla usługi, o którą poprosił. Zależy to jednak od kontekstu — patrz poniżej.

Pliki cookie, które NIE są ściśle niezbędne (zgoda wymagana)

  • Analityczne pliki cookie. Mierzenie ruchu na stronie służy interesom operatora witryny, a nie użytkownika. Użytkownik nie zażądał usługi analizy ruchu.
  • Reklamowe i retargetingowe pliki cookie. Służą interesom reklamodawców i operatora witryny, nigdy użytkownika.
  • Pliki cookie udostępniania w mediach społecznościowych. Są ustawiane przez zewnętrzne sieci społecznościowe, a nie dla usługi, o którą poprosił użytkownik.
  • Pliki cookie testów A/B. Służą celom optymalizacyjnym operatora.
  • Pliki cookie śledzenia partnerskiego. Śledzą, który partner skierował użytkownika, służąc interesom biznesowym operatora.
  • Trwałe pliki cookie logowania („zapamiętaj mnie"). EDPB zauważyła, że o ile sesyjny plik cookie dla bieżącego logowania jest niezbędny, o tyle trwały plik cookie utrzymujący zalogowanie użytkownika między sesjami wykracza poza to, co ściśle niezbędne. Użytkownik może zalogować się ponownie.
  • Pliki cookie monitorowania wydajności. Pliki cookie używane do monitorowania czasów ładowania stron, wskaźników błędów i podobnych metryk technicznych służą operatorowi, a nie użytkownikowi.

Debata o analityce first-party

Jednym z najbardziej spornych obszarów zgodności w zakresie plików cookie jest to, czy własne (first-party) analityczne pliki cookie mogą być używane bez zgody. Odpowiedź różni się w zależności od jurysdykcji i wciąż ewoluuje.

Stanowisko CNIL (Francja)

Francuska CNIL wydała szczegółowe wytyczne stwierdzające, że niektóre pliki cookie służące do pomiaru widowni mogą być zwolnione z obowiązku uzyskania zgody, pod warunkiem że:

  1. Cel jest ściśle ograniczony do pomiaru widowni (bez śledzenia międzywitrynowego)
  2. Dane nie są udostępniane stronom trzecim
  3. Pliki cookie są wyłącznie własne (first-party)
  4. Dane są wykorzystywane wyłącznie do tworzenia anonimowych statystyk
  5. Pliki cookie mają ograniczony czas życia (maksymalnie 13 miesięcy)
  6. Użytkownicy są informowani o ich stosowaniu
  7. Użytkownicy mogą zrezygnować

Pod tymi warunkami CNIL uznaje niektóre narzędzia (takie jak Matomo skonfigurowane w trybie chroniącym prywatność) za kwalifikujące się do wyjątku. Google Analytics nie kwalifikuje się, przede wszystkim dlatego, że Google przetwarza dane we własnej infrastrukturze i może je wykorzystywać do własnych celów.

Stanowisko holenderskiego AP (Holandia)

Holenderski Autoriteit Persoonsgegevens podobnie zasugerował, że analityczne pliki cookie o minimalnym wpływie na prywatność mogą być używane bez zgody, ale ustanowił warunki porównywalne z warunkami CNIL.

Inne jurysdykcje

Większość pozostałych europejskich organów ochrony danych nie przyjęła wyraźnego wyjątku dla analityki. ICO (Wielka Brytania) stwierdziło, że analityczne pliki cookie wymagają zgody. Niemieckie organy ochrony danych generalnie wymagają zgody dla wszystkich nieistotnych plików cookie. Stanowisko hiszpańskiego AEPD jest zgodne z wymogiem uzyskania zgody.

Praktyczna rekomendacja

Jeśli nie działasz wyłącznie we Francji lub Holandii i nie jesteś w stanie spełnić wszystkich warunków CNIL/AP, najbezpieczniejszym podejściem jest traktowanie analitycznych plików cookie jako wymagających zgody. Jeśli jednak polegasz na wyjątku dla analityki, udokumentuj swoje uzasadnienie, upewnij się, że spełniasz każdy warunek, i monitoruj rozwój sytuacji regulacyjnej — ten obszar wciąż ewoluuje.

Wyjątki od zgody według celu pliku cookie: schemat decyzyjny

Dla każdego pliku cookie na Twojej witrynie przeanalizuj te pytania:

  1. Czy plik cookie jest technicznie niezbędny do przeprowadzenia transmisji komunikatu? (np. równoważenie obciążenia) Jeśli tak: zgoda nie jest potrzebna. Jeśli nie: przejdź dalej.
  2. Czy użytkownik wyraźnie zażądał usługi, która wymaga tego pliku cookie? (np. logowanie, dodawanie produktów do koszyka) Jeśli tak: przejdź dalej. Jeśli nie: zgoda jest wymagana.
  3. Czy żądana usługa nie mogłaby funkcjonować bez tego konkretnego pliku cookie? Jeśli tak: zgoda nie jest potrzebna (ściśle niezbędny). Jeśli usługa działałaby, ale byłaby mniej wygodna: zgoda jest wymagana.
  4. Czy plik cookie jest własny (first-party), ograniczony do zagregowanej analityki, z danymi nieudostępnianymi stronom trzecim, oraz czy działasz w jurysdykcji z wyjątkiem dla analityki? Jeśli tak na wszystkie pytania: potencjalnie zwolniony, ale udokumentuj swoje uzasadnienie. Jeśli nie na którekolwiek: zgoda jest wymagana.
  5. We wszystkich pozostałych przypadkach: zgoda jest wymagana.

Sytuacje szczególne

Ściany cookie (cookie walls)

Ściana cookie blokuje dostęp do witryny, dopóki użytkownik nie zaakceptuje plików cookie. Stanowisko EDPB jest takie, że ściany cookie generalnie uniemożliwiają „dobrowolne" wyrażenie zgody i dlatego nie są zgodne z przepisami. Jednak niektóre organy ochrony danych (zwłaszcza holenderski AP, w następstwie orzeczenia sądu) zasugerowały, że ściany cookie mogą być dopuszczalne, jeśli oferowana jest prawdziwa, równoważna alternatywa — na przykład płatna wersja usługi bez plików cookie. Pozostaje to obszarem spornym.

Paywall a ściana cookie

Niektórzy wydawcy oferują model „zgoda albo płatność": bezpłatny dostęp w zamian za akceptację śledzących plików cookie lub opłata za korzystanie bez plików cookie. EDPB wydała w 2024 roku opinię dotyczącą tej praktyki, uznając ją za możliwą do zastosowania pod pewnymi warunkami, ale wyrażając obawę, że alternatywa „płatna" musi być rzeczywiście rozsądna i nie ustalona w cenie mającej na celu wymuszenie zgody.

Dzieci

Zgodnie z artykułem 8 GDPR zgoda na usługi społeczeństwa informacyjnego skierowane do dzieci wymaga weryfikacji, a w przypadku dzieci poniżej określonego wieku (od 13 do 16 lat w zależności od państwa członkowskiego) — zgody rodziców. Jeśli Twoja witryna jest skierowana do dzieci, wymogi dotyczące zgody na pliki cookie są bardziej rygorystyczne.

Kontekst pracowniczy i B2B

Dyrektywa ePrivacy dotyczy „abonenta lub użytkownika" — a nie tylko konsumentów. Jeśli Twoja platforma SaaS B2B używa nieistotnych plików cookie, zgoda indywidualnego użytkownika jest nadal wymagana, nawet w kontekście biznesowym.

Co się dzieje bez ważnej zgody

Jeśli umieszczasz nieistotne pliki cookie bez ważnej zgody:

  • Gromadzone dane mogą być niezgodne z prawem zarówno w świetle dyrektywy ePrivacy, jak i GDPR.
  • Grożą Ci potencjalne kary na mocy GDPR do 20 milionów EUR lub 4% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa (artykuł 83 ust. 5).
  • Możesz otrzymać nakaz usunięcia bezprawnie zebranych danych.
  • Twoje dane analityczne i reklamowe mogą być narażone na szwank — jeśli podstawa prawna gromadzenia jest nieważna, dane nie mogą być legalnie wykorzystywane.
  • Kolejni odbiorcy tych danych (sieci reklamowe, dostawcy analityki) również mogą ponosić odpowiedzialność.

To nie są hipotetyczne zagrożenia. CNIL nałożyła na Google karę 150 milionów EUR, a na Facebooka 60 milionów EUR właśnie za naruszenia przepisów o zgodzie na pliki cookie. Mniejsze firmy zmierzyły się z karami rzędu dziesiątek tysięcy euro za podobne uchybienia.

Passiro identyfikuje każdy plik cookie na Twojej witrynie i oznacza te wymagające zgody, dzięki czemu możesz mieć pewność, że Twój mechanizm zgody obejmuje właściwe pliki cookie — ani mniej, ani więcej.

Następnie porównajmy dwa podstawowe modele zgody: opt-in kontra opt-out — oraz to, który z nich obowiązuje w danym miejscu.

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo