Skip to main content

Jak napisać politykę cookies: przewodnik krok po kroku

Polityka cookies jest tyle warta, ile jej dokładność i przejrzystość. Ten przewodnik przeprowadzi Cię przez proces tworzenia polityki cookies, która spełnia wymogi prawne, służy Twoim użytkownikom i pozostaje aktualna w czasie. Wykonaj te dziewięć kroków, aby przygotować dokument kompletny, przejrzysty i łatwy w utrzymaniu.

Krok 1: Przeprowadź audyt plików cookies

Zanim zaczniesz opisywać swoje pliki cookies, musisz dokładnie wiedzieć, które z nich ustawia Twoja witryna. To fundament całej polityki — i etap, na którym większość organizacji popełnia błędy.

Dokładny audyt cookies obejmuje:

  1. Skanowanie każdej podstrony. Pliki cookies mogą różnić się w zależności od strony. Strona główna może ustawiać inne cookies niż strona koszyka, blog czy strony konta użytkownika. Kompletny audyt musi objąć wszystkie typy stron.
  2. Wychwytywanie cookies własnych i firm trzecich. Cookies własne (first-party) ustawia Twoja własna domena. Cookies firm trzecich (third-party) ustawiają usługi zewnętrzne — platformy analityczne, sieci reklamowe, widżety mediów społecznościowych, osadzone filmy, widżety czatu, procesory płatności i inne.
  3. Identyfikację przechowywania danych poza cookies. Nowoczesne witryny korzystają również z localStorage, sessionStorage, IndexedDB oraz znaczników pikselowych. Kompleksowa polityka obejmuje wszystkie mechanizmy przechowywania po stronie klienta, nie tylko pliki cookies HTTP.
  4. Testowanie z udzieloną i nieudzieloną zgodą. Niektóre pliki cookies są ustawiane niezależnie od zgody (cookies ściśle niezbędne). Inne powinny pojawiać się dopiero po jej udzieleniu. Audyt powinien potwierdzić, że pliki cookies zbędne są rzeczywiście blokowane do momentu wyrażenia zgody.

Audyty ręczne są zawodne. Ręczne otwieranie narzędzi deweloperskich przeglądarki na kilku stronach pominie cookies ustawiane przez skrypty firm trzecich ładowane asynchronicznie, cookies ustawiane wyłącznie przy określonych działaniach użytkownika oraz cookies pojawiające się dopiero podczas kolejnych wizyt. Aby uzyskać pełny obraz, użyj automatycznych narzędzi skanujących.

Automatyczny skaner cookies od Passiro przeszukuje całą witrynę, identyfikuje każdy plik cookie i mechanizm przechowywania oraz dostarcza skategoryzowany raport — idealny punkt wyjścia do stworzenia polityki.

Krok 2: Skategoryzuj każdy plik cookie

Gdy masz już kompletną listę cookies, uporządkuj je w standardowe kategorie. Najszerzej akceptowana klasyfikacja, stosowana w ramach IAB Transparency and Consent Framework i rekomendowana przez większość organów ochrony danych, wygląda następująco:

Ściśle niezbędne

Pliki cookies, bez których witryna nie może działać. Przykłady: cookies sesyjne do utrzymania stanu zalogowania, cookies koszyka zakupowego, tokeny ochrony CSRF, cookies systemu równoważenia obciążenia, cookies zapamiętujące preferencje dotyczące zgody na cookies. Są one zwolnione z wymogu zgody na mocy art. 5 ust. 3 dyrektywy ePrivacy, ale nadal musisz je ujawnić w swojej polityce.

Preferencje / funkcjonalne

Pliki cookies umożliwiające rozszerzoną funkcjonalność i personalizację. Przykłady: wybór języka, preferencje regionu/waluty, ustawienia rozmiaru czcionki, ostatnio przeglądane produkty. Nie są one ściśle niezbędne — witryna działałaby bez nich — ale poprawiają komfort korzystania. Wymagają zgody.

Analityczne / statystyczne

Pliki cookies wykorzystywane do zbierania danych o tym, jak odwiedzający korzystają z witryny. Przykłady: cookies Google Analytics (_ga, _gid), cookies sesyjne Hotjar, Plausible Analytics. W większości jurysdykcji UE wymagają one zgody, choć niektóre organy ochrony danych (zwłaszcza francuski CNIL) wprowadziły ograniczone zwolnienia dla narzędzi do pomiaru oglądalności spełniających rygorystyczne warunki.

Marketingowe / reklamowe

Pliki cookies wykorzystywane do reklamy ukierunkowanej, remarketingu i pomiaru skuteczności reklam. Przykłady: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies sieci reklamowych. Zawsze wymagają zgody i stanowią kategorię objętą najbardziej wnikliwą kontrolą.

Dla każdego pliku cookie przypisz kategorię i sprawdź, czy klasyfikacja jest prawidłowa. Częstym błędem jest kategoryzowanie cookies analitycznych lub marketingowych jako „funkcjonalnych”, aby uniknąć wymogu zgody — jest to niezgodne z prawem i łatwo wykrywalne przez organy nadzorcze.

Krok 3: Napisz wprowadzenie

Twoja polityka cookies powinna zaczynać się od krótkiego wprowadzenia obejmującego:

  • Kim jesteś. Podmiot prawny prowadzący witrynę (nazwa firmy, adres siedziby).
  • Czego dotyczy ten dokument. „Niniejsza polityka cookies wyjaśnia, w jaki sposób [Nazwa firmy] wykorzystuje pliki cookies i podobne technologie w witrynie [adres URL witryny]”.
  • Kiedy została ostatnio zaktualizowana. Umieść wyraźnie widoczną datę.
  • Jak się z Tobą skontaktować. Podaj adres e-mail do kontaktu oraz, w stosownych przypadkach, dane inspektora ochrony danych.

Ogranicz wprowadzenie do dwóch–trzech zdań. Użytkownicy przychodzą tu po konkretne informacje, a nie po korporacyjny wstęp.

Krok 4: Wyjaśnij, czym są pliki cookies

Zamieść krótkie, nietechniczne wyjaśnienie, czym są pliki cookies. Wielu Twoich odwiedzających tego nie wie. Dobre wyjaśnienie brzmi na przykład:

Pliki cookies to małe pliki tekstowe zapisywane na Twoim urządzeniu (komputerze, tablecie lub telefonie) podczas odwiedzania witryny internetowej. Są powszechnie stosowane, aby witryny działały, aby zwiększyć ich wydajność oraz aby dostarczać informacje właścicielom witryn. Pliki cookies ustawiane przez odwiedzaną witrynę nazywane są „cookies własnymi” (first-party). Pliki cookies ustawiane przez inne firmy (na przykład usługi analityczne lub reklamowe) nazywane są „cookies firm trzecich” (third-party).

Jeśli Twoja witryna korzysta z technologii wykraczających poza pliki cookies HTTP — takich jak localStorage, znaczniki pikselowe czy fingerprinting — wspomnij również o nich. „W niniejszej polityce używamy terminu »cookies« w odniesieniu do plików cookies i podobnych technologii, o ile nie wskazano inaczej”.

Krok 5: Wypisz pliki cookies w formie tabeli

Przedstaw pliki cookies w uporządkowanej tabeli, pogrupowanej według kategorii. Dla każdego pliku cookie podaj:

Pole Opis Przykład
Nazwa Techniczna nazwa pliku cookie _ga
Dostawca Kto ustawia ten plik cookie Google Analytics (google.com)
Cel Co robi plik cookie, opisane prostym językiem Generuje unikalny identyfikator do rejestrowania danych statystycznych o sposobie korzystania z witryny
Typ Własny lub firmy trzeciej; cookie HTTP, localStorage itp. Cookie HTTP firmy trzeciej
Czas przechowywania Jak długo plik cookie jest przechowywany 2 lata

Oto przykład dobrze zbudowanej tabeli cookies dla kategorii analitycznej:

Nazwa pliku cookie Dostawca Cel Typ Czas przechowywania
_ga Google Analytics Przypisuje unikalny identyfikator w celu rozróżniania odwiedzających i tworzenia raportów statystycznych Firmy trzeciej 2 lata
_gid Google Analytics Przypisuje unikalny identyfikator dla każdej sesji przeglądania w celu tworzenia raportów statystycznych Firmy trzeciej 24 godziny
_gat_UA-* Google Analytics Ogranicza częstotliwość zbierania danych w witrynach o dużym ruchu Firmy trzeciej 1 minuta

Powtórz tę tabelę dla każdej kategorii: Ściśle niezbędne, Preferencje, Analityczne i Marketingowe.

Krok 6: Opisz każdą kategorię

Przed każdą tabelą cookies zamieść krótki opis kategorii:

  • Co robią pliki cookies z tej kategorii — w ujęciu ogólnym.
  • Czy wymagana jest zgoda — pliki cookies ściśle niezbędne nie wymagają zgody; wszystkie pozostałe tak.
  • Co się stanie, jeśli użytkownik odmówi — „Jeśli odrzucisz pliki cookies analityczne, nie będziemy zbierać danych o Twoich wizytach. Witryna będzie działać normalnie”.

Te informacje kontekstowe pomagają użytkownikom podejmować świadome decyzje i spełniają wymogi przejrzystości wynikające z RODO.

Krok 7: Wyjaśnij, jak użytkownicy mogą zarządzać cookies

Ta sekcja musi obejmować dwa mechanizmy kontroli:

Za pośrednictwem baneru zgody

Wyjaśnij, że użytkownicy mogą zarządzać swoimi preferencjami dotyczącymi cookies w dowolnym momencie, klikając link lub ikonę ustawień cookies. Opisz, gdzie je znaleźć (np. „Kliknij ikonę cookies w lewym dolnym rogu dowolnej strony” lub „Kliknij »Ustawienia cookies« w stopce”). Bądź konkretny — nie ograniczaj się do stwierdzenia „za pośrednictwem naszego baneru cookies”.

Za pośrednictwem ustawień przeglądarki

Podaj linki do instrukcji zarządzania cookies dla najpopularniejszych przeglądarek:

Zwróć uwagę na konsekwencje: „Pamiętaj, że wyłączenie plików cookies w ustawieniach przeglądarki może wpłynąć na działanie tej oraz innych odwiedzanych przez Ciebie witryn”.

Krok 8: Dodaj dane kontaktowe i dane inspektora ochrony danych

Podaj jasne dane kontaktowe w sprawach dotyczących prywatności:

  • Tożsamość administratora danych: nazwa firmy, adres siedziby, numer rejestrowy.
  • Adres e-mail do kontaktu w sprawach prywatności: monitorowany adres e-mail (np. [email protected]).
  • Inspektor ochrony danych: jeśli powołałeś inspektora ochrony danych (obowiązkowego dla niektórych organizacji na mocy art. 37 RODO), podaj jego imię, nazwisko i dane kontaktowe.
  • Organ nadzorczy: wskaż właściwy organ ochrony danych i podaj link do procedury składania skarg. Na przykład: „Masz prawo wnieść skargę do [Nazwa organu] pod adresem [URL]”.

Krok 9: Opatrz politykę datą i zaplanuj aktualizacje

Zamieść wyraźną datę „Ostatnia aktualizacja”. Zobowiąż się do regularnego przeglądania i aktualizowania polityki oraz każdorazowo, gdy zmienia się sposób wykorzystywania cookies.

Rozważ dodanie sformułowania takiego jak: „Regularnie przeglądamy niniejszą politykę cookies i będziemy ją aktualizować w razie potrzeby. O wszelkich istotnych zmianach poinformujemy za pomocą komunikatu na naszej witrynie”.

W praktyce zaplanuj przegląd co najmniej raz na kwartał. Usługi firm trzecich często zmieniają swoje pliki cookies, a nawet drobna aktualizacja integracji może wprowadzić nowe cookies, które trzeba zadeklarować.

Częste błędy, których należy unikać

Nawet starannie napisane polityki cookies często zawierają następujące błędy:

  • Nieprecyzyjne opisy celów. „Ten plik cookie poprawia komfort korzystania” nie mówi użytkownikowi nic. Bądź konkretny: jakie dane zbiera plik cookie i do czego są wykorzystywane?
  • Nieaktualne listy cookies. Jeśli Twoja polityka wymienia cookies z narzędzia usuniętego pół roku temu lub nie wymienia cookies z narzędzia dodanego w zeszłym tygodniu, jest nieaktualna. Nieprawidłowe ujawnienie podważa przejrzystość.
  • Pominięte cookies firm trzecich. Wiele organizacji wymienia własne pliki cookies, ale zapomina udokumentować cookies firm trzecich ustawiane przez osadzone treści (filmy z YouTube, przyciski mediów społecznościowych, widżety czatu itp.). To często najbardziej naruszające prywatność cookies w witrynie.
  • Błędy w kategoryzacji. Klasyfikowanie cookies marketingowych lub analitycznych jako „funkcjonalnych” lub „niezbędnych”, aby uniknąć wymogu zgody. Organy ochrony danych szczególnie tego wypatrują.
  • Brak mechanizmu zmiany preferencji. Stwierdzenie, że użytkownicy mogą zarządzać swoimi preferencjami, przy jednoczesnym braku wyraźnie opisanego, zawsze dostępnego mechanizmu do tego celu.
  • Kopiowanie szablonu bez dostosowania. Uniwersalne szablony polityki cookies, które nie odzwierciedlają Twoich rzeczywistych cookies, rzeczywistych usług ani rzeczywistego przetwarzania danych. Szablon jest punktem wyjścia, a nie gotowym dokumentem.
  • Niezrozumiały język. Żargon prawniczy, terminologia techniczna i niepotrzebnie skomplikowana budowa zdań. RODO wymaga jasnego i prostego języka. Pisz z myślą o odbiorcy niebędącym specjalistą.

Utrzymywanie zgodności polityki z rzeczywistymi cookies

Najtrudniejszą częścią utrzymywania polityki cookies nie jest jej napisanie — lecz zachowanie jej aktualności. Witryny są dynamiczne. Zespoły marketingowe dodają nowe narzędzia, deweloperzy integrują nowe usługi, systemy zarządzania treścią instalują wtyczki z funkcjami śledzenia. Każda zmiana może wprowadzić cookies, o których polityka nie wspomina.

Rozwiązaniem jest automatyczne, ciągłe monitorowanie. Zamiast polegać na audytach ręcznych (rzadkich, niekompletnych i podatnych na błędy), użyj narzędzia skanującego, które regularnie przeszukuje Twoją witrynę, identyfikuje wszystkie aktywne cookies i porównuje je z zadeklarowaną listą.

Passiro skanuje Twoją witrynę automatycznie, wykrywa niezadeklarowane cookies i powiadamia Cię, gdy polityka wymaga aktualizacji. Dzięki temu Twoja polityka cookies zawsze odzwierciedla rzeczywistość — a nie stan z ostatniego momentu, gdy ktoś pamiętał, by to sprawdzić. Dowiedz się więcej o automatycznej zgodności cookies od Passiro.

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo