Skip to main content

Kategorie plików cookie: jak klasyfikować pliki cookie na potrzeby zgody

Zgoda na pliki cookie nie jest decyzją typu „wszystko albo nic". Przepisy o ochronie prywatności wymagają, aby użytkownicy mogli dokonywać szczegółowych wyborów dotyczących tego, które rodzaje plików cookie akceptują. Aby było to możliwe, pliki cookie są porządkowane w kategorie — grupy oparte na ich przeznaczeniu, z których każda ma własne wymogi dotyczące zgody.

Prawidłowa kategoryzacja ma kluczowe znaczenie. Błędne zaklasyfikowanie marketingowego pliku cookie jako „ściśle niezbędnego" to nie tylko błąd techniczny — to naruszenie przepisów, którego regulatorzy aktywnie szukają i które karzą.

Dlaczego kategoryzacja ma znaczenie

RODO wymaga, aby zgoda była „konkretna" (art. 4 pkt 11). Grupa Robocza Artykułu 29 (obecnie EROD) wyjaśniła, że oznacza to, iż zgoda musi być udzielana odrębnie dla każdego odrębnego celu. Grupowanie wszystkich plików cookie w jednym przycisku „akceptuj wszystkie" bez oferowania wyboru dla poszczególnych kategorii nie spełnia tego standardu.

W praktyce oznacza to, że mechanizm zgody na pliki cookie musi prezentować pliki cookie pogrupowane według celu i umożliwiać użytkownikom niezależne akceptowanie lub odrzucanie każdej kategorii. Standard, który przyjął się w całej branży — i którego oczekują regulatorzy — wykorzystuje cztery kategorie.

Cztery standardowe kategorie plików cookie

1. Ściśle niezbędne pliki cookie

Te pliki cookie są niezbędne do podstawowego funkcjonowania witryny. Bez nich usługa, o którą użytkownik wyraźnie poprosił, nie może zostać świadczona.

Wymagana zgoda: Nie. Ściśle niezbędne pliki cookie są zwolnione z wymogu zgody na podstawie art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej (ePrivacy), który stanowi, że zgoda nie jest wymagana w przypadku plików cookie „niezbędnych do świadczenia usługi społeczeństwa informacyjnego wyraźnie zażądanej przez abonenta lub użytkownika przez dostawcę tej usługi".

Przykłady ściśle niezbędnych plików cookie:

  • Pliki cookie sesji utrzymujące stan zalogowania
  • Pliki cookie koszyka zakupowego w sklepie internetowym
  • Tokeny ochrony przed CSRF (cross-site request forgery)
  • Pliki cookie równoważenia obciążenia rozdzielające ruch między serwerami
  • Pliki cookie preferencji zgody na pliki cookie (plik cookie zapamiętujący dokonany przez Ciebie wybór zgody)
  • Pliki cookie bezpieczeństwa wykrywające nadużycia uwierzytelniania

Co NIE jest ściśle niezbędne:

  • Pliki cookie analityczne — nawet własne (first-party). Pomiar ruchu jest użyteczny dla operatora witryny, ale nie jest niezbędny do świadczenia usługi, o którą poprosił użytkownik.
  • Wtyczki mediów społecznościowych — przyciski udostępniania i osadzone kanały służą interesom właściciela witryny, a nie funkcji, o którą użytkownik wyraźnie poprosił.
  • Pliki cookie reklamowe — z definicji służą one celowi wykraczającemu poza usługę, z której korzysta użytkownik.
  • Pliki cookie testów A/B — służą one celom optymalizacyjnym operatora witryny, a nie wyraźnemu żądaniu użytkownika.

Kluczowy test dotyczy perspektywy: niezbędne dla kogo? Jeśli plik cookie służy interesom operatora witryny, a nie funkcji, o którą użytkownik wyraźnie poprosił, nie jest ściśle niezbędny — niezależnie od tego, jak ważny może być dla biznesu.

2. Pliki cookie analityczne / statystyczne

Te pliki cookie zbierają informacje o tym, jak odwiedzający korzystają z witryny: które strony są odwiedzane, jak długo użytkownicy pozostają, skąd przychodzą i gdzie opuszczają witrynę. Dane te są zazwyczaj agregowane i wykorzystywane do ulepszania witryny.

Wymagana zgoda: Tak, w większości jurysdykcji. Niektóre organy ochrony danych (zwłaszcza francuski CNIL i holenderski AP) wskazały jednak, że pewne własne (first-party) narzędzia analityczne mogą kwalifikować się do ograniczonego zwolnienia, pod warunkiem spełnienia określonych warunków (zobacz nasz rozdział na temat tego, kiedy zgoda jest wymagana).

Typowe pliki cookie analityczne:

Plik cookie Usługa Cel Domyślny czas życia
_ga Google Analytics Rozróżnia unikalnych użytkowników 2 lata
_ga_* Google Analytics 4 Utrzymuje stan sesji 2 lata
_gid Google Analytics Rozróżnia użytkowników (24 h) 24 godziny
_pk_id.* Matomo Identyfikator odwiedzającego 13 miesięcy
_pk_ses.* Matomo Śledzenie sesji 30 minut
_hjSessionUser_* Hotjar Identyfikator użytkownika 1 rok

Należy pamiętać, że pliki cookie Google Analytics mają charakter zewnętrzny (third-party), nawet jeśli mogą pojawiać się jako pliki cookie własne (first-party) — ponieważ Google przetwarza dane na własnych serwerach i może wykorzystywać je do własnych celów. Rozróżnienie to miało istotne znaczenie w kilku europejskich działaniach egzekucyjnych.

3. Pliki cookie marketingowe / reklamowe

Te pliki cookie śledzą odwiedzających w różnych witrynach, aby zbudować profil ich zachowań podczas przeglądania. Profil ten jest wykorzystywany do dostarczania ukierunkowanych reklam, pomiaru skuteczności kampanii reklamowych oraz ograniczania liczby wyświetleń danej reklamy użytkownikowi.

Wymagana zgoda: Zawsze. Nie istnieje żaden wyjątek dla plików cookie reklamowych w ramach jakiejkolwiek interpretacji dyrektywy ePrivacy czy RODO.

Typowe pliki cookie marketingowe:

Plik cookie Usługa Cel Domyślny czas życia
_fbp Meta (Facebook) Śledzi wizyty w celu ukierunkowania reklam 3 miesiące
_gcl_au Google Ads Śledzenie konwersji 3 miesiące
IDE Google DoubleClick Retargeting i serwowanie reklam 13 miesięcy
_uetsid Microsoft Advertising Śledzenie konwersji 1 dzień
li_fat_id LinkedIn Pośredni identyfikator członka 30 dni

Pliki cookie marketingowe są niemal zawsze zewnętrzne (third-party). Stanowią najwyższe ryzyko dla prywatności i są najściślej regulowaną kategorią. Każdy mechanizm zgody, który ułatwia akceptację plików cookie marketingowych bardziej niż ich odrzucenie, naraża się na działania regulacyjne.

4. Pliki cookie preferencji / funkcjonalne

Te pliki cookie umożliwiają rozszerzoną funkcjonalność i personalizację wykraczającą poza to, co ściśle niezbędne. Zapamiętują wybory dokonane przez użytkownika, ale nie są wymagane do funkcjonowania podstawowej usługi.

Wymagana zgoda: Tak, choć poziom ryzyka jest niższy niż w przypadku plików cookie analitycznych czy marketingowych. Niektórzy regulatorzy traktują pliki cookie preferencji z większą pobłażliwością, ale z prawnego punktu widzenia zgoda jest nadal wymagana.

Przykłady:

  • Preferencja języka (gdy witryna funkcjonuje bez niej, po prostu domyślnie ustawiając inny język)
  • Wybór regionu lub waluty
  • Wstępne wypełnianie nazwy użytkownika w formularzach logowania
  • Preferencje odtwarzacza wideo (głośność, jakość)
  • Stan widżetu czatu (otwarty/zamknięty, historia konwersacji)
  • Preferencje rozmiaru czcionki lub dostępności

Rozróżnienie między „ściśle niezbędnymi" a „preferencjami" może być subtelne. Plik cookie języka w witrynie jednojęzycznej jest bez znaczenia. Plik cookie języka w witrynie wielojęzycznej, która bez niego domyślnie ustawia się na funkcjonalny język, jest preferencją. Plik cookie języka w witrynie, która w ogóle nie może funkcjonować bez niego — ponieważ treść nie ładuje się bez wyboru języka — można by uznać za ściśle niezbędny. Kontekst ma znaczenie.

Jak prawidłowo skategoryzować pliki cookie

Zastosuj ten proces dla każdego pliku cookie w swojej witrynie:

  1. Zidentyfikuj plik cookie. Jaka jest jego nazwa, kto go ustawia (własny czy zewnętrzny) i jak długo trwa?
  2. Określ jego cel. Dlaczego ten plik cookie istnieje? Co się stanie, jeśli zostanie usunięty?
  3. Zastosuj test ścisłej niezbędności. Czy ten plik cookie jest niezbędny do funkcji, o którą użytkownik wyraźnie poprosił? Jeśli użytkownik chciał się zalogować, plik cookie sesji jest niezbędny. Jeśli chcesz śledzić jego zachowanie, jest to Twoja potrzeba, a nie jego.
  4. Przypisz kategorię. Jeśli nie jest ściśle niezbędny, sklasyfikuj go według głównego celu: analityczny, marketingowy lub preferencji.
  5. Udokumentuj swoje uzasadnienie. Dla każdego pliku cookie zapisz, dlaczego skategoryzowałeś go w dany sposób. Ta dokumentacja jest cenna, jeśli regulator kiedykolwiek o nią zapyta.

Częste błędy w kategoryzacji

Na podstawie działań egzekucyjnych regulatorów i wyników audytów, oto najczęstsze błędy:

  • Klasyfikowanie Google Analytics jako ściśle niezbędnego. To zdecydowanie najczęstszy błąd. GA to narzędzie analityczne. Nigdy nie jest ściśle niezbędne do świadczenia usługi użytkownikowi. Kilka organów ochrony danych wyraźnie na to zwróciło uwagę.
  • Umieszczanie wszystkich plików cookie zewnętrznych w kategorii „funkcjonalność". Osadzone filmy z YouTube, przyciski udostępniania w mediach społecznościowych i widżety czatu nie są ściśle niezbędne, a ich pliki cookie zazwyczaj służą celom analitycznym lub marketingowym wykraczającym poza widoczną funkcjonalność.
  • Ignorowanie plików cookie ustawianych przez wtyczki i integracje. Witryna WordPress z 20 wtyczkami może ustawiać dziesiątki plików cookie, o których operator witryny nawet nie wie. Nadal jesteś za nie wszystkie odpowiedzialny.
  • Traktowanie plików cookie marketingowych jako analitycznych. Facebook Pixel i śledzenie konwersji Google Ads to pliki cookie marketingowe, a nie analityczne — ich głównym celem jest reklama, nawet jeśli wykorzystujesz dane analitycznie.
  • Błędna kategoryzacja plików cookie testów A/B. Narzędzia takie jak Optimizely i VWO ustawiają pliki cookie w celu przypisania użytkowników do grup testowych. Nie są one ściśle niezbędne i powinny być kategoryzowane jako analityczne lub preferencji.

Zautomatyzuj proces

Ręczne audyty plików cookie są czasochłonne i podatne na błędy. Witryny nieustannie się zmieniają — nowa wtyczka, zaktualizowany skrypt, dodanie przez zespół marketingowy piksela śledzącego — a każda zmiana może wprowadzić nowe pliki cookie, które trzeba skategoryzować.

Passiro automatycznie skanuje i kategoryzuje wszystkie pliki cookie w Twojej witrynie, wykrywa nowe pliki cookie, gdy się pojawiają, i sygnalizuje potencjalne błędy kategoryzacji. Dzięki temu Twój mechanizm zgody na pliki cookie zawsze odzwierciedla rzeczywiste pliki cookie używane przez witrynę — a nie tylko te, o których wiedziałeś podczas ostatniego sprawdzenia.

Skoro rozumiemy już kategorie, przyjrzyjmy się temu, co zgoda na pliki cookie faktycznie oznacza z prawnego punktu widzenia — wymogi są bardziej szczegółowe, niż większość ludzi sądzi.

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo