Skip to main content

Polityka cookies: czym jest i co musi zawierać

Polityka cookies to dokument, który wyjaśnia odwiedzającym Twoją stronę, jakie pliki cookie i podobne technologie śledzące są na niej wykorzystywane, dlaczego się z nich korzysta oraz jak użytkownicy mogą nimi zarządzać. Jest to wymóg prawny wynikający zarówno z dyrektywy ePrivacy, jak i z GDPR, a także fundament przejrzystego przetwarzania danych.

Niniejszy przewodnik omawia, czym jest polityka cookies, czym różni się od polityki prywatności, co musi zawierać zgodnie z obowiązującymi przepisami oraz jak utrzymać jej aktualność w czasie.

Czym jest polityka cookies?

Polityka cookies to dedykowany dokument — samodzielna strona lub wyraźnie oznaczona sekcja w polityce prywatności — który dostarcza kompleksowych informacji o wykorzystaniu przez Twoją stronę plików cookie i podobnych technologii (pamięci lokalnej, pamięci sesji, tagów pikselowych, sygnalizatorów sieciowych, fingerprintingu i im podobnych).

Podstawa prawna wymogu posiadania polityki cookies wynika z dwóch przecinających się regulacji:

  • Dyrektywa ePrivacy (2002/58/WE), artykuł 5 ust. 3 — wymaga, aby przed uzyskaniem zgody użytkownikom przekazano „jasne i wyczerpujące informacje" o celach stosowania plików cookie.
  • GDPR, artykuły 12–14 — wymagają przejrzystości w zakresie przetwarzania danych, w tym informacji o tym, jakie dane są gromadzone, w jakich celach, komu są udostępniane i jak długo są przechowywane.

Łącznie regulacje te nakładają na Ciebie obowiązek dokładnego poinformowania użytkowników o wykorzystywanych technologiach śledzących oraz zapewnienia im rzeczywistej kontroli nad tymi technologiami.

Polityka cookies a polityka prywatności

Polityka cookies i polityka prywatności to dokumenty uzupełniające się, ale odrębne. Zrozumienie różnicy między nimi ma istotne znaczenie:

Aspekt Polityka cookies Polityka prywatności
Zakres Konkretnie pliki cookie i technologie śledzące Całe przetwarzanie danych osobowych (formularze, konta, zakupy itp.)
Podstawa prawna Dyrektywa ePrivacy + wymogi przejrzystości GDPR Artykuły 12–14 GDPR
Główny przedmiot treści Nazwy cookie, cele, czasy przechowywania, typy, kategorie, mechanizmy kontroli Kategorie danych, podstawy prawne, prawa, transfery, IOD, okresy przechowywania
Format Samodzielna strona lub sekcja w polityce prywatności Samodzielna strona (wymagana)
Częstotliwość aktualizacji Za każdym razem, gdy zmieniają się pliki cookie (dodanie/usunięcie narzędzi, dostawców) Za każdym razem, gdy zmieniają się praktyki przetwarzania danych

Możesz umieścić politykę cookies jako sekcję w polityce prywatności, ale musi być ona wyraźnie oznaczona i łatwa do odnalezienia. Wiele organizacji prowadzi osobną stronę z polityką cookies dla większej przejrzystości, a także dlatego, że informacje o plikach cookie mogą być dość szczegółowe.

Twój baner cookie powinien odsyłać do polityki cookies. Jeśli informacje o plikach cookie stanowią sekcję w polityce prywatności, link powinien prowadzić bezpośrednio do tej sekcji — nie zmuszaj użytkowników do przewijania stron niepowiązanych informacji o prywatności w poszukiwaniu szczegółów dotyczących cookie.

Wymóg prawny posiadania polityki cookies

Dyrektywa ePrivacy wymaga „jasnych i wyczerpujących informacji" jako warunku wstępnego ważnej zgody. Zasada przejrzystości wynikająca z GDPR (artykuł 5 ust. 1 lit. a) oraz wymogi informacyjne (artykuły 13–14) dodatkowo nakazują, aby informacje te były:

  • Zwięzłe, przejrzyste i zrozumiałe (artykuł 12 ust. 1)
  • Sformułowane jasnym i prostym językiem (artykuł 12 ust. 1)
  • Łatwo dostępne (artykuł 12 ust. 1)
  • Udostępniane bezpłatnie (artykuł 12 ust. 5)

W praktyce oznacza to, że Twoja polityka cookies musi być napisana językiem zrozumiałym dla osoby nietechnicznej, musi być dostępna z poziomu banera cookie i stopki strony oraz musi zawierać konkretne informacje o każdym pliku cookie wykorzystywanym przez Twoją stronę.

Co musi zawierać polityka cookies

Na podstawie połączonych wymogów dyrektywy ePrivacy, GDPR oraz wytycznych organów ochrony danych, w tym ICO (Wielka Brytania), CNIL (Francja) i Grupy Roboczej Art. 29, Twoja polityka cookies musi zawierać następujące informacje:

1. Jakich plików cookie używasz

Podaj kompletną listę wszystkich plików cookie i podobnych technologii aktywnych na Twojej stronie. Obejmuje to zarówno pliki cookie ustawiane przez Twój własny kod (własne), jak i pliki cookie ustawiane przez usługi zewnętrzne, z których korzystasz (platformy analityczne, sieci reklamowe, widżety mediów społecznościowych, osadzone treści, chatboty itp.).

Każdy plik cookie powinien być zidentyfikowany po nazwie. „Używamy plików cookie do analityki" to za mało — musisz wymienić konkretne pliki cookie: na przykład _ga, _gid, _gat dla Google Analytics.

2. Cel każdego pliku cookie

Dla każdego pliku cookie lub grupy powiązanych plików cookie wyjaśnij prostym językiem, do czego służą. Unikaj technicznego żargonu. Skuteczne opisy celów:

  • „Zapisuje Twoje preferencje dotyczące zgody na pliki cookie, abyśmy nie pytali o nie przy każdej wizycie."
  • „Pomaga nam liczyć, ile osób odwiedza naszą stronę i które strony są najpopularniejsze."
  • „Umożliwia wyświetlanie Ci reklam odpowiadających Twoim zainteresowaniom na innych stronach."

3. Pliki własne a pliki zewnętrzne

Wskaż, czy dany plik cookie jest ustawiany bezpośrednio przez Twoją stronę (własny), czy przez usługę zewnętrzną (zewnętrzny). W przypadku plików cookie stron trzecich podaj dostawcę i link do jego polityki prywatności. Użytkownicy mają prawo wiedzieć nie tylko, że ich dane są gromadzone, ale również przez kogo.

4. Czas przechowywania / wygaśnięcie

Podaj, jak długo przechowywany jest każdy plik cookie. Istnieją dwa rodzaje:

  • Pliki cookie sesyjne — usuwane, gdy użytkownik zamyka przeglądarkę. Zaznacz to wyraźnie: „Sesyjny (usuwany po zamknięciu przeglądarki)."
  • Pliki cookie trwałe — pozostają na urządzeniu użytkownika przez określony czas. Podaj konkretny okres: „2 lata", „30 dni", „13 miesięcy". Nie używaj nieprecyzyjnych określeń, takich jak „długoterminowo".

Organy ochrony danych szczegółowo analizowały czasy przechowywania plików cookie. CNIL zaleca na przykład, aby pliki cookie zgody (przechowujące wybór użytkownika dotyczący zgody) nie były przechowywane dłużej niż 13 miesięcy.

5. Jak zarządzać plikami cookie i je usuwać

Wyjaśnij, jak użytkownicy mogą kontrolować pliki cookie za pomocą dwóch mechanizmów:

  • Twój baner zgody. Wyjaśnij, że użytkownicy mogą w dowolnym momencie zmienić swoje preferencje dotyczące plików cookie w ustawieniach cookie (wskaż lokalizację linku/ikony ustawień).
  • Ustawienia przeglądarki. Podaj ogólne wskazówki dotyczące zarządzania plikami cookie w popularnych przeglądarkach (Chrome, Firefox, Safari, Edge). Nie musisz podawać instrukcji krok po kroku, ale powinieneś wyjaśnić, że ustawienia przeglądarki istnieją, i podać linki do odpowiednich stron pomocy każdej z nich.

6. Jak wycofać zgodę

Artykuł 7 ust. 3 GDPR wymaga, aby wycofanie zgody było równie łatwe jak jej udzielenie oraz aby użytkownicy byli informowani o tym prawie przed wyrażeniem zgody. Twoja polityka cookies musi wyjaśniać:

  • Że użytkownik ma prawo wycofać zgodę w dowolnym momencie.
  • Jak to zrobić (zazwyczaj: klikając ikonę/link ustawień cookie widoczny na każdej stronie lub usuwając pliki cookie w ustawieniach przeglądarki).
  • Że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

7. Kategorie plików cookie

Podziel pliki cookie na standardowe kategorie stosowane w Twoim banerze zgody. Najczęściej przyjmowana kategoryzacja to:

  • Ściśle niezbędne — pliki cookie wymagane do funkcjonowania strony (sesje logowania, koszyki zakupowe, tokeny bezpieczeństwa). Zgodnie z dyrektywą ePrivacy nie wymagają one zgody.
  • Preferencje / funkcjonalne — pliki cookie zapamiętujące wybory użytkownika (język, region, ustawienia wyświetlania). Poprawiają one komfort korzystania, ale nie są niezbędne.
  • Analityczne / statystyczne — pliki cookie służące do gromadzenia anonimowych danych o korzystaniu (odsłony stron, źródła ruchu, wzorce zachowań użytkowników).
  • Marketingowe / reklamowe — pliki cookie wykorzystywane do reklamy ukierunkowanej, remarketingu i pomiaru skuteczności reklam.

Kategorie w Twojej polityce cookies powinny być zgodne z kategoriami w banerze zgody. Niespójność między tymi dwoma dokumentami podważa przejrzystość.

8. Dane kontaktowe

Podaj dane kontaktowe umożliwiające zadawanie pytań dotyczących Twoich praktyk w zakresie plików cookie. Zazwyczaj obejmuje to:

  • Tożsamość administratora danych (nazwa Twojej firmy i adres siedziby)
  • Adres e-mail do zapytań dotyczących prywatności
  • Dane kontaktowe inspektora ochrony danych (IOD), jeśli został wyznaczony
  • Twój organ nadzorczy (właściwy organ ochrony danych)

Gdzie wyświetlać politykę cookies

Twoja polityka cookies musi być łatwo dostępna z wielu miejsc:

  • Stopka strony. Link „Polityka cookies" w stopce, widoczny na każdej stronie. To standardowa lokalizacja, której oczekują użytkownicy.
  • Baner cookie. Bezpośredni link z banera cookie do pełnej polityki cookies. Jest to wymóg prawny — użytkownicy muszą mieć możliwość dostępu do szczegółowych informacji z poziomu interfejsu zgody.
  • Panel ustawień/preferencji cookie. Druga warstwa interfejsu zgody powinna zawierać link do polityki cookies dla użytkowników, którzy chcą uzyskać więcej informacji.
  • Polityka prywatności. Jeśli polityka cookies jest osobnym dokumentem, odsyłaj do niej z polityki prywatności i odwrotnie.

Prezentowanie informacji o plikach cookie

Najskuteczniejszym i najbardziej przejrzystym formatem prezentowania poszczególnych plików cookie jest tabela. Organy ochrony danych, w tym ICO, zalecają ten format:

Nazwa pliku cookie Dostawca Cel Typ Czas przechowywania
_ga Google Analytics Rozróżnia unikalnych odwiedzających poprzez przypisanie losowo wygenerowanego numeru Zewnętrzny, analityczny 2 lata
_gid Google Analytics Rozróżnia unikalnych odwiedzających w danym dniu Zewnętrzny, analityczny 24 godziny
cookie_consent Ta strona Przechowuje Twoje preferencje dotyczące zgody na pliki cookie Własny, niezbędny 12 miesięcy

Format ten jest przejrzysty, łatwy do przejrzenia i zawiera wszystkie wymagane informacje na pierwszy rzut oka.

Jak często aktualizować

Twoja polityka cookies musi być zawsze aktualna. Aktualizuj ją zawsze, gdy:

  • Dodajesz nową usługę zewnętrzną ustawiającą pliki cookie (nowe narzędzie analityczne, nowa platforma marketingowa, nowy chatbot).
  • Usuwasz usługę, która wcześniej ustawiała pliki cookie.
  • Usługa zewnętrzna zmienia swoje pliki cookie (nowe nazwy, nowe czasy przechowywania, nowe cele).
  • Zmieniasz kategorie w banerze zgody.
  • Zmieniają się wytyczne regulacyjne (nowe wymogi, nowe dobre praktyki).

Umieść datę „Ostatnia aktualizacja" na górze lub dole polityki cookies. Świadczy to o tym, że polityka jest aktywnie utrzymywana, i pomaga użytkownikom ocenić jej aktualność.

Wyzwaniem jest oczywiście świadomość, kiedy zmieniają się Twoje pliki cookie. Usługi zewnętrzne często aktualizują swoje mechanizmy śledzenia, a plik cookie istniejący trzy miesiące temu mógł zostać zastąpiony lub przemianowany. Ręczne audyty są zawodne, ponieważ zależą od tego, czy ktoś pamięta o ich przeprowadzeniu.

Utrzymywanie aktualności polityki dzięki automatycznemu skanowaniu

Najczęstszym uchybieniem w zakresie zgodności polityk cookies nie jest brak informacji, lecz informacje nieprawidłowe. Polityka wymieniająca pliki cookie, których już nie używasz, lub pomijająca pliki cookie dodane przez niedawną integrację narzędzia marketingowego, nie jest zgodna z przepisami.

Automatyczne skanowanie plików cookie rozwiązuje ten problem. Skaner odwiedza Twoją stronę w regularnych odstępach czasu, identyfikuje wszystkie ustawiane pliki cookie, porównuje je z zadeklarowanymi i informuje o rozbieżnościach.

Passiro automatycznie skanuje Twoją stronę w poszukiwaniu plików cookie, kategoryzuje je i wskazuje wszelkie niezadeklarowane pliki cookie, które nie zostały jeszcze uwzględnione w Twojej polityce. Dzięki temu polityka cookies pozostaje aktualna bez konieczności ręcznych audytów. Dowiedz się więcej o automatycznym skanowaniu plików cookie w Passiro.

W tej sekcji

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo