RODO a cookies w sklepie internetowym - jak legalnie zbierać zgody

Dodany: 29.05.2026 07:00:00

8 wyświetleń

Prowadzisz sklep internetowy i nie masz pewności, czy Twoje okienko cookies jest zgodne z prawem? Samo wyświetlenie komunikatu "ta strona używa cookies" nie wystarczy. Wyjaśniamy, z czego naprawdę wynika obowiązek zgody, jak krok po kroku zbierać ją legalnie w sklepie i jakie błędy najczęściej narażają właścicieli na kary.

Skąd bierze się obowiązek - ePrivacy, nie samo RODO

To częste nieporozumienie, więc rozdzielmy dwa reżimy prawne:

Dyrektywa ePrivacy (w Polsce: Prawo telekomunikacyjne) to źródło obowiązku pytania o cookies. Wymaga zgody na zapis lub odczyt informacji w urządzeniu użytkownika - poza tym, co ściśle niezbędne - i to jeszcze przed zapisaniem cookies.
RODO wchodzi w grę, gdy z cookies wiążą się dane osobowe. Reguluje, na jakiej podstawie można je przetwarzać (zgoda to jedna z kilku), kiedy zgoda jest ważna i nakłada obowiązek jej wykazania.

W praktyce dla cookies analitycznych i marketingowych działają oba: zgoda "na urządzeniu" z ePrivacy oraz - jeśli dochodzi do danych osobowych - zasady z RODO.

Czy pliki cookies to dane osobowe?

Nie każde. Sam plik cookie nie jest daną osobową. Daną może być identyfikator zapisany w cookie lub dane zbierane z jego użyciem, jeśli pozwalają rozpoznać użytkownika - bezpośrednio albo pośrednio (np. w połączeniu z danymi po stronie Google). Cookies ściśle niezbędne do działania sklepu (koszyk, logowanie) są zwolnione z obowiązku zgody, ale wciąż trzeba o nich informować w polityce cookies.

Jak legalnie zbierać zgody - krok po kroku

Poprawny proces w sklepie wygląda tak:

Zablokuj skrypty przed zgodą - cookies analityczne i marketingowe (GA4, Pixel) nie mogą się uruchomić, zanim klient kliknie "zgadzam się". To najczęściej pomijany krok.
Pokaż trzy realne opcje już na pierwszym ekranie: zaakceptuj wszystkie, odrzuć (zostaw niezbędne), dostosuj.
W panelu "dostosuj" pozwól włączyć/wyłączyć kategorie (analityka, marketing) osobno, z opisem celu.
Przekaż decyzję do Google przez Consent Mode v2 (sygnały ad_storage, analytics_storage, ad_user_data, ad_personalization). Uwaga: CM v2 tylko dostosowuje działanie tagów - nie legalizuje śledzenia bez ważnej zgody.
Zapisz dowód zgody (data, godzina, zakres, wersja banera) - to wymóg wykazania zgody z art. 7 RODO. Więcej w artykule o logach zgód.
Umożliw wycofanie zgody równie łatwo, jak jej wyrażenie (np. stały link "Edytuj zgody cookie" w stopce).

Najczęstsze błędy sklepów

"Korzystanie ze strony oznacza zgodę" - przewijanie ani dalsze przeglądanie nie jest zgodą.
Zgody zaznaczone z góry - domyślnie włączone suwaki marketingowe są niedozwolone (przesądził to wyrok TSUE Planet49).
Ukryty przycisk "Odrzuć" - odrzucenie powinno być równie łatwe jak akceptacja. To nie literalny zapis ustawy, lecz wniosek z wytycznych Europejskiej Rady Ochrony Danych i decyzji organów (np. CNIL) - ale w praktyce traktowany jak standard.
Skrypty odpalane przed kliknięciem - jeśli Google Analytics startuje, zanim klient cokolwiek wybierze, zgoda jest pozorna.
Brak zapisu zgody - bez logu nie udowodnisz, że klient się zgodził.

Co grozi za naruszenia?

W Polsce zgodności pilnuje UODO. RODO przewiduje kary do 20 mln euro lub 4% rocznego obrotu - w zależności od tego, która kwota jest wyższa (górny próg dla najpoważniejszych naruszeń; dla lżejszych jest niższy). Dla małego sklepu realnym ryzykiem jest zwykle postępowanie i nakaz zmian, ale to wystarczający powód, żeby zrobić zgody porządnie od razu.

Podsumowanie

Obowiązek pytania o cookies wynika z ePrivacy (Prawo telekomunikacyjne), a RODO reguluje przetwarzanie danych i ważność zgody.
Daną osobową jest identyfikator/dane powiązane z cookie, nie sam plik.
Legalna zgoda: blokada skryptów przed zgodą, równorzędne opcje, zapis dowodu, łatwe wycofanie.
Najczęstsze błędy to zgody "z góry", brak realnego odrzucenia i skrypty odpalane przed kliknięciem.

Chcesz, żebyśmy sprawdzili, czy Twój baner zbiera zgody zgodnie z prawem? Zostaw dane - odezwiemy się w 24h.

Inne z kategorii Blog

Współczynnik akceptacji zgód - jak zgodnie z prawem nie tracić danych przez zły baner czytaj więcej

Koniec ciasteczek third-party - co zmiany w przeglądarkach oznaczają dla Twojego sklepu czytaj więcej

GA4 Events w sklepie - jak mierzyć sprzedaż, gdy klienci odrzucają cookies czytaj więcej

Więcej w Blog

Reklamowe (ad_storage)	Umożliwia przechowywanie danych powiązanych z reklamami, np. plików cookie (internet) lub identyfikatorów urządzeń (aplikacje). Korzystamy z plików cookie od: Google (polityka prywatności) Meta (polityka prywatności)
Preferencje reklam (ad_user_data)	Wskazuje zgodę na wysyłanie danych użytkownika do Google w celach związanych z reklamami online. Korzystamy z plików cookie od: Google Ads (polityka prywatności) Meta Ads (polityka prywatności)
Personalizacja reklam (ad_personalization)	Powoduje wyrażenie zgody na reklamy spersonalizowane. Korzystamy z plików cookie od: Google Ads (polityka prywatności) Meta Ads (polityka prywatności)
Analityczne (analytics_storage)	Umożliwia przechowywanie danych, takich jak pliki cookie (strony internetowe) lub identyfikatory urządzeń (aplikacje), związane z analityką, np. z czasem trwania wizyty. Korzystamy z plików cookie od: Google Analytics (polityka prywatności) HotJar (polityka prywatności) Clarity (polityka prywatności) Meta (polityka prywatności)
Funkcjonalne (functionality_storage)	Umożliwia pamięć obsługującą funkcje witryny lub aplikacji, np. ustawienia języka.
Personalizacyjne (personalization_storage)	Umożliwia przechowywanie danych związanych z personalizacją, na przykład rekomendacji filmów
Bezpieczeństwo (security_storage)	Umożliwia przechowywanie danych związanych z zabezpieczeniami, takimi jak funkcja uwierzytelniania, zapobieganie oszustwom i inne mechanizmy ochrony użytkowników