Prezes Urzędu Ochrony Danych Osobowych nałożył w 2023 roku karę 150 000 złotych na sklep internetowy za nieprawidłowe wdrożenie banera cookie. Problem dotyczył braku możliwości odrzucenia wszystkich plików cookies równie łatwo, jak ich zaakceptowania. To tylko jeden z wielu przypadków, które pokazują, że UODO traktuje kwestię cookies w e-commerce niezwykle poważnie. Właściciele sklepów internetowych często bagatelizują wymogi prawne, instalując gotowe rozwiązania bez weryfikacji ich zgodności z przepisami.
Prowadzenie sklepu internetowego bez prawidłowej obsługi cookies to ryzyko nie tylko finansowe, ale również wizerunkowe. Klienci coraz częściej zwracają uwagę na to, jak firma traktuje ich prywatność. W mojej praktyce w Kancelarii Radcy Prawnego Joanna Cenkier w Lublinie regularnie spotykam się z przedsiębiorcami, którzy dopiero po otrzymaniu pisma z UODO uświadamiają sobie wagę problemu. Przepisy dotyczące cookies wynikają zarówno z RODO, jak i z Prawa telekomunikacyjnego, co tworzy złożony system wymogów prawnych.
Jakie przepisy regulują stosowanie cookies w sklepach internetowych
Podstawą prawną dla stosowania cookies są dwa akty prawne. Pierwszy to rozporządzenie RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), które reguluje przetwarzanie danych osobowych. Drugi to ustawa Prawo telekomunikacyjne z 16 lipca 2004 roku, której artykuł 173 wprost odnosi się do przechowywania informacji w urządzeniach końcowych użytkowników.
Zgodnie z art. 173 ust. 1 Prawa telekomunikacyjnego, przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym wymaga zgody użytkownika. Wyjątek stanowią jedynie cookies niezbędne do świadczenia usługi, o którą użytkownik wyraźnie poprosił. W praktyce oznacza to, że cookies analityczne, marketingowe czy służące personalizacji treści wymagają zawsze zgody.
RODO wchodzi w grę, gdy cookies służą do przetwarzania danych osobowych. Identyfikator użytkownika, historia przeglądania, dane o zachowaniach zakupowych — wszystko to może stanowić dane osobowe w rozumieniu art. 4 pkt 1 RODO. Podstawą prawną przetwarzania takich danych jest zgoda (art. 6 ust. 1 lit. a RODO), która musi spełniać rygorystyczne wymogi określone w art. 7 RODO.
Ważne: Nie każdy plik cookie przetwarza dane osobowe, ale każdy wymaga zgody na podstawie Prawa telekomunikacyjnego, chyba że jest niezbędny do świadczenia usługi. To rozróżnienie ma fundamentalne znaczenie dla prawidłowego wdrożenia banera cookie.
Europejska Rada Ochrony Danych wydała wytyczne 05/2020 dotyczące zgody w rozumieniu RODO, które bezpośrednio odnoszą się do cookies. Wytyczne te podkreślają, że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Dodatkowo dyrektywa ePrivacy (2002/58/WE) w wersji znowelizowanej w 2009 roku stanowi podstawę dla krajowych regulacji dotyczących cookies.
Czym różnią się poszczególne kategorie plików cookies
Sklepy internetowe wykorzystują różne typy cookies, a każdy z nich podlega innym wymogom prawnym. Podstawowy podział obejmuje cookies niezbędne, funkcjonalne, analityczne i marketingowe. Zrozumienie tych kategorii jest fundamentem prawidłowego wdrożenia systemu zarządzania zgodami.
Cookies niezbędne (strictly necessary) to pliki umożliwiające podstawowe funkcjonowanie sklepu. Należą do nich cookies sesji, które zapamiętują zawartość koszyka, cookies bezpieczeństwa chroniące przed atakami CSRF, czy cookies równoważenia obciążenia serwerów. Te pliki nie wymagają zgody, ponieważ są niezbędne do świadczenia usługi wyraźnie żądanej przez użytkownika. Jednak nawet w tym przypadku należy poinformować użytkowników o ich stosowaniu w polityce prywatności.
Cookies funkcjonalne zapamiętują wybory użytkownika, takie jak język interfejsu, waluta czy preferowany sposób wyświetlania produktów. Choć poprawiają komfort korzystania ze sklepu, nie są niezbędne do jego działania. W mojej ocenie prawnej, którą regularnie przedstawiam klientom w Lublinie, cookies funkcjonalne wymagają zgody, chociaż niektóre interpretacje dopuszczają ich stosowanie na podstawie uzasadnionego interesu administratora.
Cookies analityczne służą do zbierania statystyk o ruchu na stronie. Google Analytics, Hotjar czy podobne narzędzia wykorzystują te pliki do analizy zachowań użytkowników. Stanowisko UODO jest jednoznaczne — cookies analityczne wymagają zgody. Nie można ich stosować na podstawie uzasadnionego interesu, nawet jeśli dane są anonimizowane. Wyrok TSUE w sprawie C-673/17 (Planet49) potwierdził, że zgoda jest wymagana niezależnie od tego, czy cookies przetwarzają dane osobowe.
Cookies marketingowe to najbardziej inwazyjne pliki, służące do profilowania użytkowników i wyświetlania spersonalizowanych reklam. Facebook Pixel, Google Ads, remarketing — wszystkie te narzędzia wymagają wyraźnej zgody. Co więcej, przekazywanie danych do podmiotów trzecich (jak Meta czy Google) wymaga dodatkowych zabezpieczeń prawnych, szczególnie gdy serwery znajdują się poza Unią Europejską.
Jak prawidłowo zaprojektować banner cookie zgodny z wymogami UODO
Banner cookie to pierwszy punkt kontaktu użytkownika z polityką prywatności sklepu. Jego konstrukcja musi spełniać konkretne wymogi prawne, które wynikają zarówno z RODO, jak i z praktyki decyzyjnej UODO. Najczęstszy błąd to projektowanie banera z perspektywy marketingowej, a nie prawnej.
Po pierwsze, banner musi pojawić się przed załadowaniem jakichkolwiek cookies wymagających zgody. Praktyka instalowania cookies przed uzyskaniem zgody, a następnie ich usuwania w przypadku odmowy, jest niedopuszczalna. Techniczne wdrożenie wymaga, aby skrypt banera blokował ładowanie innych skryptów do momentu wyrażenia zgody. Używanie rozwiązań typu "cookie wall", które uniemożliwiają korzystanie ze strony bez akceptacji cookies, jest co do zasady niezgodne z wymogiem dobrowolności zgody.
Po drugie, przycisk odrzucenia cookies musi być równie widoczny i łatwo dostępny jak przycisk akceptacji. Decyzje UODO wielokrotnie wskazywały na problem "dark patterns" — praktyk projektowych, które manipulują użytkownikami. Przykłady to: duży, kolorowy przycisk "Akceptuję" i mały, szary link "Zarządzaj ustawieniami" ukryty w stopce banera. Oba przyciski powinny mieć podobną wielkość, kolor i pozycję.
Po trzecie, użytkownik musi mieć możliwość wyrażenia zgody na poszczególne kategorie cookies osobno. Zgoda musi być granularna — nie można wymagać akceptacji wszystkich cookies jako warunku korzystania ze sklepu. Banner powinien oferować opcje: "Akceptuj wszystkie", "Odrzuć wszystkie" oraz "Dostosuj ustawienia", gdzie użytkownik może wybrać konkretne kategorie.
Uwaga praktyczna: Wiele gotowych wtyczek do zarządzania cookies nie spełnia wymogów prawnych. Przed wdrożeniem należy zweryfikować, czy rozwiązanie faktycznie blokuje cookies przed uzyskaniem zgody, a nie tylko wyświetla informację o ich stosowaniu.
Po czwarte, informacje w banerze muszą być jasne i zrozumiałe. Należy wskazać, jakie kategorie cookies są stosowane, w jakich celach oraz kto jest ich administratorem. Link do pełnej polityki prywatności powinien być widoczny, ale podstawowe informacje muszą być dostępne bezpośrednio w banerze. Używanie języka prawniczego pełnego terminów technicznych jest błędem — informacje muszą być zrozumiałe dla przeciętnego użytkownika.
Po piąte, zgoda nie może być domniemana. Praktyka stosowania pre-zaznaczonych checkboxów jest niedopuszczalna zgodnie z motywem 32 RODO. Użytkownik musi aktywnie zaznaczyć zgodę na każdą kategorię cookies. Samo przewijanie strony, kontynuowanie przeglądania czy zamknięcie banera bez dokonania wyboru nie może być traktowane jako zgoda.
Jakie dane należy zbierać i przechowywać jako dowód zgody
Artykuł 7 ust. 1 RODO nakłada na administratora obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. W praktyce oznacza to konieczność dokumentowania zgód na cookies. Brak takiej dokumentacji może skutkować niemożnością obrony w postępowaniu przed UODO.
System zarządzania zgodami powinien rejestrować następujące informacje: datę i godzinę wyrażenia zgody, adres IP użytkownika, treść zgody (jakie kategorie cookies zostały zaakceptowane), wersję polityki prywatności obowiązującą w momencie wyrażenia zgody oraz sposób wyrażenia zgody (kliknięcie konkretnego przycisku). Te dane stanowią dowód w przypadku sporu lub kontroli UODO.
Przechowywanie adresów IP w celu udokumentowania zgody jest dopuszczalne na podstawie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). Uzasadnionym interesem jest możliwość wykazania zgodności z przepisami i obrony przed roszczeniami. Jednak dane te powinny być przechowywane tylko przez okres niezbędny do realizacji tego celu — zazwyczaj nie dłużej niż okres przedawnienia roszczeń.
Warto wdrożyć system, który automatycznie generuje raport zgód dla każdego użytkownika. W przypadku żądania dostępu do danych (art. 15 RODO) administrator musi być w stanie przedstawić historię wyrażonych zgód. System powinien również umożliwiać łatwe wycofanie zgody — użytkownik musi mieć możliwość zmiany ustawień cookies w każdym momencie, a proces ten powinien być równie prosty jak wyrażenie zgody.
Kiedy można stosować cookies bez zgody użytkownika
Wyjątek od wymogu uzyskania zgody dotyczy cookies niezbędnych do świadczenia usługi. Jednak interpretacja tego wyjątku budzi wątpliwości, a praktyka UODO jest restrykcyjna. Nie każdy plik cookie, który administrator uznaje za przydatny, jest niezbędny w rozumieniu przepisów.
Cookies sesji, które zapamiętują zawartość koszyka zakupowego, są klasycznym przykładem plików niezbędnych. Bez nich użytkownik nie mógłby sfinalizować zakupu, co jest podstawową funkcją sklepu internetowego. Podobnie cookies uwierzytelniające, które utrzymują sesję zalogowanego użytkownika, są niezbędne do świadczenia usługi konta klienta.
Cookies równoważenia obciążenia (load balancing) są niezbędne z technicznego punktu widzenia, ale użytkownik ich nie zauważa. Służą one zapewnieniu stabilności działania serwisu poprzez rozdzielanie ruchu między serwery. Choć nie wymagają zgody, należy o nich poinformować w polityce prywatności.
Kontrowersyjne są cookies zapamiętujące wybór języka czy waluty. Niektóre interpretacje uznają je za niezbędne, inne wymagają zgody. W mojej praktyce prawnej rekomenduje klientom traktowanie tych cookies jako funkcjonalnych wymagających zgody, co eliminuje ryzyko sporu z UODO. Bezpieczniejsze jest uzyskanie zgody niż poleganie na wątpliwej interpretacji wyjątku.
Cookies bezpieczeństwa, które chronią przed atakami typu CSRF (Cross-Site Request Forgery) lub wykrywają próby włamania, są niezbędne. Służą one ochronie uzasadnionych interesów zarówno administratora, jak i użytkowników. Jednak nawet w tym przypadku należy je opisać w polityce prywatności i wyjaśnić ich rolę.
Jakie kary grożą za nieprawidłowe stosowanie cookies
Prezes UODO może nałożyć karę administracyjną na podstawie art. 83 RODO oraz art. 209 ustawy o ochronie danych osobowych. Wysokość kary zależy od kategorii naruszenia. Za naruszenia dotyczące zgody (art. 6, 7 i 9 RODO) kara może wynieść do 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która kwota jest wyższa.
W praktyce polskiej kary za nieprawidłowe cookies wahają się od kilkudziesięciu tysięcy do kilkuset tysięcy złotych. W 2022 roku UODO nałożył karę 200 000 złotych na portal internetowy za stosowanie cookies analitycznych bez zgody. W uzasadnieniu wskazano, że administrator przez ponad dwa lata przetwarzał dane bez podstawy prawnej, co stanowiło rażące naruszenie przepisów.
Oprócz kar finansowych UODO może nakazać zaprzestanie przetwarzania danych (art. 58 ust. 2 lit. f RODO). W przypadku sklepu internetowego może to oznaczać konieczność wyłączenia wszystkich narzędzi analitycznych i marketingowych do czasu wdrożenia zgodnego z prawem systemu zarządzania zgodami. Taka decyzja ma bezpośredni wpływ na możliwość prowadzenia działalności e-commerce.
Należy również pamiętać o ryzyku roszczeń cywilnoprawnych. Użytkownicy, których dane zostały przetworzone bezprawnie, mogą dochodzić odszkodowania na podstawie art. 82 RODO. Choć w Polsce orzecznictwo w tym zakresie jest jeszcze niewielkie, sądy europejskie coraz częściej przyznają odszkodowania za naruszenia związane z cookies.
Dodatkowym ryzykiem jest utrata zaufania klientów i negatywny wpływ na wizerunek marki. Informacja o karze UODO często trafia do mediów, co może skutkować spadkiem sprzedaży. W dobie rosnącej świadomości konsumentów w zakresie ochrony prywatności, sklepy internetowe nie mogą sobie pozwolić na lekceważenie wymogów prawnych.
Jak wdrożyć zgodny z prawem system zarządzania cookies w sklepie
Wdrożenie systemu zarządzania cookies wymaga połączenia wiedzy prawnej i technicznej. Pierwszy krok to audyt wszystkich cookies stosowanych w sklepie. Należy zidentyfikować każdy plik cookie, określić jego cel, czas przechowywania oraz podmiot, który go ustawia. Wiele sklepów stosuje cookies, o których właściciel nie ma pojęcia — pochodzą one z wtyczek, narzędzi analitycznych czy kodów śledzących partnerów.
Drugi krok to kategoryzacja cookies zgodnie z ich funkcją: niezbędne, funkcjonalne, analityczne i marketingowe. Dla każdej kategorii należy określić podstawę prawną przetwarzania. W przypadku cookies wymagających zgody trzeba przygotować jasne i zrozumiałe opisy, które będą prezentowane użytkownikom w banerze.
Trzeci krok to wybór lub stworzenie narzędzia do zarządzania zgodami (Consent Management Platform). Dostępne są zarówno rozwiązania komercyjne, jak i open source. Narzędzie musi spełniać następujące wymogi: blokowanie cookies przed uzyskaniem zgody, możliwość granularnej zgody na poszczególne kategorie, łatwe wycofanie zgody, rejestrowanie historii zgód oraz zgodność z wymogami RODO i Prawa telekomunikacyjnego.
Czwarty krok to aktualizacja polityki prywatności. Dokument musi zawierać szczegółowe informacje o wszystkich stosowanych cookies, celach ich stosowania, okresie przechowywania oraz podmiotach trzecich, które mogą otrzymać dostęp do danych. Polityka prywatności powinna być napisana prostym językiem, zrozumiałym dla przeciętnego użytkownika.
Piąty krok to wdrożenie techniczne. Wymaga ono modyfikacji kodu strony tak, aby skrypty ustawiające cookies były blokowane do momentu uzyskania zgody. W praktyce oznacza to opakowywanie skryptów w warunki sprawdzające status zgody. Szczególną uwagę należy zwrócić na Google Tag Manager i podobne narzędzia, które mogą ładować wiele skryptów jednocześnie.
Szósty krok to testy. Należy sprawdzić, czy banner działa poprawnie we wszystkich przeglądarkach, czy cookies są faktycznie blokowane przed wyrażeniem zgody oraz czy użytkownik może łatwo zmienić swoje ustawienia. Pomocne są narzędzia deweloperskie przeglądarek oraz specjalistyczne skanery cookies.
Rekomendacja prawna: Przed wdrożeniem systemu zarządzania cookies warto skonsultować się z prawnikiem specjalizującym się w ochronie danych osobowych. Koszt konsultacji jest nieporównywalnie niższy niż potencjalna kara UODO. W Kancelarii Radcy Prawnego Joanna Cenkier oferuję kompleksową obsługę prawną wdrożeń systemów cookies dla sklepów internetowych.
Jak postępować z cookies podmiotów trzecich i narzędziami marketingowymi
Sklepy internetowe często korzystają z narzędzi zewnętrznych: Google Analytics, Facebook Pixel, systemy remarketingowe, narzędzia live chat czy programy partnerskie. Każde z tych rozwiązań instaluje własne cookies, co komplikuje sytuację prawną. Administrator sklepu odpowiada za wszystkie cookies na swojej stronie, nawet jeśli pochodzą od podmiotów trzecich.
Google Analytics to najpopularniejsze narzędzie analityczne, ale jego stosowanie wymaga szczególnej ostrożności. Po wyroku Schrems II (C-311/18) i decyzjach europejskich organów ochrony danych, przekazywanie danych do Google w USA stało się problematyczne. Należy wdrożyć dodatkowe zabezpieczenia: anonimizację IP, wyłączenie udostępniania danych z Google, podpisanie umowy powierzenia przetwarzania danych oraz ocenę ryzyka transferu danych poza EOG.
Facebook Pixel służy do śledzenia konwersji i budowania grup remarketingowych. Jego stosowanie wymaga zgody użytkownika oraz poinformowania o przekazywaniu danych do Meta Platforms. Należy pamiętać, że Meta może wykorzystywać zebrane dane również do własnych celów, co wymaga szczególnie jasnego poinformowania użytkowników. Warto rozważyć alternatywne rozwiązania, takie jak Conversions API, które ograniczają ilość danych zbieranych bezpośrednio od użytkowników.
Narzędzia live chat (np. LiveChat, Tidio, Zendesk) często instalują cookies przed rozpoczęciem rozmowy. Należy skonfigurować je tak, aby cookies były ustawiane dopiero po wyrażeniu zgody lub po faktycznym rozpoczęciu konwersacji przez użytkownika. Samo wyświetlenie ikony czatu nie powinno skutkować instalacją cookies.
Programy partnerskie i systemy afiliacyjne wykorzystują cookies do śledzenia źródeł ruchu i przypisywania prowizji. Te cookies mają charakter marketingowy i wymagają zgody. Należy również poinformować użytkowników, że dane mogą być przekazywane partnerom handlowym, oraz wskazać, kto jest administratorem tych danych.
istotne jest zawarcie odpowiednich umów z dostawcami narzędzi zewnętrznych. Jeśli podmiot trzeci przetwarza dane osobowe w imieniu administratora sklepu, konieczna jest umowa powierzenia przetwarzania danych zgodna z art. 28 RODO. Umowa musi określać przedmiot, czas trwania, charakter i cel przetwarzania oraz rodzaj danych osobowych i kategorie osób, których dane dotyczą.
Praktyczne wskazówki dla właścicieli sklepów internetowych
Compliance w zakresie cookies to proces ciągły, a nie jednorazowe działanie. Przepisy się zmieniają, pojawiają się nowe interpretacje UODO i wyroki sądów, a sklepy wdrażają nowe narzędzia. Regularne audyty cookies powinny odbywać się co najmniej raz na kwartał, a po każdej istotnej zmianie w funkcjonalności sklepu.
Dokumentacja jest fundamentem obrony w przypadku kontroli UODO. Należy prowadzić rejestr czynności przetwarzania (art. 30 RODO), który obejmuje również przetwarzanie danych za pomocą cookies. Rejestr powinien zawierać informacje o celach przetwarzania, kategoriach danych, odbiorcach danych, transferach danych poza EOG oraz środkach technicznych i organizacyjnych zapewniających bezpieczeństwo.
Szkolenie pracowników to często pomijany element compliance. Osoby odpowiedzialne za marketing, IT i obsługę klienta muszą rozumieć wymogi prawne dotyczące cookies. Przed wdrożeniem nowego narzędzia marketingowego należy skonsultować się z osobą odpowiedzialną za ochronę danych lub prawnikiem. W mojej praktyce wielokrotnie spotykałam się z sytuacjami, gdzie marketer zainstalował nowy kod śledzący bez wiedzy właściciela sklepu, narażając firmę na odpowiedzialność prawną.
Monitoring zmian prawnych jest niezbędny. UODO regularnie publikuje stanowiska i decyzje, które wpływają na interpretację przepisów. Warto śledzić również orzecznictwo TSUE oraz działania innych europejskich organów ochrony danych. Praktyka w zakresie cookies ewoluuje, a to, co było akceptowalne rok temu, dziś może być uznane za naruszenie.
Transparentność wobec użytkowników buduje zaufanie. Zamiast traktować wymogi prawne jako przeszkodę, warto wykorzystać je jako element budowania przewagi konkurencyjnej. Sklepy, które jasno komunikują swoją politykę prywatności i dają użytkownikom realną kontrolę nad danymi, zyskują lojalnych klientów. W erze skandali związanych z prywatnością w internecie, przejrzystość staje się wartością rynkową.
Warto również rozważyć minimalizację stosowania cookies. Nie każde narzędzie analityczne czy marketingowe jest niezbędne. Im mniej cookies, tym mniejsze ryzyko prawne i tym prostszy proces uzyskiwania zgód. Alternatywą dla cookies mogą być rozwiązania server-side, które przetwarzają dane po stronie serwera bez konieczności instalowania plików w przeglądarce użytkownika.
Obsługa prawna e-commerce w zakresie cookies wymaga specjalistycznej wiedzy łączącej prawo ochrony danych osobowych, prawo telekomunikacyjne oraz znajomość technologii internetowych. W Kancelarii Radcy Prawnego Joanna Cenkier w Lublinie oferuję kompleksowe wsparcie dla sklepów internetowych: audyt cookies, przygotowanie dokumentacji prawnej, wdrożenie systemów zarządzania zgodami oraz reprezentację w postępowaniach przed UODO. Właściwe przygotowanie prawne to inwestycja, która chroni przed karami sięgającymi setek tysięcy złotych i umożliwia spokojne prowadzenie działalności w zgodzie z przepisami.
Powiązane strony