Cookies i banner RODO — jak legalnie zbierać zgody w sklepie internetowym

Czy sklep internetowy musi mieć banner cookies

Tak — jeśli Twój sklep używa plików cookies innych niż ściśle niezbędne (sesja koszyka, logowanie), musisz uzyskać zgodę użytkownika przed ich zapisaniem. To wynika z:

• RODO (art. 6 ust. 1 lit. a — zgoda jako podstawa przetwarzania)
• Dyrektywy ePrivacy 2002/58/WE (art. 5 ust. 3 — zgoda na cookies)
• Ustawy Prawo telekomunikacyjne (art. 173 — cookies w polskim prawie)

Banner cookies to interfejs do zbierania tej zgody. Bez niego — nielegalnie przetwarzasz dane przez Google Analytics, Facebook Pixel, Hotjar i inne narzędzia marketingowe.

Rodzaje cookies w sklepie internetowym

| Typ | Przykłady | Zgoda wymagana? |

|---|---|---|

| Niezbędne | Koszyk, sesja, CSRF, logowanie | Nie |

| Analityczne | Google Analytics, Matomo | Tak |

| Marketingowe | Facebook Pixel, Google Ads, remarketing | Tak |

| Funkcjonalne | Preferencje języka, ostatnio oglądane | Tak |

| Społecznościowe | Przyciski share, embed YouTube | Tak |

Cookies niezbędne do działania sklepu (koszyk, checkout) nie wymagają zgody — ale musisz o nich poinformować w polityce cookies.

Jak powinien wyglądać banner zgodny z RODO

Prawidłowy banner cookies musi:

1. Pojawić się przed zapisaniem cookies — nie po, nie „przy okazji"

2. Oferować realny wybór — akceptuj, odrzuć, ustawienia (nie tylko „OK")

3. Nie stosować dark patterns — odrzucenie musi być równie łatwe co akceptacja

4. Grupować cookies — niezbędne, analityczne, marketingowe osobno

5. Opisywać każdą kategorię — co robi, kto jest odbiorcą danych

6. Nie pre-zaznaczać zgód na cookies opcjonalne

7. Umożliwiać wycofanie zgody — link „Ustawienia cookies" w stopce

Czego NIE robić

• Banner z jednym przyciskiem „Akceptuję" bez opcji odrzucenia
• Pre-zaznaczone checkboxy marketingowe
• Ukrywanie opcji odrzucenia za wieloma kliknięciami
• Ładowanie Google Analytics przed zgodą
• Cookie wall — blokowanie dostępu do strony bez akceptacji

Google Analytics a RODO — aktualny stan

Google Analytics 4 (GA4) przetwarza dane osobowe (adres IP, identyfikatory) i przekazuje je do Google LLC w USA. Wymaga to:

• Zgody użytkownika przed uruchomieniem
• Umowy powierzenia (DPA) z Google
• Informacji w polityce prywatności o transferze poza EOG
• Opcji anonimizacji IP (choć sama nie zastępuje zgody)

UODO wydał wytyczne potwierdzające, że GA wymaga zgody. Oprócz bannera potrzebujesz też polityki cookies — listy plików (nazwa, dostawca, cel, czas przechowywania) i instrukcji wycofania zgody. CMP (Cookiebot, CookieYes) powinno blokować skrypty do momentu uzyskania zgody.

Kary za cookies bez zgody

• UODO — kary za przetwarzanie bez podstawy prawnej (brak zgody)
• UKE (Urząd Komunikacji Elektronicznej) — kary za naruszenie art. 173 Prawa telekomunikacyjnego (do 3% obrotu)
• Spadek konwersji — użytkownicy coraz częściej odrzucają cookies marketingowe

Checklista cookies RODO

• [ ] Banner pojawia się przed zapisaniem cookies opcjonalnych
• [ ] Opcja odrzucenia równie łatwa jak akceptacja
• [ ] Brak pre-zaznaczonych zgód marketingowych
• [ ] Polityka cookies opublikowana
• [ ] Google Analytics ładuje się dopiero po zgodzie
• [ ] Link „Ustawienia cookies" w stopce
• [ ] Rejestr zgód (kto, kiedy, na co się zgodził)

Gotowe zgody RODO, polityka cookies i banner — w komplecie dokumentów na gotowyregulamin.pl/gotowe-pisma za 149 zł.