Kontakt
Menu
Kontakt
Menu
STRONA GŁÓWNA / Co zmienia nowy raport EDPB w sprawie plików cookies, zgód i RODO?

Co zmienia nowy raport EDPB w sprawie plików cookies, zgód i RODO?

Raport EDPB

Początek 2026 roku przyniósł przedsiębiorcom i administratorom danych kolejne wyzwania z zakresu compliance. Najnowszy raport Europejskiej Rady Ochrony Danych (EDPB – European Data Protection Board) rzuca nowe światło na praktyki związane ze zbieraniem zgód na pliki cookie. Zmiany te nie są jedynie kosmetyką interfejsów użytkownika, lecz głęboką ingerencją w to, jak organizacje muszą podchodzić do transparentności i bezpieczeństwa informacji. Przyjrzyjmy się szczegółowo, co dokładnie oznaczają te wytyczne w praktyce.

Bezpieczeństwo informacji a nowe wytyczne EDPB – dlaczego to ważne?

Czym jest bezpieczeństwo informacji w kontekście zgód na cookie?

Bezpieczeństwo informacji bywa często redukowane do zabezpieczeń stricte technicznych, takich jak szyfrowanie czy zapory sieciowe. Tymczasem w świetle wytycznych EDPB oraz przepisów RODO, bezpieczeństwo to również ochrona praw użytkownika do decydowania o własnych danych. Pliki cookie, śledząc aktywność, gromadzą ogromne pakiety informacji o preferencjach, lokalizacji czy statusie majątkowym. Zapewnienie, że proces ten odbywa się zgodnie z prawem, jest fundamentalnym elementem polityki bezpieczeństwa każdej organizacji cyfrowej.

Poufność, integralność i rozliczalność – trzy filary nowego podejścia

Wytyczne EDPB z 2026 roku kładą szczególny nacisk na triadę CIA (Confidentiality, Integrity, Availability), rozszerzoną o kluczową w RODO zasadę rozliczalności (accountability). Administrator musi nie tylko chronić poufność danych zbieranych przez ciasteczka, ale także być w stanie udowodnić (rozliczalność), że zgoda użytkownika została pozyskana w sposób dobrowolny, konkretny, świadomy i jednoznaczny. Brak przejrzystych mechanizmów to bezpośrednie uderzenie w integralność systemu zarządzania prywatnością w firmie.

Raport EDPB 2026 – kluczowe zmiany dla plików cookie i zgód

Obowiązkowy przycisk „odrzuć wszystko” na pierwszej warstwie

To najważniejsza i najbardziej bezwzględnie egzekwowana zmiana. EDPB jednoznacznie wskazuje, że pierwsza warstwa banera cookie (ta widoczna natychmiast po wejściu na stronę) musi zawierać przycisk „Odrzuć wszystko” (lub równoważny), który jest równie widoczny co przycisk „Akceptuj wszystko”. Zmuszanie użytkownika do wejścia w ustawienia zaawansowane w celu odrzucenia śledzenia jest traktowane jako naruszenie prawa.

Zakaz domyślnie zaznaczonych zgód (active consent)

Bierność użytkownika nie oznacza zgody. Raport przypomina, że milczenie lub kontynuowanie przeglądania strony (tzw. scrollowanie) nie spełnia wymogów świadomego wyrażenia woli. Wszystkie zgody na pliki inne niż technicznie niezbędne muszą być domyślnie odznaczone. Zgoda wymaga wyraźnego działania potwierdzającego (active consent).

Dark patterns pod lupą – mała czcionka, mylące kolory przycisków

Europejska Rada Ochrony Danych wypowiedziała wojnę tzw. „dark patterns”, czyli zwodniczym interfejsom. Konstruowanie banerów w sposób, w którym przycisk akceptacji jest duży i jaskrawy, a przycisk odrzucenia to ledwo widoczny, szary tekst, zostało wprost uznane za niedozwoloną manipulację. Interfejs musi być neutralny i nie może subtelnie wymuszać na użytkowniku decyzji korzystnej dla administratora.

Czy pliki cookie to dane osobowe? Stanowisko EDPB w 2026 roku

Identyfikacja urządzenia i użytkownika jako przesłanka

Choć sam plik cookie to ciąg znaków, EDPB podtrzymuje i uszczegóławia swoje stanowisko: w przeważającej większości przypadków, jeśli cookie pozwala na wyodrębnienie konkretnego użytkownika w sieci lub śledzenie jego zachowań (tzw. digital fingerprinting), traktuje się go jak dane osobowe. Identyfikacja nie musi oznaczać znajomości imienia i nazwiska – wystarczy zdolność do zindywidualizowania osoby (singling out) w cyfrowym tłumie.

Zobacz więcej:  Dokumentacja pracownicza - ile wynosi okres przechowywania dokumentacji pracowniczej?

Konsekwencje dla bezpieczeństwa informacji w firmie

Uznanie większości ciasteczek śledzących i analitycznych za dane osobowe oznacza, że podlegają one pełnemu reżimowi RODO. Wymaga to uwzględnienia ich w Rejestrze Czynności Przetwarzania (RCP), dokonywania oceny ryzyka oraz wdrażania adekwatnych środków technicznych i organizacyjnych. Wyciek bazy identyfikatorów cookie powiązanych z profilami użytkowników to naruszenie ochrony danych osobowych, które należy zgłosić organowi nadzorczemu.

Jak prawidłowo wdrożyć zgodny baner cookie?

Kategoryzacja cookie – co może być „niezbędne”, a co nie?

Administratorzy często nadużywają kategorii „niezbędne pliki cookie”, kwalifikując tam narzędzia analityczne lub skrypty marketingowe. Zgodnie z wytycznymi, za niezbędne uważa się wyłącznie pliki konieczne do transmisji komunikatu w sieci elektronowej lub dostarczenia usługi wyraźnie zażądanej przez użytkownika (np. zawartość koszyka w e-commerce, logowanie, zapamiętanie samej zgody na cookie). Analytics czy piksele Facebooka nigdy nie są niezbędne.

Stałe i widoczne miejsce do wycofania zgody

Zgoda musi być równie łatwa do wycofania, co do wyrażenia. Wdrożenie zgodnego banera to nie tylko jednorazowy pop-up. Wymagane jest zapewnienie stałego mechanizmu – na przykład pływającej ikony (widgetu) w rogu ekranu lub wyraźnego linku w stopce – który w dowolnym momencie pozwala użytkownikowi zmienić preferencje bez konieczności czyszczenia danych przeglądarki.

Przykład dobrej i złej praktyki (case study)

Zła praktyka: Baner zasłaniający całą stronę, z zielonym przyciskiem „Akceptuj wszystkie” i szarym linkiem tekstem „Ustawienia zaawansowane”, gdzie wszystkie suwaki są domyślnie włączone. Brak mechanizmu zmiany zgody po jej kliknięciu.
Dobra praktyka: Okno na dole ekranu nieblokujące czytania treści, posiadające dwa identyczne przyciski „Akceptuj wszystkie” i „Odrzuć wszystkie”. W rogu ekranu znajduje się stała ikona tarczy, kliknięcie której natychmiast wywołuje panel ustawień prywatności.

Kary i egzekwowanie – co grozi za niezgodne cookie?

Wysokość kar (20 mln euro lub 4% obrotu)

Nieprawidłowe pozyskiwanie zgód (naruszenie art. 6 oraz art. 7 RODO w zw. z dyrektywą ePrivacy) zagrożone jest administracyjnymi karami pieniężnymi, które mogą sięgnąć do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (w zależności od tego, która kwota jest wyższa).

Przykład realnej kary w 2025/2026 („Pay or Okay”)

Organy nadzorcze w Europie coraz częściej kwestionują modele „Pay or Okay” (płać za subskrypcję lub oddaj dane), jeśli opłata jest nieproporcjonalnie wysoka i pozbawia użytkownika realnego wyboru. W ostatnich miesiącach nałożono wielomilionowe kary na gigantów medialnych i technologicznych za zmuszanie użytkowników do zgody pod groźbą odcięcia od podstawowych informacji. To wyraźny sygnał, że zgoda musi być całkowicie dobrowolna.

Planowane kontrole CEF w 2026 roku

W ramach Coordinated Enforcement Framework (CEF), europejskie organy ochrony danych, w tym polski UODO, zapowiedziały zmasowane i skoordynowane kontrole w 2026 roku. Skupią się one przede wszystkim na stronach internetowych z sektora e-commerce, mediów i usług finansowych, weryfikując obecność dark patterns oraz mechanizmów wycofywania zgód.

Status prawny ciasteczek w Polsce na tle raportu EDPB

Związek Prawa Telekomunikacyjnego z RODO

W Polsce kwestię ciasteczek reguluje art. 173 ustawy Prawo telekomunikacyjne. Przepis ten wdraża unijną dyrektywę ePrivacy, stanowiąc mechanizm *lex specialis* wobec RODO. To właśnie Prawo telekomunikacyjne wymaga uzyskania zgody na instalację oprogramowania w urządzeniu końcowym użytkownika. Jednak warunki ważności tej zgody ocenia się na podstawie rygorystycznych wymogów RODO.

Zobacz więcej:  Sztuczna inteligencja pod kontrolą. AI Act i jego relacja do RODO

Obowiązek transparentności i łatwego wycofania zgody od 2026 roku

Polski Urząd Ochrony Danych Osobowych w pełni popiera wytyczne EDPB. Przekłada się to na rygorystyczne podejście do transparentności. Przedsiębiorca operujący na polskim rynku musi liczyć się z tym, że brak polskojęzycznego, jasnego opisu poszczególnych rodzajów cookie oraz brak przycisku „odrzuć wszystko” zostanie potraktowany jako rażące naruszenie przepisów krajowych i europejskich.

Rola Europejskiej Rady Ochrony Danych (EDPB) w kształtowaniu bezpieczeństwa informacji

Kompetencje EDPB – kto wydaje wiążące wytyczne?

Europejska Rada Ochrony Danych to niezależny organ europejski, który dba o spójne stosowanie przepisów o ochronie danych w całej UE. Choć same wytyczne nie są ustawą, to w praktyce wyznaczają standardy interpretacyjne dla sądów i krajowych organów nadzorczych. Zignorowanie wytycznych EDPB podczas audytu to prosta droga do przegrania ewentualnego sporu z urzędem.

Współpraca z polskim UODO i innymi organami

Prezes UODO jest członkiem EDPB i bierze aktywny udział w opracowywaniu wytycznych. Dlatego też wytyczne unijne są bezwzględnie implementowane do praktyki orzeczniczej polskiego organu nadzorczego. Mechanizmy współpracy zapewniają, że skarga polskiego obywatela na zagraniczny portal będzie rozpatrywana według tych samych standardów wyznaczonych przez Radę.

FAQ – najczęstsze pytania o cookie, zgody i raport EDPB

1. Czy muszę mieć zgodę na wszystkie cookie?

Nie. Zgoda nie jest wymagana dla tzw. plików niezbędnych (technicznych), które są konieczne do prawidłowego funkcjonowania strony (np. utrzymanie sesji, zapamiętanie zgody). Pozostałe (analityczne, marketingowe) wymagają wyraźnej zgody.

2. Jak sprawdzić, czy mój baner jest zgodny z prawem?

Sprawdź, czy na pierwszej warstwie posiada przycisk „Odrzuć wszystko”, czy suwaki wyboru są domyślnie wyłączone, czy kolory przycisków nie sugerują wyboru oraz czy masz na stronie stały przycisk do zmiany preferencji.

3. Czy zgoda na cookie może być wycofana w każdym momencie?

Tak. Użytkownik ma pełne prawo wycofać zgodę w dowolnym czasie, a proces ten musi być tak samo prosty jak samo udzielenie zgody (np. poprzez jedno kliknięcie w ikonę dostępną stale na stronie).

4. Czym jest przycisk „odrzuć wszystko” i czy jest obowiązkowy?

Zgodnie z najnowszymi wytycznymi EDPB, przycisk ten jest absolutnie obowiązkowy na pierwszej warstwie banera. Musi stanowić wizualną równowagę dla przycisku akceptacji.

5. Co to są „dark patterns” w banerach cookie?

To manipulacyjne praktyki w interfejsie użytkownika. Przykładem jest ukrywanie opcji odrzucenia zgód głęboko w ustawieniach lub zmuszanie do żmudnego odklikiwania kilkudziesięciu zgód dla poszczególnych vendorów reklamowych.

6. Czy pliki analityczne Google Analytics wymagają zgody?

Tak. Pliki analityczne nie są uważane za „technicznie niezbędne” do świadczenia usługi z perspektywy użytkownika. Instalacja GA przed wyrażeniem zgody jest niezgodna z prawem.

7. Czym różnią się pliki niezbędne od marketingowych?

Zobacz więcej:  Dane biometryczne a ochrona prywatności - jak bezpiecznie je przetwarzać

Pliki niezbędne służą do komunikacji elektronicznej i bezpiecznego dostarczenia żądanej treści. Pliki marketingowe śledzą zachowanie użytkownika w celu budowy profilu preferencji i wyświetlania spersonalizowanych reklam.

8. Czy „Pay or Okay” (płać lub akceptuj cookie) jest legalne?

Model ten jest dopuszczalny pod bardzo restrykcyjnymi warunkami. Użytkownik musi mieć rzeczywisty, dobrowolny wybór, a alternatywa płatna nie może być wyceniona w sposób zaporowy. EDPB dokładnie bada ten model i często go kwestionuje.

9. Jakie kary grożą za brak odpowiedniego banera cookie?

Organ nadzorczy może nałożyć karę administracyjną do 20 milionów euro lub 4% światowego obrotu firmy. Znacznie częściej jednak nakładane są niższe, lecz wciąż dotkliwe kary finansowe proporcjonalne do skali naruszenia.

10. Czy zasady EDPB dotyczą tylko firm z Unii Europejskiej?

Nie. Przepisy RODO i wytyczne EDPB mają zastosowanie do każdej firmy (nawet z USA czy Azji), która oferuje towary lub usługi osobom znajdującym się na terytorium Unii Europejskiej albo monitoruje ich zachowanie w UE.

Checklista dla firmy – jak dostosować się do nowych wymogów?

Aby przygotować organizację na kontrole i dostosować się do zaleceń, warto zrealizować kompleksowe Wdrożenie RODO, skupiając się na następujących krokach:

Audyt techniczny banera cookie

  • Sprawdź, czy skrypty śledzące blokują się przed kliknięciem akceptacji.
  • Upewnij się, że na pierwszej warstwie banera widnieją przyciski „Akceptuj wszystkie” oraz „Odrzuć wszystkie”.
  • Przeanalizuj interfejs pod kątem braku dark patterns (równe kolory i kontrasty).

Weryfikacja kategoryzacji cookie

  • Przejrzyj wszystkie instalowane ciasteczka.
  • Wyrzuć narzędzia analityczne i reklamowe z sekcji „niezbędne”.
  • Upewnij się, że użytkownik dostaje dokładne informacje o czasie trwania cookie i podmiotach trzecich (vendorach).

Wdrożenie mechanizmu wycofywania zgody

  • Zainstaluj na stronie stały element (np. pływający widżet), który wywołuje baner ustawień prywatności.
  • Zweryfikuj, czy po wycofaniu zgody system rzeczywiście przestaje wysyłać dane do zewnętrznych usług.

Jak nasza kancelaria wspiera w bezpiecznym wdrożeniu cookie?

Audyt zgodności z wytycznymi EDPB

Samodzielna ocena zgodności technologicznej i prawnej bywa trudna. Nasz zespół przeprowadza gruntowny Audyt RODO, obejmujący skanowanie witryny, analizę przepływu danych w skryptach oraz weryfikację interfejsów (UX/UI) pod kątem eliminacji dark patterns i wymogów EROD z 2026 roku.

Opinie prawne i reprezentacja przed UODO

Zapewniamy nie tylko techniczno-prawne dostosowanie banerów, ale również tworzymy opinie zabezpieczające interesy firmy w przypadku nietypowych wdrożeń. W sytuacji kontroli w ramach programu CEF lub skargi użytkownika, reprezentujemy naszych klientów przed Prezesem Urzędu Ochrony Danych Osobowych, dbając o bezpieczeństwo informacji i finansów firmy.

O Autorze:
Artykuł opracowany przez zespół Kancelarii Adwokackiej, specjalizujący się w ochronie danych osobowych, e-commerce oraz bezpieczeństwie informacji. Doradzamy przedsiębiorstwom technologicznym we wdrażaniu standardów compliance na rynkach europejskich.

Data ostatniej aktualizacji: maj 2026 r.

Zastrzeżenie prawne: Niniejszy artykuł ma charakter wyłącznie informacyjny i edukacyjny. Nie stanowi porady prawnej. Każdy przypadek wdrożenia mechanizmów prywatności wymaga indywidualnej analizy prawnej.

Źródła:

  • Oficjalne raporty i wytyczne Europejskiej Rady Ochrony Danych (EDPB)
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
  • Ustawa Prawo telekomunikacyjne

Spis treści

Spis treści
Artykuły w tym temacie:

Inne artykuły w tym temacie

Dane do faktury
11 min
Dane do faktury – czy to dane osobowe?
Zgodnie z unijnym rozporządzeniem, informacje umieszczane na dokumencie księgowym stanowią dane osobowe, o ile pozwalają na zidentyfikowanie osoby fizycznej, w tym również przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą. Przetwarzanie tych danych rodzi po stronie wystawcy faktury konkretne obowiązki prawne.

Czytaj wpis
Dane osobowe
11 min
Dane osobowe – co to jest i jak je rozpoznać w praktyce
Czym są dane osobowe? Zgodnie z europejskim prawem dane osobowe oznaczają informacje, które pozwalają na zidentyfikowanie osoby fizycznej. Definicja ta, ugruntowana w art. 4 ust. 1 RODO, obejmuje wszelkie informacje powiązane z człowiekiem - od imienia i nazwiska, przez adres IP, aż po pliki cookie. Ważne jest rozróżnienie danych zwykłych od wrażliwych, co warunkuje rygoryzm ich ochrony. Każda organizacja przetwarzająca takie informacje pełni rolę Administratora Danych Osobowych (ADO) i podlega surowym karom finansowym za ewentualne naruszenia.

Czytaj wpis
RODO w pigułce
12 min
RODO w pigułce – co warto wiedzieć o rozporządzeniu o ochronie danych osobowych
Unijne przepisy ujednolicają standardy prywatności w całej Europie, nakładając na przedsiębiorców rygorystyczne obowiązki od 2018 roku, a ich nieprzestrzeganie niesie za sobą wysokie ryzyko finansowe w 2026 roku.

Czytaj wpis
Jeśli skorzystasz z opcji umówienia konsultacji, będę przetwarzać Twoje dane w celu organizacji spotkania i ewentualnie dalszej korespodencji. Więcej informacji znajdziesz w  Polityce prywatności.
Spotkajmy się

Umów bezpłatną konsultację

Nie wiesz, czy potrzebujesz audytu, dokumentacji, a może po prostu jednej opinii? Nie musisz wybierać usługi na początku — najpierw porozmawiajmy.

Skorzystaj z 30-minutowej, niezobowiązującej bezpłatnej konsultacji. Omówimy Twoją sytuację i podpowiem, jakie działania mają sens w Twoim przypadku — czy chodzi o RODO, e-commerce, bezpieczeństwo danych, czy coś zupełnie innego.

Wybierz dogodny termin w kalendarzu obok — resztą zajmę się ja.

Logotyp Orlicki
Al. Stanów Zjednoczonych 20/89
03-964 Warszawa
NIP: 799 ​​197​34​​ 91
Numer wpisu: WAW/ADW/11630
+48 790 703 900 kontakt@adwokat-orlicki.pl
Umów bezpłatną konsultację

Najważniejsze strony

RODO

Bezpieczeństwo informacji

E-commerce

Prawna obsługa biznesu

Obsługa osób fizycznych

Linkedin

© 2026 Adwokat Orlicki

|

Polityka prywatności

Projekt i wdrożenie: korg.software
Zamknięcie
Kontakt
Facebook
Instagram
Linkedin