Polityka cookies

Polityka cookies w Polsce to dokument informacyjny, który opisuje zasady stosowania plików cookies (ciasteczek) na stronie internetowej, realizując obowiązki wynikające z art. 173 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800 ze zm.) oraz z rozporządzenia (UE) 2016/679 (RODO) i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.). Plik cookie to niewielki plik tekstowy zapisywany przez przeglądarkę internetową na urządzeniu użytkownika (komputerze, tablecie lub smartfonie) podczas odwiedzin strony.

Podstawowy podział obejmuje cookies sesyjne — usuwane po zamknięciu przeglądarki — oraz cookies trwałe, pozostające na urządzeniu przez określony czas lub do chwili ręcznego usunięcia. Ze względu na cel wyróżnia się: cookies niezbędne do technicznego działania serwisu (logowanie, koszyk zakupowy), cookies analityczne monitorujące ruch (np. Google Analytics dostarczany przez Google LLC), cookies marketingowe i reklamowe (np. Meta Pixel od Meta Platforms Ireland Ltd., Google Ads Remarketing), cookies funkcjonalne zapamiętujące preferencje użytkownika oraz cookies społecznościowe umożliwiające integrację z serwisami takimi jak Facebook, LinkedIn czy YouTube.

Przepis art. 173 ust. 1 Prawa telekomunikacyjnego stanowi, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone wyłącznie wtedy, gdy dana osoba zostanie uprzednio poinformowana o celu i sposobie przechowywania informacji, a następnie wyrazi na to zgodę. Wyjątek dotyczy cookies ściśle niezbędnych do świadczenia usługi komunikacyjnej lub żądanej usługi elektronicznej. W praktyce oznacza to, że cookies analityczne, marketingowe i funkcjonalne wymagają aktywnej zgody użytkownika udzielonej przed ich załadowaniem, a nie po; stosowanie technik pre-tick (domyślnego zaznaczenia) lub kontynuacji przeglądania jako domniemanej zgody jest niezgodne zarówno z Prawem telekomunikacyjnym, jak i z wymogami art. 7 RODO.

W kontekście RODO stosowanie cookies wiążących się z przetwarzaniem danych osobowych (np. adresy IP, identyfikatory użytkownika, dane o zachowaniu w serwisie) wymaga podstawy prawnej z art. 6 RODO. Najczęściej jest nią zgoda (art. 6 ust. 1 lit. a RODO) dla cookies niebędących niezbędnymi lub prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) w ograniczonym zakresie cookies funkcjonalnych. Prezes Urzędu Ochrony Danych Osobowych (PUODO) pełni rolę krajowego organu nadzorczego w sprawach naruszenia RODO, podczas gdy Prezes Urzędu Komunikacji Elektronicznej (UKE) nadzoruje przestrzeganie art. 173 Prawa telekomunikacyjnego. Polityka cookies łączona jest zazwyczaj z polityką prywatności lub tworzy odrębny dokument z niej wydzielony, do którego polityka prywatności odsyła, co jest podejściem rekomendowanym przez PUODO jako zapewniającym większą przejrzystość i czytelność obu dokumentów.

Dokument powinien informować o podmiotach trzecich dostarczających cookies (procesorach lub odrębnych administratorach), o ewentualnym transferze danych poza Europejski Obszar Gospodarczy (art. 44-49 RODO) oraz o trybie wycofania zgody, który musi być co najmniej tak prosty, jak jej udzielenie (art. 7 ust. 3 RODO). Regulamin stosowania cookies jest zatem nie tylko wymogiem compliance, lecz również elementem budowania zaufania użytkowników, którzy w Polsce coraz częściej korzystają z praw wynikających z RODO i oczekują przejrzystego wyjaśnienia, które dane o ich zachowaniu są zbierane i w jakim celu.

Polityka cookies w Polsce jest obowiązkowa dla każdego podmiotu prowadzącego stronę internetową lub aplikację, która stosuje pliki cookies — niezależnie od ich rodzaju i celu. Obowiązek wynika z art. 173 Prawa telekomunikacyjnego i nie jest uzależniony od skali działalności ani od tego, czy serwis jest komercyjny.

**Nowe uruchomienie serwisu internetowego.** Każda strona www uruchamiana przez firmę, organizację pozarządową, instytucję publiczną, szkołę czy osobę fizyczną prowadzącą działalność musi posiadać politykę cookies przed pierwszym udostępnieniem jej użytkownikom. Uruchomienie serwisu bez mechanizmu zgody i polityki cookies stanowi naruszenie art. 173 Prawa telekomunikacyjnego już od pierwszego dnia działania.

**Wdrożenie narzędzi analitycznych lub reklamowych.** Podłączenie Google Analytics, Meta Pixel, Hotjar (Hotjar Ltd.), Microsoft Clarity lub podobnych narzędzi śledzących wymaga zaktualizowania polityki cookies o informację o nowym podmiocie trzecim oraz zapewnienia, że użytkownik udzielił zgody przed załadowaniem tych skryptów. Niedopełnienie tego obowiązku stanowi podstawę do wszczęcia postępowania przez PUODO lub UKE.

**Zmiana zakresu stosowanych cookies.** Rozszerzenie serwisu o nowe funkcje (np. czat, newsletter, integracja z mediami społecznościowymi) może oznaczać pojawienie się nowych kategorii cookies. Każda taka zmiana wymaga aktualizacji polityki i ponownego poinformowania użytkowników — niezaktualizowany dokument traci walor zgodności, ponieważ nie odzwierciedla rzeczywistego stanu przetwarzania.

**Typowe sytuacje wymagające polityki cookies:** - uruchomienie lub przebudowa strony internetowej - integracja z Google Analytics 4, Meta Pixel lub platformami reklamowymi - wdrożenie systemu personalizacji treści lub rekomendacji produktów - stosowanie cookies trwałych dłuższych niż jedna sesja - działalność e-commerce z śledzeniem konwersji - audyt RODO lub kontrola UKE / PUODO - współpraca z podmiotami przekazującymi dane poza EOG

**Podmioty szczególnie narażone na kontrolę.** Sklepy internetowe, serwisy informacyjne, platformy edukacyjne i serwisy kierowane do dzieci (wymagające szczególnej ochrony na mocy art. 8 RODO i motywu 38 RODO) podlegają zwiększonej uwadze organów nadzorczych. Prezes Urzędu Ochrony Danych Osobowych (PUODO) w swoich stanowiskach podkreśla, że stosowanie mechanizmów dark patterns — takich jak wyróżnienie kolorem przycisku „Akceptuj wszystkie” przy jednoczesnym ukryciu opcji odmowy — jest niezgodne z wymogiem dobrowolności zgody z art. 7 RODO. Aktualną, zgodną ze standardami politykę cookies dla Polski udostępnia forms-legal.com, co ułatwia spełnienie obowiązku bez angażowania prawnika na etapie przygotowania pierwszego dokumentu.

Polityka cookies dla strony internetowej w Polsce musi zawierać szereg obligatoryjnych elementów wynikających z art. 173 Prawa telekomunikacyjnego i RODO, a jej struktura powinna umożliwiać użytkownikowi podjęcie świadomej decyzji o zgodzie.

**1. Dane administratora serwisu.** Pełna nazwa, adres siedziby, NIP i numer KRS lub wpisu do CEIDG oraz adres e-mail kontaktowy, na który użytkownik może kierować pytania dotyczące cookies i RODO (art. 13 ust. 1 lit. a RODO). Anonimowa polityka bez identyfikacji administratora narusza obowiązek informacyjny i jest bezskuteczna jako podstawa zgody.

**2. Definicja i klasyfikacja plików cookies.** Wyjaśnienie, czym są pliki cookies, podział na cookies sesyjne i trwałe oraz klasyfikacja według celu: niezbędne, analityczne, marketingowe, funkcjonalne i społecznościowe. Opis każdej kategorii powinien być na tyle szczegółowy, aby użytkownik rozumiał, co akceptuje — ogólnikowe opisy wszystkich cookies jako „pomocnych dla poprawienia doświadczenia” nie spełniają standardu świadomej zgody.

**3. Czas przechowywania danych.** Informacja o czasie życia poszczególnych plików cookies lub kryterium jego ustalenia (art. 13 ust. 2 lit. a RODO). Cookies sesyjne nie wymagają wskazania konkretnego terminu, lecz cookies trwałe — tak, ponieważ zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) wymaga określenia okresu adekwatnego do celu przetwarzania.

**4. Podmioty trzecie — procesorzy i współadministratorzy.** Wskazanie nazw dostawców narzędzi (np. Google LLC, Meta Platforms Ireland Ltd., Hotjar Ltd., Microsoft Corporation) i ich polityk prywatności, ponieważ pliki cookies podmiotów trzecich mogą być zarządzane przez odrębnych administratorów niepowiązanych z właścicielem serwisu. Pominięcie tych informacji naraża administratora na zarzut wprowadzenia użytkownika w błąd co do zakresu przetwarzania (art. 5 ust. 1 lit. a RODO).

**5. Transfer danych poza EOG.** Jeżeli dostawcy narzędzi (np. Google LLC z siedzibą w USA, Hotjar Ltd. z siedzibą na Malcie) przetwarzają dane poza Europejskim Obszarem Gospodarczym, administrator musi poinformować o tym fakcie i wskazać podstawę transferu (art. 46 RODO) — standardowe klauzule umowne lub decyzję Komisji Europejskiej o adekwatności. Od wejścia w życie ram EU–US Data Privacy Framework (lipiec 2023 r.) część transferów do USA objęta jest mechanizmem adekwatności.

**6. Mechanizm zgody i jej cofnięcia.** Opis narzędzia do zarządzania zgodą (banner, widget, strona ustawień) oraz instrukcja cofnięcia zgody w ustawieniach przeglądarki (np. w Mozilla Firefox: Opcje > Prywatność i bezpieczeństwo; w Google Chrome: Ustawienia > Prywatność i bezpieczeństwo > Pliki cookie i inne dane witryn). Wycofanie musi być równie proste jak wyrażenie zgody (art. 7 ust. 3 RODO). Warto tu wskazać, że cookies niezbędne nie wymagają zgody i nie można ich zablokować w mechanizmie zarządzania — jest to technicznie uzasadnione wyłączenie z art. 173 ust. 3 pkt 1 Prawa telekomunikacyjnego.

**7. Prawa osoby, której dane dotyczą.** Pełen katalog praw z art. 15-22 RODO, ze szczególnym uwypukleniem prawa do sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21 RODO) oraz prawa wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa. Narzędzie do tworzenia zgodnych polityk cookies dla Polski — forms-legal.com — umożliwia generowanie dokumentów uwzględniających aktualne wymogi zarówno Prawa telekomunikacyjnego, jak i RODO.

**8. Data obowiązywania i tryb aktualizacji.** Data wejścia w życie polityki oraz informacja, że zmiany będą komunikowane użytkownikom (np. przez aktualizację daty na stronie lub przez powiadomienie przy kolejnej wizycie). Zasada rozliczalności (art. 5 ust. 2 RODO) wymaga, aby administrator mógł wykazać, że polityka odzwierciedla aktualny stan przetwarzania, dlatego archiwizacja poprzednich wersji dokumentu jest dobrą praktyką uznawaną przez PUODO.

Polityka cookies w Polsce wypełniana jest przez dostosowanie wzoru do faktycznego zakresu stosowanych plików cookies — mechaniczne skopiowanie cudzego dokumentu bez weryfikacji jego treści narusza zasadę rzetelności (art. 5 ust. 1 lit. a RODO) i może nie odpowiadać rzeczywistości.

**Krok 1: Uzupełnienie danych administratora.** Wpisz pełną nazwę firmy lub imię i nazwisko przedsiębiorcy, adres siedziby, NIP i numer KRS lub CEIDG, adres e-mail do kontaktu w sprawach cookies. Dane muszą być zgodne z rejestrem publicznym — użytkownik na ich podstawie identyfikuje administratora i kieruje do niego wnioski dotyczące swoich praw (art. 15-22 RODO).

**Krok 2: Adres serwisu.** Wpisz pełny adres strony internetowej (np. www.firma.pl). Jeśli prowadzisz kilka serwisów, rozważ stworzenie odrębnej polityki dla każdego lub wyraźne wskazanie, że polityka obejmuje wszystkie serwisy administratora i wymień ich adresy.

**Krok 3: Zaznaczenie kategorii cookies.** Wskaż wyłącznie te kategorie, z których faktycznie korzystasz — nie zaznaczaj cookies marketingowych, jeśli nie uruchomiłeś jeszcze żadnego piksela reklamowego. Podawanie nieistniejących kategorii jest dezinformacją i naruszeniem zasady przejrzystości.

**Krok 4: Czas przechowywania.** Wpisz rzeczywisty czas życia cookies. Informację znajdziesz w dokumentacji technicznej stosowanych narzędzi: np. Google Analytics 4 domyślnie ustawia cookies _ga na 2 lata, a _ga_XXXXXXXXXX na 2 lata. Cookies sesyjne (np. koszyk zakupowy) wygasają po zamknięciu przeglądarki — podaj tę informację wprost.

**Krok 5: Mechanizm zgody.** Wybierz sposób, w jaki użytkownicy udzielają zgody: banner/pop-up z podziałem na kategorie lub ustawienia przeglądarki. Pamiętaj, że przed załadowaniem cookies analitycznych i marketingowych przeglądarki użytkownika nie powinna być żadna aktywność skryptów — mechanizm musi blokować skrypty do momentu udzielenia zgody.

**Krok 6: Podmioty trzecie i transfer poza EOG.** Wypisz z dokumentacji swoich narzędzi nazwy dostawców: np. Google Analytics — Google LLC, USA; Meta Pixel — Meta Platforms Ireland Ltd. / Meta Platforms Inc., USA. Jeśli dane trafiają poza EOG, wskaż podstawę transferu — dla Google i Meta najczęściej jest to mechanizm EU–US Data Privacy Framework lub standardowe klauzule umowne (art. 46 RODO).

**Krok 7: Data i publikacja.** Wpisz datę wejścia polityki w życie. Opublikuj dokument w stopce serwisu jako osobna podstrona i upewnij się, że odniesienie do polityki cookies jest widoczne w bannerze zgody. Gdy aktualizujesz dokument — zmień datę i przy kolejnej wizycie użytkownika ponownie pokaż mechanizm zarządzania zgodą, jeśli zmiana dotyczy kategorii lub podmiotów trzecich.

Polityka cookies w Polsce musi spełniać wymogi trzech głównych aktów prawnych: ustawy Prawo telekomunikacyjne, RODO i ustawy o ochronie danych osobowych.

**Art. 173 Prawa telekomunikacyjnego.** Podstawowy przepis regulujący cookies w Polsce — obowiązek uprzedniego poinformowania i uzyskania zgody przed przechowywaniem lub uzyskiwaniem dostępu do danych w urządzeniu końcowym. Wyjątek dla cookies niezbędnych (art. 173 ust. 3 pkt 1 Prawa telekomunikacyjnego) dotyczy wyłącznie cookies technicznych wymaganych przez usługę wprost żądaną przez użytkownika — nie można na tej podstawie uzasadniać cookies analitycznych.

**Art. 6 i art. 7 RODO — podstawa prawna i warunki zgody.** Cookies przetwarzające dane osobowe muszą mieć podstawę z art. 6 RODO. Zgoda (art. 6 ust. 1 lit. a RODO) musi być dobrowolna (brak przymusu akceptacji wszystkich cookies jako warunek dostępu), konkretna (oddzielna dla każdej kategorii), świadoma (poprzedzona jasną informacją) i jednoznaczna (aktywne działanie — nie milczenie, kontynuacja przeglądania ani pre-tick). Wycofanie zgody (art. 7 ust. 3 RODO) musi być co najmniej tak proste jak jej udzielenie i nie może powodować negatywnych konsekwencji dla użytkownika.

**Art. 5 RODO — zasady przetwarzania danych przez cookies.** Przetwarzanie danych przez cookies musi być zgodne z prawem i rzetelne (lit. a), ograniczone do określonego celu (lit. b), zminimalizowane do niezbędnego zakresu (lit. c), prawidłowe (lit. d) i ograniczone czasowo (lit. e). Za rozliczalność odpowiada administrator (art. 5 ust. 2 RODO), który musi umieć wykazać przestrzeganie tych zasad, np. przez prowadzenie rejestru czynności przetwarzania (art. 30 RODO) z opisem operacji cookies.

**Ustawa o ochronie danych osobowych z 10.05.2018 r.** Wyznacza Prezesa Urzędu Ochrony Danych Osobowych (PUODO) jako organ nadzorczy RODO w Polsce (art. 34 u.o.d.o.) uprawniony do przeprowadzenia kontroli, wydania decyzji nakazowej i nałożenia administracyjnej kary pieniężnej (art. 83 RODO, do 20 mln EUR lub 4% rocznego obrotu). Skargi użytkowników kierowane do PUODO są rozpatrywane z urzędu, a administrator ma obowiązek wykazać zgodność (zasada rozliczalności).

**Prezes Urzędu Komunikacji Elektronicznej (UKE).** Nadzoruje przestrzeganie art. 173 Prawa telekomunikacyjnego i może nałożyć kary za naruszenie obowiązku uzyskania zgody na cookies. Kompetencje UKE i PUODO nakładają się w zakresie cookies przetwarzających dane osobowe, co oznacza możliwość postępowań prowadzonych równolegle.

Polityki cookies w Polsce nagminnie zawierają błędy, które mogą skutkować postępowaniem przed PUODO lub UKE — warto je wyeliminować już na etapie przygotowania dokumentu.

**Domyślnie zaznaczone zgody.** Najczęstszy błąd — banner z pre-tickiem przy cookies analitycznych lub marketingowych, lub traktowanie kontynuacji przeglądania jako zgody. PUODO i Trybunał Sprawiedliwości UE (wyrok C-673/17 Planet49) jednoznacznie stwierdziły, że takie mechanizmy nie spełniają warunku dobrowolnej, jednoznacznej zgody z art. 7 RODO.

**Brak możliwości odmowy lub utrudniony dostęp do opcji „Odrzuć”.** Ukrycie przycisku odmowy, wymaganie kilku kliknięć do odrzucenia przy jednoczesnym jednym kliknięciu dla akceptacji lub brak opcji odmowy w ogóle — narusza zasadę równoważności zgody i odmowy.

**Nieaktualna lista podmiotów trzecich.** Wdrożenie nowego narzędzia (np. TikTok Pixel, LinkedIn Insight Tag) bez aktualizacji polityki powoduje, że przetwarzanie danych przez to narzędzie odbywa się bez wiedzy użytkownika i bez ważnej podstawy prawnej.

**Brak informacji o transferze poza EOG.** Pominięcie informacji, że Google Analytics lub Meta Pixel przekazują dane do serwerów w USA, jest naruszeniem obowiązku informacyjnego z art. 13 ust. 1 lit. f RODO.

**Scalenie cookies niezbędnych z innymi.** Opisywanie cookies analitycznych jako „technicznych” lub „niezbędnych” w celu uniknięcia obowiązku uzyskania zgody — stanowi manipulację klasyfikacją i jest niezgodne z art. 173 ust. 3 pkt 1 Prawa telekomunikacyjnego.

**Brak procedury wycofania zgody.** Polityka nie opisuje, jak użytkownik może cofnąć zgodę — narusza art. 7 ust. 3 RODO. Wystarczy wskazać ustawienia bannera zgody i ustawienia przeglądarki.