Polityka Cookies: Wymagania i Szybki Generator
Masz stronę internetową? Używasz Google Analytics, Meta Pixela albo chociażby Cloudflare? Jeśli tak — masz prawny obowiązek posiadania polityki cookies. A jeśli jej nie masz — lub masz skopiowaną z innej strony w 2018 roku — narażasz się na karę od UODO.
Problem w tym, że większość właścicieli stron nie wie, co dokładnie powinna zawierać polityka cookies w 2026 roku, czym różni się od polityki prywatności i jakie serwisy generują jakie pliki cookie. Ten artykuł odpowiada na te pytania — i na końcu pokazuje, jak wygenerować gotowy dokument w kilka minut.
Czym jest polityka cookies?
Polityka cookies (polityka plików cookie) to dokument informacyjny opisujący, jakie pliki cookies wykorzystuje strona internetowa, w jakim celu, jak długo są przechowywane i jak użytkownik może nimi zarządzać.
To nie to samo co polityka prywatności. Polityka prywatności opisuje ogólne zasady przetwarzania danych osobowych (na podstawie art. 13 RODO). Polityka cookies jest dokumentem uzupełniającym, skupionym konkretnie na plikach cookie i podobnych technologiach śledzenia.
| Element | Polityka prywatności | Polityka cookies |
|---|---|---|
| Podstawa prawna | Art. 13-14 RODO | Art. 173 Prawa telekomunikacyjnego + RODO |
| Zakres | Wszystkie dane osobowe | Pliki cookies i technologie śledzące |
| Kto potrzebuje | Każdy, kto przetwarza dane osobowe | Każda strona używająca cookies |
| Powiązanie | Może zawierać sekcję o cookies | Może być osobnym dokumentem lub częścią polityki prywatności |
Jeśli nie masz jeszcze polityki prywatności, skorzystaj z naszego generatora polityki prywatności — dostępnego w 11 wersjach branżowych.
Podstawa prawna — dlaczego to nie jest opcjonalne
Obowiązek informowania o cookies wynika z dwóch źródeł prawa:
Art. 173 Prawa telekomunikacyjnego — wymaga uzyskania zgody użytkownika na zapisywanie plików cookies na jego urządzeniu. Wyjątek stanowią cookies niezbędne do świadczenia usługi (np. sesyjne).
RODO (art. 6 ust. 1 lit. a) — gdy cookies służą do przetwarzania danych osobowych (a cookies analityczne i marketingowe prawie zawsze to robią), potrzebna jest zgoda użytkownika na ich przetwarzanie.
W praktyce oznacza to, że Twoja strona musi:
- Informować użytkowników o wykorzystywanych cookies (polityka cookies)
- Uzyskiwać zgodę przed aktywacją cookies innych niż niezbędne (baner cookie)
- Umożliwiać zarządzanie preferencjami cookies (panel preferencji)
- Dokumentować zgody na wypadek kontroli
Kary za naruszenie przepisów o ochronie danych mogą sięgać 20 mln EUR lub 4% rocznego obrotu — choć w praktyce kary UODO dla polskich firm są proporcjonalnie niższe, to wciąż mogą być bardzo dotkliwe.
Co musi zawierać polityka cookies w 2026 roku?
Prawidłowa polityka cookies powinna zawierać co najmniej siedem elementów:
1. Informacja o administratorze
Kto jest administratorem strony — nazwa firmy, adres, dane kontaktowe. Użytkownik musi wiedzieć, do kogo zwrócić się w sprawie swoich danych.
2. Definicja i wyjaśnienie czym są cookies
Krótkie, przystępne wyjaśnienie czym są pliki cookies. Nie zakładaj, że każdy odwiedzający Twoją stronę wie, co to jest.
3. Kategorie cookies
Podział na jasne kategorie:
- Niezbędne — konieczne do działania strony (sesja, bezpieczeństwo, CSRF, zapamiętanie zgód). Nie wymagają zgody.
- Analityczne — statystyki odwiedzin, zachowanie użytkowników (Google Analytics, Hotjar, Clarity).
- Marketingowe — remarketing, śledzenie konwersji (Meta Pixel, Google Ads, LinkedIn Insight).
- Funkcjonalne — dodatkowe funkcje: czat, mapy, wideo, CAPTCHA.
4. Wykaz konkretnych cookies
Tabela z konkretnymi plikami cookies: nazwa, dostawca, cel, czas przechowywania. Google wyraźnie oczekuje transparentności — listing „używamy cookies” bez szczegółów to za mało.
5. Informacja o serwisach zewnętrznych
Lista dostawców zewnętrznych, których technologie są osadzane na stronie. Szczególnie ważne w kontekście transferu danych do USA — użytkownik musi wiedzieć, że jego dane mogą trafić do Google, Meta czy Microsoft.
6. Transfer danych do państw trzecich
Jeśli korzystasz z serwisów amerykańskich (a większość stron korzysta), musisz wskazać podstawę prawną transferu — najczęściej EU-US Data Privacy Framework lub standardowe klauzule umowne (SCC).
7. Instrukcja zarządzania cookies
Konkretne instrukcje jak wyłączyć cookies w popularnych przeglądarkach (Chrome, Firefox, Safari, Edge) oraz informacja, że zablokowanie cookies może wpłynąć na funkcjonalność strony.
Najczęstsze błędy w politykach cookies
Po przeanalizowaniu setek polskich stron, oto błędy które widzimy najczęściej:
Skopiowana polityka z 2018 roku
RODO weszło w życie w maju 2018 — i wtedy powstała większość polityk cookies. Problem: od tego czasu zmieniły się serwisy (GA4 zastąpił Universal Analytics), pojawiły się nowe regulacje (Digital Markets Act), a orzecznictwo TSUE zaostrzało wymogi dot. zgód.
Brak wykazu konkretnych cookies
„Nasza strona używa plików cookies” — to jak powiedzieć „nasz sklep sprzedaje produkty”. Użytkownik ma prawo wiedzieć jakie dokładnie cookies, od jakiego dostawcy i po co.
Brak informacji o serwisach z USA
Korzystasz z Google Analytics? Meta Pixel? YouTube embed? Każdy z tych serwisów przesyła dane do USA. Brak informacji o tym to naruszenie art. 44-49 RODO dotyczących transferu danych do państw trzecich.
Brak rozróżnienia kategorii
Wszystkie cookies wrzucone do jednego worka. Użytkownik powinien mieć możliwość zaakceptowania np. cookies analitycznych, ale odrzucenia marketingowych.
Polityka cookies = polityka prywatności
To dwa różne dokumenty. Można je połączyć w jeden (np. jako sekcję polityki prywatności), ale nie można zastąpić jednego drugim.
Które serwisy generują cookies?
Zestawienie najpopularniejszych serwisów i cookies, które instalują:
Serwisy analityczne
| Serwis | Cookies | Cel | Retencja |
|---|---|---|---|
| Google Analytics 4 | _ga, _ga_* |
Identyfikacja użytkownika, statystyki | 2 lata |
| Google Tag Manager | _gcl_au (pośrednio) |
Zarządzanie tagami | sesja |
| Hotjar | _hj*, _hjSession* |
Mapy cieplne, nagrania | 1 rok |
| Microsoft Clarity | _clck, _clsk, CLID |
Mapy cieplne | 1 rok |
Serwisy marketingowe
| Serwis | Cookies | Cel | Retencja |
|---|---|---|---|
| Meta Pixel | _fbp, _fbc, fr |
Remarketing Facebook/Instagram | 90 dni |
| Google Ads | _gcl_aw, _gcl_dc |
Remarketing, konwersje Google | 90 dni |
| LinkedIn Insight | li_sugr, bcookie |
Remarketing LinkedIn | 2 lata |
Serwisy funkcjonalne
| Serwis | Cookies | Cel | Retencja |
|---|---|---|---|
| YouTube embed | YSC, VISITOR_INFO1_LIVE |
Odtwarzanie wideo | 180 dni |
| Google reCAPTCHA | _GRECAPTCHA |
Ochrona przed botami | 6 mies. |
| Cloudflare | __cf_bm, cf_clearance |
CDN, ochrona DDoS | 30 min |
Pełna lista 19 serwisów jest dostępna w naszym generatorze polityki cookies — wystarczy zaznaczyć, z których korzystasz, a generator automatycznie utworzy tabelę.
Polityka cookies a baner zgód
Polityka cookies i baner cookies (cookie consent banner) to dwa osobne elementy, ale ściśle powiązane:
Baner — wyskakujący komunikat przy pierwszej wizycie. Pozwala użytkownikowi zaakceptować lub odrzucić poszczególne kategorie cookies. Powinien linkować do polityki cookies.
Polityka — szczegółowy dokument dostępny na stałe (zwykle w stopce strony). Opisuje wszystkie cookies, ich cele i prawa użytkownika.
Ważna zasada: cookies inne niż niezbędne nie mogą być aktywowane przed uzyskaniem zgody. To oznacza, że Google Analytics, Meta Pixel czy Hotjar powinny ładować się dopiero PO kliknięciu „Akceptuję” w banerze. W praktyce wiele stron łamie tę zasadę.
Jak stworzyć politykę cookies — 3 opcje
Opcja 1: Napisać samodzielnie
Najtańsza, ale wymaga wiedzy prawnej. Musisz znać wszystkie cookies na swojej stronie (narzędzia dev tools w przeglądarce → zakładka Application → Cookies), rozumieć podstawy prawne i sformułować dokument poprawnym językiem prawniczym.
Opcja 2: Zlecić prawnikowi
Najdroższa (500–2000 zł za dokument), ale daje pewność formalnej poprawności. Warto przy dużych serwisach z wieloma integracjami.
Opcja 3: Użyć generatora
Najszybsza i najpraktyczniejsza opcja dla MŚP, freelancerów i właścicieli stron. Nasz generator polityki cookies prowadzi przez prosty formularz:
- Wpisujesz dane firmy — nazwa, adres strony, email kontaktowy
- Zaznaczasz kategorie cookies — niezbędne, analityczne, marketingowe, funkcjonalne
- Wybierasz konkretne serwisy — z listy 19 popularnych (GA4, Meta Pixel, Hotjar, Cloudflare itp.)
- Generujesz dokument — z tabelą cookies, sekcją o transferze danych do USA i instrukcją zarządzania
- Eksportujesz — kopiujesz tekst za darmo lub pobierasz PDF/DOC po podaniu emaila
Cały proces zajmuje 2–5 minut. Dokument uwzględnia wymagania RODO i Prawa telekomunikacyjnego.
Polityka cookies a cyberbezpieczeństwo
Na pierwszy rzut oka polityka cookies wydaje się niezwiązana z cyberbezpieczeństwem. Ale połączenie jest głębsze niż myślisz.
Cookies jako wektor ataku. Skradzione sesyjne cookies pozwalają przejąć zalogowaną sesję użytkownika (atak session hijacking). To jeden z powodów, dla których RODO wymaga informowania o cookies — użytkownik powinien wiedzieć, jakie dane są przechowywane na jego urządzeniu.
Tracking cookies a wycieki danych. Marketing cookies zbierają obszerne profile behawioralne użytkowników. Wyciek takiej bazy to naruszenie danych osobowych podlegające zgłoszeniu do UODO w ciągu 72 godzin.
Canary tokens a cookies. Ciekawym rozwiązaniem w kontekście bezpieczeństwa są canary tokens — cyfrowe pułapki, które natychmiast informują o nieautoryzowanym dostępie do danych. Działają na innej zasadzie niż cookies, ale adresują ten sam problem: wiedzieć, kto i kiedy uzyskał dostęp do Twoich zasobów.
Dyrektywa NIS2 a polityka cookies
Dyrektywa NIS2 nie wymaga bezpośrednio posiadania polityki cookies. Ale wymaga od podmiotów kluczowych i ważnych wdrożenia „odpowiednich środków technicznych i organizacyjnych” — a transparentność w zakresie przetwarzania danych (w tym cookies) jest elementem compliance.
Dla MŚP w łańcuchach dostaw dużych firm posiadanie aktualnej polityki cookies to sygnał dojrzałości compliance. Sprawdź, czy NIS2 dotyczy Twojej firmy, korzystając z checklisty zgodności NIS2.
Podsumowanie
Polityka cookies w 2026 roku to nie formalność — to wymóg prawny z konkretnymi konsekwencjami za jego niespełnienie. Dokument powinien zawierać dane administratora, kategorie cookies, wykaz konkretnych plików z retencją, informację o serwisach zewnętrznych i transferze danych oraz instrukcję zarządzania preferencjami.
Najszybszy sposób na stworzenie prawidłowej polityki cookies to skorzystanie z generatora polityki cookies clev.one — darmowego narzędzia, które prowadzi przez cały proces w 5 minut i generuje dokument gotowy do umieszczenia na stronie.
Chcesz chronić dane firmy nie tylko na papierze? Zapisz się na listę oczekujących clev.one — system wczesnego ostrzegania, który wykrywa nieautoryzowany dostęp w sekundach.
Chcesz chronić swoje dane?
Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.
Zapisz się teraz