1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Jak zgodnie z RODO przetwarzać dane z plików cookies? Zgoda użytkownika, test równowagi i interes prawny administratora
Wyszukiwanie...

Jak zgodnie z RODO przetwarzać dane z plików cookies? Zgoda użytkownika, test równowagi i interes prawny administratora

Spis treści

W erze cyfrowej reklamy opartej na danych, korzystanie z plików cookies stało się powszechną praktyką. Jednak nie każdy administrator zdaje sobie sprawę, że pliki te – choć technicznie niewielkie – mogą podlegać ścisłym regulacjom z zakresu ochrony danych osobowych. Ten poradnik wyjaśnia, kiedy dane z cookies uznaje się za dane osobowe, jakie obowiązki wiążą się z ich przetwarzaniem oraz jak legalnie oprzeć działanie na zgodzie użytkownika lub tzw. uzasadnionym interesie.

📌 Czy dane z cookies podlegają przepisom RODO?

Nie wszystkie pliki cookies zawierają dane osobowe, ale wiele z nich umożliwia identyfikację użytkownika – bezpośrednio lub pośrednio. Przykładami takich identyfikatorów są m.in.:

  • cookie ID przypisane konkretnej przeglądarce,
  • user ID stosowane przez dostawców usług (np. Google),
  • adresy IP i inne identyfikatory internetowe.

Zgodnie z art. 4 pkt 1 RODO, dane osobowe to:

„wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.

A motyw 30 RODO wskazuje wprost, że identyfikatory internetowe – takie jak pliki cookie – mogą prowadzić do profilowania i identyfikacji osoby fizycznej. Jeśli więc cookies wykorzystywane są do:

  • analizowania zachowań użytkownika,
  • tworzenia jego profilu,
  • śledzenia jego aktywności w sieci,
    to ich użycie będzie oznaczać przetwarzanie danych osobowych i musi być zgodne z RODO.

✅ Legalne przetwarzanie danych z cookies – podstawy prawne

Aby przetwarzać dane osobowe zgodnie z RODO, administrator musi wskazać jedną z sześciu podstaw prawnych wymienionych w art. 6 ust. 1 RODO. W przypadku cookies najczęściej spotykamy dwie:

1. Zgoda użytkownika (art. 6 ust. 1 lit. a RODO)

To najczęstsza podstawa, szczególnie przy reklamie behawioralnej i profilowaniu. Zgoda musi spełniać cztery cechy:

  • dobrowolność – użytkownik nie może być przymuszany,
  • konkretność – zgoda musi być na konkretny cel,
  • świadomość – użytkownik powinien znać administratora i cel przetwarzania,
  • jednoznaczność – zgoda musi być aktywnym działaniem (np. kliknięcie przycisku).

Ważne: zgoda udzielona przez użytkownika na pliki cookies w ustawieniach przeglądarki nie wystarczy na gruncie RODO! Konieczne jest wyraźne działanie – np. kliknięcie „akceptuję” po przeczytaniu informacji o cookies.

2. Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO)

Można się na niego powołać, gdy:

  • cel przetwarzania jest rzeczywisty i zgodny z prawem,
  • dane są niezbędne do osiągnięcia tego celu,
  • interes administratora nie jest nadrzędny wobec praw użytkownika.

Typowe przykłady to:

  • statystyka odwiedzin,
  • wykrywanie nadużyć,
  • zapewnienie bezpieczeństwa strony.

Aby móc oprzeć się na tej podstawie, administrator musi przeprowadzić tzw. test równowagi.

⚖️ Test równowagi – jak go przeprowadzić?

Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator musi udowodnić, że ma prawo przetwarzać dane. W przypadku powołania się na uzasadniony interes, należy przeprowadzić analizę obejmującą trzy kroki:

🔹 1. Ustalenie interesu administratora

Interes musi być legalny, rzeczywisty i jasno określony. Może to być np. analiza ruchu na stronie czy poprawa bezpieczeństwa.

🔹 2. Ocena niezbędności

Czy przetwarzanie danych za pomocą cookies jest konieczne do osiągnięcia celu? Jeśli tak – trzeba wykazać, że nie da się osiągnąć celu w inny, mniej inwazyjny sposób.

🔹 3. Wyważenie interesów

Czy prawa użytkownika (np. do prywatności) nie są nadrzędne wobec interesu administratora? Należy uwzględnić:

  • charakter danych (np. dane lokalizacyjne),
  • relację z użytkownikiem (czy jest klientem?),
  • oczekiwania użytkownika (czy spodziewa się tego typu przetwarzania?).

Efekt analizy warto udokumentować (tzw. LIA – Legitimate Interest Assessment) – przyda się w razie kontroli.

wymuszona. To oznacza, że:

  • ✔ użytkownik musi aktywnie zaznaczyć, że zgadza się na konkretne cookies,
  • ✖ nie wystarczy, że „przejdzie dalej” lub „pozostanie na stronie”,
  • ✖ domyślnie zaznaczone checkboxy nie są zgodne z RODO.

Zgodnie z wyrokiem Trybunału Sprawiedliwości UE z 1 października 2019 r. w sprawie C-673/17 (Planet49):

„Zgoda wyrażona przez zaznaczone z góry pole wyboru nie jest skuteczna, niezależnie od tego, czy informacje przechowywane lub uzyskiwane z urządzenia użytkownika stanowią dane osobowe”.

💡 Wniosek: Zgoda musi być czynna i jednoznaczna. Pasywność użytkownika nie jest zgodą.

🧾 Co powinien zawierać komunikat cookies?

Zgodnie z RODO oraz art. 173 Prawa telekomunikacyjnego, użytkownik musi być poinformowany przed zapisaniem plików cookies, w sposób:

  • jednoznaczny (bez niejasności),
  • łatwy i zrozumiały (dla przeciętnego internauty),
  • przystępny językowo (bez specjalistycznej terminologii).

Informacja powinna obejmować co najmniej:

  • kto jest administratorem danych,
  • jakie rodzaje cookies są stosowane (np. techniczne, analityczne, marketingowe),
  • w jakim celu są wykorzystywane,
  • jaki jest okres ich działania,
  • czy dane są udostępniane podmiotom trzecim (np. Google, Meta),
  • jak użytkownik może cofnąć zgodę lub zmienić ustawienia cookies.

📌 Przykład poprawnego komunikatu (warstwa podstawowa):

„Używamy plików cookies w celu zapewnienia poprawnego działania strony, analizowania ruchu i dostosowania reklam. Możesz zaakceptować wszystkie cookies, dostosować ustawienia lub odmówić ich stosowania – klikając poniżej. Więcej informacji znajdziesz w naszej Polityce Prywatności.”

🔍 Użytkownik musi mieć też możliwość przejścia do warstwy szczegółowej, gdzie znajdzie dokładny opis każdego rodzaju cookies i możliwość zarządzania zgodami.

🚫 Czego unikać przy wdrażaniu zgód cookies?

W praktyce wiele firm nieprawidłowo pozyskuje zgody, ryzykując karę od UODO. Oto najczęstsze błędy:

❌ Domyślnie zaznaczone checkboxy

Przykład:

[✓] Zgadzam się na cookies marketingowe
Nielegalne – checkbox musi być niezaznaczony domyślnie.

❌ Brak możliwości odmowy bez trudności

Jeśli baner zawiera tylko przycisk „Akceptuję” i nie ma równie widocznego „Odrzuć” lub „Zarządzaj zgodą” – narusza zasadę dobrowolności.

❌ Utrudniony dostęp do ustawień

Ukrywanie przycisków lub przesadne komplikowanie cofnięcia zgody to naruszenie zasady przejrzystości i kontroli.

🧑‍💼 Przykład: Legalny vs. nielegalny baner cookies

Legalny baner

  • Wyświetlany od razu po wejściu na stronę,
  • Dwa przyciski: „Akceptuję wszystkie” i „Ustawienia”,
  • W ustawieniach: podział cookies na grupy (np. niezbędne, analityczne, marketingowe),
  • Brak cookies marketingowych do czasu wyrażenia zgody,
  • Informacja: kto jest administratorem i jak długo cookies są przechowywane.

Nielegalny baner

  • Tylko jeden przycisk: „Zamknij i kontynuuj”,
  • Brak możliwości odmowy lub konfiguracji,
  • Cookies uruchamiane natychmiast po wejściu na stronę,
  • Niejasna informacja („strona może wykorzystywać cookies”).

Kiedy można oprzeć przetwarzanie na uzasadnionym interesie administratora?

Zgoda użytkownika nie zawsze jest jedyną podstawą przetwarzania danych osobowych z plików cookies. Alternatywnie – w określonych przypadkach – można powołać się na prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

🧾 Warunki dopuszczalności:

  1. Interes administratora musi być legalny, realny i konkretny.
  2. Przetwarzanie danych musi być niezbędne do realizacji tego interesu.
  3. Interes administratora nie może być nadrzędny wobec interesów lub podstawowych praw i wolności użytkownika.

💡 Typowe sytuacje, w których można rozważyć tę podstawę:

  • statystyka odwiedzin strony (np. Google Analytics bez identyfikatorów użytkownika),
  • wykrywanie nadużyć,
  • analiza błędów technicznych,
  • optymalizacja działania strony (np. wykrywanie „wąskich gardeł”).

🛑 Nie można się na nią powołać, gdy cookies służą do:

  • personalizacji reklam (retargeting),
  • profilowania zachowań użytkowników w wielu witrynach,
  • udostępniania danych reklamodawcom.

⚖ Jak przeprowadzić test równowagi?

Zastosowanie art. 6 ust. 1 lit. f RODO wymaga dokumentowanego testu równowagi – czyli oceny, czy przetwarzanie nie narusza praw użytkownika. Oto jak go wykonać:

🔹 Krok 1: Zidentyfikuj cel i interes administratora

Np. „Zapewnienie bezpieczeństwa serwisu przed atakami typu DDoS” albo „Zbieranie anonimowych statystyk odwiedzin w celu optymalizacji treści”.

🔹 Krok 2: Oceń niezbędność przetwarzania

  • Czy osiągnięcie celu bez cookies jest możliwe?
  • Czy można użyć mniej inwazyjnych środków?

Jeśli cookies są jedyną techniczną możliwością monitorowania działania strony, warunek jest spełniony.

🔹 Krok 3: Zbadaj wpływ na prawa użytkownika

  • Czy użytkownik spodziewa się przetwarzania?
  • Jakie dane są gromadzone?
  • Czy cookies mogą identyfikować konkretną osobę?
  • Czy użytkownik ma łatwy dostęp do informacji?

🔹 Krok 4: Zastosuj środki ochrony

  • skróć czas przechowywania cookies,
  • nie udostępniaj danych osobom trzecim,
  • nie łącz danych z innymi źródłami.

🔹 Krok 5: Udokumentuj wynik testu

Nawet jeśli nie publikujesz testu, musisz być gotowy okazać go UODO – to wymóg zasady rozliczalności (art. 5 ust. 2 RODO).

📑 Wzór dokumentu: Test równowagi (LIA)

Nazwa operacji przetwarzania: Statystyki odwiedzin strony
Cel: Analiza ruchu i treści w serwisie w celu poprawy UX
Rodzaj danych: Cookie ID, czas odwiedzin, odwiedzane podstrony
Uzasadniony interes: Optymalizacja działania strony
Niebezpieczeństwo dla podmiotu danych: niskie – brak identyfikacji osoby
Ochrona danych: brak identyfikacji, dane nieudostępniane, anonimizacja
Wniosek: Interes administratora nie jest nadrzędny względem praw użytkownika
Data oceny: 5 czerwca 2025
Osoba odpowiedzialna: Administrator danych / DPO

Zgoda czy uzasadniony interes – co wybrać?

Wybór podstawy prawnej dla przetwarzania danych z plików cookies nie może być dowolny – musi zależeć od celu przetwarzania i charakteru danych.

Cel użycia cookiesPodstawa prawna (RODO)Wymagana zgoda użytkownika?
Niezbędne do działania strony (np. logowanie, koszyk)brak – nie podlegają RODO lub art. 6 ust. 1 lit. b❌ NIE
Statystyka działania serwisu (anonimowa)art. 6 ust. 1 lit. f – uzasadniony interes❌ NIE (ale wymagana informacja)
Personalizacja treści, analiza zachowaniaart. 6 ust. 1 lit. f (wymaga testu równowagi)⚠ możliwe bez zgody – zależnie od ryzyka
Reklama behawioralna, profilowanieart. 6 ust. 1 lit. a – zgoda osoby✔ TAK

Pamiętaj: zgoda wymagana na gruncie Prawa telekomunikacyjnego (art. 173) to nie to samo, co zgoda z art. 6 RODO. Jeśli cookies umożliwiają identyfikację użytkownika – musisz mieć obie zgody lub zastosować inny legalny mechanizm (np. test równowagi).

🛡️ Jak dokumentować zgodność z RODO?

Aby uniknąć zarzutów o niezgodne przetwarzanie danych, administrator powinien wdrożyć konkretne środki zgodności:

🔸 1. Polityka cookies

Stwórz osobny dokument (lub sekcję w polityce prywatności), który zawiera:

  • jakie cookies są stosowane (podział na grupy),
  • kto je instaluje (własne / zewnętrzne),
  • na jak długo są przechowywane,
  • w jakim celu są wykorzystywane,
  • jak można cofnąć zgodę.

🔸 2. Rejestr czynności przetwarzania (art. 30 RODO)

Wpisz tam operacje związane z cookies (jeśli są danymi osobowymi):

  • kategorie danych (np. identyfikator użytkownika),
  • cele przetwarzania (analiza, marketing),
  • podstawę prawną,
  • okres przechowywania,
  • odbiorców danych.

🔸 3. Test równowagi (dla art. 6 ust. 1 lit. f)

Dobrą praktyką jest przygotowanie osobnego arkusza analizy interesu prawnego dla każdego narzędzia marketingowego, które korzysta z cookies (np. Google Ads, Facebook Pixel).

🔸 4. Dowód zgody (art. 7 ust. 1 RODO)

Jeśli opierasz przetwarzanie na zgodzie:

  • stosuj rozwiązania umożliwiające zapisanie momentu i zakresu zgody (np. Consent Management Platform – CMP),
  • umożliwiaj użytkownikowi łatwe cofnięcie zgody.

📌 Zabezpieczenia techniczne i organizacyjne

Cookies mogą być furtką do szerszych naruszeń prywatności, dlatego warto:

  • stosować anonimizację i pseudonimizację danych (np. skracanie IP),
  • ograniczać dostęp do danych – tylko dla upoważnionych osób,
  • cyklicznie weryfikować polityki cookies i procedury zgodności,
  • wdrożyć regularne audytowanie narzędzi marketingowych (np. sprawdzanie, czy cookies są ładowane przed wyrażeniem zgody).

✅ Podsumowanie – co musisz zapamiętać?

  • Pliki cookies często są nośnikiem danych osobowych – podlegają więc RODO.
  • Zgodne z prawem przetwarzanie cookies wymaga:
    • zgody użytkownika (np. dla reklamy),
    • lub spełnienia warunków uzasadnionego interesu (w tym testu równowagi).
  • Baner cookies musi być czytelny, zrozumiały i interaktywny – bez domyślnej zgody.
  • Administrator ma obowiązek udokumentować legalność przetwarzania (zasada rozliczalności).
  • Przetwarzanie cookies bez należytej podstawy może skutkować karami od UODO, nawet jeśli dane wydają się „niewinne”.

🏛 Podstawa prawna

  • art. 4 pkt 1, art. 5 ust. 1 lit. a, art. 6 ust. 1 lit. a i f, art. 7, art. 13, art. 30 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
  • art. 173–174 – Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne
  • motywy 30, 32, 42, 43, 47 – RODO
  • Wyrok TSUE C-673/17 (Planet49)

📌 Tematy porad zawartych w poradniku

  • zgoda na cookies RODO
  • test równowagi cookies
  • cookies a dane osobowe
  • baner cookies zgodny z prawem
  • cookies marketingowe a RODO
Ostatnia aktualizacja: 05.06.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: