EuroComply
Zarejestruj się
Back to blog
Przewodniki 9 min read

ePrivacy i pliki cookie: co jest nadal wymagane w 2026 roku

What you need to know: ePrivacy i pliki cookie: co jest nadal wymagane w 2026 roku

Dyrektywa ePrivacy nadal reguluje pliki cookie i komunikację elektroniczną w UE — a jej egzekwowanie nasiliło się. Niniejszy przewodnik omawia, kiedy wymagana jest zgoda, jakie wyjątki obowiązują i jak zbudować zgodną implementację plików cookie.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Zgoda na pliki cookie pozostaje jednym z najczęściej błędnie rozumianych i naruszanych obszarów unijnego prawa ochrony danych. Mimo lat egzekwowania wiele organizacji nadal stosuje niezgodne implementacje — wstępnie zaznaczone pola, brak opcji odrzucenia, zgoda powiązana z warunkami korzystania z usługi.

Niniejszy przewodnik omawia ramy prawne, jakie technologie wymagają zgody, jakie wyjątki obowiązują oraz jak faktycznie wygląda zgodna implementacja w 2026 roku.

Ramy prawne: dyrektywa ePrivacy nadal obowiązuje

Dyrektywa ePrivacy (2002/58/WE zmieniona dyrektywą 2009/136/WE) nadal reguluje stosowanie plików cookie i podobnych technologii śledzenia w całej UE. Rozporządzenie ePrivacy — które miało ją zastąpić — nadal pozostaje zablokowane w unijnych negocjacjach legislacyjnych. W kwietniu 2026 roku dyrektywa pozostaje w mocy, transponowana do prawa krajowego we wszystkich państwach członkowskich.

Przepisy dyrektywy dotyczące plików cookie zawarte są w art. 5 ust. 3: przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych na urządzeniu końcowym użytkownika jest dozwolone wyłącznie wtedy, gdy użytkownik wyraził uprzednią, świadomą zgodę. Dotyczy to plików cookie, pamięci lokalnej, IndexedDB, pikseli, odcisków przeglądarki oraz wszelkich innych technologii odczytujących lub zapisujących dane na urządzeniu użytkownika.

RODO stosuje się do samego mechanizmu zgody: zgoda musi spełniać standard art. 7 — być dobrowolna, konkretna, świadoma, jednoznaczna, wyrażona wyraźnym działaniem potwierdzającym oraz odwoływalna w dowolnym momencie bez żadnych negatywnych konsekwencji.

Co jest zwolnione

Art. 5 ust. 3 przewiduje dwa wyjątki — technologie bezwzględnie konieczne, które w związku z tym nie wymagają zgody:

1. Przechowywanie wyłącznie w celu przeprowadzenia transmisji komunikatu — np. routing sesji, równoważenie obciążenia między serwerami. Są to elementy infrastrukturalne, które nie są przechowywane po zakończeniu transmisji.

2. Bezwzględnie konieczne do świadczenia usługi wyraźnie żądanej przez użytkownika — np. pliki cookie koszyka zakupowego, pliki cookie uwierzytelniania sesji, pliki cookie preferencji (język, ustawienia dostępności) ustawione przez samego użytkownika. Słowem kluczowym jest „bezwzględnie" — usługa nie mogłaby działać bez nich.

Wyjątki te są ściśle interpretowane. Nie dotyczą wygody. Plik cookie jest bezwzględnie konieczny, jeżeli jego usunięcie uniemożliwiłoby działanie funkcji wyraźnie żądanej przez użytkownika. Wygoda, analityka i optymalizacja nie stanowią wystarczających podstaw.

Co wymaga zgody

Następujące kategorie wymagają uprzedniej, świadomej zgody — zgoda musi być uzyskana przed ustawieniem pliku cookie, a nie po:

| Kategoria | Przykłady | Zwolnione? | |----------|---------|---------| | Analityczne | Google Analytics 4, Matomo cloud, Mixpanel | Nie | | Marketingowe / reklamowe | Meta Pixel, konwersja Google Ads, retargeting | Nie | | Media społecznościowe | Skrypty przycisku „Lubię to" na Facebooku, widżety Twittera | Nie | | Testy A/B | Optimizely, VWO, Google Optimize | Nie | | Widżety czatu | Intercom, Drift, Zendesk (gdy ustawiają trwałe pliki cookie) | Nie | | Personalizacja | Silniki rekomendacji tworzące profile użytkowników | Nie | | Uwierzytelnianie sesji | Pliki cookie logowania, tokeny CSRF | Tak | | Równoważenie obciążenia | Pliki cookie koligacji serwera | Tak | | Preferencje użytkownika | Ustawienia języka i dostępności ustawione przez użytkownika | Tak |

Najczęstszy błąd: traktowanie własnych plików analitycznych jako zwolnionych. Nie są one zwolnione. Wyjątek dotyczy niezbędności technicznej, a nie rozróżnienia na własne i zewnętrzne. GA4 z anonimizacją adresów IP nadal wymaga zgody na mocy dyrektywy ePrivacy.

Ważna zgoda: standard RODO

Ponieważ dyrektywa ePrivacy odsyła do RODO w zakresie standardu zgody, zgoda musi spełniać wymogi art. 7 i motywu 32:

Dobrowolna — użytkownik nie może ponosić żadnych negatywnych konsekwencji za odmowę zgody. Oznacza to, że opcja odrzucenia musi być tak samo dostępna jak opcja akceptacji. Ukrywanie przycisku odrzucenia za przebiegiem „zarządzania ustawieniami" przy jednoczesnym wyraźnym wyświetlaniu opcji „Zaakceptuj wszystko" nie stanowi dobrowolnej zgody.

Konkretna — zgoda musi być wyrażona oddzielnie dla każdego odrębnego celu. Pojedynczy przycisk „Akceptuję pliki cookie" obejmujący analitykę, marketing i media społecznościowe nie stanowi konkretnej zgody.

Świadoma — użytkownicy muszą wiedzieć, na co wyrażają zgodę: które pliki cookie, jakie cele, jakie osoby trzecie, jak długo dane są przechowywane.

Jednoznaczna — zgoda musi być sygnalizowana wyraźnym działaniem potwierdzającym. Wstępnie zaznaczone pola wyboru są nieważne. Przewijanie strony nie jest zgodą. Kontynuowanie przeglądania nie jest zgodą.

Odwoływalna — użytkownicy muszą być w stanie wycofać zgodę równie łatwo, jak ją wyrazili. Wymagane jest centrum preferencji dostępne poprzez stały link (zazwyczaj w stopce).

Modele „zgoda albo płatność" — gdzie użytkownicy mogą albo wyrazić zgodę na pliki cookie reklamowe, albo zapłacić opłatę — są aktywnie badane przez organy nadzorcze (w Polsce: UODO) w całej UE. EROD wydał w 2024 roku wytyczne, stwierdzając, że w większości przypadków modele te nie stanowią dobrowolnej zgody. Zalecana jest ostrożność.

Wymagania dotyczące banerów cookie

Zgodny baner cookie musi zawierać:

  • Wyraźny opis każdego celu — nie „poprawić Twoje doświadczenie", lecz „mierzyć skuteczność kampanii reklamowych" lub „tworzyć profil Twoich zainteresowań na potrzeby reklamy ukierunkowanej".
  • Okres przechowywania dla każdej kategorii plików cookie.
  • Podmioty trzecie — wskazanie, które firmy trzecie otrzymują dane za pośrednictwem plików cookie.
  • Szczegółowe kontrolki — użytkownicy muszą mieć możliwość akceptowania lub odrzucania poszczególnych kategorii, a nie tylko wszystkich lub żadnych.
  • Opcja odrzucenia tak samo wyraźna jak opcja akceptacji — przycisk odrzucenia musi znajdować się na tym samym poziomie wizualnym co przycisk akceptacji, a nie być ukryty w linku „zarządzaj preferencjami".
  • Brak ciemnych wzorców — przyciski zgody stylizowane tak, by wyglądały na nieaktywne, wstępnie zaznaczone pola wyboru, myląca logika przełączania (gdzie „włączone" oznacza odrzucenie zgody) oraz powtarzające się prośby o zgodę po jej odmowie są niezgodne z prawem.

Uzasadniony interes: nie można stosować dla plików cookie

Uzasadniony interes (art. 6 ust. 1 lit. f RODO) nie może być stosowany jako podstawa prawna dla niezbędnych plików cookie na mocy dyrektywy ePrivacy. Dyrektywa wymaga konkretnie zgody. Uzasadniony interes nie jest jej substytutem.

Zostało to potwierdzone przez TSUE w sprawie Planet49 (sprawa C-673/17, 2019) i jest konsekwentnie stosowane przez organy nadzorcze w całej UE od tego czasu. Jeśli platforma do zarządzania zgodami wstępnie zaznacza „uzasadniony interes" dla celów analitycznych lub reklamowych, jest to niezgodna implementacja.

Egzekwowanie: co faktycznie się wydarzyło

Egzekwowanie przepisów nasiliło się od 2023 roku. Godne uwagi działania:

  • CNIL (Francja) nałożyła w 2022 roku grzywny w wysokości 150 mln € na Google i 60 mln € na Facebook za utrudnianie odrzucenia plików cookie w porównaniu z ich akceptacją. CNIL stwierdziła, że jedno kliknięcie w celu akceptacji w porównaniu z wieloma kliknięciami w celu odmowy naruszało standard dobrowolnej zgody.
  • APD (Belgia) i Datatilsynet (Norwegia) wydały decyzje przeciwko dużym wydawcom za ciemne wzorce w banerach cookie.
  • Transparency and Consent Framework IAB Europe zostało uznane przez APD za niezgodne z RODO i musiało zostać przebudowane — co pokazuje, że nawet standardowe dla branży platformy do zarządzania zgodami mogą być niezgodne z przepisami.
  • Kilka organów nadzorczych w UE przeprowadziło kontrolne działania egzekucyjne w zakresie plików cookie, skierowane do określonych sektorów (media informacyjne, handel elektroniczny, strony internetowe sektora publicznego).

Lista kontrolna implementacji technicznej

Wymagania dotyczące platformy do zarządzania zgodami (CMP):

  • Blokuje wszystkie niezbędne pliki cookie przed wyrażeniem zgody (brak plików cookie ustawianych podczas ładowania strony)
  • Rejestruje zgodę ze znacznikiem czasu, wersją i identyfikatorem specyficznym dla użytkownika
  • Zapewnia szczegółowe kontrolki kategorii
  • Udostępnia mechanizm wycofania na wszystkich stronach
  • Prawidłowo przekazuje sygnał zgody do wszystkich skryptów zewnętrznych

Audyt plików cookie:

  • Prowadź inwentarz wszystkich plików cookie ustawianych przez Twoją stronę i ich celów
  • Klasyfikuj każdy plik cookie jako bezwzględnie konieczny, funkcjonalny, analityczny lub marketingowy
  • Weryfikuj tę klasyfikację na podstawie rzeczywistości technicznej (co plik cookie faktycznie robi?)
  • Dokonuj przeglądu po dodaniu każdego nowego narzędzia zewnętrznego

Przegląd kwartalny:

  • Ponowny audyt plików cookie po aktualizacjach platformy
  • Sprawdzenie, czy CMP blokuje niezbędne pliki cookie przed wyrażeniem zgody
  • Testowanie przepływu odmowy: weryfikacja, czy po kliknięciu przycisku odmowy nie są ustawiane żadne pliki cookie analityczne ani marketingowe

Ostatnia aktualizacja: kwiecień 2026. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej.

Często zadawane pytania

Czy wszystkie pliki cookie wymagają zgody na mocy dyrektywy ePrivacy?

Nie — art. 5 ust. 3 dyrektywy ePrivacy zawiera dwa wąskie wyjątki. Pliki cookie bezwzględnie konieczne do przeprowadzenia transmisji przez sieć nie wymagają zgody, podobnie jak pliki cookie bezwzględnie konieczne do świadczenia usługi wyraźnie żądanej przez użytkownika. Przykłady obejmują tokeny uwierzytelniania sesji, identyfikatory koszyka zakupowego i pliki cookie do równoważenia obciążenia. Wyjątki są jednak interpretowane ściśle: plik cookie jest bezwzględnie konieczny wyłącznie wtedy, gdy usługa w ogóle nie mogłaby działać bez niego. Pliki cookie analityczne, piksele reklamowe i pliki cookie personalizacyjne nie spełniają tego kryterium, niezależnie od tego, czy są własne, czy zewnętrzne.

Co musi zawierać baner zgody na pliki cookie zgodny z RODO?

Zgodny baner musi zawierać wyraźny opis każdego celu pliku cookie (bez mglistego języka w stylu „poprawić Twoje doświadczenie"), wskazywać okres przechowywania dla każdej kategorii, wymieniać z nazwy firmy zewnętrzne otrzymujące dane, oferować szczegółowe kontrolki umożliwiające użytkownikom akceptowanie lub odrzucanie poszczególnych kategorii oraz prezentować opcję odmowy z taką samą widocznością jak opcja akceptacji. Wstępnie zaznaczone pola wyboru są zakazane przez art. 7 RODO, a TSUE potwierdził w sprawie Planet49 (C-673/17), że przewijanie lub kontynuowanie przeglądania nie stanowi ważnej zgody. Użytkownicy muszą być również w stanie wycofać zgodę równie łatwo, jak ją wyrazili, zazwyczaj poprzez stały link do preferencji.

Czy rozporządzenie ePrivacy zastępuje dyrektywę ePrivacy w 2026 roku?

Nie. Na początku 2026 roku proponowane rozporządzenie ePrivacy pozostaje zablokowane w unijnych negocjacjach legislacyjnych. Dyrektywa ePrivacy (2002/58/WE zmieniona dyrektywą 2009/136/WE) nadal obowiązuje, transponowana do prawa krajowego we wszystkich państwach członkowskich UE. Proponowane rozporządzenie unowocześniłoby przepisy i miałoby bezpośrednie zastosowanie bez krajowej transpozycji, jednak żaden harmonogram jego przyjęcia nie jest potwierdzony. Organizacje powinny nadal działać w ramach obowiązującej dyrektywy i monitorować zmiany legislacyjne za pośrednictwem Komisji Europejskiej.

Źródła

  • EUR-Lex, dyrektywa 2002/58/WE (dyrektywa ePrivacy) ze zmianami: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32002L0058
  • Europejska Rada Ochrony Danych, wytyczne 05/2020 w sprawie zgody na mocy rozporządzenia 2016/679: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
  • Komisja Europejska, wniosek legislacyjny dotyczący rozporządzenia ePrivacy: https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: ePrivacy i pliki cookie: co jest nadal wymagane w 2026 roku

This article covers: Ramy prawne: dyrektywa ePrivacy nadal obowiązuje, Co jest zwolnione, Co wymaga zgody.

  • Ramy prawne: dyrektywa ePrivacy nadal obowiązuje
  • Co jest zwolnione
  • Co wymaga zgody
  • Ważna zgoda: standard RODO
  • Wymagania dotyczące banerów cookie
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.