Baner cookie: czy go potrzebujesz i jak zrobić to zgodnie z prawem?

Najpierw krótka odpowiedź, bo zaskakuje wielu: nie każda strona internetowa potrzebuje banera cookie. To, czy go potrzebujesz, nie zależy od tego, czy masz stronę, lecz od tego, co ta strona ładuje w tle. Budujemy strony i narzędzia w cenie ryczałtowej oraz prowadzimy siedem własnych marek w produkcji. Dlatego odpowiadamy na to pytanie bez przerwy, najczęściej sami sobie. Oto uczciwa wersja z praktyki, bez straszenia.

Kiedy nie potrzebujesz banera

Jeśli Twoja strona robi tylko to, co technicznie musi robić, by działać, nie potrzebujesz zgody, a tym samym banera z przyciskami. Dotyczy to:

• Plików cookie niezbędnych technicznie, takich jak cookie sesyjne, status logowania, koszyk czy zapamiętanie języka.
• Funkcji bezpieczeństwa, takich jak token CSRF lub cookie sterujące rozdzielaniem obciążenia.
• Czysto informacyjnych stron, które nie osadzają usług zewnętrznych: bez Google Analytics, bez pikseli reklamowych, bez osadzonego YouTube, bez zewnętrznych czcionek doładowywanych z innego serwera.

Lekka wizytówka typu one-pager, która dostarcza czcionki lokalnie i rezygnuje ze śledzenia, często obywa się całkowicie bez banera zgody. Nadal potrzebujesz poprawnej polityki prywatności i danych kontaktowych, ale żadnego irytującego wyskakującego okienka.

Kiedy potrzebujesz banera

W momencie, gdy osadzasz coś, co nie jest bezwzględnie konieczne do działania strony i co zapisuje lub odczytuje informacje na urządzeniach Twoich odwiedzających, potrzebujesz zgody zanim to się załaduje. W Niemczech reguluje to paragraf 25 ustawy TTDSG, równolegle obowiązuje RODO w zakresie przetwarzania danych. Typowe sytuacje wyzwalające:

• Statystyka i analityka, jak Google Analytics czy Matomo (poza zanonimizowanym trybem bez cookies).
• Piksele marketingowe i reklamowe, jak Meta Pixel, Google Ads czy LinkedIn Insight.
• Osadzone treści podmiotów trzecich: YouTube, Google Maps, Vimeo, niektóre widżety czatu.
• Zewnętrzne czcionki i fonty, które są ładowane w czasie działania z obcego serwera.

Zasada jest prosta: w razie wątpliwości wszystko, co nie jest konieczne do samego działania strony, wymaga aktywnej zgody.

Co musi umieć baner zgodny z prawem

Jeśli już stosujesz baner, to zrób to dobrze. Baner, który pokazuje tylko jeden duży przycisk Akceptuję, jest prawnie podważalny i regularnie nie przechodzi kontroli. Te punkty powinny być spełnione:

• Odrzucenie musi być tak samo proste jak akceptacja. Obie opcje równorzędne, na tym samym poziomie, w tym samym stylu. Żadnego ukrytego Odrzuć za kilkoma kliknięciami.
• Żadnych wstępnie zaznaczonych haczyków. Opcjonalne pliki cookie muszą być domyślnie wyłączone. Milczenie nie jest zgodą.
• Nic nie ładuje się przed wyrażeniem zgody. To najczęstszy błąd: baner jest na miejscu, ale analityka i tak uruchamia się już przy pierwszym wejściu na stronę. Wtedy baner jest bezwartościowy.
• Wybór szczegółowy. Odwiedzający powinni móc osobno zgodzić się na kategorie, takie jak statystyka i marketing, a nie tylko na wszystko albo nic.
• Cofnięcie możliwe w każdej chwili. Wystarczy mały link w stopce, który ponownie otwiera ustawienia.
• Dokumentowanie zgody. Powinieneś być w stanie wykazać, kto, kiedy i na co wyraził zgodę.

Często pomijany punkt: kolejność

Wiele banerów wygląda schludnie, a mimo to jest wbudowanych technicznie błędnie. Decydująca jest kolejność ładowania. Skrypty podmiotów trzecich mogą wystartować dopiero wtedy, gdy zgoda rzeczywiście została udzielona. Oznacza to, że Twoje fragmenty śledzące nie mogą być wpisane na stałe w kodzie źródłowym, lecz powinny być doładowywane dopiero po kliknięciu. Kto to pominie, ma formalnie baner, a materialnie i tak problem z ochroną danych. Właśnie tutaj rzetelne wdrożenie oddziela się od mydlenia oczu.

Gotowe narzędzia czy budować samemu?

Dla większości stron MŚP uznane narzędzie do zarządzania zgodami jest pragmatycznym wyborem. Zdejmuje z Ciebie utrzymywanie listy usług, wersjonowanie zgód i połączenie z menedżerem tagów. Przy bardzo lekkich stronach bez śledzenia najuczciwszym rozwiązaniem jest natomiast po prostu zrezygnowanie z usług wyzwalających i nieposiadanie banera w ogóle. To szybsze, przyjaźniejsze dla Twoich odwiedzających i odciąża Cię prawnie.

W naszych własnych projektach idziemy dokładnie tą drogą: lokalne czcionki zamiast doładowywanych fontów, oszczędna w dane lub zanonimizowana statystyka tam, gdzie to możliwe, oraz pełnowartościowy mechanizm zgody tylko tam, gdzie naprawdę działa śledzenie marketingowe. Tę decyzję podejmujemy świadomie przy każdej stronie, zamiast odruchowo wszędzie wbudowywać wyskakujące okienko.

Krótkie podsumowanie

• Brak śledzenia, brak osadzonych treści zewnętrznych? Wtedy nie potrzebujesz banera zgody, tylko polityki prywatności i danych kontaktowych.
• Analityka, reklama lub treści podmiotów trzecich? Wtedy potrzebujesz prawdziwej zgody przed załadowaniem.
• Jeśli baner, to uczciwie: odrzucenie tak samo proste jak akceptacja, nic nie ładuje się z wyprzedzeniem, cofnięcie możliwe.

Baner cookie nie jest celem samym w sobie, a już na pewno nie wyróżnikiem jakości. Najlepszym wynikiem jest często strona, która w ogóle go nie potrzebuje.