Czym jest audyt RODO cookies? (Jak go przejść w 2026)

RODO ma osiem lat, a najczęstszą wadą zgodności na stronach MŚP wciąż jest baner cookies. Każdy organ UE wydał wytyczne; większość nałożyła co najmniej jedną karę. Poprzeczka nie jest wysoka — jest po prostu konkretna.

Audyt RODO cookies to uporządkowana kontrola, która mówi, czy strona wytrzymałaby kontrolę UODO, CNIL, Garante czy AEPD. Ten artykuł opisuje, co robi audyt, jakie reguły stosuje i jakie błędy najczęściej widzimy na stronach MŚP.

Podstawa prawna w prostych słowach

Dwa akty. Dyrektywa ePrivacy (art. 5(3)) i w Polsce art. 173 ustawy Prawo telekomunikacyjne wymagają zgody zanim jakakolwiek nieściśle-niezbędna informacja zostanie zapisana na urządzeniu lub z niego odczytana. RODO (art. 4(11), art. 7) definiuje ważną zgodę: dobrowolna, konkretna, świadoma, jednoznaczna i tak samo łatwo odwoływalna jak udzielona.

Co audyt sprawdza krok po kroku

1. Rejestracja sieci przy pierwszym załadowaniu

Audyt odwiedza stronę jako nowy użytkownik i rejestruje każde cookie, każdy zapis localStorage i każde żądanie sieciowe przed interakcją z banerem. Wszystko nieesencjalne tutaj to naruszenie.

2. Inwentarz cookies vs. polityka

Audyt wymienia każde ustawione cookie i porównuje z polityką cookies. Polityka musi ujawnić każde — cel, czas, własne/zewnętrzne.

3. Projekt banera

• Równoważne przyciski Akceptuj/Odrzuć na pierwszej warstwie. Schowanie "Odrzuć" za linkiem ustawień to nie jest dobrowolna zgoda.
• Brak zaznaczonych domyślnie pól.
• Granularne kategorie. Jeden przycisk "akceptuj wszystko" już nie wystarcza.
• Wycofanie tak łatwe jak udzielenie — stały link "Cookies" w stopce.
• Bez dark patterns. Bez liczników, bez "kontynuując akceptujesz", bez "uzasadnionego interesu" dla reklam.

4. Dowód zgody

RODO wymaga, abyś mógł udowodnić zgodę dla każdego użytkownika. Nowoczesna CMP to robi; bannery własnej roboty prawie nigdy.

5. Zachowanie skryptów zewnętrznych

Audyt powtarza po Akceptuj, po Odrzuć i po częściowych wyborach, aby zweryfikować, że skrypty respektują wybór. Częsty błąd: skrypt, który ładuje się mimo Odrzuć — zwykle przez źle skonfigurowany tag manager.

Najczęstsze błędy na stronach MŚP

Meta Pixel uruchamiany przy załadowaniu strony. Domyślny snippet wpada do <head> i odpala się natychmiast. W UE to naruszenie przy każdej wizycie.

Google Analytics bez bramki zgody. Consent Mode v2 nie jest skonfigurowany w większości MŚP.

Hotjar/Clarity/Hubspot nagrywają przed zgodą. Session-recordery przechwytują wpisy — bez zgody to wyraźne naruszenie ePrivacy.

"Kontynuując korzystanie wyrażasz zgodę". Odrzucone przez wszystkie organy UE. Wymień dziś.

Jak przejść audyt

1. Zainstaluj prawdziwą CMP, która rejestruje zgodę (Cookiebot, Iubenda, Usercentrics, OneTrust).
2. Przesuń wszystkie skrypty analityczne, reklamowe i nagrywające za bramkę zgody.
3. Baner z równoważnymi przyciskami, bez zaznaczonych pól, z granularnymi przełącznikami.
4. Stały link "Cookies" w stopce.
5. Wygeneruj na nowo politykę cookies, aby odzwierciedlała rzeczywistość.
6. Powtórz audyt na ścieżkach Akceptuj i Odrzuć.

Zgodność cookies psuje się po cichu. Marketing dodaje tag, deweloper podpina chat, dostawca aktualizuje skrypt. Wzorzec, który działa dla MŚP: skan bazowy, poprawki, potem skany cotygodniowe diffujące inwentarz.

Dokładnie to robi Veracly — bezpłatny skan bazowy, ciągły monitoring z alertem o zmianach. Uruchom skan.