Zgodność stron WWW w Holandii: pliki cookie, RODO i dostępność

Holandia jest państwem członkowskim UE, więc główne zasady są takie same jak w całej unii: RODO dla danych osobowych, dyrektywa ePrivacy dla plików cookie i pamięci oraz European Accessibility Act dla dostępności cyfrowej. Pułapką jest to, że każda z nich dociera do holenderskiej witryny przez inną ustawę krajową i inny organ. Ten przewodnik porządkuje trzy ramy tak, jak faktycznie obowiązują w Holandii w 2026 r.

Trzy obowiązujące ramy

• RODO + UAVG. RODO stosuje się bezpośrednio; Uitvoeringswet AVG (UAVG) uzupełnia krajowe szczegóły. Organem nadzorczym jest Autoriteit Persoonsgegevens (AP).
• ePrivacy przez Telecommunicatiewet. Zasada zgody na cookie to artykuł 11.7a Telecommunicatiewet, obowiązujący od 2012 r. To ona wymaga banera — nie RODO.
• EAA przez Implementatiewet. European Accessibility Act wdraża Implementatiewet toegankelijkheidsvoorschriften producten en diensten, mająca zastosowanie do objętych produktów i usług konsumenckich od 28 czerwca 2025 r.

Pliki cookie: artykuł 11.7a Telecommunicatiewet

Artykuł 11.7a wymaga, by przed zapisaniem lub odczytaniem informacji na urządzeniu końcowym użytkownika witryna jasno i kompletnie informowała o celach i uzyskiwała zgodę. Obowiązują dwa wąskie wyjątki: plik ściśle konieczny do przesłania komunikatu oraz plik ściśle konieczny do świadczenia wyraźnie żądanej usługi (np. plik sesji lub koszyka).

Wszystko inne — analityka, piksele reklamowe, osadzenia społecznościowe, testy A/B, nagrywanie sesji — wymaga uprzedniej zgody opt-in. Jak w reszcie UE zasada jest neutralna technologicznie: zastąpienie cookie przez localStorage lub piksel jej nie omija.

Działania AP wobec cookie

W 2025 r. Autoriteit Persoonsgegevens uczynił banery cookie deklarowanym priorytetem egzekwowania. Kilka organizacji otrzymało „list cookie" z prośbą o poprawę niezgodnych banerów, a AP badał wdrożenia Google Analytics 4. Jego stanowisko wobec projektu banera jest konkretne:

• Jeśli na pierwszej warstwie jest „Zaakceptuj wszystko", musi tam być „Odrzuć wszystko", równie widoczne.
• Link „Ustawienia" lub „Zarządzaj" nie liczy się jako odrzucenie — odrzucenie musi być tak łatwe jak akceptacja.
• Żadne nieistotne cookie ani trackery nie mogą się uruchomić przed aktywną zgodą.

Odzwierciedla to szerszy konsensus UE (zob. nasz artykuł o parytecie odrzucenia) i jest zdecydowanie najczęstszym powtarzalnym uchybieniem, jakie Veracly wykrywa na holenderskich stronach.

Dostępność: EAA w prawie holenderskim

European Accessibility Act obowiązuje w całej UE od 28 czerwca 2025 r. W Holandii wdraża go Implementatiewet toegankelijkheidsvoorschriften producten en diensten, zmieniająca kilka istniejących ustaw, w tym Warenwet, Telecommunicatiewet i kodeks cywilny. W przypadku usług cyfrowych konsumenckie strony, aplikacje i sklepy internetowe muszą być dostępne — w praktyce mierzone względem WCAG 2.1 AA przez zharmonizowaną normę EN 301 549.

Egzekwowanie jest podzielone między organy w zależności od produktu lub usługi; Authority for Consumers and Markets (ACM) nadzoruje e-commerce. Istnieje ulga dla mikroprzedsiębiorstw usługowych (poniżej 10 pracowników i obrót lub suma bilansowa do 2 mln €), ale jest wąska i nie obejmuje produktów. Sektor publiczny był już objęty odrębnie dyrektywą o dostępności stron internetowych.

Praktyczna lista kontrolna dla holenderskiej strony

1. Żaden nieistotny plik cookie, piksel ani zapis pamięci nie uruchamia się przed zgodą.
2. Baner oferuje „Odrzuć wszystko" na pierwszej warstwie, równie widoczne jak Zaakceptuj wszystko.
3. Polityka prywatności wymienia stosowane trackery i podstawę prawną RODO/UAVG.
4. Analityka (w tym GA4) jest uzależniona od zgody, a każdy transfer do USA opiera się na ważnym mechanizmie z rozdziału V.
5. Strona spełnia WCAG 2.1 AA (EN 301 549) dla treści konsumenckich.

Jak Veracly sprawdza holenderską witrynę

Veracly ocenia holenderski adres URL względem wszystkich trzech ram w jednym skanie. Moduł cookie rejestruje każde żądanie sieciowe, plik cookie i zapis pamięci przed interakcją z banerem i oznacza problemy z artykułem 11.7a (uruchomienie przed zgodą, brak ścieżki odrzucenia, brak banera). Moduł dostępności uruchamia axe-core wobec wyrenderowanego DOM dla WCAG 2.1 AA. Każde ustalenie jest przypisane do ramy, której faktycznie dotyczy, i jest możliwe do odtworzenia przez Ciebie w narzędziach DevTools przeglądarki.

Zobacz też: Zgodność stron WWW w Finlandii · RODO vs ePrivacy: co rządzi cookie? · EAA dla MŚP