Pytania o zgodność — z odpowiedziami

Veracly to usługa monitorowania zgodności stron internetowych dla małych i średnich firm. Skanuje Twoją witrynę względem przepisów cyfrowych mających zastosowanie do Twoich odwiedzających — dostępność (Europejski akt o dostępności (EAA) / BFSG, ADA, brytyjska ustawa o równości, AODA), prywatność (RODO oraz przepisy ePrivacy dotyczące plików cookie) i obowiązki przejrzystości wynikające z art. 50 aktu UE w sprawie sztucznej inteligencji — a następnie przekazuje Ci napisany prostym językiem raport uszeregowany według istotności, z gotową do skopiowania i wklejenia poprawką dla każdego ustalenia.

Veracly przegląda Twoje strony, uruchamia silnik dostępności axe-core względem wyrenderowanego DOM oraz rejestruje każde żądanie sieciowe, plik cookie i zapis do pamięci, które następują, zanim odwiedzający wejdzie w interakcję z Twoim banerem cookie. Następnie przypisuje każde ustalenie do jurysdykcji, które mają zastosowanie, i punktuje je. Każde ustalenie możesz odtworzyć samodzielnie w narzędziach DevTools swojej przeglądarki — raport pokazuje dokładnie, jak to zrobić.

Bezpłatne skanowanie sprawdza pojedynczą stronę i przesyła Ci e-mailem podpisany plik PDF w około pięć minut — ten sam silnik, ta sama punktacja, ten sam podpis kryptograficzny co w wariancie płatnym. Plany płatne dodają ciągłe monitorowanie wielu stron, wszystkie jurysdykcje w jednym raporcie, zaplanowane ponowne skanowania, alerty o regresjach oraz datowaną historię poświadczeń, którą możesz udostępniać.

Nie — i jest to zamierzone. Veracly to niezależna usługa monitorowania i raportowania: mówi Ci dokładnie, co i jak naprawić, ale nie sprzedaje samej naprawy. Zgodność osiąga się, gdy Twój programista usunie zidentyfikowane problemy; żadne narzędzie nie sprawi samo z siebie, że strona będzie zgodna z przepisami. To właśnie zachowanie niezależności sprawia, że ustalenia Veracly są wiarygodne dla organu nadzorczego, audytora czy prawnika.

Nie. Raport Veracly to techniczne skanowanie zgodności wygenerowane przez zautomatyzowane oprogramowanie. Ma charakter wyłącznie informacyjny — nie jest poradą prawną, opinią organu nadzorczego ani audytem w rozumieniu § 317 HGB / ISA. Jest pomyślany tak, aby przekazać go Twojemu prawnikowi, który może podjąć działania na podstawie ustaleń w Twojej jurysdykcji.

Europejski akt o dostępności (EAA) — Directive (EU) 2019/882 — wymaga, aby szeroki zakres produktów i usług cyfrowych sprzedawanych konsumentom w UE był dostępny. Każde państwo członkowskie transponuje go do prawa krajowego; w Niemczech jest to Barrierefreiheitsstärkungsgesetz (BFSG). W praktyce zgodność mierzy się względem EN 301 549, która odsyła do kryteriów sukcesu WCAG 2.1 AA.

Krajowe przepisy EAA mają zastosowanie od 28 czerwca 2025. Od tej daty firmy objęte zakresem, sprzedające konsumentom w UE, powinny spełniać wymogi dostępności. Niektóre państwa członkowskie dopuszczają ograniczone okresy przejściowe dla istniejących umów o świadczenie usług, jednak nowe usługi cyfrowe są objęte już teraz.

Ma zastosowanie do firm oferujących objęte zakresem produkty i usługi konsumentom w UE — w tym handel elektroniczny, bankowość, e-booki, transport i telekomunikację. Istnieje ulga dla mikroprzedsiębiorstw będących usługodawcami, które zatrudniają mniej niż 10 osób oraz których roczny obrót lub suma bilansowa nie przekracza 2 mln €, jest ona jednak wąska i nie obejmuje produktów. Jeśli sprzedajesz online konsumentom w UE, załóż, że prawdopodobnie jesteś objęty zakresem, i potwierdź to z prawnikiem.

WCAG (Web Content Accessibility Guidelines) to standard W3C dla dostępnych treści internetowych, podzielony na poziomy A, AA i AAA. AA to poprzeczka, do której odwołuje się większość przepisów. Veracly ocenia Twoją witrynę względem WCAG 2.2 AA — bieżącej wersji — a także podaje wynik dla prawnego minimum (WCAG 2.1 AA dla EAA, ADA i brytyjskiej ustawy o równości; WCAG 2.0 AA dla AODA), abyś mógł zobaczyć oba.

W przypadku większości firm prywatnych sądy w USA stosowały Americans with Disabilities Act (Title III) do stron internetowych na podstawie orzecznictwa, takiego jak Robles v. Domino’s i Gil v. Winn-Dixie, generalnie mierząc względem WCAG 2.1 AA. W przypadku witryn władz stanowych i lokalnych regulacja DOJ z 2024 r. dotycząca Title II wprost ustanawia WCAG 2.1 AA. Jeśli masz odwiedzających z USA, ADA stanowi realne ryzyko prawne.

Brytyjska ustawa o równości z 2010 r. (§20) nakłada na usługodawców obowiązek wprowadzenia racjonalnych usprawnień, aby osoby z niepełnosprawnościami mogły korzystać z usługi — co sądy oraz EHRC traktują jako obejmujące strony internetowe. WCAG 2.1 AA to praktyczny punkt odniesienia stosowany do wykazania, że takie usprawnienia zostały wprowadzone.

Accessibility for Ontarians with Disabilities Act (AODA) wymaga, aby organizacje z Ontario zapewniały dostępność swoich treści internetowych. Towarzyszące jej rozporządzenie Integrated Accessibility Standards Regulation (O. Reg. 191/11, §14) odwołuje się do WCAG 2.0 AA jako prawnego minimum. Veracly punktuje AODA względem tego minimum 2.0, jednocześnie pokazując szerszy widok 2.2 dla porównania.

Zgodnie z dyrektywą ePrivacy (Art. 5(3)) oraz RODO, pliki cookie i moduły śledzące, które nie są niezbędne — analityka, piksele reklamowe i podobne — mogą być ustawiane dopiero po udzieleniu przez odwiedzającego uprzedniej, świadomej i dobrowolnej zgody. Ściśle niezbędne pliki cookie są zwolnione z tego wymogu. Najczęstszym uchybieniem, jakie wykrywa Veracly, są moduły śledzące uruchamiane przy wczytaniu strony, przed jakąkolwiek interakcją z banerem.

§ 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) to niemiecka transpozycja Art. 5(3) dyrektywy ePrivacy. Wymaga zgody przed przechowywaniem lub odczytywaniem informacji na urządzeniu użytkownika — tj. przed ustawieniem plików cookie, które nie są niezbędne, lub wykorzystaniem pamięci lokalnej/sesji do śledzenia. W odróżnieniu od BFSG nie przewiduje wyłączenia dla mikroprzedsiębiorstw.

Moduł śledzący „przed zgodą” to plik cookie, wpis w pamięci lub żądanie do podmiotu trzeciego, które uruchamia się, zanim odwiedzający zaakceptuje baner cookie. Ponieważ zgoda musi być wyrażona w pierwszej kolejności, należą one do najwyraźniejszych i najłatwiej odtwarzalnych problemów z prywatnością — możesz potwierdzić je samodzielnie w DevTools (np. F12 → Network, następnie przeładuj stronę i obserwuj, które żądania uruchamiają się przed jakimkolwiek kliknięciem).

Organy nadzorcze (w tym EDPB oraz kilka organów krajowych) stoją na stanowisku, że odrzucenie plików cookie, które nie są niezbędne, musi być równie łatwe jak ich zaakceptowanie — zwykle oznacza to równie wyeksponowany przycisk „Odrzuć wszystkie” obok „Zaakceptuj wszystkie” na pierwszej warstwie. Baner, który oferuje wyłącznie „Zaakceptuj” lub ukrywa opcję odrzucenia, to częste i odtwarzalne ustalenie.

Art. 50 aktu UE w sprawie sztucznej inteligencji ustanawia obowiązki przejrzystości: musisz informować osoby, że wchodzą w interakcję z systemem sztucznej inteligencji (takim jak chatbot), a treści wygenerowane lub zmanipulowane przez sztuczną inteligencję (tekst, obrazy, dźwięk, wideo) muszą być odpowiednio oznaczone. Jest to obowiązek przejrzystości, odrębny od przepisów aktu dotyczących sztucznej inteligencji wysokiego ryzyka.

Obowiązki przejrzystości wynikające z art. 50 mają zastosowanie w całej UE od 2 sierpnia 2026. Jeśli Twoja witryna korzysta z chatbota lub publikuje treści wygenerowane przez sztuczną inteligencję dla odwiedzających z UE, jest to data, na którą należy być gotowym.

Tak — zgodnie z art. 50(1), gdy odwiedzający wchodzi w interakcję z systemem sztucznej inteligencji, takim jak chatbot lub asystent AI, musisz jasno wskazać, że nie rozmawia z człowiekiem (chyba że wynika to oczywiście z kontekstu). Veracly wykrywa popularne widżety czatu/asystentów i sprawdza, czy obecna jest wyraźna informacja o korzystaniu ze sztucznej inteligencji.

Veracly przeprowadza sprawdzenie gotowości w zakresie przejrzystości dla art. 50 — sygnalizuje nieujawnionego chatbota lub brak informacji o korzystaniu ze sztucznej inteligencji, abyś mógł zająć się tym przed upływem terminu. Jest to sygnał gotowości, a nie stwierdzenie, że Twoja witryna jest „zgodna z aktem w sprawie sztucznej inteligencji”, i nie obejmuje wymogów aktu dotyczących zarządzania sztuczną inteligencją wysokiego ryzyka.

Każdy raport jest podpisany kryptograficznie (Ed25519) i zakotwiczony w rejestrze audytowym Veracly. Podpis obejmuje dokładnie ten plik PDF, więc każda manipulacja jest wykrywalna. Raport zawiera identyfikator weryfikacji oraz adres URL weryfikacji, dzięki czemu jego pochodzenie można potwierdzić niezależnie.

Tak. Każdy, kto posiada plik PDF, może odwiedzić link weryfikacyjny i porównać podpis z kluczem publicznym Veracly, opublikowanym pod adresem veracly.app/.well-known/veracly-signing-key.json. Weryfikacja odbywa się w jego przeglądarce — bez konta Veracly i bez serwera Veracly w ścieżce zaufania — co czyni ją wiarygodną dla strony trzeciej.

Raport z bezpłatnego skanowania pozostaje możliwy do pobrania przez 60 dni, a jego kryptograficzny rekord weryfikacji jest przechowywany przez ten sam okres; sam raport nigdy nie wygasa po zapisaniu pliku PDF. Płatne raporty pozostają dostępne na Twoim koncie, a ich kotwice w rejestrze audytowym są przechowywane, dzięki czemu raport pozostaje niezależnie weryfikowalny w czasie.

Tak — do tego właśnie został stworzony. Ponieważ raport można niezależnie zweryfikować bez zaufania do Veracly, możesz przekazać go prawnikowi, audytorowi, organowi nadzorczemu lub nabywcy przeprowadzającemu badanie due diligence, a oni będą mogli potwierdzić, że jest autentyczny i niezmieniony. Witryny w planie płatnym mogą również udostępniać aktualną, datowaną oś czasu poświadczeń.

Skanowanie jednej strony jest bezpłatne. Plany płatne są rozliczane miesięcznie za witrynę i skalują się wraz z liczbą stron i witryn, które monitorujesz; aktualne warianty i ceny znajdują się w sekcji cennika na veracly.app. Uruchomienie bezpłatnego skanowania i zobaczenie najpierw pełnego, podpisanego raportu jest bezpłatne.

Plany płatne dodają ciągłe, zaplanowane monitorowanie wielu stron; wszystkie pięć jurysdykcji oraz sprawdzenie pod kątem aktu UE w sprawie sztucznej inteligencji w jednym raporcie; alerty o regresjach, gdy pojawia się nowy problem; datowaną, niezależnie weryfikowalną historię poświadczeń; oraz podpisane raporty PDF, które możesz udostępniać prawnikowi lub nabywcom.

Veracly skanuje wyłącznie to, co wczytałaby przeglądarka zwykłego odwiedzającego: publiczną treść stron, żądania do podmiotów trzecich wykonywane przez Twoje strony oraz zapisywane przez nie pliki cookie i dane w pamięci. Wykrywa śledzenie po stronie klienta; przepływy danych po stronie serwera (takie jak interfejsy API pikseli typu serwer–serwer) są poza zakresem i są jako takie odnotowane w raporcie.

Wyniki skanowania i wygenerowane raporty są przechowywane tylko tak długo, jak jest to potrzebne do świadczenia usługi, a następnie usuwane według ustalonego harmonogramu — raporty z bezpłatnego skanowania przez 60 dni, z dłuższymi okresami dla danych ze skanowań płatnych oraz kotwic w rejestrze audytowym, które utrzymują weryfikowalność raportów. Pełne, aktualne okresy przechowywania są opublikowane w informacji o prywatności Veracly.

Veracly sprawdza zgodność, ale nie sprzedaje naprawy — dzięki czemu jego ustalenia nie są obarczone konfliktem interesów. Narzędzie, które sprzedawałoby Ci również remediację, nie mogłoby wiarygodnie jej poświadczyć. To właśnie ta niezależność sprawia, że raport Veracly jest czymś, co możesz przedstawić organowi nadzorczemu, audytorowi lub nabywcy.