Dlaczego korzystanie z Google Analytics i pikseli stało się problematyczne po wyrokach TSUE
Wyroki Schrems II i decyzje organów w sprawie Google Analytics
Kluczowym punktem zwrotnym dla korzystania z Google Analytics i pikseli reklamowych w UE był wyrok Trybunału Sprawiedliwości UE w sprawie Schrems II (C‑311/18). TSUE unieważnił mechanizm Privacy Shield, który miał zapewniać „bezpieczny” transfer danych osobowych z UE do USA. Uznał, że prawo amerykańskie pozwala służbom na zbyt szeroki dostęp do danych Europejczyków, a osoby z UE nie mają skutecznych środków ochrony.
Po tym wyroku organy ochrony danych w kilku krajach (m.in. w Austrii, Francji, Włoszech) uznały, że standardowe korzystanie z Google Analytics narusza RODO, bo wiąże się z przekazywaniem danych do USA bez wystarczających zabezpieczeń. W decyzjach tych organów stwierdzano, że:
adres IP, identyfikatory ciasteczek i identyfikatory użytkownika w Google Analytics to dane osobowe,
Google jako podmiot z USA podlega przepisom umożliwiającym dostęp służb,
stosowane środki techniczne (m.in. szyfrowanie) nie niwelują w pełni tego ryzyka.
Dla jednoosobowej działalności gospodarczej oznacza to, że używanie tych samych ustawień GA co „zawsze” może być po prostu niezgodne z prawem, nawet przy niewielkim ruchu i „niewinnej” stronie wizytówce.
Na czym polega problem: transfer danych do USA i profilowanie
Google Analytics i większość pikseli reklamowych (np. Meta/Facebook, LinkedIn, TikTok) działa w oparciu o przesyłanie danych do serwerów dostawcy. Jeśli dostawca ma siedzibę w USA lub tam trzyma część infrastruktury, dochodzi do tzw. transferu danych do państwa trzeciego. W kontekście USA kluczowe są:
dostęp służb USA do danych na podstawie przepisów wywiadowczych,
ograniczone prawa osób z UE do skutecznego dochodzenia roszczeń.
Dodatkowo narzędzia marketingowe często nie kończą się na samym „policzeniu wejść”. Bardzo często służą do:
śledzenia konkretnych akcji (wypełnienia formularza, zakupu, kliknięcia w numer telefonu),
budowania grup remarketingowych (ponowne reklamowanie się osobom, które były na stronie),
profilowania – np. przypisania użytkownika do określonych segmentów zainteresowań.
Z perspektywy RODO to już przetwarzanie, które potencjalnie wchodzi w zakres profilowania marketingowego i wymaga szczególnej uwagi, jasnej podstawy prawnej oraz poinformowania użytkownika. „To tylko statystyki” przestaje być wystarczającym usprawiedliwieniem.
Używam gotowego narzędzia vs. jestem administratorem danych
Typowy błąd jednoosobowych firm: założenie, że skoro używają narzędzia od dużego dostawcy, to odpowiedzialność za dane spada na tego dostawcę. RODO widzi to inaczej. Właściciel strony firmowej jest administratorem danych osobowych swoich użytkowników. To on decyduje:
jakie skrypty są ładowane,
jakie dane są zbierane,
jakie cele przetwarzania są realizowane (analityka, remarketing, personalizacja).
Dostawca narzędzia (np. Google) jest w większości przypadków podmiotem przetwarzającym (procesorem) lub czasem odrębnym administratorem dla części operacji. Jednak to właśnie JDG:
musi mieć podstawę prawną do umieszczenia ciasteczka i przetwarzania danych,
odpowiada za spełnienie obowiązku informacyjnego,
jest adresatem skargi użytkownika do UODO.
„To Google tak zrobił” nie zwalnia z odpowiedzialności. W praktyce, gdy klient zarzuca naruszenie RODO, pierwszym podmiotem, do którego się zgłosi, będzie właściciel strony – nie międzynarodowy koncern.
Konsekwencje dla jednoosobowej firmy
Nawet niewielka strona firmowa fryzjera, doradcy podatkowego czy programisty może być przedmiotem skargi. Konsekwencje to nie tylko teoretyczna kara finansowa. Realnie w grę wchodzą:
konieczność tłumaczenia się przed UODO (czas, stres, koszty prawnika),
nakaz dostosowania strony do przepisów w określonym terminie,
obowiązek poinformowania klientów o naruszeniu, co może zniszczyć zaufanie,
potencjalne roszczenia cywilne (odszkodowanie za naruszenie prywatności).
Mała skala działalności nie zwalnia z obowiązków. Jednoosobowa działalność gospodarcza ma takie same obowiązki RODO jak dużą spółka – różni się głównie skalą procesów i poziomem ryzyka, a nie samym istnieniem obowiązków.
Co sprawdzić: mini-audit skryptów śledzących
Krok 1: otwórz swoją stronę w przeglądarce (np. Chrome), wciśnij F12 lub Ctrl+Shift+I i przejdź do zakładki „Network” albo „Sieć”. Odśwież stronę i obserwuj, do jakich domen jest nawiązywane połączenie.
Krok 2: zwróć uwagę na domeny takie jak google-analytics.com, googletagmanager.com, facebook.com, doubleclick.net, tiktok.com, linkedin.com. Jeśli się pojawiają – Twoja strona korzysta z narzędzi analitycznych lub reklamowych.
Krok 3: sprawdź kod strony lub konfigurację systemu CMS (np. WordPress – sekcja „Head/Body scripts” lub wtyczki marketingowe), aby zidentyfikować wszystkie kody śledzące: Google Analytics, Menedżer Tagów Google, piksel Facebooka, inne systemy Ads.
Krok 4: zanotuj, które skrypty są ładowane od razu po wejściu na stronę, a które dopiero po kliknięciu w baner zgody – to będzie kluczowe przy dalszym porządkowaniu zgodności.
Co sprawdzić na tym etapie: czy na stronie działają jakiekolwiek zewnętrzne skrypty analityczne lub reklamowe, które niezależnie od banera ciasteczek ładują się automatycznie przy pierwszym wejściu na stronę.
Podstawy prawne – co reguluje RODO, a co prawo telekomunikacyjne
RODO a Prawo telekomunikacyjne – dwa równoległe reżimy
Przy Google Analytics i pikselach reklamowych obowiązują jednocześnie dwa zbiory przepisów:
RODO – reguluje przetwarzanie danych osobowych jako takich (kto jest administratorem, jakie są podstawy przetwarzania, jakie prawa ma osoba, której dane dotyczą).
Prawo telekomunikacyjne (PT), art. 173 – reguluje umieszczanie informacji w urządzeniu końcowym użytkownika (np. cookies, local storage) oraz dostęp do takiej informacji, niezależnie od tego, czy jest to już „dana osobowa” w rozumieniu RODO.
To oznacza, że samo spełnienie RODO nie załatwia jeszcze kwestii zgody na cookies. Przykładowo:
analityczne ciasteczko Google Analytics wymaga zgody na przechowywanie informacji w urządzeniu (PT),
a samo przetwarzanie danych o ruchu, IP czy identyfikatorze użytkownika wymaga podstawy przetwarzania w rozumieniu art. 6 RODO.
W praktyce trzeba zatem jednocześnie zorganizować zgodę „ciasteczkową” i zadbać o zgodność z RODO (np. zgoda lub uzasadniony interes jako podstawa przetwarzania).
Rola zgody: art. 6 RODO i art. 173 PT
Art. 6 RODO wymienia katalog podstaw przetwarzania danych osobowych (m.in. zgoda, wykonanie umowy, obowiązek prawny, uzasadniony interes). Natomiast art. 173 Prawa telekomunikacyjnego mówi, że przechowywanie informacji lub uzyskiwanie dostępu do niej w urządzeniu końcowym użytkownika (np. przy użyciu cookies) jest dozwolone, jeśli:
użytkownik został uprzednio jasno poinformowany o celu i,
wyraził na to zgodę.
Wyjątkiem są cookies technicznie niezbędne do świadczenia usługi żądanej przez użytkownika (np. zapamiętanie zawartości koszyka w sklepie). Dla narzędzi analitycznych i reklamowych standardem jest konieczność uzyskania odrębnej zgody „ciasteczkowej”, niezależnie od podstawy przetwarzania z art. 6 RODO.
Przykład: możesz próbować oprzeć prostą analitykę na uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), ale i tak – jeśli wykorzystujesz cookies niebędące niezbędnymi technicznie – potrzebujesz zgody na poziomie art. 173 PT.
Kiedy uzasadniony interes, a kiedy czysta zgoda
Organy ochrony danych dość jasno rozdzielają sytuacje, w których możesz powołać się na uzasadniony interes, od tych, w których wymagana jest zgoda jako podstawa przetwarzania. Ogólny kierunek jest taki:
Proste, zanonimizowane statystyki – przy lokalnej analityce (bez transferu poza UE, bez profilowania, bez łączenia z innymi danymi) część organów dopuszcza powołanie się na uzasadniony interes.
Zaawansowana analityka + identyfikatory użytkownika – im więcej szczegółowych danych o zachowaniu konkretnej osoby, tym trudniej obronić brak zgody.
Marketing, remarketing, profilowanie – tutaj co do zasady potrzebna jest zgoda, bo przetwarzanie jest bardziej inwazyjne i wprost nastawione na oddziaływanie na decyzje użytkownika.
Dla jednoosobowej firmy szczególnie istotne jest, aby nie nadużywać argumentu „uzasadniony interes”, gdy realnie celem jest budowa precyzyjnego profilu reklamowego osoby odwiedzającej stronę.
Status JDG jako administratora danych
Jednoosobowa działalność gospodarcza nie jest „za mała na RODO”. Jeśli prowadzisz stronę firmową, przyjmujesz zapisy na newsletter, pozwalasz wysłać formularz kontaktowy lub instalujesz Google Analytics, to:
przetwarzasz dane osobowe (adresy e-mail, IP, identyfikatory),
masz status administratora danych,
musisz realizować obowiązki z art. 13–15 RODO (informowanie, umożliwienie dostępu, usunięcia, sprzeciwu).
To, że nie zatrudniasz pracowników i nie masz działu IT, nie zmienia faktu, że to Ty decydujesz o celach i środkach przetwarzania. Dlatego konfiguracja Google Analytics i pikseli reklamowych jest Twoją decyzją administracyjną, a nie „domyślną opcją” narzuconą przez kogoś innego.
Co sprawdzić: polityka prywatności i cookies
Krok 1: otwórz swoją politykę prywatności i politykę cookies (lub ich sekcję w jednym dokumencie). Sprawdź, czy wyraźnie rozróżniasz:
podstawy przetwarzania danych z art. 6 RODO (np. zgoda, uzasadniony interes),
kwestię zgody na cookies w rozumieniu art. 173 PT.
Krok 2: upewnij się, że użytkownik ma wyjaśnione:
jakie kategorie cookies są używane (niezbędne, analityczne, marketingowe),
jakich dostawców zewnętrznych używasz (np. Google, Meta, Hotjar),
czy dane mogą trafiać poza EOG (np. USA), na jakiej podstawie i z jakim ryzykiem.
Co sprawdzić na tym etapie: czy dokumenty na stronie nie mieszają zgody „RODO-wej” z cookie’ową i czy jasno wskazują podstawy prawne dla poszczególnych celów (analityka, remarketing, newsletter, formularz).
Jakie dane realnie zbierają Google Analytics i piksele reklamowe
Dane techniczne też mogą być danymi osobowymi
Wielu przedsiębiorców zakłada, że skoro nie pytają użytkownika o imię i nazwisko, to „nie mają danych osobowych”. RODO ma szerszą definicję. Dane osobowe to każda informacja, która pośrednio lub bezpośrednio pozwala zidentyfikować osobę fizyczną. W praktyce:
adres IP (szczególnie publiczny, stały) może zostać powiązany z konkretną osobą lub urządzeniem,
identyfikator ciasteczka przypisany do przeglądarki pozwala odróżnić jednego użytkownika od drugiego,
identyfikatory reklamowe (np. w Google Ads, Meta Ads) łączą zachowanie na wielu stronach.
Google Analytics, piksel Facebooka i podobne narzędzia opierają się na takich identyfikatorach. W połączeniu z danymi o zachowaniu (podstrony, kliknięcia, czas spędzony na stronie) powstaje profil aktywności konkretnej przeglądarki/urządzenia, który – w połączeniu z innymi źródłami – może zostać powiązany z osobą.
Poziomy ingerencji: od prostych statystyk do remarketingu
Zakres zbieranych danych zależy od tego, jak skonfigurujesz narzędzie. Można wyróżnić kilka poziomów ingerencji:
Podstawowe statystyki odwiedzin – liczba sesji, strony wejścia, kraje, urządzenia. W GA oznacza to także przechowywanie cookies ze znacznikami czasu, identyfikatorami sesji.
Dane zbierane przez Google Analytics
Przy Google Analytics trzeba rozróżnić kilka kategorii informacji. Część jest oczywista, ale część „chowa się” w tle – w identyfikatorach i powiązaniach między usługami Google.
Podstawowy zakres to:
Identyfikatory techniczne – cookies (np. _ga, _ga_XXXX), identyfikatory sesji, znaczniki czasu pierwszej wizyty, ostatniej wizyty i bieżącej aktywności.
Dane o urządzeniu i przeglądarce – typ i wersja przeglądarki, system operacyjny, rozdzielczość ekranu, język przeglądarki.
Dane o ruchu – adres URL odwiedzonej strony, tytuł strony, ścieżka poruszania się, źródło wejścia (np. Google, Facebook, wejście bezpośrednie), kampania reklamowa.
Dane o zachowaniu – czas trwania sesji, zdarzenia (np. kliknięcia w przyciski, przewijanie, odtworzenia wideo), wypełnienie formularza, wysłanie zapytania.
Przybliżona lokalizacja – kraj, region, czasem miasto, wyliczone zwykle na podstawie IP.
Przy bardziej zaawansowanej konfiguracji dochodzą kolejne warstwy:
Identyfikatory użytkownika (tzw. user ID) – jeśli w sklepie internetowym użytkownik się loguje, możesz wysyłać do GA własny identyfikator klienta. Po połączeniu z innymi systemami łatwo odtworzyć, kto co robił.
Wydarzenia e‑commerce – dodanie produktu do koszyka, rozpoczęcie płatności, finalizacja zakupu, zwroty. Dzięki temu GA buduje obraz zachowania konkretnego użytkownika względem oferty.
Połączenia z innymi usługami Google – integracja z Google Ads, Search Console czy YouTube pozwala na krzyżowe analizowanie danych (np. słowa kluczowe z reklamy + zachowanie na stronie).
W GA4 zakres danych jest częściowo inny niż w Universal Analytics (bardziej oparty na zdarzeniach), ale z perspektywy prawa wynik jest podobny: powstaje szczegółowy profil ścieżki użytkownika na Twojej stronie, powiązany z unikalnym identyfikatorem.
Co sprawdzić na tym etapie: czy w konfiguracji GA wysyłasz do Google jakiekolwiek własne identyfikatory użytkowników, adresy e‑mail (np. w zdarzeniach) lub inne dane, które wprost pozwalają zidentyfikować osobę. Jeżeli tak – wymogi RODO są jeszcze ostrzejsze (np. konieczność ocen ryzyka, umów powierzenia, dokładniejszej informacji w polityce).
Jakie dane zbierają piksele reklamowe (Meta, Google Ads, LinkedIn itd.)
Piksel reklamowy to fragment kodu, który przekazuje dostawcy reklamy informacje o zdarzeniach na Twojej stronie. W praktyce często zbiera bardziej wrażliwy kontekst biznesowy niż samo GA, bo celuje w sprzedaż i profilowanie.
Typowo przekazywane są:
Informacje o stronie i zdarzeniu – np. „odwiedził stronę oferty X”, „dodał produkt Y do koszyka”, „przeszedł do strony płatności”, „wysłał formularz wyceny”.
Identyfikatory śledzące – cookies marketingowe przypisane do konta w danym serwisie (np. Facebook/Instagram), które umożliwiają przypisanie wizyty na Twojej stronie do konkretnego profilu w serwisie społecznościowym.
Dane techniczne – przeglądarka, urządzenie, przybliżona lokalizacja (zależnie od dostawcy).
Dane o kampanii – numer kampanii, grupy reklam, konkretnej kreacji; to pozwala reklamodawcy ocenić, która reklama sprowadziła użytkownika.
Przy rozszerzonych funkcjach pikseli dochodzą mechanizmy takie jak:
Enhanced Conversions / Advanced Matching – możliwość przesyłania do dostawcy reklam zaszyfrowanych adresów e‑mail, numerów telefonu lub innych identyfikatorów klienta w celu lepszego dopasowywania reklam.
Listy remarketingowe – tworzenie grup odbiorców na podstawie zachowań (np. „oglądał stronę cennika, ale nie złożył zamówienia”).
W jednoosobowej firmie kuszące jest „włączenie wszystkiego”, bo platformy reklamowe sugerują, że tak będzie skuteczniej. Z prawnego punktu widzenia każdy dodatkowy element (remarketing, advanced matching) podnosi poziom ingerencji w prywatność i wymaga lepiej opisanych zgód.
Co sprawdzić na tym etapie: czy Twój piksel ma aktywne funkcje remarketingu, konwersji rozszerzonych lub „eventów standardowych” typu Lead, Purchase, CompleteRegistration. Jeśli tak – nie możesz traktować go jak prostego narzędzia statystycznego.
Powiązanie danych między kanałami
Największym problemem nie jest pojedyncze narzędzie, lecz możliwość łączenia danych. Tak dzieje się wtedy, gdy:
masz na stronie kilka skryptów naraz (GA, Meta, LinkedIn, Hotjar) i wszystkie korzystają z cookies,
łączysz dane z CRM, systemu mailingowego, sklepu i platform reklamowych (np. eksportujesz listę klientów do Facebooka w celu stworzenia podobnych odbiorców).
Im więcej źródeł, tym łatwiej budować bardzo szczegółowe profile – co z punktu widzenia RODO wymaga mocnej podstawy prawnej, sprowadzenia zakresu danych do minimum i precyzyjnej informacji dla użytkownika.
W jednoosobowej firmie najczęściej schemat wygląda tak: strona (GA + piksel), newsletter (Mailerlite, GetResponse itp.), reklamy w Google i Meta. To już jest spory ekosystem danych, nawet jeśli skala biznesu jest mała.
Co sprawdzić na tym etapie: sporządź prostą mapę: jakie systemy marketingowe/analityczne masz podpięte, jakie dane wysyłają, dokąd i w jakim celu. Taka mapa ułatwi ocenę, czy zakres przetwarzania jest proporcjonalny do Twoich potrzeb.
Źródło: Pexels | Autor: Negative Space
Czy w ogóle można dziś używać Google Analytics – aktualny stan prawny i praktyka urzędów
Wyroki i decyzje organów dotyczące Google Analytics
Po wyroku TSUE w sprawie Schrems II (unieważnienie Tarczy Prywatności USA–UE) europejskie organy ochrony danych zaczęły weryfikować, czy korzystanie z Google Analytics wiąże się z nielegalnym przekazywaniem danych do USA.
Najgłośniejsze były decyzje m.in. austriackiego, francuskiego i włoskiego organu, które uznały, że konkretne konfiguracje GA naruszają RODO, bo:
dochodziło do transferu danych (identyfikatory, IP) do USA,
brakowało skutecznych gwarancji prawnych, że służby USA nie będą miały szerokiego dostępu do tych danych,
administratorzy nie wdrożyli dodatkowych zabezpieczeń technicznych, np. silnej pseudonimizacji przed wysłaniem danych do Google.
To nie był ogólny zakaz Google Analytics, ale sygnał: standardowa, „fabryczna” konfiguracja GA może nie spełniać wymogów RODO, zwłaszcza w zakresie transferów do państw trzecich.
Co sprawdzić na tym etapie: czy śledzisz komunikaty swojego organu ochrony danych (PUODO w Polsce) i czy wdrożyłeś jakiekolwiek środki ograniczające zakres danych wysyłanych do Google (anonimizacja IP, skracanie czasu przechowywania, wyłączanie niepotrzebnych funkcji).
GA4, nowe standardowe klauzule i decyzja o Tarczy Danych UE–USA
Sytuacja prawna wokół Google Analytics ewoluuje. Dwa kluczowe elementy to:
Google Analytics 4 – nowa wersja, w której Google deklaruje m.in.:
brak użycia zebranych danych dla własnych celów reklamowych bez odrębnej zgody administratora,
możliwość wyłączenia rejestrowania adresów IP,
opcje lokalizacji danych (np. serwery w UE dla części przetwarzania – zależnie od konfiguracji).
Decyzja wykonawcza Komisji Europejskiej w sprawie Ram Ochrony Danych UE–USA (Data Privacy Framework) – nowy mechanizm legalizujący transfery danych do USA w odniesieniu do podmiotów, które przystąpiły do programu.
Dla jednoosobowej firmy oznacza to, że korzystanie z GA4 nie jest z definicji zakazane, ale wymaga sprawdzenia kilku kwestii:
czy Google deklaruje przystąpienie do Tarczy Danych UE–USA (i w jakim zakresie usług),
jak skonfigurować GA4, aby maksymalnie ograniczyć zakres danych (np. wyłączyć rejestrowanie szczegółowych danych demograficznych, reklamowych),
jak opisać transfer danych w polityce prywatności (w tym potencjalne ryzyka).
Co sprawdzić na tym etapie: czy Twoje konto GA zostało już przeniesione na GA4, czy masz zaakceptowane aktualne warunki przetwarzania danych w Google, w tym standardowe klauzule umowne i postanowienia dotyczące transferu do USA.
Praktyka PUODO i innych organów w stosunku do małych firm
Organy rzadko zaczynają od kar wobec mikroprzedsiębiorców. Zwykle schemat jest taki: skarga użytkownika → postępowanie → wezwanie do wyjaśnień → ewentualne zalecenie dostosowania. To nie znaczy, że mała firma jest poza radarami, ale że główny nacisk kładzie się na największych graczy i oczywiste zaniedbania.
Typowe zastrzeżenia organów dotyczące GA i pikseli to m.in.:
brak poprawnego banera zgody (naruszenie Prawa telekomunikacyjnego),
brak wyraźnej informacji o transferze danych poza EOG i o odbiorcach danych (naruszenie art. 13 RODO),
utrzymywanie danych przez zbyt długi czas w narzędziach analitycznych bez powodu,
brak lub wadliwa umowa powierzenia przetwarzania z dostawcą narzędzia.
W praktyce dla jednoosobowej działalności kluczowe jest pokazanie, że:
masz świadomą konfigurację (nie włączyłeś wszystkiego „na pałę”),
udało się zminimalizować zakres danych,
masz dokumentację (polityki, rejestr czynności) oraz umowy powierzenia z dostawcami.
Co sprawdzić na tym etapie: czy w Twojej konfiguracji GA4:
ustawiłeś ograniczony okres przechowywania danych (np. 14 miesięcy zamiast „bezterminowo”),
wyłączyłeś funkcje reklamowe, jeśli nie masz na nie osobnej zgody,
masz zawartą (kliknięciem) umowę powierzenia z Google w panelu administracyjnym.
Kiedy rozsądnie zrezygnować z Google Analytics
Są sytuacje, gdy próby „ugładzenia” GA są bardziej skomplikowane niż realne korzyści. Dotyczy to zwłaszcza małych stron‑wizytówek, które:
nie prowadzą intensywnych kampanii reklamowych,
mają niewielki ruch,
potrzebują wyłącznie bardzo prostych statystyk (np. liczba wejść miesięcznie).
W takich przypadkach sensowną alternatywą bywa:
analityka serwerowa (logi serwera, proste raporty, np. AWStats, Matomo On-Premise),
rozwiązania anonimowe działające bez cookies lub z minimalnym ich użyciem (Fathom, Plausible – po odpowiednim skonfigurowaniu).
Krok 1: policz, ile faktycznie korzystasz z danych GA w praktyce. Jeśli zaglądasz tam raz na kwartał i tylko sprawdzasz liczbę odwiedzin, migracja na prostsze narzędzie może być rozsądniejsza niż walka o pełną zgodność GA.
Co sprawdzić na tym etapie: czy narzędzie analityczne, którego używasz, faktycznie jest Ci potrzebne w tak rozbudowanej formie. Jeżeli nie, rozważ uproszczenie – mniejszy zakres danych to mniej obowiązków prawnych.
Kiedy zgoda użytkownika na cookies i piksele jest obowiązkowa, a kiedy można inaczej
Podstawowe zasady zgody na cookies
Zgoda na cookies i piksele powinna spełniać standardy zarówno RODO, jak i Prawa telekomunikacyjnego. W praktyce oznacza to, że zgoda musi być:
dobrowolna – użytkownik ma realny wybór (tak/nie), bez sztucznego utrudniania odmowy,
konkretna – osobno dla różnych celów (analityka, reklama), a nie „na wszystko”,
świadoma – użytkownik wie, czego dotyczy zgoda (krótkie, zrozumiałe opisy kategorii),
jednoznaczna – brak pre‑zaznaczonych checkboxów, brak domniemania zgody z samego korzystania ze strony.
Krok 1: sprawdź, czy Twój baner pozwala na łatwe odrzucenie cookies. Jeżeli widoczny jest tylko przycisk „Akceptuję”, a opcja „Odrzuć” jest ukryta w drugim poziomie, masz problem z dobrowolnością zgody.
Co sprawdzić na tym etapie: czy mechanizm zgody pozwala równie łatwo zaakceptować, jak i odrzucić nieobowiązkowe cookies oraz czy nie ładuje narzędzi analityczno‑reklamowych przed wyrażeniem zgody.
Kiedy możesz oprzeć się na „prawnie uzasadnionym interesie” zamiast na zgodzie
Nie każde wykorzystanie technologii śledzących wymaga zgody w rozumieniu RODO, ale trzeba odróżnić podstawę przetwarzania danych osobowych od zgody na zapis/odczyt cookies w urządzeniu użytkownika.
Krok 1: rozdziel mentalnie dwa poziomy:
Prawo telekomunikacyjne – reguluje samą technologię (cookies, piksele, local storage). Co do zasady wymaga zgody na instalację, chyba że cookie jest technicznie niezbędne.
RODO – reguluje przetwarzanie danych osobowych zebranych m.in. z tych cookies. Tu podstawą może być zgoda albo prawnie uzasadniony interes, w zależności od celu.
Przy prostych statystykach da się czasem oprzeć na uzasadnionym interesie, ale tylko wtedy, gdy:
używasz rozwiązań bez cookies lub z cookie technicznym neutralnym z punktu widzenia prywatności,
silnie ograniczasz zakres danych (brak identyfikatorów marketingowych, brak cross‑site tracking),
przeprowadziłeś test równowagi interesów (LIA – Legitimate Interest Assessment) i udokumentowałeś go.
Przykład: proste narzędzie analityczne bez ciasteczek, które tylko zlicza wejścia i odwiedzane podstrony, może działać w oparciu o uzasadniony interes. Klasyczny piksel Meta śledzący użytkownika między stronami – już nie.
Co sprawdzić na tym etapie: dla każdego narzędzia zadaj pytanie: czy technicznie wymaga cookies? Jeśli tak – sprawdź, czy są niezbędne. Jeżeli nie są, zgoda telekomunikacyjna jest obowiązkowa, nawet jeśli pod RODO chciałbyś oprzeć się na uzasadnionym interesie.
Kiedy zgoda na cookies i piksele jest bezdyskusyjnie konieczna
W praktyce większość popularnych konfiguracji GA, pikseli reklamowych i narzędzi remarketingowych wymaga wcześniejszej zgody użytkownika na poziomie przeglądarki.
Zgoda jest konieczna zwłaszcza gdy:
ustawiasz lub odczytujesz cookies niekonieczne (analityczne, reklamowe, personalizacyjne),
wykorzystujesz identyfikatory do śledzenia użytkownika między różnymi serwisami (cross‑site tracking),
łączysz dane z cookies z danymi z innych źródeł (np. listami mailingowymi, CRM),
budujesz grupy odbiorców/remarketing w ekosystemie Google czy Meta na podstawie zachowania na stronie.
Krok 1: przejrzyj listę tagów w Google Tag Managerze (albo listę skryptów wtyczek WordPressa). Jeżeli widzisz tam GA, piksel Meta, LinkedIn Insight Tag, Hotjar, narzędzia A/B testów – przyjmij, że one wszystkie potrzebują zgody, chyba że dokumentacja dostawcy wprost opisuje tryb bezcookiesowy.
Co sprawdzić na tym etapie: czy któreś narzędzie wczytuje się mimo braku zgody. Jeśli tak, trzeba je „podpiąć” pod baner albo z niego zrezygnować.
Kiedy możesz obyć się bez zgody – przykładowe sytuacje
Zdarzają się konfiguracje, w których zgoda na poziomie przeglądarki nie jest konieczna, bo nie dochodzi do instalacji cookies (lub są one wyłącznie techniczne). Nadal jednak obowiązuje RODO w zakresie danych osobowych.
Przykładowe scenariusze:
Proste logi serwera – Twój hosting zlicza wejścia, gromadzi IP w logach w celach bezpieczeństwa. To zwykle nie wymaga zgody telekomunikacyjnej, ale wymaga informacji w polityce prywatności.
Anonimowe narzędzie analityczne bez cookies – zbiera wyłącznie zagregowane dane statystyczne, bez identyfikatorów użytkownika i bez możliwości profilowania. Tu możesz oprzeć się na uzasadnionym interesie, o ile test równowagi wypadnie pozytywnie.
Cookies ściśle techniczne – np. zapamiętanie zawartości koszyka, sesji logowania, wyboru języka. Działają po to, by strona w ogóle funkcjonowała.
Krok 1: wypisz sobie wszystkie cookies i podziel je na: „techniczne” oraz „pozostałe”. Pierwsza grupa co do zasady nie wymaga zgody (ale wymaga informacji), druga – niemal zawsze jej potrzebuje.
Co sprawdzić na tym etapie: czy faktycznie masz jakiekolwiek cookies techniczne, czy może każda ciasteczko służy analityce i reklamie. W razie wątpliwości traktuj je jak wymagające zgody.
Konfiguracja legalnego banera cookies krok po kroku dla jednoosobowej firmy
Wybór narzędzia do zarządzania zgodami (CMP)
Zarządzanie zgodami „na piechotę” (ręczne wklejanie skryptów) szybko staje się nie do ogarnięcia. Prościej jest użyć dedykowanego narzędzia – tzw. CMP (Consent Management Platform).
Krok 1: wybierz rozwiązanie dopasowane do Twojej skali. Dla mikrofirm zwykle wystarczą:
wtyczki do WordPressa z funkcją blokowania skryptów (np. Complianz, CookieYes, Borlabs Cookie),
proste CMP oferowane przez niektórych dostawców hostingów lub kreatorów stron,
narzędzia SaaS integrujące się z Google Tag Managerem (Usercentrics, Cookiebot itp.).
Przy wyborze sprawdź, czy narzędzie:
pozwala blokować skrypty do czasu zgody,
obsługuje osobne kategorie (np. „analityczne”, „reklamowe”),
pozwala na udokumentowanie zgód (logi, identyfikator zgody),
ma możliwość łatwego wycofania zgody przez użytkownika.
Co sprawdzić na tym etapie: czy wybrane narzędzie ma aktualne wsparcie i jest rozwijane (wtyczka sprzed kilku lat, bez aktualizacji, to proszenie się o kłopoty).
Podział cookies na kategorie – fundament całej konfiguracji
Zanim klikniesz jakiekolwiek opcje w CMP, potrzebujesz sensownego podziału na kategorie. Bez tego baner stanie się chaosem.
Krok 1: przygotuj tabelę (nawet w Excelu): nazwa ciasteczka/skryptu, dostawca, cel, czas przechowywania, kategoria. Potem przenieś to do CMP.
Najczęściej używane kategorie:
Niezbędne/techniczne – wymagane do działania strony (sesja logowania, koszyk, ochrona przed botami).
Analityczne/statystyczne – Google Analytics, narzędzia heatmap, A/B testy.
Marketingowe/reklamowe – piksel Meta, Google Ads, LinkedIn, narzędzia do retargetingu.
Funkcjonalne – np. osadzone mapy, wideo, czaty online, jeśli wykorzystują dodatkowe cookies.
Krok 2: przypisz każde narzędzie do jednej kategorii i sprawdź dokumentację dostawcy. GA i piksel Meta zawsze powinny wylądować poza kategorią „niezbędne”.
Co sprawdzić na tym etapie: czy nie próbujesz „przemycić” Analyticsa jako ciasteczka niezbędnego. Organy bardzo szybko wyłapują takie praktyki.
Ustawienie logiki wyświetlania banera
Sama treść banera to połowa sukcesu. Druga połowa to logika, kiedy i komu się wyświetla oraz co się dzieje po kliknięciu.
Krok 1: skonfiguruj schemat:
baner pojawia się przy pierwszej wizycie i przy każdej wizycie po wygaśnięciu zgody,
dopóki użytkownik nie dokona wyboru – żadne niekonieczne skrypty nie działają,
decyzja użytkownika jest zapisywana (np. w cookie zgody) na rozsądny okres (np. 6–12 miesięcy).
Krok 2: ustaw przyciski w banerze:
„Akceptuję wszystkie” – zgoda na wszystkie niekonieczne kategorie,
„Odrzuć wszystkie” – brak zgody na niekonieczne kategorie,
„Dostosuj wybór” – przejście do szczegółowego panelu z checkboxami dla kategorii.
Ważne, aby przyciski „Akceptuję” i „Odrzuć” były tak samo widoczne i łatwo klikalne. Przycisk „odrzuć” zakopany w trzecim poziomie ustawień podważa dobrowolność zgody.
Co sprawdzić na tym etapie: wejdź na własną stronę w trybie incognito i sprawdź, czy przed wyborem w banerze nie pojawiają się requesty do Google, Meta itd. Jeśli pojawiają się – skrypty nie są poprawnie zablokowane.
Powiązanie banera z Google Tag Managerem i skryptami
Sercem całej konfiguracji jest powiązanie banera z konkretnymi tagami. Bez tego skrypty będą palić się niezależnie od zgód.
Krok 1: zdefiniuj w GTM zmienne zgody odpowiadające kategoriom z banera (np. consent_analytics, consent_marketing). Wiele CMP robi to automatycznie; w prostszych konfiguracjach trzeba je dodać ręcznie.
Krok 2: przy każdym tagu (GA, piksel Meta, inne) ustaw:
warunek uruchomienia: tylko jeśli odpowiednia zgoda = true,
domyślnie: brak zgody (false) do momentu wyrażenia zgody w banerze.
Krok 3: przetestuj w debug view GTM – klikaj różne kombinacje zgód w banerze i sprawdzaj, które tagi się uruchamiają.
Typowy błąd: włączenie domyślnego triggera „All Pages” przy tagu GA lub piksela bez dodatkowego warunku zgody. Efekt – narzędzie działa zawsze, a baner jest tylko wizualną dekoracją.
Co sprawdzić na tym etapie: czy zmienne zgody w GTM na pewno zmieniają się po kliknięciu w baner. Jeśli wartości stoją w miejscu, tagi nigdy nie „zareagują” na decyzję użytkownika.
Treść banera i polityki cookies – język, który rozumie zwykły człowiek
Użytkownik musi wiedzieć, na co się zgadza – a to oznacza prosty, konkretny opis celów oraz głównych dostawców.
Krok 1: przygotuj krótkie opisy każdej kategorii, np.:
Analityczne – pomagają zrozumieć, jak użytkownicy korzystają ze strony (które podstrony są najczęściej odwiedzane), co pozwala poprawiać jej działanie.
Marketingowe – umożliwiają wyświetlanie reklam dopasowanych do Twoich zainteresowań i mierzenie skuteczności kampanii.
Krok 2: w polityce cookies (lub szerszej polityce prywatności) rozwiń te informacje:
wymień dostawców (Google, Meta itd.),
opisz, jakie dane są zbierane (np. identyfikatory urządzeń, adres IP – jeśli nie jest anonimizowany),
wskaż okres przechowywania ciasteczek i danych w narzędziu,
wyjaśnij, jak użytkownik może zmienić lub wycofać zgodę (link do panelu preferencji, instrukcja w przeglądarce).
Krok 3: dodaj w banerze wyraźny link do polityki cookies/prywatności. Nie chowaj go pod nic nieznaczącym tekstem – musi być łatwo dostępny.
Co sprawdzić na tym etapie: poproś kogoś „spoza branży”, by przeczytał baner i politykę i opowiedział, co zrozumiał. Jeśli po lekturze nadal nie potrafi powiedzieć, do czego służą poszczególne kategorie – tekst wymaga uproszczenia.
Obsługa wycofania zgody i zmiany preferencji
Zgoda to nie kontrakt na zawsze. Użytkownik ma prawo ją odwołać, a Ty musisz mu to umożliwić w prosty sposób.
Krok 1: dodaj na stronie (najczęściej w stopce) link typu „Ustawienia cookies” czy „Zmień zgodę”. Po kliknięciu użytkownik powinien zobaczyć ten sam panel, który pojawia się w banerze początkowym.
Krok 2: dopilnuj, by:
zmiana preferencji skutkowała natychmiastowym zatrzymaniem skryptów, na które zgoda została cofnięta,
nowe ustawienia nadpisywały poprzednie (nie może być tak, że stara zgoda „wisi” w systemie),
narzędzie CMP usuwało lub dezaktywowało odpowiednie cookies, jeśli jest to technicznie możliwe.
Krok 3: zastanów się, czy musisz podejmować dodatkowe działania po wycofaniu zgody – np. usunąć dane z list remarketingowych, skasować rekordy w narzędziu analitycznym powiązane z konkretnym identyfikatorem.
Co sprawdzić na tym etapie: wykonaj pełną ścieżkę: wyrażenie zgody → korzystanie ze strony → wycofanie zgody → dalsze korzystanie. Obserwuj, czy po cofnięciu zgody nadal pojawiają się requesty do narzędzi marketingowych/analitycznych.
Minimalizacja danych w Google Analytics i pikselach – ustawienia praktyczne
Nawet przy poprawnym banerze warto ograniczyć zakres danych, który trafia do zewnętrznych narzędzi. To obniża ryzyko i zwykle ułatwia obronę konfiguracji przed organem.
Najczęściej zadawane pytania (FAQ)
Czy jako jednoosobowa firma mogę legalnie korzystać z Google Analytics po wyroku Schrems II?
Tak, ale już nie na zasadzie „wklejam kod i zapominam”. Po Schrems II standardowa konfiguracja Google Analytics (szczególnie GA4 z pełnym śledzeniem i remarketingiem) może prowadzić do niezgodnego z prawem transferu danych do USA. Jako właściciel strony jesteś administratorem danych i to Ty odpowiadasz za to, czy podstawy prawne oraz zabezpieczenia są wystarczające.
Krok 1: sprawdź, czy GA w ogóle jest Ci potrzebne (czasem wystarczy statystyka serwera lub narzędzie hostowane w UE). Krok 2: jeśli GA ma zostać, ogranicz zakres danych (anonimizacja IP, wyłączenie funkcji reklamowych, skrócenie czasu retencji). Krok 3: uruchom GA dopiero po wyrażeniu zgody w banerze cookies i poinformuj o transferze danych do USA w polityce prywatności.
Co sprawdzić: czy Google Analytics nie ładuje się przed wyrażeniem zgody i czy masz w polityce prywatności jasny opis przekazywania danych do państw trzecich (USA).
Czy muszę mieć zgodę na cookies, żeby używać Google Analytics i pikseli reklamowych?
W zdecydowanej większości przypadków tak. Art. 173 Prawa telekomunikacyjnego wymaga zgody na zapisywanie i odczytywanie cookies oraz podobnych technologii, o ile nie są one technicznie niezbędne. Google Analytics, piksel Meta/Facebooka, LinkedIn czy TikTok służą statystyce i marketingowi, a nie działaniu samej strony – dlatego wymagają zgody użytkownika.
Krok 1: wdroż baner zgody na cookies, który pozwala zaakceptować lub odrzucić kategorie (analityczne, marketingowe). Krok 2: skonfiguruj narzędzia tak, aby GA i piksele odpalały się dopiero po kliknięciu „Akceptuję” dla odpowiedniej kategorii. Typowy błąd: baner jest „na pokaz”, a skrypty i tak ładują się automatycznie.
Co sprawdzić: czy po wejściu na stronę i odrzuceniu zgody faktycznie nie tworzą się cookies analityczne i marketingowe (podgląd w narzędziach developerskich przeglądarki).
Jaka jest różnica między RODO a Prawem telekomunikacyjnym przy cookies i pikselach?
RODO dotyczy danych osobowych jako takich – tego, kto je przetwarza, w jakim celu i na jakiej podstawie (art. 6 RODO). Prawo telekomunikacyjne reguluje samą czynność umieszczenia informacji na urządzeniu użytkownika (cookies, local storage) i odczytywania jej, nawet jeśli pojedynczy identyfikator jeszcze nie pozwala wprost na identyfikację osoby.
W praktyce musisz więc spełnić dwa zestawy wymogów równocześnie:
uzyskać zgodę na użycie ciasteczek analitycznych/marketingowych (Prawo telekomunikacyjne),
mieć podstawę przetwarzania danych o użytkowniku (np. IP, identyfikator, wydarzenia na stronie) w rozumieniu RODO – zwykle jest to zgoda lub uzasadniony interes.
Co sprawdzić: czy w dokumentach i konfiguracji rozróżniasz: zgody „ciasteczkowe” (PT) oraz podstawy przetwarzania danych osobowych (RODO), a nie wrzucasz wszystkiego do jednego worka.
Czy jako JDG mogę oprzeć analitykę na „uzasadnionym interesie”, zamiast brać zgodę?
Dla samego przetwarzania danych osobowych teoretycznie możesz rozważyć uzasadniony interes (art. 6 ust. 1 lit. f RODO), np. w celu podstawowej analizy ruchu na stronie. Jednak ta podstawa nie „załatwia” obowiązku zgody na cookies z Prawa telekomunikacyjnego. Jeśli korzystasz z cookies lub podobnych technologii innych niż niezbędne – zgoda i tak jest potrzebna.
Krok 1: określ, do czego faktycznie potrzebujesz danych (prosta statystyka vs. rozbudowane profilowanie i remarketing). Krok 2: wykonaj test równowagi – czy potrzeba analityki nie narusza nadmiernie prywatności użytkownika (to trzeba udokumentować). Krok 3: nawet przy uzasadnionym interesie wyłącz wszystko, co wykracza poza „podstawową statystykę”, albo przejdź na zgodę jako główną podstawę.
Co sprawdzić: czy gdziekolwiek w dokumentacji lub polityce prywatności masz opisany uzasadniony interes i test równowagi, jeśli się na niego powołujesz.
Czy mała strona wizytówka (np. fryzjer, księgowa) też może mieć problemy z UODO przez Google Analytics?
Tak. Skala działalności nie zwalnia z obowiązków. Organy ochrony danych nie patrzą na to, czy jesteś korporacją, czy jednoosobową firmą, tylko czy przetwarzasz dane zgodnie z przepisami. Skarga może dotyczyć nawet prostej strony z formularzem kontaktowym i podpiętym GA lub pikselem.
Typowe ryzyka dla małej JDG to:
postępowanie wyjaśniające przed UODO (czas, stres, konieczność zbierania dokumentacji),
nakaz przebudowy strony w określonym terminie,
obowiązek poinformowania klientów o naruszeniu, co szkodzi reputacji.
Co sprawdzić: czy w razie kontroli jesteś w stanie w 1–2 dniach przedstawić: rejestr czynności przetwarzania (choćby prosty), politykę prywatności, informację o cookies oraz opis konfiguracji narzędzi analitycznych i reklamowych.
Jak samodzielnie sprawdzić, jakie skrypty śledzące działają na mojej stronie?
Krok 1: otwórz stronę w przeglądarce (np. Chrome), naciśnij F12 lub Ctrl+Shift+I i przejdź do zakładki „Network”/„Sieć”. Odśwież stronę i obserwuj, z jakimi domenami nawiązywane są połączenia. Zwróć szczególną uwagę na domeny takie jak google-analytics.com, googletagmanager.com, facebook.com, doubleclick.net, tiktok.com, linkedin.com.
Krok 2: sprawdź kod strony lub ustawienia CMS (np. WordPress – sekcje „Head/Body scripts”, wtyczki marketingowe) i spisz wszystkie kody śledzące. Krok 3: wejdź na stronę jeszcze raz w trybie „incognito” i zobacz, które skrypty ładują się od razu, a które dopiero po akceptacji cookies.
Co sprawdzić: czy masz pełną listę zewnętrznych skryptów oraz czy którykolwiek z nich ładuje się bez zgody – to pierwszy sygnał, że konfiguracja jest niezgodna z przepisami.
Czy odpowiedzialność za naruszenia RODO przy Google Analytics spada na Google, czy na mnie jako właściciela strony?
Za zgodność przetwarzania danych na Twojej stronie odpowiadasz przede wszystkim Ty jako administrator danych. To Ty decydujesz, jakie narzędzia wdrażasz, jakie dane zbierasz i w jakich celach. Google zazwyczaj działa jako podmiot przetwarzający albo odrębny administrator dla części operacji, ale skarga użytkownika najczęściej trafi w pierwszej kolejności do Ciebie.
Źródła
Wyrok Trybunału Sprawiedliwości z dnia 16 lipca 2020 r. w sprawie C‑311/18 (Schrems II). Trybunał Sprawiedliwości Unii Europejskiej (2020) – Unieważnienie Privacy Shield, warunki transferu danych do USA
Rozporządzenie (UE) 2016/679 (RODO). Unia Europejska (2016) – Ogólne rozporządzenie o ochronie danych, podstawy przetwarzania
Prawo telekomunikacyjne – art. 173–174. Sejm Rzeczypospolitej Polskiej – Polskie przepisy o przechowywaniu informacji w urządzeniu użytkownika
Decyzja Datenschutzbehörde w sprawie Google Analytics (DSB 2021-0.586.257). Austriacki organ ochrony danych (2021) – Ocena zgodności stosowania Google Analytics z RODO
Decyzje CNIL dotyczące korzystania z Google Analytics. Commission Nationale de l’Informatique et des Libertés (2022) – Stanowisko francuskiego organu w sprawie transferu danych do USA
Decyzje Garante per la Protezione dei Dati Personali w sprawie Google Analytics. Garante per la Protezione dei Dati Personali (2022) – Włoska analiza ryzyk przy użyciu Google Analytics
