Specjalista od ochrony danych wyjaśnia dlaczego zgoda na pliki cookie którą klikasz na każdej stronie w Polsce jest w większości przypadków niezgodna z prawem i co ci przysługuje

Wyobraź sobie zwykły wieczór.

Siedzisz na kanapie, w jednej ręce telefon, w drugiej kubek herbaty. Chcesz tylko szybko sprawdzić przepis na kolację albo przeczytać coś lekkiego przed snem. Wchodzisz na stronę i bum – wyskakuje znajomy, biały prostokąt. „Akceptuj wszystkie”, „Zarządzaj zgodą”, „Preferencje”. Mały krzyżyk, szary przycisk „Odrzuć”, który wygląda jakby był zrobiony z lodu. Palec sam jedzie w stronę dużego, kolorowego „OK”. Klikasz, żeby mieć to z głowy. I robisz tak kilka, kilkanaście razy dziennie. Prawie bez refleksji. Gdzieś z tyłu głowy kołacze się myśl: coś tu jest nie w porządku. Masz rację.

Dlaczego ten jeden klik często łamie prawo

Specjalista od ochrony danych, z którym rozmawiałem, powiedział wprost: przeciętny baner cookie w Polsce jest po prostu niezgodny z prawem. Nie „trochę naciągany”. Nie „na granicy”. Po prostu nie spełnia podstawowych wymogów zgody, o których mówią RODO i prawo telekomunikacyjne.

Zgoda na pliki cookie musi być dobrowolna, świadoma, konkretna i jednoznaczna. Jeśli przycisk „Akceptuj wszystko” jest wielki i kolorowy, a „Odrzuć” schowane w szarym tekście albo pod trzema kliknięciami, to nie jest dobrowolność. To manipulacja interfejsem, tzw. dark pattern. Wszyscy znamy ten moment, kiedy łapiemy się na tym, że klikamy „zgadzam się” już odruchowo, żeby zobaczyć cokolwiek. To nie jest świadoma decyzja. To zmęczenie.

Wyobraź sobie, że ktoś podchodzi do ciebie na ulicy z kartką i długopisem. Mówi szybko: „Tutaj proszę podpisać, chodzi o lepsze dopasowanie treści reklamowych, dla pana wygody”. I zanim doczytasz, że oddajesz pełną historię swoich zakupów, miejsce zamieszkania i listę zainteresowań pięciu firmom marketingowym, on już pokazuje ci, gdzie postawić podpis. W świecie offline taki scenariusz budzi opór od razu. W internecie stał się normą. To, co wielu z nas bierze za niewinną formalność techniczną, w praktyce jest zgodą na masowy tracking. Często w sposób, który z prawem ma niewiele wspólnego.

Eksperci od ochrony danych powtarzają: jeśli nie masz realnej możliwości powiedzieć „nie”, to twoje „tak” jest bez wartości prawnej. Proste? Niby tak, ale banery cookie są projektowane tak, żeby właśnie tego nie czuć. Z jednej strony mamy przepisy, które mówią wprost o równoważności opcji „zgadzam się” i „odrzucam”. Z drugiej – polskie strony, na których opcja odrzucenia zgody jest jak wyjście ewakuacyjne w centrum handlowym: istnieje, ale musisz się nieźle nagimnastykować, żeby ją znaleźć. I to jest ta szczera prawda, o której firmy wolałyby nie rozmawiać.

Jak wygląda „legalny” baner, a jak wygląda rzeczywistość

Weźmy konkretny przykład. Wchodzisz na popularny portal informacyjny. Na środku ekranu wyskakuje plansza: kolorowy przycisk „Akceptuję i przechodzę do serwisu”, obok mniejszy link „Ustawienia prywatności”. Klikasz w ustawienia, chcesz coś odhaczyć. Przenosi cię do kolejnego okna, gdzie są kategorie: „niezbędne”, „analityczne”, „marketingowe”, „partnerzy zaufani”. Każda z nich osobno, każdy partner osobno. Trzydzieści kilka suwaków. Na dole dwa przyciski: „Zapisz ustawienia” i „Zaakceptuj wszystkich partnerów”. Zgadnij, który jest większy i bardziej widoczny.

To nie jest przypadek. To precyzyjnie zaprojektowany mechanizm psychologiczny, który ma cię zmęczyć, zirytować, zniechęcić. Masz poczuć, że walka o prywatność kosztuje zbyt dużo czasu i uwagi. Że „przecież i tak wszyscy zbierają dane”. W efekcie akceptujesz coś, czego realnie nie rozumiesz. Twój adres IP, historia przeglądania, kliknięcia, czas spędzony na stronie, używane urządzenie, przybliżona lokalizacja – wszystko to ląduje w systemach reklamowych, profilach behawioralnych, hurtowniach danych.

Specjalista, z którym rozmawiałem, nazwał to bez ogródek: „zgoda wymuszona przez design”. I prawo na to reaguje. Europejskie organy ochrony danych wydały już wiele decyzji, w których jasno stwierdzają, że takie banery nie spełniają standardu dobrowolności. Jeśli użytkownik ma poczucie, że albo zgadza się na śledzenie, albo praktycznie nie może korzystać z serwisu, to nie jest prawdziwy wybór. RODO nie mówi: albo płacisz danymi, albo spadaj. Mówi: informacja musi być dostępna bez szantażu.

Co ci realnie przysługuje jako użytkownik

Najprostsza rzecz, którą możesz zrobić już dziś: zacznij szukać przycisku „Odrzuć wszystkie”. Coraz więcej serwisów, pod presją regulatorów i prawników, taki przycisk ma – choć bywa schowany. Czasem wystarczy rozwinąć dodatkową sekcję albo przewinąć baner niżej, żeby go zobaczyć. Innymi słowy: zanim klikniesz w wielkie „Akceptuj”, daj sobie trzy sekundy na rozejrzenie się.

Masz prawo do tego, żeby twoja zgoda była tak samo łatwa do wycofania, jak do udzielenia. To nie pusty slogan. Jeśli gdzieś kliknąłeś „OK”, masz pełne prawo wejść w „ustawienia prywatności” czy „zarządzanie zgodą” i wszystko odwołać. Bez tłumaczenia się, bez podawania powodu. Masz też prawo żądać informacji: jakie dokładnie dane o tobie zbierają, komu je przekazują, przez jaki czas przechowują. Brzmi jak maraton formalności? Pewnie. *W praktyce jedno krótkie, konkretne zapytanie mailowe potrafi mocno otrzeźwić administratora danych.*

Powiedzmy sobie szczerze: nikt nie robi tego codziennie. Ale już samo świadomość, że możesz, zmienia układ sił. Jeśli czujesz się oszukany po kliknięciu w baner, możesz złożyć skargę do UODO – nawet bez prawnika. Nie musisz cytować przepisów. Wystarczy opisać, co widzisz: np. brak przycisku „odrzuć”, przymus akceptacji wszystkiego, niejasne informacje o partnerach. Organ ma obowiązek się tym zająć, a strony naprawdę nie lubią korespondencji z urzędem nadzorczym. To często jedyny język, który rozumieją.

Jak tłumaczy specjalista od ochrony danych, z którym rozmawiałem:

„Gdyby użytkownicy zaczęli korzystać z praw, które realnie mają, połowa polskich banerów cookie musiałaby zniknąć albo zostać przeprojektowana. Problem w tym, że większość ludzi nawet nie wie, że zgoda, którą klikają, w oczach prawa jest wątpliwa. Wystarczyłby drobny ruch po stronie internautów, żeby zmienić praktykę całej branży reklamowej”.

Co konkretnie możesz zrobić już teraz, bez wchodzenia na poziom prawniczych analiz:

• Raz dziennie, na jednej stronie, zamiast „Akceptuj wszystko” poszukaj opcji **„Odrzuć wszystkie”**.
• Kiedy strona blokuje treść bez zgody na marketing, zrób zrzut ekranu i zapisz link.
• W ustawieniach przeglądarki włącz blokowanie śledzących plików cookie stron trzecich.
• Raz na jakiś czas wyślij jedno krótkie pytanie o dane do administratora dużego serwisu.
• Jeśli coś cię oburzy, opisz konkretny przypadek w skardze do UODO – bez patosu, sam fakt.

Co się stanie, jeśli zaczniemy naprawdę mówić „nie”

Wyobraź sobie internet, w którym baner cookie nie zajmuje pół ekranu, tylko jest małą belką na dole. Dwa równej wielkości przyciski: „Akceptuj” i „Odrzuć”. Krótki, zrozumiały tekst, bez marketingowej waty. Żadnych „zaufanych partnerów” ukrytych pod 40 suwakami. Korzystasz z treści, nawet jeśli nie zgodziłeś się na śledzenie do celów reklamowych. To nie science fiction, to standard, do którego już zmierzają niektóre państwa i firmy.

Zmiana nie przyjdzie znikąd. Regulatorzy mogą wydawać decyzje i nakładać kary, ale dopiero po skargach użytkowników widać, gdzie jest realny problem. Każde kliknięcie w „Odrzuć” to sygnał: nie chcę być śledzony na każdym kroku. Każda skarga o nieuczciwy baner to przypomnienie, że użytkownik nie jest surowcem, który można przerabiać na kliknięcia reklam. Nawet jeśli branża reklamowa próbuje wpoić nam, że „tak działa darmowy internet”.

Może właśnie w tym jest sedno tej historii. Przez lata oswajano nas z myślą, że prywatność to luksus, a dane osobowe to coś w rodzaju drobnego napiwku dla wielkich platform. Tymczasem prawo stoi bardziej po twojej stronie, niż myślisz. Nie musisz być prawnikiem ani specjalistą od cyberbezpieczeństwa, żeby zacząć z tego korzystać. Wystarczy czasem zatrzymać palec tuż przed kliknięciem „Akceptuj wszystko” i zadać sobie ciche pytanie: czy naprawdę chcę, żeby mój wieczór na kanapie ktoś zapisał w kilkunastu bazach danych?

FAQ:

• Czy muszę akceptować pliki cookie, żeby korzystać z większości stron? Nie. Strony mogą wymagać technicznie niezbędnych cookie, ale marketingowe i analityczne nie są warunkiem dostępu do treści. Gdy widzisz przymusową zgodę „albo akceptujesz wszystko, albo nie wejdziesz”, to sygnał, że coś jest nie tak z ich podejściem do prawa.
• Czy mogę wycofać zgodę na cookie po jej udzieleniu? Tak, w każdej chwili, bez podawania powodu. Zwykle służy do tego link typu „ustawienia prywatności” w stopce strony lub ikona tarczy/klucza widoczna na stronie. Po wycofaniu zgody dalsze śledzenie w celach marketingowych nie powinno mieć miejsca.
• Co grozi firmie za nielegalny baner cookie? W skrajnym przypadku bardzo wysokie kary administracyjne, sięgające milionów euro. Częściej kończy się na nakazie zmiany praktyk, ostrzeżeniu lub mniejszej karze. Dla firm ważny jest też wizerunek – sprawa z udziałem UODO czy innego organu szybko staje się publiczna.
• Jak zgłosić nieuczciwy baner do UODO? Możesz wysłać skargę tradycyjną pocztą albo przez ePUAP. Warto dołączyć zrzuty ekranu banera, opisać, czego próbowałeś/łaś (np. nie znalazłem przycisku „odrzuć”) i podać adres strony. Nie musisz znać numerów artykułów – urząd sam zakwalifikuje sprawę.
• Czy korzystanie z adblocka rozwiązuje problem? Adblock ogranicza wyświetlanie reklam i część śledzących skryptów, ale nie załatwia sprawy zgód i podstaw prawnych przetwarzania. To wygodne narzędzie, lecz nie zastąpi świadomych decyzji, ustawień prywatności i ewentualnych skarg w sytuacjach, gdy ktoś jawnie gra z tobą nie fair.