Jak skonfigurować zgodę na cookie w WordPress (GDPR)

Zgodnie z europejskim prawem o prywatności nie wolno umieszczać cookie śledzących, analitycznych ani marketingowych w przeglądarce odwiedzającego bez jego wyraźnej, świadomej zgody. To nie jest opcjonalne, a naruszenia prowadzą do wysokich kar. Dobra wiadomość jest taka, że skonfigurowanie odpowiedniego rozwiązania zgody na cookie w WordPress zajmuje około 30 minut, gdy zrozumiesz wymagania. Ten przewodnik obejmuje podstawy prawne, wdrożenie techniczne i typowe błędy, które mogą Cię wpędzić w kłopoty.

Co naprawdę wymagają GDPR i dyrektywa ePrivacy

Dwa prawa UE regulują, jak strony obsługują cookie. GDPR (Ogólne Rozporządzenie o Ochronie Danych) ustanawia zasady przetwarzania danych osobowych, podczas gdy dyrektywa ePrivacy (często nazywana "Cookie Directive") konkretnie zajmuje się przechowywaniem informacji na urządzeniu użytkownika. Razem tworzą jasne ramy:

• Artykuł 6 GDPR (podstawa prawna): Potrzebujesz podstawy prawnej do przetwarzania danych osobowych. Dla cookie śledzących użytkowników odpowiednią podstawą jest zgoda na podstawie artykułu 6 ust. 1 lit. a). Uzasadniony interes (artykuł 6 ust. 1 lit. f)) według większości europejskich organów ochrony danych nie ma zastosowania do cookie nieistotnych.
• Artykuł 7 GDPR (warunki zgody): Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Musi to być aktywny opt-in (żadnych wstępnie zaznaczonych pól). Wycofanie zgody musi być tak łatwe jak jej udzielenie.
• Dyrektywa ePrivacy (artykuł 5 ust. 3): Przechowywanie lub dostęp do informacji na urządzeniu użytkownika (w tym cookie, localStorage i podobne technologie) wymaga uprzedniej zgody, chyba że cookie jest ściśle niezbędne dla usługi wyraźnie żądanej przez użytkownika.

W praktyce oznacza to: żadnej analityki, żadnych pikseli marketingowych, żadnych osadzeń mediów społecznościowych, żadnych osadzonych filmów stron trzecich i żadnych cookie reklamowych, dopóki użytkownik nie kliknie "Akceptuj". Cookie ściśle niezbędne (jak cookie sesji koszyka zakupowego lub cookie uwierzytelniania) nie wymagają zgody.

Zrozumienie kategorii cookie

Dobre wdrożenie zgody dzieli cookie na grupy, dzięki czemu użytkownicy mogą dokonywać szczegółowych wyborów. Oto standardowe kategorie:

• Ściśle niezbędne (essential): Cookie wymagane do podstawowej funkcjonalności witryny. Przykłady to cookie sesji (np. cookie logowania WordPress wordpress_logged_in_*), cookie koszyka WooCommerce, tokeny CSRF i cookie preferencji zgody. Nie wymagają zgody i nie mogą być odrzucone przez użytkownika.
• Funkcjonalne (preferencje): Cookie zapamiętujące preferencje użytkownika, takie jak wybór języka, preferencje motywu lub region. Nie są ściśle niezbędne, ale poprawiają doświadczenie użytkownika. Wymagają zgody.
• Analityka (statystyki): Cookie umieszczane przez narzędzia takie jak Google Analytics, Matomo lub Plausible, które mierzą, jak odwiedzający korzystają z witryny. Nawet "anonimowe" cookie analityczne zwykle wymagają zgody w UE, chyba że używasz narzędzia przyjaznego prywatności, które w ogóle nie umieszcza cookie (jak Plausible lub Fathom w trybie bez cookie).
• Marketing (reklamy): Cookie z sieci reklamowych, platform retargetingowych i pikseli mediów społecznościowych (Facebook Pixel, Google Ads, LinkedIn Insight Tag). Zawsze wymagają zgody.

Konfiguracja Complianz (zalecane dla większości witryn)

1. Zainstaluj Complianz - GDPR/CCPA Cookie Consent z katalogu wtyczek WordPress.
2. Uruchom kreatora instalacji. Complianz pyta o lokalizację Twojej firmy, regiony, które obsługujesz, i jakich usług stron trzecich używasz. Odpowiadaj uczciwie, ponieważ kreator generuje Twoją politykę cookie i konfigurację zgody na podstawie tych odpowiedzi.
3. Wtyczka automatycznie skanuje witrynę, aby wykryć cookie. Przejrzyj wyniki skanowania i skategoryzuj wszelkie cookie, których nie udało się automatycznie zidentyfikować.
4. Skonfiguruj wygląd banera zgody w Complianz > Consent Banner. Wybierz między banerem u góry lub na dole, wyśrodkowanym pop-upem lub panelem bocznym. Upewnij się, że przycisk "Reject All" jest tak samo widoczny jak "Accept All" (to wymóg prawny).
5. Włącz blokowanie skryptów. Complianz może automatycznie blokować znane skrypty (Google Analytics, Facebook Pixel, osadzenia YouTube), dopóki użytkownik nie wyrazi zgody. Przejdź do Integrations i sprawdź, czy Twoje usługi stron trzecich są wymienione.
6. Dla niestandardowych skryptów, których Complianz nie rozpoznaje, otocz je placeholderem Complianz. Zmień typ skryptu z text/javascript na text/plain i dodaj atrybut data-category.
7. Przetestuj, otwierając witrynę w oknie incognito. Przed zaakceptowaniem cookie sprawdź, że żadne skrypty analityczne ani marketingowe nie są ładowane (sprawdź zakładkę Network w DevTools przeglądarki). Po akceptacji sprawdź, że skrypty ładują się poprawnie.

Konfiguracja Real Cookie Banner (najlepsze dla regionu DACH)

Real Cookie Banner to wtyczka opracowana w Niemczech, która stosuje podejście oparte na usługach, a nie na cookie. Zamiast kategoryzować poszczególne cookie, konfigurujesz każdą usługę (Google Analytics, YouTube, Google Maps, itd.), a wtyczka obsługuje resztę. To podejście dobrze odpowiada niemieckiej interpretacji GDPR.

1. Zainstaluj Real Cookie Banner z katalogu wtyczek WordPress.
2. Uruchom kreatora instalacji. Wtyczka zawiera dużą bazę danych wstępnie skonfigurowanych szablonów usług, dzięki czemu nie musisz ręcznie wprowadzać nazw cookie ani okresów przechowywania dla typowych usług.
3. Dla każdej wykrytej usługi wtyczka zapewnia prawnie zbadane opisy, szczegóły przetwarzania danych i informacje o cookie. Przejrzyj je i w razie potrzeby dostosuj.
4. Skonfiguruj układ banera zgody. Real Cookie Banner oferuje rozbudowane opcje dostosowania kolorów, stylów przycisków i tekstu.
5. Wtyczka generuje blokowanie treści dla osadzonej zawartości (filmy YouTube, Google Maps, osadzenia mediów społecznościowych). Odwiedzający zobaczą placeholder z monitem o zgodę zamiast osadzonej zawartości.

Konfiguracja CookieYes

1. Zainstaluj CookieYes | GDPR Cookie Consent z katalogu wtyczek WordPress lub zarejestruj się na cookieyes.com.
2. Uruchom automatyczne skanowanie cookie. CookieYes identyfikuje cookie w Twojej witrynie i kategoryzuje je.
3. Dostosuj wygląd banera, kolory przycisków i tekst w panelu CookieYes.
4. Skonfiguruj blokowanie skryptów dla każdej kategorii cookie. CookieYes obsługuje zarówno automatyczne, jak i ręczne blokowanie skryptów.
5. CookieYes oferuje również generator polityki cookie, który możesz osadzić na swojej stronie polityki prywatności.

Integracja Google Consent Mode v2

Jeśli używasz usług Google (Analytics, Ads, Tag Manager), musisz wdrożyć Google Consent Mode v2. Od marca 2024 Google wymaga Consent Mode dla witryn wyświetlających reklamy użytkownikom EOG. Bez tego Google Ads nie zbiera danych od użytkowników w Europejskim Obszarze Gospodarczym.

Consent Mode v2 wprowadza dwa nowe parametry obok oryginalnych:

• ad_user_data: Kontroluje, czy dane użytkownika mogą być wysyłane do Google w celach reklamowych.
• ad_personalization: Kontroluje, czy spersonalizowane reklamy (remarketing) są dozwolone.
• analytics_storage: Kontroluje, czy cookie analityczne mogą być umieszczane.
• ad_storage: Kontroluje, czy cookie reklamowe mogą być umieszczane.

Wszystkie trzy zalecane wtyczki (Complianz, Real Cookie Banner, CookieYes) domyślnie obsługują Google Consent Mode v2. Upewnij się, że jest włączony w ustawieniach wtyczki. Gdy użytkownik nie wyraził zgody, Consent Mode wysyła do Google "cookieless pings", które dostarczają zagregowane, modelowane dane bez identyfikowania poszczególnych użytkowników.

TCF 2.2 i framework IAB

Transparency and Consent Framework (TCF) wersja 2.2, zarządzany przez Interactive Advertising Bureau (IAB), to standaryzowany protokół komunikowania zgody użytkownika dostawcom reklam. Jeśli prowadzisz reklamy programatyczne w swojej witrynie (Google AdSense, header bidding, sieci reklamowe), Twoje rozwiązanie zgody musi obsługiwać TCF 2.2. Dzięki temu sieci reklamowe otrzymują sygnały zgody w standaryzowanym formacie, który mogą przetwarzać.

Nie wszystkie darmowe wtyczki zgody obsługują TCF 2.2. Complianz oferuje wsparcie TCF w wersji premium. CookieYes oferuje również TCF 2.2 w swoich płatnych planach. Jeśli polegasz na przychodach z reklam, jest to warta inwestycja.

Obsługa Google Analytics i Tag Manager ze zgodą

Najczęstsza konfiguracja polega na załadowaniu Google Tag Manager (GTM) z Consent Mode v2 jako stanem domyślnym, a następnie aktualizowaniu zgody, gdy użytkownik wchodzi w interakcję z Twoim banerem. Oto wzorzec:

<!-- Załaduj GTM z domyślnym stanem zgody (odrzucone) -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});
</script>

Twoja wtyczka zgody wywoła następnie gtag('consent', 'update', {...}), gdy użytkownik wyrazi zgodę. Jeśli używasz jednej z zalecanych wtyczek WordPress, dzieje się to automatycznie. Nie musisz pisać tego kodu ręcznie.

Ręczny audyt cookie w Twojej witrynie

Przed skonfigurowaniem rozwiązania zgody warto wiedzieć dokładnie, jakie cookie umieszcza Twoja witryna. Oto jak je audytować:

1. Otwórz witrynę w oknie incognito przeglądarki.
2. Otwórz DevTools (F12) i przejdź do zakładki Application (Chrome) lub Storage (Firefox).
3. Pod Cookies kliknij swoją domenę. Zanotuj nazwę każdego cookie, domenę, datę wygaśnięcia oraz czy jest HttpOnly lub Secure.
4. Przeglądaj różne strony, w tym strony z osadzoną zawartością (filmy YouTube, Google Maps, kanały mediów społecznościowych). Każda interakcja może umieścić dodatkowe cookie.
5. Sprawdź także localStorage i sessionStorage, ponieważ one również podlegają dyrektywie ePrivacy.
6. Użyj zakładki Network przeglądarki, aby zidentyfikować, które żądania umieszczają cookie (poszukaj nagłówka odpowiedzi Set-Cookie).

InspectWP może pomóc w tym audycie. Uruchom skan i przejrzyj sekcję cookie, która wymienia wszystkie cookie wykryte podczas skanowania.

Częste błędy zgody na cookie prowadzące do kar

Europejskie organy ochrony danych nałożyły znaczne kary za naruszenia cookie. Oto najczęstsze błędy, których należy unikać:

• Wstępnie zaznaczone pola zgody: Trybunał Sprawiedliwości Unii Europejskiej orzekł w sprawie Planet49 (2019), że wstępnie zaznaczone pola nie stanowią ważnej zgody. Każda nieistotna kategoria musi być opt-in.
• Ściany cookie: Blokowanie dostępu do witryny, dopóki użytkownicy nie zaakceptują wszystkich cookie, jest uważane za przymus i unieważnia zgodę. Użytkownicy muszą mieć dostęp do treści, nawet jeśli odrzucą wszystkie nieistotne cookie.
• Mylące przyciski odrzucenia: Ukrywanie małego, szarego przycisku "Reject" za linkiem "Manage Preferences", podczas gdy przycisk "Accept All" jest duży i kolorowy, to dark pattern. Francuski CNIL ukarał Google grzywną 150 milionów euro częściowo za to. Oba przyciski muszą być równie widoczne.
• Brak możliwości wycofania zgody: Użytkownicy muszą mieć możliwość zmiany swoich preferencji cookie w dowolnym momencie. Dodaj stały link lub ikonę (często mała ikona tarczy lub cookie w rogu), która ponownie otwiera okno dialogowe zgody.
• Umieszczanie cookie przed zgodą: Jeśli Twój skrypt analityczny uruchamia się przed wyświetleniem banera zgody, naruszasz prawo niezależnie od tego, jak ładnie wygląda Twój baner. Użyj DevTools przeglądarki, aby zweryfikować czas.
• Ignorowanie zgody na osadzoną zawartość: Osadzenia YouTube, ramki Google Maps i widżety mediów społecznościowych - wszystkie umieszczają cookie. Musisz je blokować, dopóki nie zostanie wyrażona zgoda, zwykle zastępując osadzenie placeholderem.

Testowanie wdrożenia zgody na cookie

Przetestuj swoje rozwiązanie zgody dokładnie po skonfigurowaniu:

1. Otwórz witrynę w trybie incognito. Baner zgody powinien pojawić się natychmiast.
2. Sprawdź DevTools pod kątem cookie przed interakcją z banerem. Powinieneś widzieć tylko cookie ściśle niezbędne.
3. Kliknij "Reject All". Żadne cookie analityczne ani marketingowe nie powinny być umieszczane. Przejdź przez kilka stron, aby to potwierdzić.
4. Wyczyść cookie i przeładuj. Kliknij "Accept All". Sprawdź, czy skrypty analityczne i marketingowe ładują się teraz poprawnie.
5. Wyczyść cookie ponownie. Kliknij "Manage Preferences" i zaakceptuj tylko analitykę. Sprawdź, czy cookie marketingowe nie są umieszczane, ale cookie analityczne tak.
6. Po akceptacji poszukaj opcji wycofania zgody. Kliknij ją i sprawdź, czy nieistotne cookie zostaną usunięte.

Zweryfikuj swoją instalację cookie za pomocą InspectWP

Uruchom skan InspectWP, aby zobaczyć pełną listę cookie umieszczanych przez Twoją witrynę podczas ładowania strony. Sekcja GDPR oznacza cookie stron trzecich i zewnętrzne zasoby, które mogą wymagać zgody. Jeśli widzisz cookie Google Analytics, cookie Facebook lub inne cookie śledzące w raporcie InspectWP, sprawdź, czy Twoje rozwiązanie zgody poprawnie je blokuje przed wyrażeniem zgody. Pamiętaj, że InspectWP skanuje Twoją witrynę bez udzielania zgody na cookie, więc każde cookie śledzące pojawiające się w raporcie wskazuje na potencjalny problem zgodności.