Zainstalowałeś baner cookies na swojej stronie i myślisz, że jesteś w porządku. Niestety, baner wyświetlający przycisk “Akceptuję” to za mało. Musi on faktycznie blokować skrypty zewnętrzne, dopóki użytkownik nie wyrazi zgody. I właśnie tutaj większość darmowych rozwiązań — a nawet niektóre płatne — zawodzi.
W 2026 roku przeciętna strona ładuje 20 do 40 skryptów zewnętrznych: analytics, reklama, czat, osadzenia wideo, mapy cieplne, narzędzia marketingowe. Jeśli Twój baner przepuszcza choćby kilka z nich przed uzyskaniem zgody, łamiesz art. 173 polskiego Prawa telekomunikacyjnego i potencjalnie RODO. UODO (Urząd Ochrony Danych Osobowych) oraz pozostałe europejskie organy nadzorcze ukarały setki firm z tego powodu w latach 2020–2025.
Niniejszy artykuł wymienia 37 najczęściej pomijanych trackerów przez darmowe banery, wyjaśnia, jak zweryfikować bieżącą konfigurację, i porównuje podejścia techniczne głównych rozwiązań na rynku.
Przetestuj swoją stronę bezpłatnie w 10 sekund →
Dlaczego 37 usług? Lista kontrolna 2026
Przeprowadziliśmy audyt stu najczęściej odwiedzanych witryn w Polsce i sporządziliśmy listę usług zewnętrznych, które systematycznie stwarzają problemy dla zgodności z RODO. Wynik: 37 usług, które każdy poważny baner cookies powinien domyślnie wykrywać i blokować.
Analytics i mapy cieplne (14 usług)
| Usługa | Wydawca | Cookie bez zgody? |
|---|---|---|
| Google Analytics 4 | ❌ Niezgodne z prawem | |
| Google Tag Manager | ❌ Niezgodne z prawem (jeśli uruchamia tagi bez zgody) | |
| Hotjar | Contentsquare | ❌ Niezgodne z prawem |
| Microsoft Clarity | Microsoft | ❌ Niezgodne z prawem |
| Matomo (hostowany) | Matomo | ⚠️ Zwolnione, jeśli skonfigurowane w trybie cookieless |
| Plausible | Plausible | ✅ Zwolnione (cookieless) |
| Mixpanel | Mixpanel | ❌ Niezgodne z prawem |
| Segment | Twilio | ❌ Niezgodne z prawem (zależnie od miejsc docelowych) |
| Amplitude | Amplitude | ❌ Niezgodne z prawem |
| Heap | Heap | ❌ Niezgodne z prawem |
| FullStory | FullStory | ❌ Niezgodne z prawem |
| LogRocket | LogRocket | ❌ Niezgodne z prawem |
| Pendo | Pendo | ❌ Niezgodne z prawem |
| Smartlook | Smartlook | ❌ Niezgodne z prawem |
Do zapamiętania: tylko Plausible i Matomo w trybie cookieless mogą być ładowane bez zgody. Wszystkie inne wymagają aktywnego opt-in.
Reklama i marketing społecznościowy (12 usług)
| Usługa | Wydawca | Cookie bez zgody? |
|---|---|---|
| Meta Pixel (Facebook) | Meta | ❌ Niezgodne z prawem |
| TikTok Pixel | TikTok | ❌ Niezgodne z prawem |
| Google Ads | ❌ Niezgodne z prawem | |
| LinkedIn Insight Tag | Microsoft | ❌ Niezgodne z prawem |
| Pinterest Tag | ❌ Niezgodne z prawem | |
| Twitter/X Pixel | X | ❌ Niezgodne z prawem |
| Snapchat Pixel | Snap | ❌ Niezgodne z prawem |
| Reddit Pixel | ❌ Niezgodne z prawem | |
| Quora Pixel | Quora | ❌ Niezgodne z prawem |
| Outbrain | Outbrain | ❌ Niezgodne z prawem |
| Taboola | Taboola | ❌ Niezgodne z prawem |
| Marketo | Adobe | ❌ Niezgodne z prawem |
Meta Pixel ładowany bez zgody to jedno z najczęściej sankcjonowanych naruszeń przez europejskie organy ochrony danych. W latach 2023–2025 UODO oraz organy sąsiadujące opublikowały liczne decyzje z tego tytułu.
Osadzenia wideo i mapy (3 usługi)
| Usługa | Wydawca | Cookie bez zgody? |
|---|---|---|
| YouTube | ❌ Niezgodne z prawem (poza trybem youtube-nocookie.com) | |
| Vimeo | Vimeo | ❌ Niezgodne z prawem |
| Google Maps | ❌ Niezgodne z prawem |
Wiele witryn osadza film YouTube na stronie głównej, nie zdając sobie sprawy, że iframe YouTube ładuje około trzydziestu plików cookie jeszcze zanim użytkownik kliknie Play. Zgodny baner musi zastąpić iframe ekranem oczekiwania (consent wall) aż do momentu wyrażenia zgody.
Czat i obsługa klienta (7 usług)
| Usługa | Wydawca | Cookie bez zgody? |
|---|---|---|
| Intercom | Intercom | ❌ Niezgodne z prawem |
| Crisp | Crisp | ❌ Niezgodne z prawem |
| Tawk.to | Tawk | ❌ Niezgodne z prawem |
| Zendesk Messaging | Zendesk | ❌ Niezgodne z prawem |
| Drift | Drift | ❌ Niezgodne z prawem |
| Olark | Olark | ❌ Niezgodne z prawem |
| HubSpot | HubSpot | ❌ Niezgodne z prawem |
Czaty wsparcia stanowią szczególny problem: webmasterzy postrzegają je jako “funkcjonalne”, podczas gdy w rzeczywistości zbierają dane identyfikacyjne, lokalizacyjne i nawigacyjne — a zatem podlegają zgodzie.
Ścisłe zwolnienie (1 usługa)
Tylko jedna usługa wymyka się wymogowi zgody: Stripe w zakresie plików cookie ściśle niezbędnych do bezpieczeństwa płatności (zapobieganie oszustwom). Nawet tam zwolnione są wyłącznie sesyjne cookies bezpieczeństwa, a nie powiązane cookies marketingowe.
Porównanie banerów cookies (kwiecień 2026)
Zanim zainstalujesz baner, obiektywnie sprawdź, co obejmuje. Oto porównanie najpopularniejszych rozwiązań, według technicznych i weryfikowalnych kryteriów.
| Kryterium | WebLegal CCB | Typowy darmowy baner | Rozwiązanie komercyjne (Termly / Iubenda / Cookiebot free tier) |
|---|---|---|---|
| Cena | Darmowy, bez limitu witryn ani stron | Darmowy, ale często ograniczony (1 domena, < 100 stron, watermark) | Płatny od 1. poważnej witryny lub ograniczony do 1 domeny |
| Trackery wykrywane domyślnie | 37 usług + rozszerzalne regex | Zwykle 5 do 15 | 20 do 30 |
| Utrzymywane języki | 14 języków UE + 16 fallbacków | 1 do 3 (angielski + 2 inne) | 10 do 50 w zależności od planu |
| Google Consent Mode v2 | 7 sygnałów na 7 (w tym security_storage) | Często niekompletny (3 do 5 sygnałów) | 7 na 7 w wersji płatnej |
| Ekran zastępczy (consent wall) dla osadzeń | 9 osadzeń zlokalizowanych (YouTube, Vimeo, Maps, TikTok, Twitter, Instagram, Facebook, Spotify, SoundCloud) | Rzadkie, często nieobecne | Częściowe, zależne od planu |
| Waga skryptu | 40 KB bez minifikacji (~12 KB gzip) | 30 do 60 KB | 80 do 300 KB (OneTrust: 300+ KB) |
| Otwarty / audytowalny kod | ✅ Czytelny kod, celowo bez minifikacji | Zmienny | Rzadko (zaciemniony, zminifikowany) |
| Automatyczne wykrywanie istniejącego CMP | ✅ 36 CMP rozpoznanych (dla skanera antykonfliktowego) | Nie | Częściowe |
| Hosting zewnętrzny (RODO) | Skrypt serwowany z weblegal.ai (EOG) | Zmienny (często CDN US) | Często CDN US (transfer poza UE do zadeklarowania) |
Cechy wyróżniające WebLegal CCB:
- Najlżejszy na rynku spośród pełnych rozwiązań. Skrypt 40 KB (12 KB gzip) kontra 80 do 300 KB w alternatywach. Mniejsze opóźnienia, lepszy wynik Core Web Vitals, pozytywny wpływ na SEO.
- Celowo bez minifikacji. Kod jest czytelny dla programisty, IOD lub eksperta UODO. To argument transparentności i zgodności: możesz dokładnie uzasadnić, co baner robi na Twojej stronie.
- Rzeczywista lokalizacja ekranów zastępczych. Gdy niemiecki użytkownik natrafia na zablokowany film YouTube, ekran oczekiwania jest po niemiecku, nie domyślnie po angielsku. Ta sama logika dotyczy Vimeo, Spotify, Instagrama, TikToka itd.
- Pełny Consent Mode v2 od kwietnia 2026. 7 sygnałów Google jest wysyłanych już przy pierwszym załadowaniu, a następnie aktualizowanych po wyrażeniu zgody. Zero utraty konwersji Google Ads związanej z brakującym sygnałem.
Jak przetestować swój obecny baner
Zanim zmienisz rozwiązanie, sprawdź, co Twój baner faktycznie dziś robi. Dwie praktyczne metody:
Metoda 1 — Automatyczny skaner (30 sekund)
Wprowadź swój URL w naszym skanerze zgodności. Analizuje on Twoją stronę w przeglądarce headless, wykrywa pliki cookie ustawione przed kliknięciem “Akceptuję” i wymienia usługi załadowane bez zgody. Wynik w 10 sekund, bez rejestracji.
Metoda 2 — DevTools Chrome (5 minut)
- Otwórz swoją stronę w trybie przeglądania prywatnego
- F12 → zakładka Application → Cookies (przed jakąkolwiek interakcją)
- Spójrz na już ustawione cookies: jeśli widzisz coś poza własnymi plikami cookie sesji +
wl_cc_consent(lub odpowiednikiem), masz problem - Zakładka Network, filtr
XHR/Fetch→ spójrz na żądania dogoogle-analytics.com,facebook.net,tiktok.com,hotjar.com: każde żądanie przed kliknięciem to naruszenie
Metoda 3 — Dedykowane rozszerzenie
Rozszerzenie Chrome CMP Verifier (darmowe) symuluje odwiedzającego, który odmówił, a następnie zaakceptował, i informuje, czy zasady zgody zostały zachowane. Bardzo przydatne do dokumentowania zgodności dla Twojego IOD.
Cztery najczęstsze błędy
Błąd 1 — Baner się wyświetla, ale niczego nie blokuje
To najpowszechniejszy błąd w darmowych wtyczkach WordPress typu “postaw baner w 1 kliknięciu”. Wtyczka wyświetla baner, rejestruje zgodę… ale nie rusza skryptów. Google Analytics nadal się ładuje. Rezultat: włożyłeś wysiłek w baner bez jakiejkolwiek korzyści prawnej.
Jak sprawdzić: zastosuj Metodę 2 powyżej. Jeśli widzisz cookies _ga lub _fbp przed kliknięciem, jest to potwierdzone.
Błąd 2 — Osadzenia YouTube/Vimeo i tak się ładują
Nawet jeśli Twój baner blokuje Google Analytics, często przepuszcza iframe’y <iframe src="https://www.youtube.com/embed/..."> osadzone bezpośrednio na Twoich stronach. Każda taka ramka ładuje 20 do 30 plików cookie Google.
Rozwiązanie: baner musi dynamicznie zastąpić iframe ekranem oczekiwania z komunikatem “To wideo używa plików cookie. Zaakceptuj, aby je obejrzeć.” To consent wall — standard w WebLegal CCB, opcjonalny lub nieobecny u wielu innych.
Błąd 3 — Tryb “odrzuć wszystko” nie jest równoważny z “akceptuj wszystko”
Europejskie organy nadzorcze wymagają od 2021 roku, aby odmowa była tak samo prosta jak akceptacja. Jeśli Twój baner oferuje duży zielony przycisk “Akceptuj wszystko”, a “Odrzuć” ukrywa za linkiem tekstowym na trzy kliknięcia, jesteś poza prawem. Udokumentowane kary w UE w latach 2022–2025 z tego tytułu: ponad 50 publicznych decyzji.
Błąd 4 — Baner blokuje Googlebota
Niektóre banery wyświetlają się także robotom indeksującym, co może zostać zinterpretowane przez Google jako nadużywający interstitial i zaszkodzić Twojemu SEO. Nowoczesny baner musi wykrywać znane User-Agents (Googlebot, Bingbot, DuckDuckBot) i nie zakłócać ich crawlu.
Status w WebLegal CCB: funkcja w planach — zobacz naszą publiczną mapę drogową (issue #174).
Zainstaluj WebLegal CCB w 2 minuty
Jeśli po lekturze decydujesz się na migrację, oto procedura:
- Przejdź na weblegal.ai/pl/cookie-banner/
- Podaj nazwę swojej witryny i kategorie plików cookie, których używasz
- Skopiuj snippet (jedna linia
<script src="...">) - Wklej go przed wszelkimi innymi skryptami zewnętrznymi w tagu
<head>Twojej witryny - Przetestuj przez Metodę 1 powyżej
Zero rejestracji, zero karty bankowej, zero limitu stron czy domen. Snippet to pojedynczy skrypt 40 KB hostowany na weblegal.ai — Twoja strona nie ładuje niczego innego, dopóki odwiedzający nie wejdzie w interakcję z banerem.
FAQ
Czy mój darmowy baner WordPress wystarczy?
Prawdopodobnie nie. Większość darmowych wtyczek wyświetla baner, ale nie blokuje skryptów. Przetestuj Metodą 2 (DevTools), aby mieć pewność. Jeśli widzisz _ga, _fbp, _gcl_au lub cookies .hotjar.com przed kliknięciem, naruszasz przepisy.
Czy można poprzestać na “ściśle niezbędnych plikach cookie”?
Tak, pod warunkiem że rzeczywiście nie używasz żadnego trackera analitycznego, reklamowego ani zewnętrznego czatu. Konkretnie: brak Google Analytics, brak Facebook Pixel, brak osadzonego YouTube, brak Google Maps, brak Intercomu. Strona blogowa bez żadnego narzędzia marketingowego może się bez nich obejść. Sklep e-commerce: nigdy.
Czy płatne banery są lepsze?
Niekoniecznie. Płatny baner zwykle oferuje więcej języków i bardziej dopracowane interfejsy administracyjne, ale niekoniecznie lepszą jakość blokowania. Waga skryptu (czasem 200-300 KB w OneTrust) może również zaszkodzić Twojemu SEO poprzez Core Web Vitals.
Jak udowodnić zgodność mojego banera przed UODO?
Zachowaj trzy elementy:
- kod używanego skryptu (lub publiczny URL, np.
https://weblegal.ai/js/wl-cookie-consent.js) - okresowe skanowanie Twojej własnej witryny (zrzut ekranu + raport)
- rejestr zgód — dowód, że przechowujesz wybór użytkownika
W WebLegal zgoda przechowywana jest w cookie wl_cc_consent z datą i kategoriami, którego format jest publicznie udokumentowany.
Czy wyświetlać baner odwiedzającym spoza UE?
Tak domyślnie. Technicznie możliwe jest ograniczenie banera do odwiedzających z UE, ale nie jest to zalecane:
- jeśli odwiedzający spoza UE loguje się kontem z UE, musisz uszanować jego prawa
- podobne regulacje obowiązują obecnie w Wielkiej Brytanii (UK GDPR), Kalifornii (CCPA), Brazylii (LGPD) i rozszerzają się na kolejne jurysdykcje
- spójność UX jest lepsza przy banerze uniwersalnym
Podsumowanie
Zgodność banera cookies opiera się na trzech technicznych kryteriach:
- Musi skutecznie wykrywać i blokować 20 do 40 popularnych skryptów zewnętrznych — nie tylko wyświetlać baner.
- Musi implementować pełny Consent Mode v2 (7 sygnałów Google), aby zachować Twoje dane marketingowe.
- Musi zastępować osadzenia (YouTube, Vimeo, Maps itd.) zlokalizowanymi ekranami oczekiwania.
Test 10 sekund z naszym skanerem mówi Ci, gdzie się znajdujesz. Migracja do WebLegal CCB trwa 2 minuty, kosztuje zero euro i obejmuje 37 wymienionych tu usług.