Koniec okienek z ciasteczkami? UE chce uprościć zgody na cookie

Pliki cookie, czyli tzw. ciasteczka, to niewielkie pliki tekstowe zapisywane przez strony internetowe na urządzeniu (w pamięci komputera lub telefonu) użytkownika. Zawierają one informacje o wizycie, zapamiętują preferencje, ułatwiają nawigację, a także mogą służyć do personalizacji zawartości i reklam. Część użytkowników je blokuje z uwagi na gromadzenie przez nie zbędnych informacji i wykorzystywanie w marketingu, a także możliwość nadużyć, wliczając w to szpiegowanie.

Unia Europejska, która dba o prawa konsumentów i internautów, zwłaszcza na polu ochrony prywatności, poprzez dyrektywę 2002/58/WE wymaga od twórców stron internetowych, aby uzyskiwali zgodę użytkowników, by móc korzystać i zapisywać pliki cookie na ich urządzeniach. Dlatego też na niemal każdej nowo odwiedzanej witrynie atakuje nas wyskakujące okienko z prośbą o zgodę. W Polsce ten obowiązek został wprowadzony w 2013 roku. Z mechanizmu korzystają również twórcy zagraniczni, którzy zdecydowali się nie tworzyć osobnej wersji europejskiej, dlatego okno dialogowe przysłaniające treść wyświetla się także użytkownikom z USA i pozostałych regionów.

Mechanizm, który powstał jako pokłosie unijnej dyrektywy, jest pod wieloma względami problematyczny. Krytykowane są jego wady, takie jak wymóg wyrażania zgody na każdej witrynie z osobna, marnowanie czasu użytkowników i wymuszanie pożądanych przez wydawcę opcji poprzez taką konstrukcję okienka, by te wybory były domyślnie zaznaczone, łatwiej dostępne lub atrakcyjne (tzw. dark patterns). Unia Europejska chce teraz coś z tym zrobić.

Wprowadzone w 2009 roku przepisy unijne dały obywatelom większą kontrolę nad prywatnością i zachowaniem stron internetowych, jednak sami użytkownicy szybko się tym zmęczyli - nie samą kontrolą, lecz sposobem jej sprawowania. Wielu z nich rzadko nawet czyta treść tych okienek i po prostu klika najbardziej rzucający się w oczy przycisk. A to może być błąd.

Najlepiej wyeksponowana opcja to zazwyczaj ta, na której wybór liczy wydawca, co z reguły oznacza zgodę na wszystko. Jednocześnie opcje bardziej korzystne dla użytkownika i jego prywatności są często wyszarzone, ukryte i domyślnie niezaznaczone. Ten mechanizm nosi nazwę "dark patterns" i jeszcze nie został skutecznie uregulowany na poziomie prawnym. Unia Europejska zamierza jednak to zrobić w 2026 r., uchwalając Digital Fairness Act.

W grudniu 2025 r. unijni oficjele chcą się także zająć problemem, którego nie udało się rozwiązać poprzez porozumienie zawarte wcześniej z Amazonem, Apple, Metą i ByteDance. Chodzi o niezgodne z rzeczywistością komunikowanie bezpieczeństwa i zbyt częste wyświetlanie okienek z prośbą o zgodę przez ich witryny. Urzędnicy mają spotkać się z przedstawicielami branży technologicznej, aby wypracować rozwiązanie.

Jedną z proponowanych zmian jest porzucenie wyskakujących okienek (pop-upów) z prośbą o zgodę na podstawowe i konieczne funkcje techniczne, a zostawienie ich jedynie dla funkcji potencjalnie niechcianych i szkodliwych, takich jak dzielenie się danymi z podmiotami zewnętrznymi.

Inna ważna zmiana miałaby polegać na możliwości przekazania tych zgód do przeglądarki internetowej, aby można nimi było zarządzać w sposób globalny. Użytkownik mógłby w ustawieniach przeglądarki raz wyrazić zgodę na wybrane opcje, a pozostałe odrzucić, dzięki czemu okienka nie wyskakiwałyby już na stronach. Wymagać to będzie jednak opracowania nowego mechanizmu i jego implementacji przez wydawców witryn i przeglądarek internetowych.

Co ciekawe, istnieją już rozwiązania na poziomie przeglądarki, które pozwalają blokować niechciane pliki cookie. Wiele popularnych przeglądarek ma wbudowaną ochronę przed śledzeniem, której poziom intensywności reguluje użytkownik. Są też dostępne dodatki do przeglądarek, takie jak Privacy Badger, które blokują pliki cookie elementów śledzących.

Część przedstawicieli Unii Europejskiej jest zdania, że przepisy dotyczące "ciasteczek" powinny zostać ujęte w Ogólnym rozporządzeniu o ochronie danych (RODO, ang. GDPR) wprowadzonym w 2018 roku. Dzięki temu firmy, które stosują nieuczciwe praktyki, byłyby pociągane do odpowiedzialności tak samo, jak za naruszanie innych przepisów RODO.

Technicznie rzecz biorąc, pliki cookie podlegają rozporządzeniu RODO, jednak nie jest ono głównym mechanizmem do ich regulacji. Unii Europejskiej służy do tego tzw. ePrivacy Directive (ePD, 2002/58/EC), dyrektywa wprowadzona w 2003 roku, bezpośrednio regulująca kwestie poufności informacji, przetwarzania danych o ruchu, spamu i plików cookie.