Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 1-2 h
Cookies i trackery przed zgodą
Napraw skrypty analityczne, marketingowe i zewnętrzne, które aktywują się zanim użytkownik podejmie decyzję o zgodzie.
Obejmuje: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 30-90 min
Brak bannera zgody
Przywróć lub wdroż banner zgody pierwszej warstwy zanim rozpocznie się jakikolwiek opcjonalny tracking lub zapis.
Obejmuje: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 15-60 min
Brak opcji odrzucenia lub ukryte odrzucenie
Spraw, aby odrzucenie było tak samo łatwe i widoczne jak akceptacja, korygując brakujące, ukryte lub osłabione akcje Reject.
Obejmuje: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 1-2 h
Cookie wall
Usuń wzorce blokujące dostęp do treści, dopóki użytkownik nie zaakceptuje opcjonalnego trackingu.
Obejmuje: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Waga: ŚredniaWłaściciel: MarketingCzas naprawy: 30-120 min
Niesklasyfikowane cookies
Sklasyfikuj nieznane cookies, udokumentuj ich cel i przestań wysyłać do produkcji nieopisane mechanizmy przechowywania.
Obejmuje: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 1-2 h
Niezgodność Google Consent Mode
Napraw przypadki, w których tagi Google zachowują się tak, jakby zgoda została udzielona, mimo że stan runtime wskazuje denied.
Obejmuje: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 1-3 h
Żądania third-party przed zgodą
Zatrzymaj opcjonalnych dostawców przed wykonywaniem połączeń sieciowych zanim użytkownik zdecyduje, czy ich dopuścić.
Obejmuje: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Waga: ŚredniaWłaściciel: DevelopmentCzas naprawy: 30-90 min
Google Fonts przed zgodą lub zewnętrzne ładowanie fontów
Hostuj fonty lokalnie i usuń zdalne wywołania fontów, które wysyłają żądania przed opt-in.
Obejmuje: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Waga: ŚredniaWłaściciel: DevelopmentCzas naprawy: 30-120 min
Niezabezpieczone cookies trackingowe (problemy Secure lub SameSite)
Wzmocnij atrybuty cookies, aby opcjonalne cookies nie były dostarczane ze słabymi ustawieniami bezpieczeństwa przeglądarki.
Obejmuje: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 1-3 h
Fingerprinting przed zgodą
Odłóż lub zastąp skrypty, które badają możliwości przeglądarki zanim użytkownik podejmie decyzję o zgodzie.
Obejmuje: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 1-2 h
Nie wykryto Google Consent Mode
Wdróż domyślne ustawienia i aktualizacje Consent Mode tak, aby tagi Google otrzymywały jawny stan zgody zamiast działać bez żadnego sygnału.
Obejmuje: consent_mode_not_detected, consent_mode_missing
- Potwierdź, że domyślne wartości Consent Mode są obecne przy pierwszym ładowaniu przed tagami opcjonalnymi.
- Potwierdź, że Reject utrzymuje stany storage Google w denied.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 30-90 min
Analytics przed zgodą
Zablokuj ładowanie narzędzi analitycznych i zapisywanie storage zanim użytkownik udzieli wyraźnej zgody.
Obejmuje: pre_consent_analytics_cookie, analytics_before_consent
- Potwierdź, że żaden request analityczny nie wychodzi przed zgodą.
- Potwierdź, że cookies analityczne nie są ustawiane, dopóki użytkownik nie zaakceptuje.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 30-90 min
Marketingowe cookies przed zgodą
Zablokuj cookies i skrypty reklamowe lub retargetingowe, dopóki użytkownik wyraźnie nie zaakceptuje marketingu.
Obejmuje: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Potwierdź, że przed zgodą nie istnieją żadne marketingowe cookies.
- Potwierdź, że żadne requesty do sieci reklamowych nie wychodzą, dopóki użytkownik nie zaakceptuje.
Waga: WysokaWłaściciel: MarketingCzas naprawy: 30-60 min
Meta Pixel przed zgodą
Zablokuj ładowanie Meta Pixel i wysyłanie eventów, dopóki odwiedzający nie udzieli wymaganej zgody marketingowej.
Obejmuje: meta_pixel_before_consent, pre_consent_meta_pixel
- Potwierdź, że żadne requesty Meta nie są wysyłane przed zgodą.
- Potwierdź, że cookies Meta pozostają nieobecne w stanie denied.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 30-60 min
GA4 przed zgodą
Opóźnij Google Analytics 4 do momentu uzyskania ważnej zgody analytics i sprawdź, że parametry Consent Mode pozostają spójne.
Obejmuje: ga4_before_consent, pre_consent_ga4
- Potwierdź, że żadne wywołanie GA4 nie wychodzi przed zgodą analytics.
- Potwierdź, że cookies `_ga` pozostają nieobecne przed opt-in.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 1-2 h
Tagi GTM odpalane przed zgodą
Popraw triggery GTM tak, aby opcjonalne tagi nie wykonywały niczego, dopóki nie istnieje wymagana zgoda.
Obejmuje: gtm_tags_before_consent, pre_consent_gtm_fire
- Potwierdź w Preview, że żaden opcjonalny tag GTM nie odpala przed zgodą.
- Potwierdź, że przy pierwszym ładowaniu aktywne pozostają tylko tagi niezbędne.
Waga: WysokaWłaściciel: Administrator CMPCzas naprawy: 15-45 min
Reject tylko w drugiej warstwie
Pokaż Reject już w pierwszej warstwie zamiast zmuszać użytkownika do otwierania preferencji lub wykonywania dodatkowych kliknięć, aby odrzucić opcjonalne przetwarzanie.
Obejmuje: reject_in_second_layer, reject_not_first_layer
- Potwierdź, że Reject jest obecny w pierwszej warstwie na desktopie i mobile.
- Potwierdź, że Reject z pierwszej warstwy blokuje opcjonalne tagi.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 30-90 min
Banner zgody nie pojawia się na mobile
Napraw problemy z viewportem, CSS i lazy-loadem, przez które banner znika albo w ogóle nie renderuje się na urządzeniach mobilnych.
Obejmuje: mobile_banner_missing, consent_banner_mobile
- Potwierdź, że banner pojawia się na prawdziwym urządzeniu mobilnym.
- Potwierdź, że użytkownik może używać Accept i Reject na mobile.
Waga: ŚredniaWłaściciel: DevelopmentCzas naprawy: 30-90 min
Stan zgody nie jest zapisywany
Napraw storage i zachowanie po reloadzie tak, aby wybór użytkownika był pamiętany i egzekwowany między stronami i sesjami.
Obejmuje: consent_not_persisted, consent_state_lost
- Potwierdź, że ten sam wybór utrzymuje się po reloadzie i nawigacji cross-page.
- Potwierdź, że Reject pozostaje denied przy kolejnej wizycie.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 1-2 h
Embeds third-party przed zgodą
Opóźnij YouTube, mapy, chat, rezerwacje i inne embeds third-party do momentu, gdy użytkownik wyrazi zgodę albo jawnie zdecyduje się je załadować.
Obejmuje: pre_consent_embed, third_party_embed_before_consent
- Potwierdź, że dostawcy embed nie dostają requestów przy pierwszym ładowaniu.
- Potwierdź, że embed ładuje się dopiero po opt-in albo click-to-load.
Waga: WysokaWłaściciel: MarketingCzas naprawy: 15-45 min
Hotjar przed zgodą
Zablokuj ładowanie skryptów session replay i heatmap Hotjar, dopóki użytkownik nie udzieli zgody analytics albo marketingowej.
Obejmuje: hotjar_before_consent, pre_consent_hotjar
- Potwierdź, że Hotjar nie ładuje się przed zgodą.
- Potwierdź, że cookies Hotjar są nieobecne w pre-consent.
Waga: ŚredniaWłaściciel: MarketingCzas naprawy: 30-120 min
Deklaracja cookies nieaktualna
Zsynchronizuj opublikowaną deklarację cookies z cookies i vendorami rzeczywiście obserwowanymi w runtime evidence.
Obejmuje: cookie_declaration_outdated, declaration_mismatch
- Potwierdź, że każdy zaobserwowany cookie występuje w deklaracji.
- Potwierdź, że usunięci vendorzy nie są już wymieniani, jeśli już nie działają.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 1-2 h
Cookies są nadal ustawiane po Reject
Napraw flow, w których opcjonalne cookies albo requesty nadal działają, mimo że użytkownik wyraźnie odrzucił tracking.
Obejmuje: cookies_after_reject, reject_not_enforced
- Reject i reload: potwierdź, że opcjonalne cookies pozostają nieobecne.
- Reject i reload: potwierdź, że opcjonalne requesty pozostają zablokowane.
Waga: ŚredniaWłaściciel: DevelopmentCzas naprawy: 30-90 min
Banner zgody blokowany przez CSP
Zaktualizuj Content Security Policy tak, aby skrypt CMP, style albo zasoby iframe mogły się ładować bez niepotrzebnego rozluźniania bezpieczeństwa.
Obejmuje: cmp_blocked_by_csp, consent_banner_csp_error
- Potwierdź, że błędy CSP dotyczące assetów CMP znikają.
- Potwierdź, że banner renderuje się normalnie i przyjmuje interakcję użytkownika.
Waga: WysokaWłaściciel: DevelopmentCzas naprawy: 1-3 h
Problemy zgody przy server-side GTM
Zgraj routing server-side GTM i propagację zgody tak, aby tagging po stronie serwera nie omijał stanu zgody użytkownika.
Obejmuje: ssgtm_consent_issue, server_side_gtm_before_consent
- Potwierdź, że żadne opcjonalne eventy nie są proxy'owane do GTM server-side przed zgodą.
- Potwierdź, że Accept aktywuje zamierzony flow eventów, a Reject utrzymuje go w denied.