Śledzenie przed zgodą: czym jest i dlaczego organy regulacyjne traktują je jako naruszenie

Śledzenie przed zgodą to klasa wykrycia w naszym skanerze. Aktywuje się, gdy w okresie między rozpoczęciem świeżego ładowania strony a momentem podjęcia przez użytkownika jakiejkolwiek akcji w banerze zgody przeglądarka wysyła co najmniej jedno żądanie sieciowe przenoszące identyfikatory, zawierające niepodstawowe ładunki analityczne lub ustawiające niepodstawowe pliki cookie.

To najczęściej wykrywany defekt. W naszym skanowaniu 97 000 europejskich witryn większość klasyfikacji wysokiego ryzyka była powodowana właśnie śledzeniem przed zgodą, a nie brakiem banerów czy niedziałającymi przyciskami odrzucenia.

Czego szuka skaner

Detektor obserwuje sieć od momentu, gdy przeglądarka wysyła żądanie dokumentu, do jednego z trzech zdarzeń:

1. Użytkownik klika przycisk w banerze zgody (akceptuj, odrzuć, ustawienia).
2. Zostaje zapisany mierzalny plik cookie stanu zgody lub wpis w localStorage.
3. Upływa limit czasu (domyślnie 8 sekund) bez żadnego sygnału zgody.

Każde żądanie wysłane w tym oknie jest badane pod kątem trzech sygnałów:

• Znany odcisk trackera. Domena docelowa, ścieżka żądania lub wzorzec ładunku odpowiada wpisowi w naszej bazie trackerów. Obejmuje to Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, piksele konwersji X i wiele innych.
• Ładunek przenoszący identyfikator. Żądanie zawiera stabilny identyfikator klienta (plik cookie, hash odcisku palca lub parametr zapytania, który przetrwa między stronami).
• Zapis niepodstawowego pliku cookie. Odpowiedź ustawia plik cookie, który zgodnie z klasyfikacją nie jest ściśle niezbędny do funkcjonowania witryny.

Wystarczy jeden z tych warunków, aby uruchomić wykrycie. Wszystkie trzy razem to typowy wzorzec dla kontenera Google Tag Manager, który uruchamia się przed bramką zgody.

Ramy prawne, w skrócie

Nie jesteśmy Twoim prawnikiem. Nagie fakty:

• GDPR Art. 6(1)(a) wymaga ważnej podstawy prawnej dla przetwarzania danych osobowych. Dla niepodstawowych trackerów jest to zgoda.
• GDPR Art. 7 określa standard ważnej zgody: dobrowolna, konkretna, świadoma, jednoznaczna i odwoływalna.
• ePrivacy Directive Art. 5(3) wyraźnie wymaga zgody przed przechowywaniem lub uzyskiwaniem dostępu do informacji w urządzeniu końcowym użytkownika — to znaczy przed odczytem lub zapisem plików cookie i podobnych identyfikatorów. Czy konkretne żądanie sieciowe sprzed zgody wkracza w naruszenie, zależy od tego, czy odczytuje lub zapisuje informacje na urządzeniu, czy przenosi identyfikatory i czy może być uzasadnione jako "ściśle niezbędne" — to są pytania, które rozważały organy regulacyjne.

Implementacje krajowe różnią się w szczegółach. Niemiecka TTDSG (obecnie TDDDG) i francuska transpozycja przez Loi Informatique et Libertés egzekwowana przez CNIL doprowadziły do najbardziej widocznych działań egzekucyjnych. DPAs w całej UE ostrzegały przed wzorcami śledzenia przed zgodą; konkretne progi egzekucyjne różnią się w zależności od jurysdykcji. Zasada leżąca u podstaw jest wszędzie ta sama: najpierw zgoda, potem tracker.

Co naprawdę zrobiły organy regulacyjne

Krótka, częściowa oś czasu decyzji, w których śledzenie przed zgodą było centralnym wykryciem:

• CNIL v. Google (grudzień 2020): 100 mln EUR za umieszczanie reklamowych plików cookie na google.fr bez uprzedniej zgody.
• CNIL v. Amazon Europe Core (grudzień 2020): 35 mln EUR za ten sam wzorzec na amazon.fr.

To nie są jedyne sprawy — to te kluczowe. Wzorzec we wszystkich jest spójny: organ regulacyjny zmierzył zachowanie sieciowe i potraktował rzeczywistość techniczną jako rozstrzygającą, niezależnie od tekstu polityki.

Skrypty, które najczęściej to powodują

W przybliżonej kolejności częstości występowania jako pierwotna przyczyna w skanie wysokiego ryzyka:

• Kontenery Google Tag Manager skonfigurowane bez bramki trybu zgody lub z trybem zgody źle skonfigurowanym tak, że stan domyślny to "granted".
• Meta Pixel ładowany bezpośrednio przez <script src> zamiast bramkowany za wywołaniem zwrotnym zgody.
• Hotjar rejestrujący sesje uruchomiony przed odrzuceniem banera.
• LinkedIn Insight dla retargetingu B2B, szczególnie w witrynach agencji i SaaS.
• TikTok Pixel w e-commerce konsumenckim.
• Implementacje analityki własnej, które odczytują właściwości navigator lub ustawiają pliki cookie do odcisków palców przed jakąkolwiek akcją użytkownika.

Wspólnym czynnikiem prawie nigdy nie jest sam skrypt — to wdrożenie. Każdy z tych dostawców publikuje udokumentowany sposób bramkowania uruchamiania na sygnale zgody; domyślne instrukcje instalacji jednak często go nie wspominają.

Jak wygląda czysty skan

Witryna, która przechodzi naszą kontrolę przed zgodą, robi jedną z następujących rzeczy:

1. Nie ładuje żadnego śledzenia od stron trzecich, dopóki nie zostanie udzielona zgoda. Funkcjonalne pliki cookie (sesja, preferencja językowa, CSRF) są w porządku.
2. Ładuje menedżera tagów w stanie "denied", ze wszystkimi niepodstawowymi tagami bramkowanymi za jawnymi sygnałami zgody, i aktualizuje stan przez Google Consent Mode v2 lub równoważny mechanizm po działaniu użytkownika.
3. Ładuje stuby trackerów, które nie przekazują identyfikatorów, dopóki flaga zgody nie zostanie ustawiona.

W naszym korpusie z I kw. 2026 obejmującym 97 000 witryn UE, 68% miało aktywną usługę śledzącą przed jakąkolwiek decyzją o zgodzie. Mniejszość witryn, która przechodzi kontrolę przed zgodą, ma zwykle wspólny profil: sieć w oknie przed zgodą jest zdominowana przez sam dokument, pliki CSS i fontów oraz favikonę — nic, co przenosiłoby identyfikator z urządzenia.

Jak to naprawić

Uczciwa wersja: nie ma drogi na skróty. Każdy tag musi być zaudytowany pod kątem tego, czy uruchamia się przed ustawieniem sygnału zgody. Kroki, które działają w praktyce:

1. Otwórz witrynę w czystym profilu przeglądarki z otwartymi narzędziami deweloperskimi.
2. Filtruj sieć do "third-party" i przeładuj.
3. Wszystko, co uruchamia się przed kliknięciem przycisku w banerze, to kandydat.
4. Dla każdego kandydata znajdź loader (zwykle tag skryptu, wyzwalacz menedżera tagów lub fragment inline) i zabramkuj go na sygnale zgody.
5. Przetestuj ponownie. Powtarzaj, aż okno przed zgodą będzie wolne od trackerów.

Jeśli używasz platformy zarządzania zgodą, tryb "blokuj do zgody" platformy jest niezbędny, ale niewystarczający — wiele CMP blokuje tylko zapis pliku cookie, a nie samo żądanie. Article 5(3) ePrivacy Directive wymaga zgody przed przechowywaniem lub uzyskiwaniem dostępu do informacji w urządzeniu użytkownika (pliki cookie, local storage, podobne identyfikatory). Czy konkretne żądanie sieciowe sprzed zgody uruchamia ten obowiązek, zależy od tego, co żądanie odczytuje z urządzenia lub do niego zapisuje — to kwestia zależna od faktów.

Aby zobaczyć przykład działania na własnej domenie, uruchom skan i przyjrzyj się panelowi "sieć przed zgodą" w raporcie. Każde naruszające żądanie jest wymienione ze swoim stosem inicjatora, dzięki czemu można je wyśledzić do pliku źródłowego w bazie kodu.