diff --git a/.env.example b/.env.example
index 5b1882f..217aac8 100644
--- a/.env.example
+++ b/.env.example
@@ -43,6 +43,14 @@ AUTH_COOKIE_MAX_AGE=86400
 # Powinna być trudna do przewidzenia
 AUTHORIZED_COOKIE_VALUE=twoj_wlasny_hash
 
+# SESSION_COOKIE_SECURE:
+# Określa, czy ciasteczko sesyjne (Flask session) ma mieć ustawiony atrybut "Secure".
+# Wymusza, by przeglądarka przesyłała je tylko przez HTTPS.
+# W środowisku deweloperskim (HTTP) ustaw na 0, by uniknąć błędu "secure cookie over insecure connection".
+# Zalecane: 1 w produkcji (HTTPS), 0 w dev.
+SESSION_COOKIE_SECURE=0
+
+
 # HEALTHCHECK_TOKEN:
 # Token wykorzystywany do sprawdzania stanu aplikacji (np. w Docker Compose)
 # Domyślnie: alamapsaikota123
diff --git a/config.py b/config.py
index 3cd4532..f5349f5 100644
--- a/config.py
+++ b/config.py
@@ -30,6 +30,7 @@ class Config:
         SESSION_TIMEOUT_MINUTES = int(os.environ.get("SESSION_TIMEOUT_MINUTES", "10080") or "10080")
     except ValueError:
         SESSION_TIMEOUT_MINUTES = 10080
+    SESSION_COOKIE_SECURE = os.environ.get("SESSION_COOKIE_SECURE", "0") == "1"
 
     ENABLE_HSTS = os.environ.get("ENABLE_HSTS", "0") == "1"
     ENABLE_XFO = os.environ.get("ENABLE_XFO", "0") == "1"