Cookies и 152-ФЗ: нужен ли баннер на сайте, что писать в политике и какие штрафы грозят

Вопрос «являются ли cookies персональными данными» — один из самых частых в практике compliance. Ответ зависит от контекста использования.

Что говорит закон. Статья 3 Федерального закона № 152-ФЗ определяет персональные данные как «любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». Ключевое слово — определяемому. Cookie-файл сам по себе — это техническая строка (идентификатор сессии, настройки интерфейса). Но в сочетании с другими данными он может идентифицировать конкретного человека.

Позиция Роскомнадзора (разъяснения 2022 года). РКН однозначно указал: cookie-файлы относятся к персональным данным, если они используются совместно с иной информацией для идентификации пользователя. На практике это означает:

• Технические cookies (сессия, CSRF-токен, языковая настройка) — как правило, не являются ПДн, так как не позволяют определить личность
• Аналитические cookies (Яндекс.Метрика, Google Analytics) — содержат clientID, который вместе с IP-адресом, user-agent и поведенческими данными позволяет выделить конкретного пользователя. Это ПДн
• Рекламные cookies (ретаргетинг, пиксели соцсетей) — однозначно ПДн, так как их цель — идентификация пользователя на разных сайтах

Таким образом, если на вашем сайте установлена Яндекс.Метрика, Google Analytics, пиксели VK или Facebook — вы обрабатываете персональные данные через cookies. И на это распространяются все требования 152-ФЗ.

Судебная практика. Пока в РФ нет громких дел именно о cookies. Но есть прецеденты по смежным вопросам: суды неоднократно признавали IP-адрес персональными данными при наличии дополнительных идентификаторов (решения Таганского районного суда г. Москвы по делам о блокировке VPN-сервисов). Cookie-идентификатор юридически аналогичен IP-адресу — это косвенный идентификатор, который становится ПДн в контексте.

Международный контекст. В Европе вопрос решён однозначно: Европейский суд справедливости в деле Breyer v. Germany (2016) постановил, что даже динамический IP-адрес является персональными данными. Cookie-идентификаторы — тем более. Рабочая группа по ст. 29 (WP29) в заключении 4/2012 прямо указала, что device fingerprinting через cookies подпадает под регулирование.

Для понимания, почему IP-адрес тоже относится к ПДн, рекомендуем статью IP-адрес — персональные данные или нет.

В интернете масса статей о cookie-баннерах, но большинство описывают европейские требования. Российское регулирование принципиально отличается.

Евросоюз: ePrivacy Directive + GDPR

В ЕС cookie-баннер обязателен по закону. ePrivacy Directive (Директива 2002/58/EC) требует получить предварительное согласие (opt-in) на установку любых cookies, кроме строго необходимых. GDPR (ст. 4, ст. 6, ст. 7) добавляет требования к форме согласия: оно должно быть свободным, конкретным, информированным и однозначным. Пользователь должен иметь возможность отказаться от каждой категории cookies отдельно.

Россия: 152-ФЗ + разъяснения РКН

В российском законодательстве нет специального закона о cookies. Нет аналога ePrivacy. Нет прямого требования показывать cookie-баннер. Но это не означает, что можно ничего не делать.

152-ФЗ требует:

• Информировать субъекта об обработке его ПДн (ст. 18.1) — если cookies = ПДн, то пользователь должен знать о факте обработки
• Определить правовое основание обработки (ст. 6) — согласие, договор или законный интерес
• Опубликовать политику обработки ПДн (ст. 18.1) — включая информацию о cookies

На практике это означает: вам не нужен pop-up в стиле GDPR с кнопками «Принять / Отклонить / Настроить». Но вам нужен как минимум:

1. Информационный баннер или уведомление о использовании cookies
2. Ссылка на политику cookies или раздел в политике конфиденциальности
3. Возможность отказаться (хотя бы через настройки браузера)

Рекомендация. Если ваш сайт работает только на российскую аудиторию — достаточно информирующего баннера. Если есть пользователи из ЕС — потребуется полноценный opt-in баннер с управлением категориями.

Политика cookies — документ, который объясняет посетителям сайта, какие cookie-файлы используются, зачем и как ими управлять. Это может быть отдельная страница или раздел в политике конфиденциальности.

Обязательные разделы политики cookies

1. Что такое cookies. Краткое техническое объяснение: текстовые файлы, хранятся в браузере, передаются серверу при каждом запросе. Без жаргона, понятным языком.

2. Какие cookies используются. Таблица с перечнем cookies по категориям:

• Строго необходимые — сессия, авторизация, CSRF, корзина. Без них сайт не работает
• Аналитические — Яндекс.Метрика (_ym_uid, _ym_d), Google Analytics (_ga, _gid). Собирают статистику посещений
• Маркетинговые — пиксели ретаргетинга VK, MyTarget, Facebook. Используются для показа рекламы
• Функциональные — запоминание языка, темы, региона. Улучшают UX

3. Цели обработки. Для каждой категории — зачем собираются данные: статистика, улучшение сайта, таргетированная реклама.

4. Срок хранения. Для каждой cookie — срок жизни. Например: _ym_uid — 1 год, _ga — 2 года, сессионные — до закрытия браузера.

5. Третьи лица. Кто ещё получает данные cookies: Яндекс, Google, VK, рекламные сети. Ссылки на их политики конфиденциальности.

6. Управление cookies. Инструкция по отключению cookies в браузерах (Chrome, Firefox, Safari, Edge). Предупреждение, что отключение может ограничить функциональность сайта.

7. Правовое основание. Ссылка на ст. 6 152-ФЗ (согласие или законный интерес). Для ЕС — ссылка на ст. 6 GDPR.

Готовый шаблон политики cookies с автозаполнением данных вашей организации доступен в каталоге документов.

Cookie-баннер — это не просто визуальный элемент. Чтобы он выполнял свою функцию с точки зрения закона, нужна связка: интерфейс + логика блокировки + хранение согласия.

Минимальная реализация для российского сайта

Шаг 1. Баннер-уведомление. Фиксированная плашка внизу экрана с текстом: «Мы используем cookies для работы сайта и аналитики. Продолжая использование, вы соглашаетесь с политикой cookies». Кнопка «Понятно» / «Принимаю».

Шаг 2. Сохранение выбора. При нажатии кнопки — запись в localStorage или отдельную cookie (например, cookie_consent=accepted) со сроком 12 месяцев. При повторном визите баннер не показывается.

Шаг 3. Ссылка на политику. Баннер содержит ссылку на полную политику cookies. Без ссылки баннер бесполезен юридически.

Расширенная реализация (GDPR-совместимая)

Если на сайте есть пользователи из ЕС или вы хотите максимальную защиту:

• Категоризация cookies — пользователь выбирает, какие категории разрешить (необходимые, аналитика, маркетинг)
• Блокировка скриптов до согласия — Яндекс.Метрика, GA, пиксели ретаргетинга загружаются ТОЛЬКО после явного opt-in. Технически: скрипты добавляются через type="text/plain" и активируются JavaScript после получения согласия
• Кнопка «Отклонить все» — обязательна по GDPR, рекомендуется и для российских сайтов
• Повторный доступ к настройкам — ссылка в футере «Настройки cookies» для изменения выбора

Готовые решения

Для типовых CMS существуют плагины: Cookiebot, CookieYes, Osano. Для кастомных сайтов на Next.js, React, Vue — рекомендуется собственная реализация через conditional script loading.

Частая ошибка. Многие ставят cookie-баннер, но забывают про серверные cookies. Например, если CMS (Битрикс, WordPress) устанавливает сессионные cookies с данными авторизации — это тоже ПДн. Аудит должен включать не только клиентские скрипты, но и HTTP-заголовки Set-Cookie, которые отправляет сервер.

Тестирование. После внедрения баннера проверьте работу в режиме инкогнито: откройте DevTools → Network, убедитесь, что аналитические скрипты не загружаются до подтверждения (если реализован opt-in). Проверьте, что согласие сохраняется корректно и баннер не появляется повторно при обновлении страницы.

Проверить, насколько ваш сайт соответствует требованиям 152-ФЗ (включая cookies), можно с помощью нашего чек-листа проверки сайта.

Системы веб-аналитики — основной источник cookies на большинстве российских сайтов. Разберём, какие данные они собирают и какие обязательства это создаёт.

Яндекс.Метрика

Метрика устанавливает несколько cookies:

• _ym_uid — уникальный идентификатор пользователя, срок жизни 1 год
• _ym_d — дата первого визита
• _ym_isad — наличие блокировщика рекламы
• _ym_visorc — данные для Вебвизора (запись сессии)

Вебвизор заслуживает отдельного внимания: он записывает действия пользователя на странице, включая ввод данных в формы. Если формы содержат ФИО, телефон, email — Вебвизор может фиксировать ПДн. Яндекс маскирует поля ввода, но не гарантирует 100% маскировку на нестандартных формах.

Рекомендации:

• Включите опцию «Информер» в настройках счётчика — он показывает уведомление о сборе данных
• Добавьте Яндекс в список третьих лиц в политике конфиденциальности
• Для Вебвизора — добавьте CSS-класс ym-disable-keys на поля с ПДн

Google Analytics

GA устанавливает cookies:

• _ga — идентификатор пользователя, 2 года
• _gid — идентификатор сессии, 24 часа
• _gat — ограничение частоты запросов, 1 минута

Важный момент: Google Analytics передаёт данные на серверы за пределами РФ. Это создаёт сразу два обязательства: трансграничная передача ПДн (ст. 12 152-ФЗ) и потенциальное нарушение требований локализации персональных данных (ч. 5 ст. 18 152-ФЗ). Вам потребуется:

• Указать трансграничную передачу в уведомлении РКН (форма)
• Убедиться, что страна получателя обеспечивает адекватную защиту ПДн
• Включить IP-анонимизацию в настройках GA

Альтернатива. Если хотите избежать проблем с трансграничной передачей — используйте только Яндекс.Метрику. Данные хранятся на серверах в РФ.

Прямого штрафа «за отсутствие cookie-баннера» в российском законодательстве нет. Но нарушения в работе с cookies квалифицируются по статье 13.11 КоАП РФ — нарушение законодательства в области персональных данных.

Применимые составы ст. 13.11 КоАП

Часть 1. Обработка ПДн в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора — штраф для юрлиц от 60 000 до 100 000 руб., при повторном нарушении — до 300 000 руб.

Часть 2. Обработка ПДн без письменного согласия субъекта (когда оно требуется) — штраф для юрлиц от 30 000 до 150 000 руб., повторно — до 500 000 руб.

Часть 3. Неопубликование или необеспечение доступа к политике обработки ПДн — штраф для юрлиц от 30 000 до 60 000 руб.

Часть 4. Непредоставление субъекту информации об обработке его ПДн — штраф для юрлиц от 40 000 до 80 000 руб.

Как это применяется к cookies

Если на сайте установлена аналитика (Яндекс.Метрика, GA), но:

• Нет политики конфиденциальности с упоминанием cookies → ч. 3 ст. 13.11
• Нет информирования пользователя о сборе данных → ч. 4 ст. 13.11
• Cookies используются для профилирования без согласия → ч. 2 ст. 13.11

С учётом ужесточения 152-ФЗ в 2025-2026 годах (оборотные штрафы за утечки, расширение полномочий РКН), тренд однозначный — санкции будут расти. Подробнее о штрафах — в статье штрафы за нарушение закона о персональных данных.

Риски за пределами штрафов

• Предписание РКН — обязательство устранить нарушение в срок. Неисполнение = новый штраф
• Блокировка сайта — теоретически возможна при грубых нарушениях 152-ФЗ
• Иски субъектов ПДн — пользователь может потребовать компенсацию морального вреда
• Репутационные потери — публикация решений Роскомнадзора в открытых реестрах

Итоговый алгоритм приведения сайта в соответствие с 152-ФЗ в части cookies.

Шаг 1. Аудит cookies на сайте

Откройте DevTools (F12) → Application → Cookies. Зафиксируйте все cookies, их источники и сроки жизни. Классифицируйте по категориям: необходимые, аналитические, маркетинговые, функциональные.

Шаг 2. Составьте политику cookies

Используйте структуру из раздела выше или сгенерируйте документ в конструкторе документов. Разместите на отдельной странице сайта или как раздел политики конфиденциальности.

Шаг 3. Установите cookie-баннер

Минимально: информирующий баннер со ссылкой на политику и кнопкой «Принимаю». Рекомендуется: баннер с возможностью управления категориями cookies.

Шаг 4. Настройте блокировку (опционально)

Для GDPR-совместимости: загружайте аналитические и маркетинговые скрипты только после получения согласия. Для российских сайтов — достаточно информирования.

Шаг 5. Обновите политику конфиденциальности

Добавьте раздел о cookies, если его нет. Укажите cookies в перечне обрабатываемых ПДн. Укажите третьих лиц (Яндекс, Google).

Шаг 6. Проверьте уведомление РКН

Если вы используете Google Analytics — убедитесь, что в уведомлении РКН указана трансграничная передача данных.

Шаг 7. Документируйте

Зафиксируйте в политике cookies перечень всех cookie-файлов, обновляйте при добавлении новых сервисов. Сохраняйте скриншоты баннера — это доказательство соблюдения требований при проверке.

Для полной проверки сайта на соответствие 152-ФЗ используйте чек-лист проверки сайта или проведите комплексный аудит на соответствие 152-ФЗ.

Нужна политика cookies для сайта? Создайте документ в конструкторе — шаблон автоматически учтёт все используемые сервисы аналитики и рекламы.