Согласие на cookies по ФЗ-152: как сделать правильно и не отпугнуть посетителей

Cookies и персональные данные: когда одно становится другим

Cookie-файлы сами по себе — это небольшие текстовые файлы, которые веб-сервер сохраняет в браузере пользователя для поддержания сессии, хранения настроек или сбора статистики. С точки зрения ФЗ-152, cookie становятся персональными данными тогда, когда содержат или позволяют получить идентификатор, который связан с конкретным физическим лицом или позволяет его идентифицировать.

Аналитические cookie-файлы (например, от Яндекс.Метрики или Google Analytics) присваивают браузеру уникальный идентификатор и отслеживают его поведение на сайте и между сессиями. Рекламные cookie и пиксели социальных сетей передают данные о поведении пользователя третьим лицам для таргетирования рекламы. В обоих случаях формируется профиль, который при наличии дополнительных данных (IP-адрес, история браузера) позволяет идентифицировать конкретное физическое лицо. Следовательно, такие cookie подпадают под действие ФЗ-152 как персональные данные.

Технические cookie, которые нужны только для функционирования сайта (например, хранение товаров в корзине или языковых настроек), как правило, не создают идентифицирующего профиля и не требуют согласия. Но и здесь важна конкретная реализация: если техническая cookie содержит идентификатор авторизованного пользователя из базы данных, она тоже попадает под действие ФЗ-152.

Классификация cookies и требования к согласию

Технические и функциональные cookies

К этой категории относятся файлы, без которых сайт не может нормально работать: сессионные токены для поддержания авторизации, содержимое корзины интернет-магазина, языковые и региональные настройки пользователя, CSRF-токены для защиты форм от подделки запросов. Они не позволяют идентифицировать конкретного человека вне контекста сессии и не передаются третьим лицам в маркетинговых целях. Согласия на их использование не требуется — они являются технически необходимыми для работы сервиса. Такие cookie допускается устанавливать до получения согласия пользователя.

Аналитические cookies

Яндекс.Метрика (_ym_uid), Google Analytics (_ga, _gid), Hotjar, Mixpanel и аналогичные инструменты присваивают браузеру уникальный идентификатор и отслеживают пути пользователя по сайту, источники трафика, время на странице, выполненные действия. Эти данные передаются на серверы аналитических платформ, часть из которых расположена за рубежом — это трансграничная передача ПДн. Поскольку идентификатор браузера при наличии дополнительных данных позволяет установить личность пользователя, аналитические cookie являются персональными данными и требуют согласия.

Маркетинговые cookies и пиксели

Пиксели Facebook (Meta) (_fbp), пиксели ВКонтакте, Google Ads remarketing tags, пиксели MyTarget и других рекламных платформ — это инструменты отслеживания, которые передают данные о поведении пользователя на сайте в рекламные системы третьих лиц для ретаргетинга и таргетирования. Это наиболее чувствительная категория: данные передаются за рубеж, третьим лицам, для целей, напрямую не связанных с предоставлением основной услуги сайта. Обязательно требуют явного согласия — и это согласие должно быть получено до загрузки пикселя, а не после.

Таблица: типы cookies, статус ПДн и необходимость согласия

Тип cookie Примеры Персональные данные? Нужно согласие?
Сессионные технические PHPSESSID, CSRF-token, корзина Нет Нет
Функциональные Языковые настройки, тема оформления, регион Нет Нет
Аналитические _ym_uid (Яндекс.Метрика), _ga и _gid (Google Analytics) Да (идентификатор браузера) Да
Маркетинговые и ретаргетинг _fbp (Facebook/Meta), VK Pixel, Google Ads, MyTarget Да (профиль поведения) Да
Социальные кнопки Cookie от кнопок поделиться ВКонтакте, Одноклассники Да при авторизованном пользователе Желательно
Чат-виджеты JivoChat, Callibri, Bitrix24 чат Зависит от реализации Как правило, да

Требования к баннеру согласия на cookies

Обязательные элементы баннера

Баннер согласия на cookie должен отвечать тем же требованиям, что и любое другое согласие по ФЗ-152: быть активным, осознанным и добровольным. Это означает конкретный набор обязательных элементов:

  • Кнопка принятия: явная кнопка для дачи согласия на использование всех cookie или с разбивкой по категориям.
  • Кнопка отклонения: обязательна. Согласие не может быть добровольным без реальной возможности отказаться. Кнопки принятия и отклонения должны быть визуально сопоставимы по размеру и заметности.
  • Ссылка на политику cookie или на раздел политики конфиденциальности с полным описанием используемых cookie.
  • Отсутствие предустановленных чек-боксов: если предусмотрен гранулярный выбор по категориям, все чек-боксы (кроме обязательных технических) должны быть изначально в положении выключено.
  • Запоминание выбора: если пользователь отклонил cookie, баннер не должен появляться при каждом визите. Выбор пользователя должен запоминаться (через технически необходимую cookie) и уважаться.

Типичные нарушения в реализации cookie-баннеров

Роскомнадзор при мониторинге сайтов фиксирует следующие распространенные нарушения:

  • Только одна кнопка принятия без возможности отклонить cookie — нарушение принципа добровольности
  • Кнопка отклонения скрыта или имеет размер в несколько раз меньше кнопки принятия — манипулятивный интерфейс
  • Аналитические скрипты загружаются до нажатия кнопки принятия — обработка данных без согласия
  • Баннер исчезает при прокрутке страницы без явного выбора пользователя — недопустимо
  • Нет ссылки на политику или описание cookie — нарушение принципа информированности

Позиция Роскомнадзора (разъяснения 2022 года): использование аналитических и рекламных cookie-файлов без получения предварительного согласия пользователя является нарушением требований ФЗ-152, поскольку такие файлы позволяют формировать профиль поведения пользователя, что квалифицируется как обработка персональных данных.

Технические решения для реализации согласия на cookie

Готовые решения (CMP)

Consent Management Platform (CMP) — это специализированные сервисы для управления согласиями пользователей на использование cookie и других технологий отслеживания. Такие решения автоматически блокируют загрузку аналитических и маркетинговых скриптов до получения согласия и хранят доказательства согласий. На российском рынке доступны как локальные, так и международные решения: некоторые международные CMP-платформы (Cookiebot, OneTrust) также совместимы с требованиями ФЗ-152, хотя изначально разрабатывались для GDPR.

Собственная реализация

При самостоятельной реализации cookie-баннера необходимо обеспечить: блокировку аналитических и рекламных скриптов по умолчанию до дачи согласия, корректную обработку выбора пользователя с сохранением в localStorage или технической cookie, возможность отозвать согласие в любой момент через ссылку в footer сайта или в настройках профиля. Техническая реализация должна логировать дату и время получения согласия, версию текста баннера и IP-адрес пользователя для формирования доказательной базы.

Яндекс.Метрика и согласие

Яндекс.Метрика предоставляет функциональность анонимизации пользователей и отключения отдельных методов отслеживания. Минимально допустимый вариант для случаев, когда согласие не получено: отключение функций Вебвизора, хеширование IP-адресов и отказ от межсайтового отслеживания. Однако наилучшим решением остается полное отключение счетчика до получения согласия — именно этот подход соответствует духу закона и позиции Роскомнадзора.

Cookie-политика как самостоятельный документ

Помимо раздела о cookie в политике конфиденциальности, рекомендуется создать отдельный документ — политику использования файлов cookie. Это особенно актуально для сайтов с большим количеством разнообразных технологий отслеживания. Такой документ должен содержать полный перечень используемых cookie с указанием: имени cookie, типа (технический, аналитический, маркетинговый), оператора (первой или третьей стороны), срока действия, цели установки. Ссылка на этот документ размещается в баннере согласия и в подвале сайта.

Последствия нарушений и практика проверок

Использование аналитических или маркетинговых cookie без согласия квалифицируется по части 1 статьи 13.11 КоАП РФ. С 30 мая 2025 года штраф для юридических лиц составляет от 60 000 до 100 000 рублей за первое нарушение. При повторном нарушении — до 300 000 рублей. Роскомнадзор проводит как целевые проверки по жалобам, так и плановый мониторинг сайтов. Автоматизированные инструменты регулятора позволяют выявлять загрузку сторонних аналитических и рекламных скриптов без cookie-баннера или с ненадлежащим баннером.

UX-принципы cookie-баннера: как получить согласие без раздражения пользователей

Требования ФЗ-152 к информированности и добровольности согласия не означают, что баннер должен быть громоздким или агрессивным. Грамотно спроектированный баннер может одновременно соответствовать закону и не ухудшать пользовательский опыт. Ключевые принципы:

  • Краткость и ясность: текст баннера должен быть понятен обычному пользователю, а не юристу. Избегайте юридических формулировок там, где можно обойтись простым языком.
  • Минимальный размер: небольшой баннер в нижней части экрана менее навязчив, чем полноэкранное всплывающее окно. Детальные настройки выносятся в отдельный раздел по ссылке.
  • Запоминание выбора: после того как пользователь сделал выбор, баннер не должен появляться снова в течение срока действия технической cookie (обычно 6-12 месяцев).
  • Доступность настроек: возможность изменить свой выбор или отозвать согласие должна быть доступна в любое время — через ссылку в footer или в настройках аккаунта.
  • Гранулярность: предоставьте пользователям выбор категорий: принять только технические, принять аналитические, принять маркетинговые. Гранулярный выбор повышает доверие и соответствует принципу минимизации данных.

Связь cookie-согласия с трансграничной передачей данных

Большинство популярных аналитических и рекламных инструментов — Google Analytics, Google Ads, Facebook Pixel, Hotjar — передают данные на серверы, расположенные за пределами России. Это означает, что использование таких инструментов является не только вопросом cookie-согласия, но и трансграничной передачей персональных данных, регулируемой статьей 12 ФЗ-152. Оператор обязан: получить согласие на трансграничную передачу (оно может быть включено в cookie-согласие с явным указанием, что данные передаются в конкретные страны), уведомить Роскомнадзор о трансграничной передаче в страны с неадекватным уровнем защиты данных, заключить соответствующие соглашения с получателями данных за рубежом.

Игнорирование этого аспекта при реализации cookie-баннера — распространенная ошибка. Согласие только на использование cookie без явного указания на трансграничную передачу не является надлежащим согласием по смыслу статьи 12 ФЗ-152.

Практический чек-лист для проверки cookie-реализации

  1. Технические cookie устанавливаются без согласия, аналитические и маркетинговые — только после явного принятия
  2. Баннер отображается при первом визите до любого взаимодействия с аналитическими скриптами
  3. Кнопки принятия и отклонения визуально равнозначны — нет манипулятивного дизайна
  4. Все чек-боксы категорий изначально в положении выключено (кроме обязательных технических)
  5. Выбор пользователя сохраняется и не запрашивается повторно в течение установленного срока
  6. Предусмотрена возможность изменить или отозвать согласие в любое время
  7. Баннер содержит ссылку на подробную политику использования cookie
  8. В политике указаны страны, в которые передаются данные через cookie третьих сторон
  9. Факт получения согласия логируется с датой, временем и идентификатором пользователя

Яндекс.Метрика без согласия: риски и альтернативы

Яндекс.Метрика является самым распространенным инструментом веб-аналитики на российских сайтах. Её счетчик устанавливает cookie _ym_uid, присваивая уникальный идентификатор браузеру пользователя, а при активированном Вебвизоре — записывает сессии посещений. Все эти данные являются персональными данными по смыслу ФЗ-152. Передача данных происходит на серверы Яндекса. Несмотря на то, что Яндекс — российская компания, согласие на обработку данных для аналитических целей всё равно требуется.

Альтернативные подходы к аналитике без нарушения закона: полная блокировка счетчика до получения согласия (рекомендуемый вариант), использование анонимизированной аналитики с отключенным Вебвизором и хешированием IP-адресов, переход на серверную аналитику (без передачи данных браузера), использование инструментов анализа обезличенных логов сервера. Отсутствие аналитики — лучше, чем штраф от Роскомнадзора.

Ответственность за нарушения cookie-законодательства: практика 2024-2025

Роскомнадзор планомерно наращивает правоприменительную активность в части cookie-нарушений. В 2024-2025 годах зафиксированы проверки крупных и средних сайтов, в ходе которых выявлялось использование аналитических и рекламных cookie без надлежащего согласия. По результатам проверок операторам выносились предписания и составлялись протоколы об административных правонарушениях по статье 13.11 КоАП РФ.

С 30 мая 2025 года штрафы по статье 13.11 КоАП РФ существенно выросли в связи с принятием Федерального закона от 30.11.2024 N 420-ФЗ. Для юридических лиц базовый штраф за первичное нарушение составляет от 60 000 до 100 000 рублей, при повторном нарушении — до 300 000 рублей. При масштабных нарушениях, затрагивающих данные большого количества субъектов, возможно возбуждение нескольких дел об административных правонарушениях, что кратно увеличивает совокупный размер штрафов. Инвестиции в правильную реализацию cookie-согласия многократно окупаются по сравнению с возможными санкциями.

Cookie-политика для интернет-магазина: особенности

Интернет-магазины имеют особую специфику: они, как правило, используют наибольший набор cookie — аналитику, рекламные пиксели для ретаргетинга, виджеты отзывов, чат-боты, системы рекомендаций товаров. Каждый из этих инструментов потенциально обрабатывает персональные данные и требует согласия. При этом интернет-магазин должен строго разграничивать: технические cookie корзины и сессии авторизации (не требуют согласия), аналитические и рекламные cookie (требуют согласия). Особая ситуация — рекомендательные алгоритмы: если они строят профиль поведения конкретного пользователя на основе cookie, это обработка персональных данных, требующая согласия. Практическая рекомендация для интернет-магазинов: провести полный аудит всех устанавливаемых cookie и сторонних скриптов, прежде чем разрабатывать баннер согласия.

Как провести аудит cookie на своем сайте

Перед разработкой баннера согласия необходимо точно знать, какие cookie устанавливает ваш сайт. Существует несколько способов проверки. Инструменты разработчика браузера (Chrome DevTools, вкладка Application — Cookies) позволяют просмотреть все установленные cookie для текущей страницы. Специализированные инструменты сканирования cookie (Cookie Scanner от Cookiebot, Screaming Frog с плагином для cookie) автоматически обходят весь сайт и составляют реестр всех используемых cookie. Анализ подключенных сторонних скриптов: каждый сторонний JavaScript-файл потенциально устанавливает cookie — их нужно выявить и классифицировать.

По результатам аудита составляется реестр cookie — документ, в котором для каждой cookie указывается: имя, тип, срок действия, оператор (первая или третья сторона), цель, является ли персональными данными, нужно ли согласие. Этот реестр становится основой для политики использования cookie и баннера согласия. Аудит рекомендуется проводить не реже раза в полгода, поскольку подключение новых плагинов или скриптов может добавить новые cookie без ведома владельца сайта.

Нужна помощь с реализацией cookie-согласия?

Специалисты 152fzpro.ru помогут правильно реализовать cookie-баннер и привести сайт в соответствие требованиям ФЗ-152. Работа включает аудит cookie вашего сайта с классификацией всех используемых технологий, разработку политики использования cookie и текста баннера, технические рекомендации по настройке блокировки скриптов до получения согласия, настройку логирования согласий для создания доказательной базы. Оставьте заявку на сайте — первичная консультация бесплатна. Также мы подготовим полный пакет документов: политику конфиденциальности с разделом о cookie, текст баннера согласия, регламент уничтожения данных cookie по истечении срока хранения. Каждое решение тестируется на соответствие требованиям ФЗ-152 и актуальным позициям Роскомнадзора, чтобы вы были уверены в правовой корректности реализации.