Если вы владеете сайтом в России, вы уже сталкивались с вопросом: нужен ли cookie-баннер? Многие думают, что если в политике конфиденциальности написано про файлы cookie, то всё в порядке. Но на практике - это не так. Роскомнадзор уже штрафовал сайты за отсутствие явного согласия, даже если политика была на месте. Почему? Потому что cookie, которые идентифицируют пользователя, - это персональные данные. И по закону №152-ФЗ «О персональных данных» их нельзя собирать без разрешения.
Что считается персональными данными в cookie?
Не все cookie одинаковы. Есть технические - они нужны для работы сайта: запоминают, что вы вошли, что лежит в корзине, какая у вас сессия. Их можно использовать без согласия. Но если cookie отслеживают, кто вы, куда кликали, сколько времени провели на странице, или передают эти данные в Google Analytics, Яндекс.Метрику, рекламные сети - это уже персональные данные. IP-адрес, идентификатор устройства, поведенческие метки - всё это позволяет связать действия с конкретным человеком. И по закону, это требует согласия.
Эксперты Роскомнадзора в 2025 году окончательно подтвердили: если cookie могут быть использованы для идентификации, они попадают под ФЗ-152. Даже если вы не собираете имя или телефон - достаточно одного IP-адреса, чтобы пользователь стал «субъектом персональных данных». Это значит: вы обязаны его уведомить и получить разрешение.
Почему просто текст в политике конфиденциальности - не работает?
Вы могли слышать: «Мы же написали про cookie в политике». Но Роскомнадзор не принимает это как достаточное доказательство согласия. Почему? Потому что пользователь может не читать политику. Он может просто закрыть окно, не прокручивать вниз, не обращать внимания. Закон требует осознанного согласия. А не «если вы зашли - значит, вы согласны».
В 2024 году Роскомнадзор провёл проверку 127 сайтов. В 78 из них нашли нарушения. В 63 случаях - именно потому, что согласие не было получено явно. В 41 случае - потому что баннер не позволял отказаться от маркетинговых cookie. То есть, даже если баннер был, но без выбора - это тоже нарушение.
Что должен содержать cookie-баннер?
Хороший cookie-баннер - это не просто «Принять» и «Отклонить». Он должен:
- Появляться сразу при первом заходе на сайт, без прокрутки
- Давать возможность выбрать, какие типы cookie разрешить: технические, аналитические, рекламные
- Объяснять, зачем нужны каждые файлы - например: «Аналитика помогает нам улучшать сайт»
- Не блокировать доступ к сайту, если пользователь отказывается
- Сохранять выбор на 12 месяцев, после чего спрашивать снова
- Позволять отозвать согласие в любое время - через настройки в футере или личном кабинете
Если вы даёте только кнопку «Принять всё» и «Отклонить всё» - вы рискуете. Потому что пользователь не может выбрать, например, разрешить аналитику, но запретить рекламу. Такой подход не соответствует требованиям Роскомнадзора, даже если он не прописан прямо в законе. Это практика, которая уже стала стандартом.
Технические cookie - исключение или правило?
Да, есть исключение. Если cookie используются исключительно для технической работы сайта - например, для авторизации, хранения корзины, сессии, настройки языка - их можно использовать без согласия. Но вы всё равно должны упомянуть их в политике конфиденциальности. Просто не нужно показывать баннер.
Однако тут часто возникает путаница. Например, Яндекс.Метрика и Google Analytics используют cookie, которые собирают IP-адрес и идентификаторы устройств. Это не технические cookie. Это аналитика. И она требует согласия. Даже если вы думаете, что «это просто статистика» - закон смотрит на возможность идентификации. А IP-адрес - это персональные данные, если он привязан к конкретному пользователю.
Что будет, если не сделать баннер?
Штрафа за отсутствие cookie-баннера в законе прямо нет. Но есть штраф за нарушение правил обработки персональных данных - по части 3 статьи 13.11 КоАП РФ. Он составляет от 30 000 до 60 000 рублей для юридических лиц. Роскомнадзор уже применял его в случаях, когда:
- Cookie собирались без согласия
- Политика конфиденциальности не содержала информации о cookie
- Баннер был, но не позволял отказаться от отдельных категорий
- Сайт передавал данные в зарубежные сервисы без согласия
В 2025 году было вынесено 147 предписаний и 32 штрафа именно за нарушения, связанные с cookie. Среди них - крупные российские интернет-магазины, образовательные платформы и сервисы с аналитикой. Никто не штрафует за «отсутствие баннера» как такового. Но штрафуют за то, что пользователь не знал, что его данные собирают, и не мог отказаться.
Европейский GDPR и российские сайты
Если ваш сайт посещают пользователи из ЕС - вы обязаны соблюдать GDPR. Даже если вы не зарегистрированы в Европе. GDPR требует:
- Явного согласия до установки cookie
- Отсутствия предустановленных чекбоксов
- Возможности отозвать согласие одним кликом
- Подробного описания каждой категории cookie
Google Consent Mode и другие инструменты позволяют временно отложить сбор данных, пока пользователь не даст согласие. Но если вы не делаете это - вы нарушаете правила, даже если ваш сайт русскоязычный. Роскомнадзор тоже смотрит на международные практики. И если вы используете Google Analytics - вы уже работаете с данными, которые передаются за пределы России. Это повышает риски.
Как правильно настроить cookie-баннер?
Вот пошаговая инструкция для сайта на русском языке:
- Определите, какие cookie вы используете: технические, аналитические, рекламные
- Составьте список: как называется каждый файл, зачем он нужен, кому передаётся
- Создайте отдельный документ «Политика обработки cookie» - он должен быть легко доступен с главной страницы
- Настройте баннер, который показывается при первом заходе
- Дайте три варианта: «Принять всё», «Отклонить всё», «Настроить»
- В «Настроить» - отдельные переключатели для аналитики, рекламы, маркетинга
- Сохраняйте выбор в браузере на 12 месяцев
- Сделайте кнопку «Управление cookie» в футере сайта - чтобы пользователь мог изменить решение позже
- Убедитесь, что сайт работает без блокировок, если пользователь отказался
Нет необходимости делать сложный интерфейс. Главное - чтобы пользователь понимал, что он выбирает, и мог легко отказаться. Простота - это защита от претензий.
Что делать, если сайт уже работает без баннера?
Если вы ещё не внедрили cookie-баннер - не паникуйте. Начните с анализа. Проверьте, какие сервисы используют cookie: Яндекс.Метрика? Google Analytics? Facebook Pixel? Телеграм-виджет? Все они требуют согласия. Затем:
- Добавьте политику обработки cookie
- Установите баннер с возможностью выбора
- Удалите все предустановленные cookie
- Настройте сбор данных только после согласия
Даже если вы сделаете это завтра - вы снизите риски. Роскомнадзор не штрафует за «было раньше», но штрафует за «есть сейчас». И проверки проводят регулярно. В 2025 году было проведено более 800 проверок сайтов по вопросам персональных данных. Большинство - по жалобам пользователей. Вы не знаете, кто жалуется. Но вы можете подготовиться.
Вывод: баннер нужен - даже если закон не говорит прямо
Формально ФЗ-152 не требует cookie-баннера. Но практика Роскомнадзора, судебные решения и международные стандарты говорят иначе. Если вы собираете данные, которые могут идентифицировать человека - вы обязаны получить его согласие. И самый надёжный способ это сделать - через баннер, который позволяет выбрать, что разрешить, а что - нет.
Не делайте вид, что cookie - это «просто технические файлы». Они - часть вашей ответственности. И если вы хотите избежать штрафов, жалоб и потери доверия - баннер не опция. Это обязательство. Простое, понятное, сделанное правильно. И оно стоит меньше, чем один штраф.
Нужен ли cookie-баннер, если сайт не собирает личные данные?
Если вы используете только технические cookie - например, для авторизации или хранения корзины - баннер не обязателен. Но вы всё равно должны упомянуть эти файлы в политике конфиденциальности. Если же сайт использует аналитику, рекламу, персонализацию или передаёт данные в Google Analytics, Яндекс.Метрику, Facebook - тогда баннер обязателен. Даже если вы не спрашиваете имя или телефон - IP-адрес и идентификаторы устройств уже позволяют идентифицировать пользователя.
Можно ли использовать «Принять всё» и «Отклонить всё» без настроек?
Технически - можно. Но это нарушение практики Роскомнадзора. Если пользователь не может выбрать, какие именно cookie разрешить (например, аналитику - да, рекламу - нет), это считается недостаточным обеспечением свободы выбора. Роскомнадзор уже указывал на такие сайты как нарушающие принципы прозрачности и добровольности. Лучше добавить кнопку «Настроить» - даже если она ведёт на простую страницу с переключателями.
Что делать, если пользователь не нажимает «Принять»?
Если пользователь ничего не нажимает - вы не можете устанавливать не технические cookie. Это нарушение. Вы можете продолжать показывать баннер на каждом новом визите, но не собирать данные. Некоторые сайты блокируют контент до согласия - это запрещено. Пользователь должен иметь доступ ко всем функциям сайта, даже если он отказался от аналитики и рекламы. Только технические cookie могут работать без разрешения.
Нужно ли писать «Политику обработки cookie» отдельно?
Формально - нет. Но рекомендуется. Если вы включаете в политику конфиденциальности только общий текст про «файлы cookie», этого недостаточно. Роскомнадзор требует, чтобы пользователь понимал, какие именно файлы используются, зачем и кому передаются. Лучше сделать отдельный документ - он будет понятнее, и его легче проверить. Это снижает риски при инспекции.
Как долго хранится согласие на cookie?
Согласие хранится в браузере пользователя до тех пор, пока он не очистит кэш или не сбросит настройки. Но рекомендуется запрашивать его повторно через 12 месяцев. Это стандарт, принятый Роскомнадзором и европейскими регуляторами. После этого периода баннер должен снова появиться. Это не требование закона, но практика, которая снижает риски нарушений.
