Cookie-политика для сайта: как оформить по закону в 2026 году
Почему cookie — это персональные данные, какие документы нужны на сайте, как сделать cookie-баннер по 152-ФЗ и какие штрафы грозят за его отсутствие.
Cookie-политика для сайта: как оформить по закону в 2026 году
Большинство российских сайтов до сих пор не имеют корректно оформленного cookie-баннера. Между тем Роскомнадзор всё активнее мониторит веб-ресурсы, а жалобы на отсутствие уведомления об использовании cookie стали частым основанием для внеплановых проверок. Разберёмся, как привести сайт в соответствие с требованиями 152-ФЗ.
Почему cookie — это персональные данные
Cookie-файлы могут содержать идентификаторы, которые позволяют определить конкретного пользователя: уникальный ID сессии, данные авторизации, идентификаторы рекламных систем. По позиции Роскомнадзора, любая информация, позволяющая идентифицировать физическое лицо (прямо или косвенно), является персональными данными.
Это означает, что использование cookie подпадает под действие закона 152-ФЗ: вам необходимо получать согласие пользователя, информировать его о целях сбора данных и обеспечивать их защиту.
Важно: Даже если вы используете только Яндекс.Метрику или Google Analytics — вы уже обрабатываете персональные данные через cookie. Этого достаточно, чтобы стать оператором ПДн со всеми вытекающими обязанностями.
Три документа, которые должны быть на сайте
Для полного соответствия 152-ФЗ на вашем сайте необходимо разместить:
| Документ | Назначение | Где размещать |
|---|---|---|
| Политика конфиденциальности | Общий документ об обработке всех ПДн | Отдельная страница, ссылка в подвале сайта |
| Согласие на обработку ПДн | Чекбокс перед каждой формой сбора данных | На каждой форме (заявка, обратная связь, подписка) |
| Cookie-политика | Информация об используемых cookie | Отдельная страница или раздел в политике конфиденциальности |
Cookie-политика может быть как отдельным документом, так и разделом общей политики конфиденциальности. Главное — пользователь должен иметь возможность ознакомиться с ней до начала сбора cookie.
Классификация cookie-файлов
Для корректного оформления баннера необходимо разделить используемые cookie на категории:
| Категория | Описание | Примеры | Можно ли отключить |
|---|---|---|---|
| Строго необходимые | Обеспечивают работу сайта, без них сайт не функционирует | Сессионные cookie, CSRF-токены, корзина товаров | Нет |
| Функциональные | Запоминают настройки пользователя | Язык интерфейса, регион, размер шрифта | Да |
| Аналитические | Собирают статистику посещений | Яндекс.Метрика (_ym_uid, _ym_d), Google Analytics (_ga, _gid) | Да |
| Маркетинговые | Используются для таргетированной рекламы | Рекламные пиксели, ретаргетинг (Facebook Pixel, VK Pixel) | Да |
Важно: Строго необходимые cookie можно устанавливать без согласия пользователя. Для всех остальных категорий согласие обязательно.
Требования к cookie-баннеру
Правильный cookie-баннер должен:
- Появляться при первом посещении — до того, как необязательные cookie будут установлены
- Информировать о целях — зачем вы используете cookie
- Содержать ссылку на cookie-политику — или на соответствующий раздел политики конфиденциальности
- Давать возможность выбора — пользователь должен иметь возможность принять все cookie, отклонить необязательные или выбрать конкретные категории
- Не блокировать контент — баннер не должен делать сайт непригодным для использования
- Запоминать выбор — при повторном визите не показывать баннер снова (если выбор уже сделан)
Чего делать нельзя
- Устанавливать маркетинговые cookie до получения согласия
- Делать кнопку «Принять» крупной и заметной, а «Отклонить» — мелкой и незаметной
- Засчитывать продолжение просмотра сайта как согласие — нужно явное действие
- Принуждать к согласию, блокируя доступ к контенту
Яндекс.Метрика и аналитика
Отдельно стоит сказать про Яндекс.Метрику — самый популярный инструмент веб-аналитики в Рунете. Метрика устанавливает несколько cookie-файлов:
- _ym_uid — уникальный идентификатор пользователя (аналитическая cookie)
- _ym_d — дата первого визита
- _ym_isad — определение наличия блокировщика рекламы
- _ym_visorc — данные для Вебвизора
Все эти cookie относятся к аналитическим и требуют согласия пользователя. В cookie-политике необходимо указать, что вы используете Яндекс.Метрику, какие данные она собирает и с какой целью.
Что будет, если нет cookie-баннера
Отсутствие cookie-баннера может привести к следующим последствиям:
- Жалоба в Роскомнадзор — любой посетитель сайта может подать жалобу
- Внеплановая проверка — РКН мониторит сайты и без жалоб
- Штрафы — обработка ПДн без согласия влечёт штраф до 700 000 рублей для юрлиц
- Предписание — обязательство устранить нарушение в установленный срок
- Репутационные потери — информация о нарушениях может попасть в публичное пространство
Практическое руководство по внедрению
Шаг 1: Проведите аудит cookie
Откройте свой сайт в браузере, перейдите в инструменты разработчика (F12) и посмотрите, какие cookie устанавливаются. Составьте полный список и классифицируйте их.
Шаг 2: Подготовьте cookie-политику
Опишите каждую категорию cookie, их назначение, срок хранения и возможность отключения. Используйте шаблоны в качестве основы.
Шаг 3: Внедрите cookie-баннер
Установите баннер, который будет блокировать необязательные cookie до получения согласия. Убедитесь, что баннер корректно работает на мобильных устройствах.
Шаг 4: Настройте управление согласием
Предоставьте пользователю возможность изменить свой выбор в любой момент — через иконку или ссылку в подвале сайта.
Проверьте свой сайт
Запустите экспресс-аудит и проверьте, соответствует ли ваш сайт требованиям 152-ФЗ в части cookie и обработки данных. Если нужна помощь с подготовкой документации или внедрением cookie-баннера — специалисты Бюро 152 помогут привести всё в порядок.
Не уверены, что ваш сайт соответствует требованиям 152-ФЗ? Пройдите бесплатный экспресс-аудит или свяжитесь с нашими специалистами — поможем оформить cookie-политику и все необходимые документы.