Cookie-баннер для сайта по 152-ФЗ

Обновлено: март 2026 · 14 мин чтения

Cookie-файлы — невидимый слой данных, который есть на каждом сайте. Яндекс.Метрика, рекламные пиксели, даже сессия авторизации — всё это cookie. По позиции Роскомнадзора, cookie могут содержать персональные данные, а значит, попадают под действие 152-ФЗ. Разбираем, когда баннер обязателен, как его правильно реализовать и какие штрафы грозят за отсутствие.

Содержание

  1. 1. Cookie как персональные данные
  2. 2. Нужен ли баннер по 152-ФЗ
  3. 3. Категории cookie: какие требуют согласия
  4. 4. GDPR vs 152-ФЗ: сравнение подходов
  5. 5. Правильный cookie-баннер: как должен выглядеть
  6. 6. Типичные ошибки: баннеры, которые не защищают
  7. 7. Штрафы за отсутствие cookie-баннера
  8. 8. Как сделать cookie-баннер: пошаговая инструкция
  9. 9. Проверьте свой сайт

1. Cookie как персональные данные — позиция Роскомнадзора

Роскомнадзор неоднократно разъяснял: cookie-файлы относятся к персональным данным, если они позволяют идентифицировать конкретного пользователя — прямо или в совокупности с другими данными. На практике это касается большинства сайтов.

Статья 3 Федерального закона № 152-ФЗ определяет персональные данные как «любую информацию, относящуюся к прямо или косвенно определённому физическому лицу». Cookie-файл, привязанный к сессии авторизации, IP-адресу или уникальному идентификатору браузера, попадает под это определение.

Ключевой критерий: Если cookie позволяет отличить одного посетителя от другого и отслеживать его поведение — это персональные данные по 152-ФЗ. Уникальный идентификатор Яндекс.Метрики (_ym_uid) или Google Analytics (_ga) — прямой пример.

Позиция подтверждена письмом Роскомнадзора от 12.12.2019 и разъяснениями 2023 года. Суды также поддерживают эту точку зрения: в нескольких решениях cookie-файлы прямо названы персональными данными при условии возможности идентификации субъекта.

2. Нужен ли cookie-баннер по 152-ФЗ

Короткий ответ: да, если ваш сайт использует аналитические или рекламные cookie. А используют их практически все — Яндекс.Метрика, любые пиксели, виджеты социальных сетей, чаты поддержки.

152-ФЗ требует получить согласие субъекта персональных данных до начала обработки (ст. 6 и 9). Если cookie устанавливаются автоматически при загрузке страницы — согласие должно быть получено до этого момента. На практике это реализуется через баннер с кнопками «Принять» / «Отклонить».

1Баннер обязателен

Сайт использует аналитику (Метрика, GA), рекламные пиксели, виджеты соцсетей, чат-виджеты, A/B-тестирование, ретаргетинг. Любой из этих инструментов устанавливает cookie, которые идентифицируют пользователя.

2Баннер рекомендуется

Сайт использует только технические cookie (авторизация, корзина, языковые настройки). Формально согласие не требуется, но баннер-уведомление снижает юридические риски и демонстрирует добросовестность оператора.

3Можно обойтись без баннера

Статический сайт-визитка без форм, без аналитики, без сторонних скриптов. Если сайт не устанавливает cookie вообще — баннер не нужен. Но таких сайтов в 2026 году почти не осталось.

3. Категории cookie: какие требуют согласия

Не все cookie одинаковы. Ключевое различие — могут ли они использоваться для идентификации пользователя. Чем точнее отслеживание, тем строже требования.

КатегорияПримерыСогласиеРиск
Строго необходимыеАвторизация, корзина, CSRF-токен, языковые настройкиНе требуетсяНет
АналитическиеЯндекс.Метрика, Google Analytics, Hotjar, счётчики посещенийТребуетсяСредний
Маркетинговые / рекламныеMeta Pixel, Google Ads, VK Pixel, ретаргетингОбязательноВысокий
ФункциональныеЗапоминание настроек, последние просмотры, A/B-тестыРекомендуетсяНизкий
Частая ошибка: Яндекс.Метрика устанавливает cookie _ym_uid, _ym_d, _ym_isad и другие. Это аналитические cookie, которые позволяют отслеживать конкретного пользователя на протяжении месяцев. Без cookie-баннера их использование — нарушение 152-ФЗ.

Есть ли cookie-баннер на вашем сайте?

Бесплатная проверка за 60 секунд. Покажем, какие cookie и трекеры работают без согласия пользователя.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4. GDPR vs 152-ФЗ: сравнение подходов к cookie

Европейский GDPR и российский 152-ФЗ по-разному регулируют cookie. Распространённая ошибка — копировать баннер с европейского сайта и считать, что это соответствует российскому закону.

КритерийGDPR (ЕС)152-ФЗ (Россия)
Правовая основаePrivacy Directive + GDPR152-ФЗ «О персональных данных»
Что считается ПДCookie прямо названы идентификаторами (Recital 30)Cookie = ПД, если позволяют идентифицировать лицо
СогласиеOpt-in обязателен до установки cookieСогласие до начала обработки ПД (ст. 6, 9)
Кнопка «Отклонить»Обязательна, равноценна «Принять»Требуется возможность отказа (ст. 9 ч. 2)
Штрафы (max)До 20 млн € или 4% оборотаДо 500 000 ₽ (обработка без согласия)
ПравоприменениеАктивное (CNIL, DPC — сотни дел в год)Растущее (РКН усиливает контроль с 2024 г.)
На практике: Если ваш сайт работает только на российскую аудиторию, ориентируйтесь на 152-ФЗ. Если есть европейские пользователи — нужно соответствовать обоим законам. Баннер по стандарту GDPR закрывает и требования 152-ФЗ, но не наоборот.

5. Правильный cookie-баннер: как должен выглядеть

Баннер — не формальность. Он должен давать пользователю реальный выбор: принять все cookie, настроить категории или отклонить необязательные.

Правильный баннер

Мы используем cookie для работы сайта, аналитики и персонализации рекламы. Вы можете выбрать, какие категории cookie разрешить.Подробнее

Принять всеСохранить выбранныеОтклонить необязательные
Три действия: принять все, настроить, отклонить. Пользователь сам решает.
Категории раскрыты: видно, что именно включается — аналитика, маркетинг.
Ссылка на политику: пользователь может узнать подробности до принятия решения.
Необходимые нельзя отключить: логично — без них сайт не работает.

6. Типичные ошибки: баннеры, которые не защищают

Большинство cookie-баннеров на российских сайтах — декорация. Они не дают реального выбора и не блокируют cookie до получения согласия. Такой баннер не защитит при проверке Роскомнадзора.

Неправильный баннер

Мы используем cookie. Продолжая использовать сайт, вы соглашаетесь с нашей политикой.

Ок
Ошибка #1: Только кнопка «Ок»

Нет возможности отклонить. «Продолжая использовать сайт, вы соглашаетесь» — это не согласие. Согласие должно быть активным действием (ст. 9 ч. 1 152-ФЗ).

Ошибка #2: Cookie загружаются до согласия

Баннер показывается, но Метрика и пиксели уже работают. Скрипты должны загружаться только после нажатия «Принять». Иначе согласие фиктивное.

Ошибка #3: Нет ссылки на политику

Баннер не указывает, какие данные собираются и зачем. По 152-ФЗ субъект должен быть проинформирован о целях обработки до дачи согласия.

Ошибка #4: Предустановленные чекбоксы

Все категории cookie отмечены по умолчанию. Пользователь должен сам выбирать, на что соглашается. Предустановленное согласие — не согласие.

Ошибка #5: Баннер исчезает сам

Через 5 секунд баннер пропадает, а cookie устанавливаются автоматически. Молчание — не форма согласия.

7. Штрафы за отсутствие cookie-баннера

Отдельной статьи «за отсутствие cookie-баннера» в КоАП нет. Но использование cookie без согласия квалифицируется по нескольким статьям 13.11 КоАП РФ:

НарушениеСтатьяИПЮрлицо
Обработка cookie без согласия субъекта13.11 ч.210 000 – 20 000 ₽150 000 – 500 000 ₽
Отсутствие политики обработки cookie13.11 ч.35 000 – 10 000 ₽30 000 – 60 000 ₽
Непредоставление информации о cookie13.11 ч.45 000 – 10 000 ₽40 000 – 80 000 ₽
Повторное нарушение13.11x2 – x3до 1 500 000 ₽
Совокупность нарушений: Роскомнадзор может выписать штраф одновременно по нескольким частям ст. 13.11. Отсутствие cookie-баннера + отсутствие информации в политике + работающие трекеры без согласия = три штрафа. Для юрлица суммарно до 1 080 000 ₽.
Тренд 2025–2026: Роскомнадзор усиливает контроль за cookie. Количество проверок и штрафов за обработку cookie без согласия растёт. Это связано с общим ужесточением законодательства о ПД после волны утечек 2023–2024 годов.

8. Как сделать cookie-баннер: пошаговая инструкция

1Проведите аудит cookie на сайте

Откройте DevTools браузера (F12 → Application → Cookies). Запишите все cookie, которые устанавливает ваш сайт. Определите, какие из них необходимые, какие — аналитические, какие — маркетинговые. Учтите cookie сторонних скриптов: Метрика, пиксели, чаты.

2Разделите cookie по категориям

Необходимые — авторизация, корзина, CSRF. Аналитические — Метрика, GA. Маркетинговые — рекламные пиксели, ретаргетинг. Функциональные — настройки интерфейса, A/B. Составьте таблицу: имя cookie, категория, срок жизни, назначение.

3Заблокируйте необязательные cookie до согласия

Аналитические и маркетинговые скрипты не должны загружаться, пока пользователь не нажал «Принять». Технически это реализуется через замену type="text/javascript" на type="text/plain" и активацию скрипта после согласия. Либо через условную загрузку через Tag Manager.

4Создайте баннер с тремя кнопками

«Принять все», «Настроить», «Отклонить необязательные». Кнопка отклонения должна быть на первом экране баннера — не спрятана в настройках. Добавьте ссылку на политику конфиденциальности и раздел о cookie.

5Сохраняйте выбор и давайте возможность изменить

После выбора сохраните настройки в localStorage или в необходимом cookie (это допустимо — cookie для хранения самого согласия относится к необходимым). Добавьте ссылку «Настройки cookie» в футер сайта, чтобы пользователь мог изменить решение.

6Обновите политику конфиденциальности

Добавьте раздел о cookie: какие используются, зачем, срок хранения, как отключить. Укажите сторонних получателей данных (Яндекс, Google и т.д.). Политика должна соответствовать реальному поведению сайта.

9. Проверьте cookie-баннер на своём сайте

Ручная проверка cookie — процесс, который требует технических навыков и знания законодательства. Нужно проверить не только наличие баннера, но и то, что скрипты действительно блокируются до получения согласия, а политика содержит все необходимые разделы.

Автоматический аудит проверяет за 60 секунд:

  • Наличие cookie-баннера и кнопки отклонения
  • Какие cookie и трекеры устанавливаются до согласия
  • Наличие и полноту политики конфиденциальности
  • Чекбоксы согласия в формах
  • SSL-сертификат и защиту передачи данных
  • Сторонние скрипты, передающие данные за рубеж

Проверьте, есть ли cookie-баннер на вашем сайте

Бесплатный аудит покажет, какие cookie работают без согласия и какие штрафы грозят. Результат за 60 секунд.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← 152-ФЗ простым языкомШтрафы 152-ФЗ →Чек-лист соответствия →

Данная статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.