Cookie-баннер на сайте: требования закона и как сделать правильно

Нужен ли cookie-баннер по закону

Да. Cookies — это данные, которые сайт записывает на устройство пользователя. Многие из них позволяют идентифицировать конкретного человека: уникальный идентификатор сессии, настройки, история посещений. По 152-ФЗ это персональные данные.

Обработка персональных данных требует согласия субъекта. Значит, до того как сайт начнёт устанавливать cookies, нужно получить согласие посетителя.

Чего не хватает на большинстве сайтов

Типичный cookie-баннер: «Мы используем cookies. Продолжая использовать сайт, вы соглашаетесь с этим.» И кнопка «ОК».

Проблемы:

• Пассивное согласие. «Продолжая использовать сайт...» — это не активное согласие. Человек не совершил действие, которое однозначно означает «да, я согласен». Он просто скроллит страницу.
• Нет выбора. Пользователь не может отказаться от необязательных cookies. Кнопка одна — «ОК». По закону нужна возможность выбора.
• Cookies устанавливаются до согласия. Откройте DevTools → Application → Cookies. Если cookies уже есть до нажатия кнопки на баннере — согласие формальное, а данные уже собираются.

Как сделать правильный cookie-баннер

Категории cookies:

• Необходимые — без них сайт не работает (авторизация, корзина). Не требуют согласия.
• Аналитические — подсчёт посещений, поведение. Требуют согласия.
• Маркетинговые — ретаргетинг, рекламные трекеры. Требуют согласия.
• Функциональные — сохранение настроек, язык. Требуют согласия.

Требования к баннеру:

• Появляется при первом визите
• Содержит ссылку на политику конфиденциальности (раздел о cookies)
• Даёт возможность принять все, отклонить необязательные, или выбрать категории
• До получения согласия необязательные cookies не устанавливаются
• Выбор пользователя сохраняется (не спрашивать каждый раз)
• Есть возможность изменить выбор позже

Кнопки на баннере:

• «Принять все»
• «Только необходимые» (или «Отклонить»)
• «Настроить» (детальный выбор по категориям)

Штрафы за неправильный cookie-баннер

Формально штраф за cookie-нарушения квалифицируется по ч. 2 ст. 13.11 КоАП РФ — обработка персональных данных без согласия субъекта:

• Физлица: от 15 000 до 30 000 рублей
• Должностные лица: от 100 000 до 200 000 рублей
• Юрлица: от 300 000 до 700 000 рублей

За повторное нарушение — до 1 500 000 рублей.

Кратко

• Cookie-баннер обязателен на любом сайте, использующем cookies
• «Продолжая использовать сайт, вы соглашаетесь» — не считается согласием
• Нужны минимум две кнопки: принять и отклонить необязательные
• Cookies не должны устанавливаться до получения согласия
• Штраф — от 300 000 до 700 000 рублей для юрлиц

Частые вопросы

Если мой сайт не использует аналитику, нужен ли cookie-баннер?

Если сайт вообще не устанавливает cookies — баннер не нужен. Но на практике почти все сайты используют cookies (сессия, CMS, счётчики). Проверьте через DevTools.

Можно ли ставить галочки по умолчанию на все категории cookies?

Нет. Предустановленные галочки — это не свободное согласие. Пользователь должен сам активно выбрать, на что он согласен.

Что если пользователь отклонил cookies, но сайт перестал работать?

Необходимые cookies (без которых сайт технически не функционирует) можно устанавливать без согласия. Сайт должен работать с минимальным набором cookies. Аналитика и маркетинг — не «необходимые».

Нужен ли отдельный документ — политика использования cookies?

Отдельный документ не обязателен. Достаточно раздела о cookies в политике конфиденциальности. Но отдельная страница удобнее для пользователей.