Владелец небольшого сайта подключает Яндекс.Метрику, чтобы понять, откуда приходят посетители и какие страницы они чаще всего смотрят. Кажется, это обычная техническая задача. Но в момент, когда счётчик начинает работать, на устройства пользователей записываются файлы cookie. И это уже не просто аналитика — это обработка данных, которая попадает под действие российского законодательства.
Большинство владельцев сайтов об этом не думают. Счётчик стоит, статистика собирается, всё работает. Но юридически ситуация совсем не такая безобидная, как кажется.
Что такое аналитические файлы cookie и зачем они нужны
Когда пользователь заходит на сайт, браузер может сохранить небольшой текстовый файл — файл cookie. Этот файл помогает сайту запомнить что-то о визите: например, что пользователь уже был здесь раньше или как долго он провёл на странице.
Аналитические cookie отличаются от других по назначению. Они не нужны для работы сайта. Они нужны только для того, чтобы собирать статистику: сколько людей зашло, с каких устройств, по каким ссылкам, сколько времени провели, где ушли.
Именно эти данные передаются в сервисы веб-аналитики — Яндекс.Метрику, Google Analytics, Рамблер/топ и другие.
Технические (необходимые) cookie
Нужны для базовой работы сайта: авторизация, корзина, языковые настройки. Без них сайт не работает. Согласие на них не требуется — они не передают данные третьим лицам и не отслеживают поведение.
Аналитические cookie
Используются для сбора статистики. Сайт отслеживает, как пользователь ведёт себя: что смотрит, куда кликает, как долго остаётся. Эти данные уходят во внешние сервисы аналитики. Согласие требуется.
Маркетинговые (рекламные) cookie
Используются для таргетинга. Помогают рекламным сетям показывать пользователю объявления на основе его интересов и поведения. Самый чувствительный тип — согласие обязательно, и его отдельно выделяют в cookie-баннерах.
Какие данные собирают Яндекс.Метрика и Google Analytics
Когда на сайте установлен счётчик аналитики, каждый визит фиксируется. Сервис получает уникальный идентификатор устройства или браузера (сам cookie), IP-адрес, тип устройства, операционную систему, браузер, страну и город, страницы, которые просматривал пользователь, время визита и источник перехода.
По отдельности эти данные кажутся нейтральными. Никакого имени, номера телефона, адреса электронной почты. Но уникальный идентификатор позволяет отличить одного пользователя от другого и отследить его поведение на сайте — это уже признак персональных данных.
Важно про Google Analytics
Данные Google Analytics уходят на серверы за пределами России. Это автоматически означает трансграничную передачу персональных данных — со своими отдельными требованиями по уведомлению Роскомнадзора и оформлению документов. Это дополнительный слой ответственности для владельца сайта.
Юридический статус cookie в российском праве
Прямого упоминания cookie в российском законодательстве нет. Закон № 152-ФЗ «О персональных данных» оперирует другими понятиями, и это создаёт пространство для трактовок.
Тем не менее позиция регуляторов — в первую очередь Роскомнадзора — сложилась достаточно однозначно: идентификаторы пользователей, включая cookie-идентификаторы, могут быть признаны персональными данными. Особенно когда они позволяют отслеживать поведение конкретного человека во времени.
Критерий персональных данных
По 152-ФЗ, персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу. Ключевое слово — «определяемому». Это означает, что данные не обязаны содержать имя или паспортные данные. Достаточно, чтобы с их помощью можно было выделить конкретного человека из множества.
Cookie-идентификатор делает именно это: он присваивается конкретному браузеру, позволяет отследить его повторные визиты и связать поведение в разных сессиях. С точки зрения закона этого может быть достаточно для признания данных персональными.
Европейское регулирование (GDPR) давно закрепило: cookie-идентификаторы являются персональными данными. Российский регулятор движется в том же направлении, хотя прямой нормы пока нет.
Практический вывод: лучше исходить из того, что обработка персональных данных на сайте начинается в момент запуска аналитических счётчиков. Это безопаснее с точки зрения возможных проверок.
Требования к сбору и обработке аналитических данных
Если принять, что аналитические cookie собирают персональные данные — а это разумная позиция — то на сайт накладывается несколько обязательных требований.
Уведомить пользователя до начала сбора данных
Пользователь должен знать, что сайт использует cookie и с какой целью. Это реализуется через cookie-баннер — всплывающее уведомление, которое появляется при первом визите. Баннер должен объяснять, какие типы cookie используются.
Получить явное согласие
Согласие должно быть добровольным и осознанным. Пользователь должен сам выбрать: принимать аналитические cookie или нет. Автоматически запущенные счётчики без согласия — нарушение. Почему сайты запрашивают согласие на cookie — это именно юридическое требование, а не формальность.
Не запускать скрипты до согласия
Если счётчик Яндекс.Метрики или Google Analytics загружается сразу при открытии страницы — до того, как пользователь что-либо выбрал — согласие не имеет смысла. Скрипты аналитики должны запускаться только после того, как пользователь дал разрешение.
Дать возможность отказаться или отозвать согласие
Пользователь должен иметь возможность не только дать согласие, но и отказаться от аналитических cookie — сейчас и в любой момент в будущем. Это значит, что на сайте нужен механизм управления предпочтениями.
Что считается нарушением
Если баннер появляется, но скрипты уже загружены — нарушение. Если баннер есть, но кнопки «Отклонить» нет — нарушение. Если пользователь принял только технические cookie, а аналитические всё равно запустились — нарушение.
Политика в отношении файлов cookie
Cookie-баннер — это только одна часть. Вторая часть — отдельный документ: политика в отношении файлов cookie (или раздел о cookie внутри общей политики конфиденциальности).
Этот документ нужен, чтобы пользователь мог прочитать подробную информацию о том, как именно сайт работает с cookie. Баннер даёт краткую выжимку, политика — полную картину.
Что должно быть в политике в отношении cookie
Перечень всех типов cookie, которые использует сайт (технические, аналитические, маркетинговые)
Конкретные названия cookie-файлов и их назначение
Срок хранения каждого cookie
Какие сторонние сервисы получают данные (Яндекс, Google и другие)
Как пользователь может управлять cookie: через настройки сайта и через настройки браузера
Последствия отказа от cookie (например, часть функций может не работать)
Ссылку на политику размещают в нескольких местах. Обязательно — в футере сайта. Желательно — прямо в тексте cookie-баннера. О том, как правильно разместить политику конфиденциальности на сайте, важно знать до того, как сайт запустит аналитику.
Если на сайте уже есть общая политика конфиденциальности, раздел о cookie можно включить в неё. Но он должен быть чётко выделен, а не спрятан мелким шрифтом в конце документа.
Ответственность за нарушения при работе с cookie
Российская правоприменительная практика по cookie пока не такая объёмная, как европейская. Но это не означает, что нарушений не замечают.
Роскомнадзор рассматривает жалобы пользователей. Если пользователь пожаловался, что сайт собирает данные без согласия — это основание для проверки. Проверка может закончиться предписанием или штрафом.
| Нарушение | Возможные последствия |
|---|---|
| Сбор cookie без согласия пользователя | Штраф 300 000 — 700 000 ₽ |
| Отсутствие политики конфиденциальности / политики cookie | Штраф до 60 000 ₽ |
| Передача данных за рубеж (Google Analytics) без уведомления РКН | Штраф 100 000 — 300 000 ₽ |
| Повторное нарушение | До 1 500 000 ₽ |
Подробнее об ответственности и штрафах за нарушение политики конфиденциальности — это важная часть понимания рисков для владельца сайта.
Отдельного внимания заслуживает ситуация с Google Analytics. Использование этого сервиса означает, что данные уходят в США. По российскому законодательству это трансграничная передача персональных данных, которая требует уведомления Роскомнадзора. Большинство сайтов этого не делают — и это отдельный риск.
Административная практика
На уровне судебных решений в России пока мало дел именно по cookie. Но Роскомнадзор неоднократно выносил предписания по нарушениям при обработке персональных данных в целом. Тренд на ужесточение контроля очевиден: с 2022 года штрафы существенно выросли, и регулятор стал активнее реагировать на жалобы пользователей.
Техническая реализация комплаенса
Сделать всё правильно — задача не только юридическая, но и техническая. Недостаточно разместить баннер «Мы используем cookie». Нужно, чтобы сайт реально не передавал данные до согласия.
Блокировка скриптов до получения согласия
Большинство CMS и конструкторов сайтов загружают все скрипты сразу при открытии страницы. Если счётчик Яндекс.Метрики прописан в коде страницы — он загрузится вместе с ней, ещё до любого действия пользователя.
Правильный подход: скрипты аналитики должны быть заблокированы по умолчанию и активироваться только после того, как пользователь нажал «Принять» в баннере.
Через атрибут type="text/plain"
Скрипт добавляется на страницу, но с атрибутом, который запрещает браузеру его выполнять. После получения согласия атрибут меняется на обычный — скрипт запускается. Этот метод работает без сторонних библиотек.
Через менеджер тегов (Google Tag Manager / Яндекс.Тег-менеджер)
Менеджер тегов позволяет управлять запуском скриптов через условия. Можно настроить так, чтобы счётчик срабатывал только при наличии определённой переменной — флага согласия, записанного в cookie или localStorage.
Через готовые решения (Consent Management Platforms)
CMP-платформы — специализированные инструменты для управления согласиями. Они берут на себя блокировку скриптов, хранение решений пользователя и передачу сигнала согласия во все подключённые системы. Подходят для сайтов с множеством инструментов аналитики и рекламы.
Механизм отзыва согласия
После того как пользователь дал согласие, он должен иметь возможность его отозвать — в любое время, без лишних шагов. Это требование прямо следует из 152-ФЗ: согласие отзывается так же, как и даётся.
На практике это означает: на сайте должна быть постоянно доступная кнопка или ссылка для управления настройками cookie. Обычно её размещают в футере — «Настройки cookie» или «Управление согласием».
Что происходит после отзыва согласия
Скрипты аналитики останавливаются
Счётчики прекращают сбор данных. Это должно происходить немедленно — в той же сессии, без перезагрузки.
Аналитические cookie удаляются
Ранее записанные аналитические файлы cookie должны быть удалены с устройства пользователя.
Решение сохраняется
Выбор пользователя («отказался от аналитики») фиксируется — чтобы баннер не появлялся снова при каждом визите.
Подробнее о том, как технически реализовать всё это: установка cookie-уведомления на сайт с готовым кодом — там есть конкретные примеры реализации баннера и блокировки скриптов.
Частые вопросы
Нужен ли cookie-баннер, если сайт использует только Яндекс.Метрику?
Можно ли просто поставить баннер с одной кнопкой «Принять»?
Что будет, если пользователь пришёл с поиска и закрыл баннер, не нажав ничего?
Нужно ли хранить доказательства того, что пользователь дал согласие?
Применяется ли всё это к сайтам на Tilda или других конструкторах?
Как пользователь может управлять cookie самостоятельно, без настроек сайта?
Главное
Аналитические cookie — не просто технический инструмент. С точки зрения российского законодательства они могут собирать данные, которые подпадают под действие 152-ФЗ. Это значит, что владелец сайта берёт на себя роль оператора персональных данных — с обязанностями уведомить пользователя, получить согласие и обеспечить возможность его отозвать.
Три вещи, которые должны быть на любом сайте с аналитикой: cookie-баннер с реальным выбором, политика в отношении cookie и техническая блокировка скриптов до момента согласия.
Сделать всё это сложнее, чем просто поставить баннер. Но именно техническая реализация отличает формальное соответствие от реального. Регулятор интересуется не наличием баннера, а тем, что происходит за ним.