Открываешь сайт — внизу экрана появляется полоска или всплывающее окно. Написано что-то про cookie, есть кнопка «Принять» или «Согласен». Большинство пользователей жмут не читая. Но для владельца сайта этот баннер — не элемент дизайна, а юридически значимый инструмент.
Без него сайт собирает данные о посетителях без их ведома. По российскому законодательству это нарушение. Разбираем, как правильно добавить cookie-уведомление и что в нём должно быть.
Как добавить cookie-уведомление на сайт: готовый код
Весь код — HTML-разметка, CSS-стили и JavaScript-логика — вставляется одним блоком перед закрывающим тегом </body>. Никаких дополнительных библиотек не требуется, работает на любом сайте.
После вставки баннер появится при первом визите и скроется после того, как пользователь нажмёт «Согласен». Выбор сохраняется в браузере — повторно баннер не показывается.
Готовый код — вставить перед </body> или в подвал сайта
Введите ссылку на вашу политику cookie — она автоматически подставится в код.
Юридические требования к cookie-уведомлению
Баннер — не просто вежливый жест. Это инструмент получения согласия на обработку персональных данных. Чтобы он имел юридическую силу, нужно соблюсти несколько условий.
Для понимания контекста: файлы cookie в большинстве случаев признаются персональными данными, поскольку позволяют идентифицировать или отследить конкретного пользователя. Это делает их сбор предметом регулирования 152-ФЗ.
Почему cookie — это персональные данные
Аналитические cookie фиксируют поведение пользователя: какие страницы он посещал, как долго, откуда пришёл. Маркетинговые — хранят идентификаторы для рекламных систем. Всё это позволяет составить профиль конкретного человека даже без знания его имени.
Роскомнадзор в своих разъяснениях указывает, что IP-адрес и данные о браузерном поведении относятся к персональным данным при наличии возможности идентификации субъекта — а такая возможность есть у большинства аналитических сервисов.
Текст баннера должен объяснять цель сбора
Не просто «сайт использует cookie», а конкретно: для чего. Например: аналитика, персонализация контента, рекламные цели. Пользователь должен понимать, с чем соглашается.
Согласие должно быть активным
Баннер нельзя закрывать автоматически по истечении времени. Нельзя считать согласием факт прокрутки страницы или её закрытие. Пользователь должен нажать кнопку.
Обязательна ссылка на политику конфиденциальности
В тексте баннера нужна кликабельная ссылка на политику конфиденциальности. Отдельно рекомендуется ссылка на Положение об использовании cookie — документ, в котором расписано, какие именно файлы cookie используются и зачем.
Отзыв согласия должен быть возможен
Пользователь должен иметь возможность в любой момент изменить свои настройки или отозвать согласие. Для этого обычно добавляют постоянный значок или ссылку в футере сайта.
Классификация файлов cookie: что важно знать владельцу сайта
Не все cookie одинаковы с точки зрения закона. Одни технически необходимы и могут использоваться без согласия, другие требуют явного разрешения пользователя.
| Тип cookie | Примеры | Нужно согласие? |
|---|---|---|
| Технические (необходимые) | Сессия авторизации, корзина, CSRF-токен | Нет — они нужны для работы сайта |
| Аналитические | Google Analytics, Яндекс.Метрика | Да — собирают данные о поведении |
| Маркетинговые | Пиксели VK, Facebook*, рекламные сети | Да — идентифицируют пользователя для рекламы |
| Персонализации | Запомненные настройки, регион, язык | Зависит от реализации |
* Facebook признан экстремистской организацией и запрещён на территории РФ.
Технические cookie и сессионные данные
Файлы, без которых сайт просто не работает — авторизация, корзина в магазине, защита от CSRF-атак — можно использовать без согласия пользователя. Главное условие: они не должны использоваться для отслеживания или профилирования. Если те же данные параллельно уходят в аналитическую систему — это уже аналитические cookie, и согласие нужно.
Трансграничная передача данных через сторонние сервисы
Когда на сайте установлена Яндекс.Метрика — данные остаются в российском контуре. Но большинство сайтов используют и зарубежные сервисы: Google Analytics, рекламные пиксели, системы онлайн-чата, CDN. Данные о пользователях при этом уходят за рубеж.
Такая передача называется трансграничной передачей персональных данных и регулируется отдельной статьёй 152-ФЗ. С 2023 года для неё обязательно уведомление Роскомнадзора до начала передачи.
Если баннер позволяет пользователю отказаться от аналитических cookie — и это отключает зарубежные скрипты — риски снижаются. Но полностью не исчезают: факт самой возможной передачи уже требует документального оформления.
Правовые последствия: штрафы и проверки
Отсутствие cookie-баннера само по себе пока редко становится причиной штрафа — прямой нормы именно о баннерах в российском законодательстве нет. Но проблема возникает иначе: без баннера сайт собирает данные без согласия, а это уже чёткое нарушение.
Подробно о санкциях написано в статье об ответственности за нарушение политики конфиденциальности. Ниже — ключевые цифры.
| Нарушение | Размер штрафа |
|---|---|
| Обработка персональных данных без согласия | 300 000 — 700 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Отсутствие политики конфиденциальности | до 60 000 ₽ |
| Нарушения при трансграничной передаче данных | 100 000 — 300 000 ₽ |
Проверки Роскомнадзора чаще всего инициируются по жалобам пользователей, а не по плановому расписанию. Правильно оформленный баннер — это минимальная защита, которая закрывает самые распространённые претензии.
Чек-лист: проверка cookie-баннера на соответствие закону
Пройдитесь по каждому пункту применительно к своему сайту. Если хотя бы один не выполнен — это потенциальная проблема.
Отображение и доступность
- Баннер виден при первом посещении сайта с нового браузера/устройства
- Баннер корректно отображается на десктопе и смартфоне
- Текст читаемый, без мелкого шрифта
- Кнопка «Согласен» кликабельна и хорошо заметна
- Баннер не перекрывает важный контент страницы
Логика работы
- После нажатия «Согласен» баннер скрывается и больше не появляется
- Выбор пользователя сохраняется между сессиями
- Баннер снова появляется после очистки данных браузера
Содержание и документы
- В тексте баннера указаны цели использования cookie
- Есть ссылка на политику конфиденциальности
- Политика конфиденциальности упоминает использование cookie
- Если используются зарубежные сервисы — оформлена трансграничная передача
- Если сайт делает обработку ПД через формы — есть отдельное согласие под каждой формой
Частые вопросы
Обязателен ли cookie-баннер по российскому закону?
Можно ли заблокировать доступ к сайту, если пользователь не принял cookie?
Нужен ли баннер, если сайт использует только Яндекс.Метрику?
Как часто нужно снова показывать баннер?
Достаточно ли уведомления в футере — «Используя сайт, вы соглашаетесь с политикой»?
Что делать, если сайт сделан на Тильде или другом конструкторе?
Главное
Cookie-баннер — не технический виджет и не дань моде. Это способ получить согласие пользователя на обработку персональных данных, которую ведут аналитические и маркетинговые скрипты.
Правильный баннер: появляется сам, содержит понятный текст с указанием целей, имеет кнопку отклонения, не загружает аналитику до нажатия «Принять» и ссылается на политику конфиденциальности.
Код из этой статьи закрывает базовые требования для большинства сайтов. Если на сайте используются зарубежные сервисы или сложная аналитика — стоит дополнительно разобраться с вопросом трансграничной передачи данных и уведомить Роскомнадзор.