Когда сайт ставит cookie, он может не просто запоминать настройки браузера, а собирать сведения о посетителе: идентификатор, IP-адрес, источник перехода, действия на страницах. Если по этим данным можно прямо или косвенно выделить человека, к ним применяются правила 152-ФЗ.
Отдельный закон о cookie в РФ не принят, но владелец сайта всё равно должен действовать как оператор персональных данных: объяснить, какие cookie используются, зачем они нужны, получить согласие там, где это требуется, и дать пользователю понятный способ отказаться.
Политика cookies не всегда обязательна как отдельный документ. Но информация о cookie должна быть раскрыта: в политике конфиденциальности, отдельной cookie-политике или связанном разделе. Иначе посетитель не понимает, какие данные собираются, а у сайта появляется риск претензий Роскомнадзора.
Являются ли cookie персональными данными
Сам по себе небольшой технический файл не всегда содержит имя, телефон или email. Но закон смотрит шире: персональными считаются не только очевидные данные, а любая информация, которая относится к определённому или определяемому человеку.
Поэтому cookie становятся персональными данными, если помогают узнать пользователя среди других: через уникальный ID, связку с аккаунтом, IP-адрес, историю посещений, рекламный профиль или данные аналитики. Подробнее базовая логика разобрана в материале про файлы cookie.
Для владельца сайта важен не формат файла, а итог. Если cookie позволяют отслеживать поведение конкретного посетителя, возвращать его в рекламную аудиторию или связывать визиты с заявкой, это уже зона требований 152-ФЗ.
Коротко
Технические cookie для работы корзины или авторизации обычно менее рискованны. Аналитические, рекламные и идентификационные cookie требуют особого внимания: именно они чаще всего связываются с обработкой персональных данных.
Позиция Роскомнадзора и практика
Роскомнадзор исходит из широкой трактовки персональных данных. Если набор сведений помогает определить пользователя, сайт должен соблюдать правила обработки ПДн: законное основание, информирование, ограничение целей, защиту и возможность отзыва согласия.
Суды также обращают внимание не на название технологии, а на возможность идентификации. В спорах могут оцениваться IP-адреса, cookie-идентификаторы, данные рекламных кабинетов, системы веб-аналитики и то, где хранятся сведения о пользователях.
Поэтому для сайта безопаснее заранее проверить, какие скрипты стоят на страницах: метрики, пиксели, формы обратной связи, онлайн-чаты, виджеты соцсетей. Эти элементы часто собирают больше данных, чем кажется владельцу сайта.
Основные требования к использованию cookie
Понятно объяснить сбор данных
Пользователь должен видеть, что сайт использует cookie, какие категории файлов применяются и для каких целей: работа сайта, аналитика, персонализация, реклама.
Получить согласие, когда оно нужно
Если cookie не являются строго необходимыми и используются для аналитики, рекламы или профилирования, лучше получать отдельное согласие через баннер. Подробно это раскрыто в статье о том, почему сайт запрашивает согласие на cookie.
Не собирать лишнее
Сайт не должен собирать данные «на всякий случай». Если нужна только статистика посещений, не стоит включать рекламные идентификаторы и передачу данных в сторонние сервисы без ясной цели.
Дать возможность отказаться
У пользователя должен быть понятный выбор: принять cookie, отказаться от необязательных файлов или перейти к настройкам. Баннер без кнопки отказа выглядит слабее при проверке.
Политика cookies: обязательна ли она
В 152-ФЗ нет отдельной нормы, которая прямо говорит: у каждого сайта должна быть самостоятельная политика cookies. Но закон требует информировать пользователя об обработке персональных данных. Если cookie участвуют в такой обработке, информацию о них нужно раскрыть.
Это можно сделать двумя способами. Первый — включить раздел о cookie в общую политику конфиденциальности для сайта. Второй — создать отдельную политику cookies и поставить на неё ссылку из баннера и футера.
Отдельный документ удобен, если на сайте много сторонних скриптов: веб-аналитика, рекламные пиксели, A/B-тесты, персональные рекомендации, онлайн-чаты. В небольшом сайте услуг часто достаточно отдельного раздела внутри общей политики.
Что включить в политику cookies
- кто является владельцем сайта и оператором персональных данных;
- какие категории cookie используются: обязательные, аналитические, функциональные, рекламные;
- какие данные могут собираться: ID пользователя, IP-адрес, сведения о браузере, действия на сайте;
- для каких целей используются cookie;
- какие сторонние сервисы получают доступ к данным;
- как пользователь может отказаться от необязательных cookie;
- как отозвать согласие и куда направить обращение.
Если сайт использует аналитику, важно описать её отдельно. Особенно когда данные передаются внешним сервисам или могут уходить за пределы России. Для таких случаев полезно проверить правила законного использования аналитических файлов cookie.
Политика не должна быть длинной ради объёма. Достаточно честно описать реальные процессы. Ошибка возникает тогда, когда документ обещает одно, а сайт фактически загружает десятки трекеров без предупреждения.
Как оформить cookie-баннер
Баннер нужен не для красоты и не для формальности. Он показывает посетителю, что сайт собирает данные через браузер, и даёт выбор до использования необязательных cookie.
Хороший баннер содержит короткий текст, ссылку на политику, кнопку согласия и кнопку отказа или настройки. Формулировка должна быть простой: какие cookie используются и зачем. Не стоит прятать отказ мелким серым текстом или закрывать страницу, пока человек не согласится.
Пример спокойной формулировки
Сайт использует cookie для работы сервиса, анализа посещаемости и улучшения страниц. Вы можете принять все cookie или отказаться от необязательных. Подробнее — в политике использования cookie.
Типичные ошибки владельцев сайтов
Баннер есть, но выбора нет
Кнопка «ОК» без отказа и настроек плохо подтверждает добровольное согласие. Особенно если до клика уже загружаются рекламные и аналитические скрипты.
В политике нет cookie
Документ говорит только о формах заявок, но не упоминает метрику, пиксели, виджеты и идентификаторы. Это создаёт разрыв между текстом и фактической обработкой персональных данных на сайте.
Не проверены сторонние сервисы
Владелец сайта может не знать, что плагин, чат или рекламный пиксель ставит свои cookie. Но при проверке ответственность всё равно ложится на оператора сайта.
Ответственность за нарушения
Штрафы обычно связаны не с самим словом cookie, а с нарушением правил обработки персональных данных: нет информирования, нет согласия, данные собираются для неясных целей, используются сторонние сервисы без отражения в документах.
Риски зависят от состава нарушения. По статье 13.11 КоАП РФ санкции могут отличаться для граждан, должностных лиц, ИП и организаций. Отдельно оцениваются повторные нарушения, незаконная передача данных и утечки.
Чтобы снизить риск, стоит проверить сайт целиком: баннер, политику, формы, скрипты аналитики, рекламные пиксели и порядок хранения согласий. Общие ориентиры собраны в материале про требования Роскомнадзора к сайтам.
Главное
Cookie на сайте в РФ нужно рассматривать через правила 152-ФЗ. Если они помогают идентифицировать пользователя или отслеживать его действия, сайт должен раскрыть такую обработку, получить согласие для необязательных cookie и дать понятный отказ. Отдельная политика cookies не всегда обязательна, но информация о cookie должна быть доступной, точной и связанной с реальной работой сайта.