Если вам пришло письмо от Роскомнадзора или вы просто хотите разобраться, нужен ли вашему сайту cookie-баннер — вы попали по адресу. Разберём без лишней воды: что требует закон, что грозит за нарушения и как сделать всё правильно.

Ключевые понятия: что такое 152-ФЗ и кто такой оператор ПДн

152-ФЗ — это Федеральный закон «О персональных данных» от 27.07.2006. Он регулирует, как организации и предприниматели должны собирать, хранить и использовать личные данные людей. Закон распространяется на всех, кто ведёт сайт и собирает любую информацию о посетителях — даже косвенно, через счётчики аналитики.

Оператор персональных данных (оператор ПДн) — это любое юридическое лицо, ИП или физическое лицо, которое самостоятельно или совместно с другими организует обработку персональных данных. Если у вас есть сайт с Яндекс Метрикой, формой обратной связи или онлайн-чатом — вы оператор ПДн. Со всеми вытекающими обязанностями.

Персональные данные (ПДн) — любая информация, которая позволяет прямо или косвенно идентифицировать конкретного человека. Это не только имя и паспорт: идентификатор браузера в Яндекс Метрике тоже может быть персональными данными.

Почему это касается вашего сайта

Cookie-баннер — это не европейская история «не про нас». Большинство российских сайтов с Яндекс Метрикой, VK Pixel или онлайн-чатами обязаны получать согласие пользователя до начала сбора данных — этого требует 152-ФЗ.

На практике владельцы сайтов делают одно из двух: копируют западный баннер «мы используем cookie, нажмите ОК» — или не ставят ничего. Оба подхода создают проблемы. Первый даёт ложное ощущение безопасности, второй — реальный риск штрафа.

Разберём по порядку: кому баннер нужен, что именно требует закон и почему большинство существующих баннеров юридически не работают.

Что такое cookie с точки зрения закона о персональных данных

Технически cookie — это небольшой текстовый файл, который сайт сохраняет в браузере пользователя. Хранит сессию, настройки, идентификаторы.

Юридически картина сложнее. Роскомнадзор в своих разъяснениях указывает: cookie-файлы, содержащие идентификаторы пользователя, могут относиться к персональным данным — в случаях, когда позволяют прямо или косвенно идентифицировать человека. Идентификатор в Яндекс Метрике, client_id в Google Analytics, пиксель ВКонтакте — всё это инструменты, которые привязывают поведение конкретного браузера к профилю пользователя. Следовательно, передача этих данных требует согласия.

Уточните в первоисточнике: квалификация конкретных cookie-идентификаторов как персональных данных в актуальных разъяснениях РКН может уточняться. Проверьте действующую позицию на pd.rkn.gov.ru.

При этом cookie бывают разными, и требования к ним различаются:

Тип cookie Примеры Нужно ли согласие
Необходимые (технические) Сессия авторизации, корзина, CSRF-токен Нет
Аналитические Яндекс Метрика, Google Analytics Да
Маркетинговые VK Pixel, ретаргетинг Да
Функциональные Запомнить язык, тему оформления Зависит от реализации

Технические cookie, без которых сайт просто не работает, согласия не требуют. Всё остальное — требует.

Примечание: Facebook Pixel (Meta) по состоянию на дату публикации недоступен для использования на территории РФ в штатном режиме в связи с ограничениями деятельности Meta. Уточните актуальный правовой статус сервисов Meta в РФ перед их применением.

Кому нужен cookie-баннер: проверьте свой сайт за 2 минуты

Ответ на вопрос «нужен ли мне баннер» зависит не от типа бизнеса, а от того, какие скрипты установлены на сайте.

Баннер обязателен, если на сайте есть:

  • Яндекс Метрика (любой счётчик)
  • Google Analytics (UA или GA4)
  • VK Pixel или реклама ВКонтакте
  • calltracking-сервисы (CoMagic, Callibri, Ringostat и аналоги)
  • онлайн-чаты (JivoSite, Carrot Quest, Webim и аналоги)
  • сервисы A/B-тестирования
  • пиксели партнёрских сетей
  • любые рекламные пиксели

Баннер не обязателен, если:

  • Сайт — чистый HTML без сторонних скриптов
  • Используются только технические cookie CMS (сессия, CSRF)
  • Нет никакой аналитики и трекинга

Честно: под второй пункт подпадает очень малая доля реальных сайтов. Если у вас стоит хотя бы счётчик Метрики — баннер нужен.

Что требует 152-ФЗ: без юридической воды

Закон «О персональных данных» требует получить согласие субъекта персональных данных до начала их обработки (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным.

Применительно к cookie это означает: пользователь должен знать, какие данные собираются, кем и зачем — и дать на это явное согласие до того, как скрипты начнут работу. Не «ознакомиться с уведомлением», а именно дать согласие.

Ст. 6 152-ФЗ описывает основания для обработки персональных данных. Для аналитических и маркетинговых cookie основным применимым основанием является согласие пользователя. В отличие от европейского GDPR, российский закон не содержит самостоятельного основания «законный интерес» (legitimate interest), что существенно сужает возможности для обработки данных без согласия.

Уточните в первоисточнике: перечень оснований для обработки персональных данных закреплён в ст. 6 152-ФЗ. При применении к конкретной ситуации рекомендуется консультация юриста — в ряде случаев могут быть применимы иные основания (например, обработка в целях исполнения договора с пользователем по п. 5 ч. 1 ст. 6).

Что грозит за отсутствие cookie-баннера

КоАП РФ, статья 13.11, часть 2 — обработка персональных данных без согласия субъекта в письменной форме, если такое согласие обязательно:

  • для должностных лиц: от 20 000 до 40 000 рублей
  • для юридических лиц: от 30 000 до 150 000 рублей

За иные нарушения требований к обработке персональных данных (ч. 1 ст. 13.11 КоАП РФ):

  • для должностных лиц: от 10 000 до 20 000 рублей
  • для юридических лиц: от 60 000 до 100 000 рублей

За повторное нарушение санкции существенно выше. Ст. 13.11 КоАП РФ с 2022 года неоднократно менялась — проверьте актуальную редакцию на consultant.ru или pravo.gov.ru.

Важно: приведённые размеры штрафов указаны по состоянию на дату подготовки материала. Санкции статьи 13.11 КоАП РФ неоднократно изменялись в 2022–2024 годах. Проверьте актуальную редакцию в первоисточнике.

Проверяет соответствие Роскомнадзор — как в рамках плановых проверок, так и по жалобам пользователей. Жалобу может подать любой человек через сайт РКН.

Нарушение в части cookie часто выявляется в совокупности с другими — отсутствием политики конфиденциальности, нарушением требований об уведомлении РКН об обработке ПДн. Тогда совокупные санкции становятся ощутимее.

Почему большинство cookie-баннеров не работают

Вот главная проблема, о которой почти не пишут на русском языке.

Баннер на сайте есть. Написано «мы используем cookie». Кнопка «Принять» присутствует. Но Яндекс Метрика уже загрузилась — в момент, когда страница открылась, до того как пользователь что-либо нажал.

Это юридически неверно. Согласие должно предшествовать обработке данных, а не фиксировать факт обработки, которая уже произошла.

Проверить свой сайт просто:

  1. Открой Chrome в режиме инкогнито
  2. Перейди на свой сайт, ничего не нажимай
  3. Открой DevTools (F12) — вкладка Network
  4. Отфильтруй запросы по «mc.yandex» или «google-analytics»

Если запросы к счётчикам уходят до нажатия кнопки согласия — твой баннер декоративный, а не правовой.

Как правильно блокировать трекеры до согласия

Принцип называется consent-first: скрипты аналитики и маркетинга не должны загружаться до получения согласия пользователя.

Неправильная схема: Страница открывается → все скрипты загружаются → появляется баннер → пользователь нажимает «Принять»

Правильная схема: Страница открывается → загружаются только технические скрипты → появляется баннер → пользователь нажимает «Принять» → загружаются аналитические и маркетинговые скрипты

Технически это реализуется тремя способами:

1. Условная загрузка через JavaScript

Скрипт счётчика не вставляется в код страницы напрямую. Вместо этого он загружается динамически — только после того, как пользователь нажал «Принять» и это событие зафиксировано. Статус согласия хранится в localStorage или cookie (технические cookie для хранения согласия разрешены).

2. Google Tag Manager Consent Mode v2

GTM позволяет настроить режим, при котором теги не срабатывают до получения сигнала согласия. Настраивается через переменные согласия: analytics_storage, ad_storage, ad_user_data, ad_personalization.

По состоянию на дату публикации: функциональность Google Tag Manager и Google Consent Mode v2 на территории РФ доступна, однако в связи с общей нестабильностью работы сервисов Google в РФ рекомендуется проверять актуальный статус доступности.

3. Специализированные CMP-решения

Платформы управления согласием (CMP) делают блокировку скриптов своей основной функцией. Они сканируют сайт, классифицируют cookie по категориям, блокируют скрипты до согласия и ведут журнал согласий.

Cookie-баннер на WordPress: как сделать правильно {#cookie-баннер-на-wordpress}

WordPress — одна из наиболее распространённых CMS. Экосистема плагинов для cookie-баннеров богатая, но многие плагины просто показывают баннер, не блокируя при этом скрипты. Это как повесить предупреждение о закрытой двери, не закрывая саму дверь.

Типичные ошибки на WordPress

  • Плагин «Cookie Notice» в стандартной конфигурации — только отображает уведомление, скрипты не блокирует
  • Плагин кэширования (WP Rocket, W3 Total Cache) может подгружать страницу без учёта статуса согласия — нужна правильная настройка исключений
  • Неверная категоризация: JivoSite записан как «необходимый», хотя является функциональным или маркетинговым инструментом

Сравнение рабочих решений для WordPress

Решение Блокирует скрипты до согласия Бесплатная версия Сложность настройки Подходит для РФ
Cookiebot Да До 100 страниц Низкая Да
CookieYes Да До 100 страниц Низкая Да
Complianz Да Да (без лимита) Средняя Да
WP AutoTerms Частично Да Низкая Частично
Ручная реализация Да Да (бесплатно) Высокая Да

По состоянию на дату публикации: условия бесплатных тарифов указанных сервисов могут изменяться. Уточните актуальные лимиты на официальных сайтах разработчиков.

Базовая настройка Complianz (пошагово)

  1. Установи плагин через «Плагины — Добавить новый», найди Complianz — GDPR/CCPA Cookie Consent
  2. Запусти мастер настройки (Setup Wizard) — он проведёт через все шаги
  3. На шаге «Cookie Scan» запусти сканирование — плагин автоматически найдёт cookie на сайте и предложит категории
  4. Проверь и скорректируй категоризацию: Метрика и GA — в «Statistics», пиксели — в «Marketing»
  5. На шаге интеграции с GTM включи Consent Mode v2, если используешь Google Tag Manager
  6. Выбери режим блокировки: «Script Center» — это то, что блокирует скрипты до согласия
  7. Настрой внешний вид баннера, добавь три кнопки: «Принять все», «Настроить», «Отклонить»
  8. Проверь результат: режим инкогнито → открой сайт → DevTools → убедись, что Метрика не грузится до нажатия

По состоянию на дату публикации: интерфейс и функциональность Complianz могут отличаться в зависимости от версии плагина. Сверяйтесь с актуальной документацией на сайте разработчика.

Важно с кэшированием: если используешь WP Rocket или аналог, в настройках исключений пропиши cookie Complianz (cmplz_*), чтобы статус согласия не кэшировался.

Cookie-баннер на Tilda: возможности и ограничения {#cookie-баннер-на-tilda}

Tilda — история отдельная, потому что конструктор серьёзно ограничивает доступ к серверной части и к полному контролю над загрузкой скриптов.

Встроенный модуль Tilda

В Tilda есть стандартный блок уведомления о cookie (раздел «Другое» в библиотеке блоков). Он показывает баннер и запоминает факт принятия. Проблема та же — встроенные инструменты аналитики Tilda загружаются независимо от статуса согласия.

По состоянию на дату публикации: функциональность встроенного cookie-блока Tilda уточняйте в актуальной документации платформы — возможности конструктора обновляются.

Zero Block и кастомная реализация

Более гибкое решение — создать баннер через Zero Block (нулевой блок с полным контролем над HTML/CSS/JS) и реализовать условную загрузку скриптов вручную.

Схема работы:

  • Счётчики аналитики добавляются не через стандартное поле «Аналитика» в настройках Tilda, а через Zero Block с кастомным JavaScript
  • При первом визите скрипт аналитики не инициализируется
  • После нажатия «Принять» в cookie записывается статус согласия, и скрипт загружается динамически
  • При повторных визитах скрипт проверяет наличие cookie согласия и загружает аналитику только при положительном значении

Если разработчика нет — можно использовать внешние CMP-сервисы (Cookiebot, CookieYes), которые предоставляют код для вставки в раздел «Мета-теги» Tilda и берут управление скриптами на себя.

Ограничение: раздел «Мета-теги» для вставки кастомного кода доступен только на платных тарифах Tilda — по состоянию на дату публикации; уточните актуальные условия на сайте Tilda.

Реальный кейс: аудит cookie-баннера и исправление нарушений

На аудит пришёл клиент — небольшой интернет-магазин на WordPress, около 15 000 уникальных посетителей в месяц. На сайте был установлен плагин Cookie Notice. Владелец был уверен, что с cookie всё в порядке.

Что обнаружили при аудите:

  • Яндекс Метрика загружалась при каждом открытии страницы — до любых действий пользователя
  • Сторонний рекламный пиксель грузился аналогично
  • Плагин Cookie Notice фиксировал клик по кнопке «OK», но никак не влиял на загрузку скриптов
  • Кнопки «Настроить» и «Отклонить» отсутствовали — только «Принять»
  • Политика конфиденциальности не упоминала конкретные сервисы аналитики и их цели

По факту: баннер был, соответствия 152-ФЗ не было.

Что сделали:

  1. Заменили Cookie Notice на Complianz
  2. Перенесли коды счётчиков под управление Script Center плагина
  3. Настроили GTM Consent Mode v2
  4. Добавили три варианта действия в баннере: принять все, настроить по категориям, отклонить
  5. Обновили политику конфиденциальности — добавили раздел о cookie с перечнем сервисов

Результат: при проверке через DevTools в режиме инкогнито Метрика и рекламный пиксель не загружались до нажатия кнопки согласия.

По аналитике: доля пользователей, принявших все cookie, составила около 68%. Это означает, что данные в Метрике теперь видны по 68% трафика вместо 100%. Это честная цена за соответствие закону. Потеря части данных — нормальная ситуация, с которой нужно уметь работать.

Требования к тексту и дизайну cookie-баннера

Баннер — это не просто всплывающее окно. Это юридически значимый интерфейс получения согласия.

Обязательные элементы содержания

  • Чёткое объяснение, что используются cookie и для чего (аналитика, реклама, функциональность)
  • Кто является оператором обработки данных (название компании или ИП)
  • Ссылка на полную политику обработки персональных данных / политику cookie
  • Возможность выбора: принять все, настроить по категориям, отклонить

Три кнопки: почему это важно

В правильном баннере должны быть все три варианта действия:

  • «Принять все» — согласие на все категории cookie
  • «Настроить» (или «Управление») — выбор конкретных категорий
  • «Отклонить» (или «Только необходимые») — отказ от всего, кроме технических cookie

Ст. 9 152-ФЗ устанавливает, что согласие должно быть добровольным. Если пользователь не имеет возможности отказаться от согласия так же легко, как его дать — добровольность оказывается под вопросом. Кнопка «Отклонить» — практическая реализация этого принципа.

Что нежелательно: тёмные паттерны

  • Кнопка «Принять» визуально выделена, «Отклонить» спрятана мелким шрифтом или серым цветом
  • «Отклонить» — мелкая ссылка внизу, «Принять» — большая зелёная кнопка
  • Бесконечные клики для отказа (принять в один клик, отказаться в несколько)
  • Баннер перекрывает контент, и нет способа закрыть его без согласия
  • Формулировка «продолжая использование сайта, вы соглашаетесь...» — не является надлежащим согласием по смыслу ст. 9 152-ФЗ

Мобильная версия

На смартфонах баннер не должен перекрывать весь экран так, что невозможно добраться до контента без принятия. Минимум — полоска внизу экрана с кнопками. Оптимально — компактный баннер с явными кнопками всех трёх вариантов действия.

Минимальный чек-лист для самопроверки cookie-баннера

Пройдите по каждому пункту. Если хотя бы один не выполнен — сайт не соответствует требованиям 152-ФЗ.

  • Проведён аудит cookie: вы знаете, какие именно файлы и скрипты работают на сайте
  • Аналитические и маркетинговые скрипты не загружаются до нажатия кнопки согласия (проверено через DevTools в режиме инкогнито)
  • Баннер содержит возможность принять все cookie, настроить по категориям и отклонить необязательные
  • В баннере есть ссылка на политику конфиденциальности / политику cookie
  • Политика конфиденциальности перечисляет конкретные сервисы (Метрика, GA, пиксели) и цели их использования
  • Баннер нормально отображается на мобильных устройствах
  • Журнал согласий ведётся (через CMP или другим способом)
  • Оператор данных направил уведомление об обработке персональных данных в РКН (если ранее не направлялось — уточните обязанность по ст. 22 152-ФЗ)

Главный вывод: наличие баннера на сайте и соответствие 152-ФЗ — это не одно и то же. Большинство баннеров декоративные: они показываются поверх уже запущенной аналитики. Единственный способ соответствовать закону — блокировать скрипты до согласия пользователя, а не после. Это технически решаемо за несколько часов настройки.

Часто задаваемые вопросы

Нужен ли cookie-баннер, если мой сайт маленький и я работаю как ИП?

Да. 152-ФЗ распространяется на всех операторов ПДн — юридических лиц, ИП и физических лиц. Размер бизнеса и объём трафика значения не имеют. Если на сайте стоит Яндекс Метрика — вы обязаны получать согласие до начала её работы.

Пришло письмо от РКН. Что делать прямо сейчас?

Первое — не игнорировать. Второе — проверьте, что именно указано в письме: требование устранить нарушение, уведомление о проверке или что-то иное. Третье — проверьте сайт через DevTools (режим инкогнито → F12 → Network): загружается ли Метрика до нажатия на баннер. Если да — это нарушение, которое нужно устранить технически. Четвёртое — если письмо содержит конкретные требования с датой ответа, обратитесь к юристу по персональным данным.

Можно ли сделать баннер самостоятельно без плагинов и программистов?

На WordPress — с трудом: понадобится либо плагин с функцией блокировки скриптов (Complianz, CookieYes), либо помощь разработчика. На Tilda — только через платный тариф и кастомный JavaScript в Zero Block. Самый быстрый путь для не-технического владельца бизнеса — подключить готовый CMP-сервис: он сам сканирует cookie, блокирует скрипты и ведёт журнал согласий.

Влияет ли правильный cookie-баннер на показатели аналитики?

Да. Часть пользователей откажется от cookie — как правило, 20–40%. Это означает, что данные в Метрике будут охватывать не 100% трафика, а меньше. Это нормально и честно. Работайте с выборкой: основные тренды остаются видны, а конверсии отслеживаются на принявших согласие пользователях. Альтернатива — работать с полными данными и нести риск штрафа.

Нужно ли обновлять баннер и политику cookie, если я подключил новый сервис на сайт?

Да, обязательно. Каждый новый сервис с трекингом — это новый вид обработки персональных данных. Добавили calltracking, подключили новый чат или рекламный пиксель — обновите политику конфиденциальности и при необходимости запросите повторное согласие. Большинство CMP-платформ делают это автоматически при обновлении версии политики.

Не уверены, что ваш баннер работает правильно?

Проверьте сайт бесплатно на сервисе ЧистыйСайт — он покажет, какие трекеры запускаются без согласия пользователя, и поможет привести сайт в соответствие с 152-ФЗ.