Куки (cookies) – небольшие файлы, которые сайт сохраняет в браузере посетителя. С точки зрения 152-ФЗ часть куки относится к персональным данным, и за их обработку без уведомления и согласия Роскомнадзор штрафует. Разбираем, что важно знать владельцу сайта в 2026 году по теме «что такое куки и какие виды куки бывают: разбор по 152-фз».
Какие куки относятся к ПДн
Роскомнадзор в разъяснении 2022 года признал куки и подобные технологии (Local Storage, Pixel-теги, Fingerprint) персональными данными, если они позволяют идентифицировать пользователя – прямо или косвенно. Это касается рекламных и аналитических куки: Яндекс.Метрика, VK Pixel, Mail.ru, Google Analytics, Facebook Pixel и аналогов. Чисто технические куки (поддержание сессии, корзина, выбор языка) под обработку ПДн обычно не попадают.
Что обязан сайт
По статьям 9 и 18.1 152-ФЗ сайт, использующий куки, относящиеся к ПДн, обязан:
- уведомить пользователя о факте сбора куки до момента сбора – баннер при первом визите;
- получить согласие пользователя на обработку (активное действие – кнопка «Согласен» или «Принять»);
- дать возможность отказаться от необязательных куки без потери базового функционала сайта;
- опубликовать политику обработки куки с перечнем сервисов, целей и сроков хранения;
- обеспечить хранение куки, относящихся к ПДн граждан РФ, на серверах в России.
Как должен выглядеть баннер о куки
Корректный баннер содержит: краткое уведомление о сборе куки, перечисление целей (аналитика, реклама, удобство), ссылку на политику использования куки, две кнопки – «Согласен» и «Настроить» (или «Отклонить необязательные»). Баннер не должен мешать чтению контента – допускается полоса снизу или боковая карточка. Кнопка «Принять все» не должна быть единственной активной – это фиксируется как нарушение принципа добровольности согласия.
Срок хранения и хранилище
Срок хранения куки определяется целью: для аналитики обычно 13–25 месяцев, для рекламы – до 12, для технических – на сессию. Срок указывается в политике куки. Хранение куки граждан РФ за рубежом (например, на серверах Google в США) формально нарушает локализацию по ч. 5 ст. 18 152-ФЗ – Яндекс.Метрика и российские альтернативы тут безопаснее.
Штрафы за нарушения по куки
Штрафные риски: за обработку пдн без согласия (ч. 2 ст. 13.11 коап) юрлицо платит 300–700 тыс ₽, при повторном нарушении – до 1,5 млн ₽. отсутствие политики обработки пдн на сайте (ч. 3 ст. 13.11 коап) карается штрафом 30–60 тыс ₽ для юрлица. За первичное нарушение локализации (ч. 8 ст. 13.11 КоАП) штраф для юрлица составляет 1–6 млн ₽, при повторном (ч. 9) – 6–18 млн ₽. В судебной практике 2025–2026 годов уже есть штрафы по 30–60 тыс ₽ за отсутствие баннера и 300–500 тыс ₽ – за фоновую загрузку рекламных скриптов до получения согласия.
Что делать прямо сейчас
Проверить сайт на нарушения 152-ФЗ можно бесплатно за 30 секунд – без регистрации и оплаты. Сервис help152.ru выполняет 78+ автоматических проверок и показывает общую оценку, количество нарушений по категориям и риск штрафа. Если нужен подробный PDF-отчёт со ссылками на статьи закона и размерами штрафов – доступны три тарифа платного аудита:
- Визитка / Лендинг – 1 490 ₽ для сайтов-визиток, лендингов, портфолио.
- Коммерческий – 2 990 ₽ для корпоративных сайтов, сервисов и SaaS, с юридическими и техническими рекомендациями.
- Бизнес – 4 900 ₽ с расширенными проверками ЗоЗПП, оферты, оплаты и маркировки рекламы.
База правил обновляется при каждом изменении законодательства – аудит учитывает поправки 420-ФЗ, изменения локализации, требования к маркировке рекламы и куки. Сравнить тарифы или запустить бесплатную экспресс-проверку.