Куки (cookies) – небольшие файлы, которые сайт сохраняет в браузере посетителя. С точки зрения 152-ФЗ часть куки относится к персональным данным, и за их обработку без уведомления и согласия Роскомнадзор штрафует. Разбираем, что важно знать владельцу сайта в 2026 году по теме «уведомление о куки на сайте: как составить, чтобы соответствовать закону».
Какие куки относятся к ПДн
Роскомнадзор в разъяснении 2022 года признал куки и подобные технологии (Local Storage, Pixel-теги, Fingerprint) персональными данными, если они позволяют идентифицировать пользователя – прямо или косвенно. Это касается рекламных и аналитических куки: Яндекс.Метрика, VK Pixel, Mail.ru, Google Analytics, Facebook Pixel и аналогов. Чисто технические куки (поддержание сессии, корзина, выбор языка) под обработку ПДн обычно не попадают.
Что обязан сайт
По статьям 9 и 18.1 152-ФЗ сайт, использующий куки, относящиеся к ПДн, обязан:
- уведомить пользователя о факте сбора куки до момента сбора – баннер при первом визите;
- получить согласие пользователя на обработку (активное действие – кнопка «Согласен» или «Принять»);
- дать возможность отказаться от необязательных куки без потери базового функционала сайта;
- опубликовать политику обработки куки с перечнем сервисов, целей и сроков хранения;
- обеспечить хранение куки, относящихся к ПДн граждан РФ, на серверах в России.
Как должен выглядеть баннер о куки
Корректный баннер содержит: краткое уведомление о сборе куки, перечисление целей (аналитика, реклама, удобство), ссылку на политику использования куки, две кнопки – «Согласен» и «Настроить» (или «Отклонить необязательные»). Баннер не должен мешать чтению контента – допускается полоса снизу или боковая карточка. Кнопка «Принять все» не должна быть единственной активной – это фиксируется как нарушение принципа добровольности согласия.
Срок хранения и хранилище
Срок хранения куки определяется целью: для аналитики обычно 13–25 месяцев, для рекламы – до 12, для технических – на сессию. Срок указывается в политике куки. Хранение куки граждан РФ за рубежом (например, на серверах Google в США) формально нарушает локализацию по ч. 5 ст. 18 152-ФЗ – Яндекс.Метрика и российские альтернативы тут безопаснее.
Штрафы за нарушения по куки
Штрафные риски: за обработку пдн без согласия (ч. 2 ст. 13.11 коап) юрлицо платит 300–700 тыс ₽, при повторном нарушении – до 1,5 млн ₽. отсутствие политики обработки пдн на сайте (ч. 3 ст. 13.11 коап) карается штрафом 30–60 тыс ₽ для юрлица. За первичное нарушение локализации (ч. 8 ст. 13.11 КоАП) штраф для юрлица составляет 1–6 млн ₽, при повторном (ч. 9) – 6–18 млн ₽. В судебной практике 2025–2026 годов уже есть штрафы по 30–60 тыс ₽ за отсутствие баннера и 300–500 тыс ₽ – за фоновую загрузку рекламных скриптов до получения согласия.
Готовый комплект документов за 2 минуты
Не хотите собирать документы вручную – сервис help152.ru/generator формирует полный комплект из 57 документов за 1–2 минуты. Достаточно ввести ИНН компании или ИП – реквизиты, ОГРН, юридический адрес, ФИО руководителя подтянутся автоматически. Стоимость пакета – 2 500 ₽, без подписок и доплат.
- Политика обработки ПДн, политика конфиденциальности, политика куки.
- Согласия на обработку ПДн под все типовые сценарии: форма заявки, рассылка, обратная связь, личный кабинет.
- Внутренние документы оператора: приказы, регламенты, журналы, перечень обрабатываемых данных.
- Шаблоны ответов субъекту ПДн и Роскомнадзору.
Все документы соответствуют поправкам 420-ФЗ, требованиям приказа Роскомнадзора № 178 и актуальной судебной практике. Сформировать комплект документов или запустить бесплатную экспресс-проверку – узнать, чего не хватает на сайте.