Sitelaw

152-ФЗ · Cookie-согласие

Cookie-баннер по 152-ФЗ: что должно быть и как проверить

Большинство cookie-баннеров на российских сайтах не соответствуют 152-ФЗ — они либо «информируют по факту» («продолжая использование...»), либо прячут кнопку «Отклонить», либо запускают аналитику до согласия. Покажем, что не так у вас, за 30 секунд.
  • Анализ текста и кнопок баннера
  • Проверка трекеров до согласия
  • Соответствие позиции РКН
  • Готовый шаблон сниппета в отчёте

Введите URL — отчёт обычно за ~30 секунд:

Без регистрации, бесплатно. Полный список нарушений с пунктами КоАП и штрафом.

Зачем нужен баннер

Cookies — это персональные данные по позиции РКН

Формально 152-ФЗ не упоминает слово «cookies». Но в разъяснениях Роскомнадзора (2020 г. и далее) и решениях судов чётко зафиксировано: cookie-идентификатор, IP-адрес и иные данные, позволяющие идентифицировать устройство, относятся к персональным данным и требуют согласия пользователя.

Аналитические трекеры (Я.Метрика, Google Analytics) и пиксели рекламных сетей (Meta, VK, MyTarget) сохраняют такие cookies, а значит — попадают под обязанность получить согласие.

«Информирование» про использование cookies в шапке без интерактивного выбора — не считается согласием. Согласие должно быть конкретным, информированным и сознательным (ст. 9 152-ФЗ). Это означает: пользователь видит, что именно он разрешает; имеет реальный выбор; может в любой момент отозвать решение.

За 2024–2025 годы Роскомнадзор начал автоматизированный мониторинг сайтов: выявлять отсутствие баннера и работающую аналитику до согласия можно без визита инспектора. Жалобы пользователей и конкурентов — основной триггер для проверки.

Чек-лист корректного баннера

Что должно быть и чего нельзя

  • Баннер показывается ДО установки cookies

    Не «продолжая использование» — пользователь должен явно согласиться

  • Кнопки «Принять» и «Отклонить» равнозначны

    Нельзя прятать «Отклонить» в настройках или делать неконтрастной

  • Ссылка на политику конфиденциальности

    Открывается в новой вкладке, текст ссылки виден

  • Перечень категорий cookies (необходимые / аналитика / реклама)

    Настройка на уровне категорий, а не общая «принять всё»

  • Возможность изменить выбор после первого решения

    Кнопка управления cookies в подвале или другая постоянно доступная точка входа

  • Сохранение выбора (срок не более 12 месяцев)

    Через 12 месяцев баннер должен показаться снова

  • Не использовать «продолжая использование сайта вы соглашаетесь»

    Это устаревшая практика, не считается согласием по 152-ФЗ

  • Не загружать аналитику и трекеры до согласия

    Google Analytics, Я.Метрика, Meta Pixel — после клика «Принять»

Пример

Как должен выглядеть текст баннера

Шаблон

«Мы используем cookie-файлы для работы сайта, аналитики и персонализации. Часть cookies устанавливается только с вашего согласия. Вы можете принять все, отклонить дополнительные или настроить категории. Подробнее — в политике конфиденциальности

ОтклонитьНастроитьПринять все

Кнопки расположены последовательно, «Отклонить» не спрятана и не замаскирована. Текст не запугивает, не маркетинговый. Аналитика и рекламные пиксели запускаются только после клика «Принять все» или соответствующей категории в «Настроить».

Штрафы

Что грозит за нарушения по cookies

  • Должностные лица
    ст. 13.11 ч.1 КоАП
    до 20 000 ₽
    Сбор cookies без согласия пользователя
  • ИП и юрлица
    ст. 13.11 ч.1 КоАП
    30 000 – 150 000 ₽
    Отсутствие баннера или некорректный сбор согласия
  • Юрлица
    ст. 13.11 ч.4 КоАП
    60 000 – 100 000 ₽
    Невыполнение обязанности по информированию субъекта ПДн
  • Юрлица (повторно)
    ст. 13.11 ч.1.1 КоАП
    300 000 – 500 000 ₽
    Повторное нарушение в течение года

Отсутствие cookie-баннера — отдельное нарушение от отсутствия политики. Если у вас нет ни того, ни другого, два штрафа суммируются. При утечке аналитических данных применяется существенно более жёсткая часть 13.11 КоАП (см. /152-fz).

Частые вопросы

Что чаще всего спрашивают про cookies

  • Если у меня нет регистрации и форм — баннер всё равно нужен?
    Если на сайте подключена аналитика (Я.Метрика, Google Analytics) или встроены сторонние виджеты (карты, видео, чаты, реклама) — то да, баннер обязателен. Эти сервисы устанавливают cookies, которые по позиции РКН считаются персональными данными (т.к. позволяют идентифицировать устройство пользователя).
  • Подходит ли стандартный баннер из CMS (WordPress, Tilda, Битрикс)?
    Не всегда. Большинство стандартных плагинов реализуют европейский подход GDPR с одной кнопкой «Принять» — для 152-ФЗ нужны равнозначные «Принять» и «Отклонить», ссылка на политику и перечень категорий. Перед публикацией всегда проверяйте конкретное содержимое баннера, а не его наличие. По Tilda есть отдельный разбор с обходными решениями: Tilda и 152-ФЗ.
  • Что значит «загружать трекеры после согласия» — технически?
    Скрипты Я.Метрики, Google Analytics, Meta Pixel и т. д. должны вставляться в DOM только после клика «Принять». Не «грузить, но молчать», а реально не запускать ничего, кроме функционально-необходимых cookies (сессия, авторизация, корзина). На практике используют решения типа Cookiebot, OneTrust или собственный JS-обвес, который слушает событие согласия.
  • Можно ли я.Метрику без согласия — она же российская?
    Я.Метрика — российский сервис, размещён на серверах Яндекса в РФ, поэтому проблема трансграничной передачи отсутствует. Однако сам факт сбора IP, cookie-идентификатора и поведения пользователя — это обработка персональных данных. Согласие требуется, но нет требований к иностранной передаче — это упрощает работу.
  • Как Sitelaw проверяет cookie-баннер?
    Сканер открывает страницу в headless Chromium, ищет в DOM элементы с признаками cookie-баннера (классы cookie-*, consent, gdpr, и т. д.), проверяет тексты, наличие кнопок «Принять/Отклонить», ссылку на политику. Параллельно фиксирует, какие сторонние скрипты загружаются ДО любого взаимодействия — если Google Analytics сработал на главной без клика, помечаем нарушение.
  • Что делать, если у меня нет cookie-баннера прямо сейчас?
    Получите отчёт Sitelaw — там будет готовый JS-сниппет cookie-баннера с правильным текстом, кнопками «Принять/Отклонить», категориями и подсказкой по интеграции с Я.Метрикой и GA (отложенный запуск). На тарифе «Аудит» (590 ₽) дополнительно идёт шаблон политики .docx с разделом про cookies, готовый для подстановки реквизитов.

Смежные темы

Связанные требования к сайту

Проверка по 152-ФЗПолный чек-лист по персональным данным.Читать242-ФЗ: локализация ПДнЧто должно храниться в России и какие сервисы под запретом.ЧитатьМаркировка рекламы (ERID)Если у вас есть рекламные блоки — отдельный набор требований.Читать

Покажем, что не так с cookie-баннером у вас

Сканер откроет ваш сайт в реальном браузере и зафиксирует, какие cookies устанавливаются, какие сервисы запускаются и соответствует ли баннер 152-ФЗ.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.