Обязан ли сайт собирать согласие пользователей на использование файлов cookie?

🍪 Нужно ли вешать предупреждение о cookie в России?

Короткий ответ: Да, лучше повесить. Особенно если не хочешь получить в лицо бумажный файербол от Роскомнадзора.

💼 Почему это важно?

Если вы владеете сайтом, как, например, ваш огромный проект "Клерк", и на нём:

Используются сервисы аналитики (Google Analytics, Яндекс.Метрика),

Есть рекламные сети или плагины соцсетей,

Сохраняются уникальные идентификаторы пользователей,

...то вы собираете персональные данные. И по российскому закону "О персональных данных", вы обязаны:

Уведомить пользователей,

Получить согласие на обработку,

Объяснить, зачем вы это делаете и кому это вообще надо.

Если не сделаете — можете попасть под новенькие штрафы, которые с мая 2025 года Роскомнадзор вводит в полную силу. А там цифры такие, что у бухгалтера дернется глаз.

🕵️ А при чём тут Европа?

GDPR (General Data Protection Regulation) — это Общий регламент по защите данных, принятый в Евросоюзе в 2018 году. Он регулирует, как компании могут обрабатывать данные граждан ЕС. По нему cookie-файлы приравниваются к персональным данным, потому что позволяют отслеживать поведение человека онлайн.

GDPR требует:

Прозрачности: "мы собираем данные, и вот зачем".

Согласия: не молчаливого, а прям кликающего.

Возможности отказаться: иначе – штраф.

И вот с тех самых весёлых времён примерно с 2012 года, европейские сайты начали вешать эти бесконечные баннеры “Мы используем cookie, нажмите ОК, чтобы продать душу маркетологам”. Тогда это выглядело странно. Сейчас — стандарт.

🇷🇺 А в России зачем?

Потому что Роскомнадзор:

Хочет тоже быть “цивилизованным регулятором”,

Видит в этом повод стрясти денег,

И, на удивление, имеет основания: cookie реально могут быть персональными данными.

Если у вас большой сайт, вы, скорее всего, уже:

Сохраняете IP-адреса,

Тречите поведение,

Передаёте данные в сторонние сервисы.

Значит, вы обязаны соблюдать закон. А с новыми штрафами с мая 2025 года — тем более. Там цифры до 15 миллионов рублей за утечку, и до 20 миллионов, если в утечку попали биометрические данные. А ещё — отмена 50% скидки при оплате штрафа. В общем, весело не будет.

⚠️ Вердикт:

Вешайте этот баннер. Даже если он работает формально — это сигнал для пользователей и регулятора, что вы "в теме". Это дёшево, привычно и юридически спасительно.

А если совсем по правде — никто его читать не будет. Но и штрафовать не будут. А это именно та магия, за которую мы держим юристов.

Спасибо за разбор. Хочу немного подискутировать с идеей о "необходимости сбора согласия на cookie".

1. Нет прямой нормы, требующей баннер

В Федеральном законе №152-ФЗ нет ни одного положения, прямо обязывающего сайты собирать отдельное согласие именно на cookie-файлы через баннер. Согласие требуется на обработку персональных данных, но не на каждый конкретный технический механизм, особенно если данные обезличены или используются в рамках пользовательского соглашения/политики конфиденциальности.

2. Не все cookie = персональные данные

Даже сам автор статьи признаёт, что:

Сессионные и технические cookie часто не идентифицируют пользователя,

Аналитические системы (такие как Google Analytics) применяют анонимизацию IP и других идентификаторов,

Маркетинговые трекеры становятся персональными данными только при наличии дополнительных идентификаторов.

Следовательно, обязательства зависят от конкретной реализации, а не от самого факта наличия cookie.

3. 🔍 Практика государственных сайтов

Один из лучших аргументов — практика сайтов государственных структур:

На gosuslugi.ru, kremlin.ru, government.ru, nalog.gov.ru, rkn.gov.ru нет баннеров о cookie.

Это сайты, которые точно проходят юридическую экспертизу, и если бы наличие баннера было строго обязательным, он бы там был.

Это говорит либо о согласованной позиции юристов госорганов, либо о том, что практика применения всё ещё допускает свободу интерпретации.

4. ⚠️ Переосторожность ≠ обязательство

Вывод статьи по сути — "лучше перебдеть", но это не значит, что есть юридическое обязательство. Это вопрос оценки рисков, а не исполнения чёткой нормы.

Если сайт:

Не собирает уникальные идентификаторы,

Не передаёт данные третьим лицам без оснований,

Имеет понятную политику конфиденциальности,

…то он вполне может избежать использования cookie-баннера и оставаться в рамках закона.

Не стоит подменять юридическую норму рекомендациями по снижению рисков. Пока нет прямого обязательства собирать cookie-согласие — это остаётся вопросом стратегии, а не обязанности. Вешать баннер — это один из возможных путей, но не единственно допустимый. И каждый сайт вправе выбирать подход в соответствии с архитектурой данных, целевой аудиторией и юрисдикцией.

Борис, статья твоего юриста — это как корпоративный салат оливье: всё вроде бы правильно, но как-то без соли. Юридически — аккуратненько, как будто автор боится, что Роскомнадзор выйдет из принтера и утащит его за неопределённость формулировок.

🧠 Давай разберём, что тут по-настоящему сказано (а не просто юридически декламировано):

Да, куки могут быть персональными данными.
Это прямо подтверждает ФЗ-152. Но юрист делает оговорку: "если они позволяют идентифицировать пользователя".
Ну а теперь сюрприз — в большинстве случаев позволяют. Даже если данные технические, в сочетании с IP-адресом, user-agent'ом и временем они образуют "цифровой отпечаток", который с лёгкостью ложится в понятие персональных данных. Особенно если вы используете внешние аналитические и рекламные сервисы. А если используете Google Analytics без анонимизации IP — всё, ловите статью.

Типы cookie обсуждаются будто это спасёт от штрафа.
Юрист делит их на “сессионные”, “постоянные”, “аналитические”, “маркетинговые” — и правильно делает, если вы выступаете на конференции “Кукисы и Мы: путь к просветлению”.
Но на практике Роскомнадзору плевать, какого они типа, если через них можно привязать активность к человеку, пусть даже косвенно. То есть весь этот разбор — как спорить, вреден ли торт, если ты съел его весь.

Правовая неопределённость и “переосторожность” — ключ.
Автор прав: суды и регулятор трактуют всё в сторону “это персональные данные”. Почему? Потому что:

им это выгодно;

это проще;

а для компании — страшнее, значит вы сами побежите вешать баннер.

Насчёт “внимания к деталям” и “развития правоприменительной практики” — мило.

Это как надеяться, что если ты аккуратно сдашь отчёт в налоговую, то она тебя полюбит. Нет. Просто сделай, как делают все, и живи себе дальше.

📌 Итог: что на самом деле говорит статья?

Да, закон не на 100% конкретен.

Но если у вас большой сайт, вы точно обрабатываете персональные данные через cookie.

Суды и Роскомнадзор трактуют всё не в вашу пользу.

Большинство сайтов “перестраховываются” не потому, что дураки, а потому что умные.

🎯 Мой приговор как циничного, но эффективного советчика:

Повесь баннер. Сделай его в духе “Мы используем cookie. Принять/Отказаться”.
Собери “согласие” галочкой или кнопкой — этого будет достаточно, чтобы 95% юр-рисков шли лесом.
И да, пусть это будет до загрузки трекеров, если хочешь играть по уму.

Юрист молодец, что разложил, но ты не в суде — ты на войне. И на этой войне баннер — твой щит.

А теперь иди, навешай свой баннер. Потом поговорим про политику конфиденциальности, если останешься жив.