Cookie-баннер для сайта: как настроить по требованиям 152-ФЗ и ФЗ-156
С 1 сентября 2025 года ФЗ-156 изменил правила: простого уведомления «мы используем cookie» больше недостаточно. Пользователь должен иметь возможность отказаться от аналитических и рекламных трекеров — иначе их использование квалифицируется как обработка персональных данных без согласия со штрафом до 700 000 руб. для организаций.
Что такое cookie-баннер и почему он стал обязательным
Cookie — небольшие файлы, которые сайт сохраняет в браузере пользователя. Часть cookie технически необходима для работы сайта (авторизация, корзина), другие — собирают данные о поведении пользователя для аналитики и рекламы. Именно вторая группа затрагивает законодательство о персональных данных.
IP-адрес, пользовательские идентификаторы, история посещений — всё это персональные данные по российскому и европейскому праву. Яндекс Метрика, VK Pixel, Google Analytics передают эти данные сторонним сервисам. Без явного согласия пользователя — это нарушение ч. 2 ст. 13.11 КоАП.
До ФЗ-156 многие трактовали использование cookie как «законный интерес» оператора. Закон закрыл эту лазейку: аналитические и рекламные cookie теперь прямо требуют явного согласия. Без кнопки «Отклонить» — нарушение.
Виды cookie: какие требуют согласия, а какие — нет
| Вид cookie | Примеры | Требует согласия |
|---|---|---|
| Технические (необходимые) | Сессия авторизации, корзина, CSRF-токен | Не требует |
| Функциональные | Запомненный язык, настройки интерфейса | Не требует |
| Аналитические | Яндекс Метрика, Google Analytics, Hotjar | Требует согласия |
| Рекламные / ретаргетинг | VK Pixel, Facebook Pixel, Яндекс Аудитории | Требует согласия |
| Трекинг третьих лиц | Встроенные виджеты соцсетей, чаты (если собирают данные) | Требует согласия |
Что должен содержать правильный cookie-баннер
По ФЗ-156 и практике правоприменения корректный баннер включает следующее:
-
1Краткое пояснение Какие виды cookie используются и для каких целей. Не юридический текст — простым языком для пользователя.
-
2Кнопка «Принять все» Соглашение на все категории cookie, включая аналитические и рекламные.
-
3Кнопка «Только необходимые» или «Отклонить» Без этой кнопки баннер не соответствует требованиям ФЗ-156. После нажатия — аналитика не должна загружаться.
-
4Ссылка на политику cookie / конфиденциальности Пользователь должен иметь возможность подробнее прочитать, какие данные собираются и кому передаются.
-
5Появление до загрузки трекеров Аналитические скрипты не должны выполняться до получения согласия. Порядок загрузки важен технически.
Баннер «Мы используем cookie. Продолжая использовать сайт, вы соглашаетесь» — не считается согласием по ФЗ-156. Согласие должно быть явным действием: пользователь сам нажимает «Принять». Продолжение просмотра — не согласие.
Технические решения: как реализовать cookie-баннер
Для Tilda
В настройках сайта Tilda есть встроенная функция «Уведомление о cookies» (Настройки → SEO → Cookie). Она показывает баннер, но не блокирует загрузку трекеров до получения согласия. Для полного соответствия ФЗ-156 потребуется кастомный JS-код через Zero Block или подключение внешнего сервиса.
Для WordPress
Плагины с блокировкой до согласия: Complianz, CookieYes, GDPR Cookie Compliance. Убедитесь, что плагин настроен на блокировку скриптов Яндекс Метрики и других трекеров до нажатия «Принять». Встроенный Cookie Notice показывает баннер, но не блокирует скрипты.
Для кастомных сайтов
Минимальная схема:
- При первом визите — показать баннер, не загружать аналитические скрипты
- Пользователь нажимает «Принять» → сохранить флаг в
localStorage→ загрузить скрипты - Пользователь нажимает «Отклонить» → сохранить флаг → не загружать скрипты
- При повторных визитах — проверять флаг, не показывать баннер повторно
Откройте инкогнито-режим и зайдите на свой сайт. В DevTools → Network убедитесь, что запросы к mc.yandex.ru, metrika.yandex.ru, vk.com/rtrg не происходят до нажатия «Принять». Если запросы идут сразу — реализация некорректна.
Типичные ошибки в cookie-баннерах
| Ошибка | Статус |
|---|---|
| Баннер есть, но нет кнопки «Отклонить» | Нарушение ФЗ-156 |
| Трекеры загружаются до взаимодействия с баннером | Нарушение ч. 2 ст. 13.11 |
| Предзаполненные галочки категорий cookie | Согласие по умолчанию — недействительно |
| Баннер не появляется у пользователей с VPN/за пределами РФ | Территориальный охват — весь мир, если сайт доступен за рубежом |
| Нет ссылки на политику cookie | Неполное информирование по ст. 18.1 |
| Баннер есть, но нет политики cookie на сайте | Нарушение требований к информированию |
| После нажатия «Отклонить» трекеры всё равно загружаются | Получение данных без согласия |
| Баннер есть, технические cookie отключаются вместе с аналитическими | Нет нарушения закона, но плохой UX |
Штрафы за нарушения, связанные с cookie
Прямого штрафа «за отсутствие cookie-баннера» в КоАП нет, но использование трекеров без согласия квалифицируется по нескольким основаниям:
- Ч. 2 ст. 13.11 — обработка персональных данных без согласия: до 150 000 руб. (ИП), до 700 000 руб. (организация)
- Ч. 4 ст. 13.11 — отсутствие политики конфиденциальности с описанием обработки cookie: до 150 000 руб. (ИП), до 300 000 руб. (организация)
- При повторных нарушениях — до 18 000 000 руб. для организаций
РКН при автоматическом мониторинге проверяет наличие трекеров на странице и наличие/отсутствие корректного механизма согласия. Это давно перестало быть теорией — штрафы за использование Яндекс Метрики без согласия зафиксированы в 2025 году.
Как проверить cookie-баннер на своём сайте
Сканер Privadoc проверяет наличие cookie-трекеров и баннера. Базовая проверка бесплатна — видны критические нарушения. Полный отчёт (390 руб.) включает точный список трекеров, найденных на странице, и инструкцию по настройке корректного баннера.
Нужна политика cookie и другие документы по 152-ФЗ?
Политика конфиденциальности, согласие на обработку ПДн, политика cookie — готовый пакет с вашими реквизитами за 10 минут.
Оформить документы — от 590 ₽Часто задаваемые вопросы
Да. С 1 сентября 2025 года ФЗ-156 обязывает операторов, использующих аналитические и рекламные трекеры, получать явное согласие пользователя. Простого уведомления «мы используем cookie» недостаточно — нужна возможность отказаться от нефункциональных cookie.
Правильный cookie-баннер содержит: краткое описание используемых видов cookie, кнопку «Принять все», кнопку «Только необходимые» или «Отклонить», ссылку на политику конфиденциальности и появляется при первом визите до загрузки аналитических скриптов.
Нет. Яндекс Метрика является аналитическим трекером и по ФЗ-156 требует явного согласия. Метрику следует загружать только после нажатия пользователем «Принять все». Если выбрано «Только необходимые» — Метрика не должна загружаться.
Cookie-уведомление (до 2025) — просто информирует о факте использования cookie. Cookie-согласие по ФЗ-156 — активное действие пользователя: он сам выбирает, какие типы cookie разрешить. Уведомление без возможности отказа больше не соответствует требованиям закона.
Использование аналитических трекеров без согласия квалифицируется как обработка персональных данных без согласия по ст. 13.11 ч. 2 — штраф до 150 000 руб. для ИП и до 700 000 руб. для организаций. При повторных нарушениях — до 18 млн руб.