Cookie-баннер и согласие на cookie: что нужно сделать по 152-ФЗ
Cookie и IP-адреса РКН и суды трактуют как персональные данные, поэтому сайт с Яндекс.Метрикой или Google Analytics уже обрабатывает ПДн и подпадает под 152-ФЗ. Прямой нормы «разместите баннер» в законе нет, но практика 2025–2026 годов сложилась: нужны два уровня — раздел о cookie в Политике ПДн и баннер с реальным выбором до загрузки аналитических скриптов. Технические cookie (сессия, корзина, авторизация) согласия не требуют. Сбор аналитики без согласия тянет на штраф по ч.2 ст.13.11 КоАП — для юрлиц до 700 000 рублей.
Cookie и IP — это вообще персональные данные?
Формально — вопрос спорный. По ст. 3 закона 152-ФЗ персональные данные — любая информация, которая относится к физлицу прямо или косвенно. IP-адрес сам по себе не называет человека по имени. Но в связке с браузерным отпечатком, временем визита и историей переходов — уже косвенно идентифицирует. Статический IP РКН давно признал ПДн без оговорок.
С cookie похожая история. Технический файл никого не идентифицирует. Но аналитические cookie Яндекс.Метрики или GA хранят уникальный идентификатор сессии, по которому сервис строит профиль: откуда пришёл, что смотрел, сколько минут провёл на странице. Это косвенная идентификация — и по позиции РКН, и по тренду практики 2025–2026 годов.
Практика противоречива, суды по-прежнему расходятся. Но если сайт собирает аналитику через Метрику, GA или пиксель ВКонтакте — безопаснее считать себя оператором ПДн и выстроить работу соответственно. Риск дешевле претензии.
Два уровня: Политика и баннер
Закон здесь не про баннер как таковой — он про информирование и согласие. Баннер просто удобный инструмент.
Уровень 1 — информирование. Ст. 18.1 ч.2 обязывает опубликовать Политику обработки ПДн при сборе данных через интернет. В Политике нужен отдельный раздел о cookie: какие типы, с какими целями, кто получает данные (Яндекс, Google, VK), сколько хранится. Нет такого раздела — нарушение ч.3 ст.13.11 КоАП, штраф для юрлиц 30–60 тыс. рублей.
Уровень 2 — согласие. Для аналитических и маркетинговых cookie нужно согласие пользователя — до того, как скрипты начали что-то собирать. Просто открыть сайт согласием не считается. Это прямо следует из ФЗ-156 (с 01.09.2025): согласие оформляется отдельным действием, его нельзя вшивать в общие условия или оферту.
Нарушение тут уже тянет на ч.2 ст.13.11 КоАП: для юрлиц 300–700 тыс. рублей, для ИП — как для должностного лица 100–300 тыс. Повторное нарушение (ч.2.1): юрлица 1–1,5 млн рублей, ИП 500 тыс.–1 млн рублей.
Технические vs аналитические cookie: где граница
Не все cookie одинаковы. Разница принципиальная — от неё зависит, нужен ли баннер вообще.
| Тип cookie | Примеры | Нужно согласие? |
|---|---|---|
| Технические (функциональные) | Токен сессии, корзина, языковые настройки | Нет |
| Аналитические | Яндекс.Метрика, Google Analytics | Да |
| Маркетинговые / ретаргетинг | Пиксель ВКонтакте, рекламные сети | Да |
Технические cookie нужны, чтобы сайт работал. Без них пользователь не авторизуется и не оформит заказ. Их можно ставить без спроса — они функционально необходимы.
Аналитические и маркетинговые cookie собирают данные о поведении пользователя в интересах владельца сайта или рекламных платформ. Здесь и нужно согласие.
Отдельный разговор про Google Analytics: данные обрабатываются на серверах за рубежом. С 01.07.2025 (ФЗ-23) первичный сбор ПДн граждан РФ должен происходить в базах на территории России. GA при стандартной настройке этому не отвечает — риск по ч.8 ст.13.11 КоАП (для юрлиц 1–6 млн рублей). Яндекс.Метрика — российский сервис, с локализацией проблем нет.
Как сделать баннер правильно
Несколько конкретных требований, которые вытекают из закона и практики.
Реальный выбор. Кнопка «Принять всё» обязана быть. Но и кнопка «Только необходимые» — тоже. Баннер с одной кнопкой — это принуждение, а не согласие. В 2026 году РКН при мониторинге смотрит в том числе на это.
Никаких предустановленных галочек. Чекбокс «Согласен на аналитику» стоит пустым. Пользователь ставит его сам. Так требует ФЗ-156 — согласие должно быть активным действием, а не «галочкой по умолчанию».
Ссылки на документы. В баннере или рядом — ссылка на Политику ПДн и политику cookie. Без этого пользователь соглашается на что-то, чего не читал.
Технически: сначала согласие, потом скрипты. Яндекс.Метрика и GA грузятся только после клика «Принять всё». До этого — ни одного запроса к их серверам. Это принципиально: собирать данные параллельно с показом баннера уже нарушение.
Фиксация выбора. Выбор пользователя сохраняется в localStorage или через cookie (технический). Чтобы баннер не всплывал при каждом визите — это раздражает людей и не добавляет юридической защиты.
Для получения готового комплекта — cookie-баннера, Политики ПДн и аудита форм сайта — можно воспользоваться бесплатным экспресс-аудитом на пдн152.рф. Занимает 2 минуты.
Яндекс.Метрика, Google Analytics и локализация
С 01.07.2025 ФЗ-23 закрепил прямой запрет: первичный сбор ПДн граждан РФ — только в базы на территории России. На практике это означает: хостинг и БД в РФ, аналитика — желательно отечественная.
Яндекс.Метрика — российский сервис, данные хранятся в РФ. Требованиям локализации отвечает. Именно поэтому большинство сайтов, которые всерьёз занимаются соответствием, переходят на Метрику как основной инструмент.
Google Analytics — данные идут на серверы Google за рубежом. Без дополнительных настроек это нарушение нормы о локализации. Если GA критически нужен по бизнес-причинам, схема усложняется: данные должны сначала попасть в российскую базу, и только потом передаваться дальше по ст. 12 152-ФЗ.
Hotjar, Mixpanel и прочие зарубежные инструменты — аналогичная ситуация. Стоит оценить, насколько они нужны, или заменить на российские аналоги.
Локализация касается не только аналитики: CRM, рассылочные сервисы, формы обратной связи. HubSpot, Mailchimp, Google Forms — зарубежная обработка данных. Альтернативы: UniSender, SendPulse, Яндекс.Формы, отечественные CRM.
Что грозит за отсутствие баннера: конкретные цифры
Штрафы с 30.05.2025 действуют в редакции ФЗ-420. Основные нарушения, связанные с cookie:
| Нарушение | Норма | Юрлица | ИП |
|---|---|---|---|
| Нет описания cookie в Политике | ч.3 ст.13.11 КоАП | 30–60 тыс. руб. | 10–20 тыс. руб. |
| Сбор аналитики без согласия | ч.2 ст.13.11 КоАП | 300–700 тыс. руб. | 100–300 тыс. руб. (как должностное лицо) |
| То же повторно | ч.2.1 ст.13.11 КоАП | 1–1,5 млн руб. | 500 тыс.–1 млн руб. |
| Нарушение локализации (GA без настройки) | ч.8 ст.13.11 КоАП | 1–6 млн руб. | Как юрлицо |
В 2026 году РКН усилил автоматизированный мониторинг — массовое сканирование сайтов без предупреждения. При выявлении нарушения оператор обычно получает требование об устранении, штраф следует следующим шагом. При первом нарушении суды нередко применяют предупреждение (ст. 4.1.1 КоАП). Но это практика, а не гарантия — и проверять её опытным путём дорого.
Привести сайт в порядок за 2–4 дня
Cookie-баннер без Политики ПДн не работает: пользователь соглашается на что-то, чего нет в документах. Делать их по отдельности нет смысла.
пдн152.рф — сервис приведения сайта в соответствие с 152-ФЗ под ключ. Что входит в тариф «Сайт в порядке» (9 900 рублей):
- Политика обработки персональных данных
- Согласие на обработку ПДн
- Готовый cookie-баннер с двумя кнопками
- Аудит форм и чекбоксов на сайте
Уведомление в Роскомнадзор — отдельно, 5 900 рублей. Всё вместе — тариф «Под ключ», 14 900 рублей, включая проверку локализации и помощь с подачей уведомления через Госуслуги (отдельная ЭЦП для подачи через Госуслуги не нужна).
Срок — 2–4 рабочих дня. Пройдите бесплатный аудит за 2 минуты — покажет, что конкретно не так на вашем сайте.
--- Материал информационный, актуален на 2026 год. Не заменяет юридическую консультацию применительно к конкретной ситуации.
Пошаговый порядок действий
- Проверьте, какие cookie ставит ваш сайт Откройте DevTools браузера (F12), вкладка Application -> Cookies. Зафиксируйте все cookie, разделите их на технические (сессия, авторизация) и аналитические/маркетинговые (Метрика, GA, пиксели).
- Добавьте раздел о cookie в Политику ПДн Опишите каждый тип cookie: цель, получатели (Яндекс, Google, VK), срок хранения. Опубликуйте Политику на сайте и поставьте ссылку в подвале. Это требование ч.2 ст.18.1 152-ФЗ — без него нарушение ч.3 ст.13.11 КоАП.
- Установите cookie-баннер с реальным выбором Баннер должен показываться до загрузки аналитических скриптов. Две кнопки обязательны: «Принять всё» и «Только необходимые». Никаких предустановленных галочек. Рядом — ссылка на Политику.
- Настройте условную загрузку аналитики Яндекс.Метрика и GA грузятся только при клике «Принять всё». До этого — ноль запросов к их серверам. Выбор пользователя сохраняйте в localStorage, чтобы баннер не всплывал при каждом визите.
- Проверьте локализацию аналитических сервисов Если используете Google Analytics, Hotjar или другие зарубежные инструменты — с 01.07.2025 (ФЗ-23) это риск штрафа по ч.8 ст.13.11 КоАП до 6 млн рублей для юрлиц. Рассмотрите переход на Яндекс.Метрику.
- Пройдите бесплатный аудит сайта На пдн152.рф за 2 минуты можно пройти экспресс-аудит — он покажет, что именно не в порядке на вашем сайте по 152-ФЗ: формы, чекбоксы, документы, локализация.
Коротко о главном
- Cookie и IP-адреса РКН и суды 2025–2026 трактуют как персональные данные — сайт с аналитикой фактически является оператором ПДн.
- Нужны два уровня: раздел о cookie в Политике ПДн (обязателен по ст.18.1) и баннер с реальным выбором до загрузки аналитических скриптов.
- Технические cookie (сессия, авторизация, корзина) согласия не требуют — только аналитические и маркетинговые.
- Яндекс.Метрика отвечает требованиям локализации, Google Analytics при стандартной настройке — нет (с 01.07.2025 это риск штрафа 1–6 млн для юрлиц по ч.8 ст.13.11 КоАП).
- Штраф за сбор аналитики без согласия по ч.2 ст.13.11 КоАП: юрлица 300–700 тыс. рублей, за повторное по ч.2.1 — до 1,5 млн рублей.
Частые вопросы
Нужен ли cookie-баннер, если на сайте только Яндекс.Метрика?
Да. Яндекс.Метрика собирает аналитические cookie, которые РКН трактует как персональные данные. Нужны баннер с выбором и раздел о cookie в Политике. Плюс Метрика отвечает требованиям локализации, в отличие от Google Analytics.
Можно ли считать согласием на cookie просто посещение сайта?
Нет. С 01.09.2025 (ФЗ-156) согласие на обработку ПДн — отдельное активное действие. Посещение страницы, скролл или клик по любой ссылке согласием не считается.
Что будет, если не сделать cookie-баннер?
Два риска: нет раздела о cookie в Политике — нарушение ч.3 ст.13.11 КоАП, для юрлиц до 60 тыс. рублей; сбор аналитики без согласия — ч.2 ст.13.11, для юрлиц 300–700 тыс. рублей. При повторном нарушении по ч.2.1 — до 1,5 млн. В 2026 году РКН ведёт автоматизированный мониторинг сайтов.
Google Analytics запрещён в России?
Не запрещён, но при стандартной настройке нарушает норму локализации (ФЗ-23, с 01.07.2025): ПДн граждан РФ первично обрабатываются на зарубежных серверах. Штраф по ч.8 ст.13.11 КоАП — для юрлиц 1–6 млн рублей. Яндекс.Метрика этой проблемы лишена.
Технические cookie сайта тоже попадают в баннер?
Нет. Технические cookie (токен сессии, корзина, языковые настройки) необходимы для работы сайта — они ставятся без согласия. В баннер включают только аналитические и маркетинговые cookie, собирающие данные о поведении пользователя.
Нужна ли ЭЦП для подачи уведомления в РКН через Госуслуги?
Нет. При подаче через Госуслуги с подтверждённой учётной записью отдельная усиленная квалифицированная ЭП не требуется. Она нужна только при подаче напрямую через форму на pd.rkn.gov.ru.
Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.