Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Для оценки вашей конкретной ситуации обратитесь к специалисту.
Почему читать прямо сейчас
В апреле 2026 года Роскомнадзор фиксирует нарушения cookie-требований в автоматическом режиме — роботы РКН обходят сайты и проверяют наличие баннера, наличие кнопки «Отклонить», соответствие реального поведения сайта задекларированным настройкам.
По данным независимых аудитов, более 85% российских сайтов имеют нарушения в части cookie: у одних нет баннера вовсе, у других баннер есть, но кнопки «Отклонить» нет, третьи запускают трекеры до того, как пользователь что-либо нажал.
Штраф за нарушение — до 300 000 рублей по ст. 13.11 КоАП. Причём жалоба от любого пользователя или конкурента запускает автоматическую проверку в течение 30 дней. С 2026 года это не абстрактный риск — это реальная практика.
Хорошая новость: правильный cookie-баннер устанавливается за 30–60 минут и стоит от 0 рублей. Плохая: сделать это неправильно — почти так же легко.
Что такое cookie и почему закон ими занимается
Cookie (куки) — небольшие текстовые файлы, которые сайт записывает в браузер посетителя. Они позволяют сайту «запоминать» пользователя между сессиями, отслеживать его действия и передавать информацию о нём третьим сервисам.
Согласно позиции Роскомнадзора и судебной практике 2024–2026 годов, cookie-файлы, позволяющие идентифицировать конкретного пользователя, являются персональными данными по смыслу ст. 3 Федерального закона № 152-ФЗ «О персональных данных».
Следовательно, запись таких cookie на устройство пользователя — это обработка персональных данных, которая требует:
- Правового основания (в большинстве случаев — согласия)
- Информирования пользователя о составе и целях обработки
- Возможности отказаться
Какие cookie считаются персональными данными
| Тип cookie | Примеры | Требует согласия |
|---|---|---|
| Строго необходимые | Сессионный токен авторизации, корзина | Нет |
| Аналитические | Google Analytics (_ga, _gid), Яндекс.Метрика (ym_*) | Да |
| Маркетинговые | Facebook Pixel, ВКонтакте Pixel, Google Ads | Да |
| Функциональные | Запомнить язык, тему, выбор региона | Да (рекомендуется) |
| Трекинговые | Hotjar, Mindbox, Carrot Quest | Да |
Строго необходимые cookie не требуют согласия, потому что без них сайт технически не работает. Всё остальное — требует.
Что говорит закон: ст. 13.11 КоАП и 152-ФЗ
Согласно ст. 9 Федерального закона № 152-ФЗ, согласие на обработку персональных данных должно быть:
- Свободным — пользователь не должен быть вынужден соглашаться
- Конкретным — пользователь понимает, на что именно соглашается
- Информированным — есть доступ к политике обработки данных
- Однозначным — активное действие, а не предустановленная галочка
Согласно ст. 13.11 ч. 2 КоАП, обработка персональных данных без законного основания (то есть без согласия, если оно нужно) влечёт штраф:
- На должностных лиц: 20 000 – 40 000 ₽
- На организации: 100 000 – 300 000 ₽
При повторном нарушении — штрафы выше и возможна дисквалификация директора.
Важно: Запуск Google Analytics или Яндекс.Метрики до получения cookie-согласия — это обработка персональных данных без основания. Именно это нарушение фиксируется при автоматических проверках РКН в 2026 году.
Обязательные элементы правильного cookie-баннера
Согласно требованиям 152-ФЗ и разъяснениям РКН, корректный cookie-баннер должен содержать:
1. Текст с объяснением
Пользователь должен понимать:
- Что сайт использует cookie
- Для каких целей (аналитика, реклама, функциональность)
- Кто является оператором данных
Плохой пример: «Мы используем cookie. Принять» Хороший пример: «Мы используем cookie для анализа трафика (Яндекс.Метрика) и персонализации рекламы. Вы можете принять все cookie или настроить их использование.»
2. Кнопка «Принять все»
Явное согласие на использование всех категорий cookie, включая аналитику и маркетинг.
3. Кнопка «Отклонить» или «Только необходимые»
Это требование нарушают чаще всего. Без возможности отказа баннер не является действительным согласием — это просто уведомление, которое юридически ничего не значит. Роботы РКН проверяют наличие этой кнопки в первую очередь.
4. Ссылка на Cookie-политику
Отдельный документ (не политика конфиденциальности) с перечнем всех используемых cookie: название, тип, срок жизни, назначение, третья сторона.
5. Техническое соответствие
Если пользователь нажал «Отклонить» — аналитические и маркетинговые скрипты действительно не должны запускаться. Баннер без технической блокировки скриптов — это нарушение даже при наличии правильного текста.
Что не является cookie-согласием (распространённые ошибки)
Многие предприниматели искренне считают, что у них всё в порядке. Проверьте себя:
Ошибка 1: «Продолжая использовать сайт, вы соглашаетесь с cookie»
Это пассивное согласие — пользователь ничего не сделал, просто оказался на сайте. По ст. 9 152-ФЗ согласие должно быть однозначным действием. Пассивное продолжение просмотра не является таким действием.
Штраф-риск: обработка данных без законного основания, ст. 13.11 ч. 2 — до 300 000 ₽.
Ошибка 2: Баннер есть, но только с кнопкой «Принять»
Если нет возможности отказаться — это не согласие, а уведомление без выбора. Такой формат не соответствует требованиям о свободном согласии. РКН проверяет DOM-структуру страницы и считает отсутствие кнопки «Отклонить» нарушением.
Ошибка 3: Галочка в форме обратной связи
«Нажимая "Отправить", вы соглашаетесь с политикой конфиденциальности и использованием cookie» — это согласие на обработку данных формы, но не cookie-согласие для трекеров. Трекеры запускаются при загрузке страницы, до отправки формы. Это два разных согласия.
Ошибка 4: Cookie-баннер появляется только на главной
Пользователь может зайти на любую страницу сайта напрямую (из поиска, по ссылке). Баннер должен появляться на каждой странице при первом визите, если согласие ещё не было дано.
Ошибка 5: Скрипты загружаются до отображения баннера
Это технически самое частое нарушение. Google Analytics и другие трекеры вставляются в HTML в теге '<head>' и запускаются немедленно при загрузке страницы — за секунды до того, как пользователь видит баннер. Согласие получено после факта обработки. Это нарушение.
Как работает правильная техническая реализация
Корректная схема работы cookie-баннера:
- Пользователь загружает страницу
- Скрипты аналитики и маркетинга не запускаются (заблокированы)
- Отображается cookie-баннер
- Пользователь нажимает «Принять» → скрипты активируются + согласие записывается в localStorage/cookie
- При повторных визитах — проверка сохранённого согласия, баннер не показывается
- Пользователь нажимает «Отклонить» → скрипты остаются заблокированными, записывается отказ
- Через 6–12 месяцев согласие истекает, баннер показывается снова
Что нужно хранить о согласии:
- Дата и время дачи согласия
- Выбранные категории cookie
- Версия политики, действовавшей на момент согласия
- Идентификатор сессии (для подтверждения при проверке)
Пошаговая установка cookie-баннера
Шаг 1: Составить реестр cookie (30 минут)
Перед тем как писать баннер, нужно знать, что именно вы используете. Откройте DevTools (F12 → Application → Cookies) и выпишите все cookie вашего сайта.
Типичный состав для среднего сайта:
- Сессионный токен (обязательный)
- Google Analytics: _ga, _gid, _gat (аналитика)
- Яндекс.Метрика: _ym_uid, _ym_d, _ym_isad (аналитика)
- Facebook Pixel: _fbp, _fbc (реклама)
- Hotjar: _hjSessionUser, _hjSession (поведенческая аналитика)
Шаг 2: Создать Cookie-политику (1 час)
Отдельный документ по адресу '/cookie-policy' со следующими разделами:
- Что такое cookie и зачем они нужны
- Таблица всех используемых cookie (название, тип, срок, назначение, поставщик)
- Как управлять cookie (через наш баннер и через настройки браузера)
- Контакты оператора
Ссылка на Cookie-политику должна быть в баннере и в подвале сайта рядом с политикой конфиденциальности.
Шаг 3: Выбрать способ реализации баннера
| Способ | Стоимость | Срок | Подходит для |
|---|---|---|---|
| Готовый сервис (Cookiebot, CookieYes) | 0–3 000 ₽/мес | 1–2 часа | Любой сайт |
| Плагин для CMS | 0–2 000 ₽ | 1–2 часа | WordPress, Tilda |
| Ручная реализация на JS | 0 ₽ | 4–8 часов | Кастомный сайт |
| Разработчик | 15 000–40 000 ₽ | 1–5 дней | Сложные случаи |
Шаг 4: Установка — инструкции по платформам
WordPress: Установите плагин «Complianz — GDPR/CCPA Cookie Consent» или «CookieYes». Оба имеют русский интерфейс и поддерживают требования 152-ФЗ. Настройте: включите режим «Блокировка до согласия», добавьте все используемые категории.
Tilda: В Tilda нет встроенного инструмента для технической блокировки cookie. Используйте внешний сервис (Cookiebot или CookieYes) и подключите через Zero Block или HTML-блок. Важно: стандартная «галочка Тильды» не является cookie-баннером по смыслу 152-ФЗ.
Bitrix24.Site / Bitrix: Используйте модуль «Политика конфиденциальности» в настройках сайта, но проверьте: блокирует ли он реально сторонние скрипты до согласия. В большинстве установок — нет. Рекомендуется дополнительно подключить Cookiebot через GTM.
Кастомный сайт (React/Next.js): Используйте библиотеки типа 'react-cookie-consent' или напишите компонент вручную. Ключевое: условная загрузка скриптов аналитики — только после проверки 'localStorage.getItem("cookie_consent") === "accepted"'.
Шаг 5: Протестировать (30 минут)
Чеклист проверки:
- [ ] Открыть сайт в режиме инкогнито — баннер показывается
- [ ] Нажать «Отклонить» → в DevTools убедиться, что _ga, _ym_uid и другие аналитические cookie не появляются
- [ ] Нажать «Принять» → убедиться, что аналитика работает
- [ ] Зайти повторно — баннер не показывается (согласие сохранено)
- [ ] Через настройки баннера отозвать согласие → трекеры перестают работать
- [ ] Баннер появляется на всех страницах при первом визите
Шаг 6: Обновить политику конфиденциальности (30 минут)
Добавьте в политику конфиденциальности раздел «Cookie-файлы» со ссылкой на Cookie-политику. Укажите, что вы используете cookie для аналитики и рекламы, и как пользователь может управлять ими.
Таблица штрафов за нарушения cookie-требований в 2026 году
Согласно КоАП РФ в редакции ФЗ № 420-ФЗ от 30.11.2024:
| Нарушение | Штраф (юрлицо) | Штраф (ИП) | Статья |
|---|---|---|---|
| Запуск трекеров без согласия | 100 000 – 300 000 ₽ | 40 000 – 80 000 ₽ | ст. 13.11 ч. 2 |
| Нет кнопки «Отклонить» | 100 000 – 300 000 ₽ | 40 000 – 80 000 ₽ | ст. 13.11 ч. 2 |
| Нет Cookie-политики | 30 000 – 100 000 ₽ | 10 000 – 30 000 ₽ | ст. 13.11 ч. 3 |
| Повторное нарушение | до 500 000 ₽ + дисквалификация | до 100 000 ₽ | ст. 13.11 ч. 2.1 |
| Несоответствие политики реальности | до 100 000 ₽ | до 30 000 ₽ | ст. 13.11 ч. 8 |
По данным РКН, в 2025 году количество административных дел по ст. 13.11 КоАП выросло на 340% по сравнению с 2023 годом. Основные поводы: жалобы конкурентов и автоматическое сканирование.
Как РКН проверяет cookie-баннеры в 2026 году
Автоматическое сканирование
Роботы РКН при сканировании сайта проверяют:
- Отображается ли баннер при первом визите (технически: отсутствие cookie-согласия в браузере)
- Наличие кнопки с семантикой «отклонить» / «только необходимые»
- Наличие ссылки на cookie-политику или политику конфиденциальности
- Реальное поведение скриптов — загружаются ли они до нажатия «Принять»
Последний пункт самый сложный для проверки, но именно он является основанием для штрафа: трекер уже обработал данные.
Жалобы пользователей
Любой пользователь может подать жалобу через форму на pd.rkn.gov.ru. Конкуренты активно этим пользуются. Жалоба запускает проверку в течение 30 дней.
Что проверяется при плановой проверке
При выездной или документарной проверке инспектор РКН запросит:
- Cookie-политику
- Доказательство технической блокировки трекеров до согласия
- Журнал согласий пользователей (если он ведётся)
- Соответствие реального состава cookie задекларированному в политике
FAQ по cookie-баннерам
Q: Обязателен ли cookie-баннер, если у меня нет интернет-магазина? Да, если вы используете Яндекс.Метрику, Google Analytics, Google Tag Manager или любой другой аналитический/маркетинговый инструмент. Все они устанавливают cookie, которые идентифицируют пользователя. Это обработка персональных данных по 152-ФЗ.
Q: Можно ли вставить cookie-согласие в форму заявки? Нет. Согласие в форме применяется к данным, которые пользователь вводит в форму. Трекеры же запускаются при загрузке страницы — до отправки формы. Это два разных согласия с разными правовыми основаниями.
Q: Мой сайт на Tilda — у неё есть встроенная галочка «согласен с политикой». Этого достаточно? Нет. Стандартная галочка Tilda в форме — согласие на обработку данных формы, но не cookie-согласие. Трекеры на Tilda запускаются до любых действий пользователя. Нужен отдельный cookie-баннер через Zero Block или внешний сервис.
Q: Нужна ли отдельная Cookie-политика или достаточно раздела в политике конфиденциальности? Раздел в политике конфиденциальности технически допустим, но отдельный документ более надёжен: в нём проще структурировать информацию по категориям cookie, указать конкретные названия cookie, сроки их жизни и третьих поставщиков.
Q: На сколько времени нужно запоминать согласие пользователя? Закон не устанавливает конкретный срок. Рекомендуемая практика — 6–12 месяцев, после чего баннер показывается снова. Это соответствует принципу актуального согласия.
Q: Нужно ли логировать cookie-согласия? Закон не обязывает вести журнал согласий на cookie, но при проверке РКН наличие журнала является дополнительным доказательством добросовестности оператора. Для сайтов с потенциально высокими штрафами (крупный бизнес, медицина, финансы) — рекомендуется.
Q: Если пользователь отклонил cookie — как влияет на аналитику? После «Отклонить» у вас не будет данных о поведении этого пользователя в аналитике. Это нормально и законно. На практике отказ даёт 10–30% пользователей — в зависимости от дизайна и формулировок баннера. Поэтому UX баннера важен: он должен быть информативным, но не запугивающим.
Q: Распространяется ли это требование на мобильное приложение? Да. Если мобильное приложение собирает device ID, рекламные идентификаторы (IDFA, GAID) или использует аналитику Firebase/AppMetrica — нужен аналогичный механизм согласия при первом запуске.
Сравнение инструментов для реализации cookie-баннера
| Инструмент | Стоимость | Техническая блокировка | Русский интерфейс | Подходит для |
|---|---|---|---|---|
| CookieYes | 0–2 500 ₽/мес | Да | Да | Любой сайт |
| Cookiebot | 0–4 500 ₽/мес | Да | Да | Любой сайт |
| Complianz (WP) | 0–3 000 ₽/год | Да | Частично | WordPress |
| GDPR Cookie Consent (WP) | 0 ₽ | Ограниченно | Нет | WordPress (базово) |
| Ручная реализация | 0 ₽ | Да (если сделано верно) | — | Разработчик |
| ПараДок | входит в пакет | Генерирует готовый HTML/JS баннер | Да | Любой сайт |
Для большинства российских сайтов оптимален CookieYes или Cookiebot на бесплатном тарифе. Они автоматически сканируют cookie на вашем сайте, формируют список и генерируют готовый баннер с правильной технической блокировкой.
Типичные ошибки при самостоятельной реализации
Ошибка 1: «GTM решает всё»
Google Tag Manager — удобный инструмент, но сам по себе не является cookie-менеджером. GTM запускается при загрузке страницы и выполняет все теги, если не настроить условия активации. Нужно настроить триггеры: теги аналитики запускаются только при событии 'cookie_consent_granted'. Без этого GTM делает ситуацию ещё хуже — все трекеры запускаются раньше.
Ошибка 2: Баннер на главной, но не на остальных страницах
Встречается у сайтов с постраничными JS-приложениями и статическими генераторами. Проверяйте: открывайте любую страницу сайта напрямую в режиме инкогнито — баннер должен появиться.
Ошибка 3: Баннер не обновляется при изменении состава cookie
Добавили новый трекер — обновите Cookie-политику и рестартуйте баннер (пользователи должны дать согласие на новые категории). Изменение состава cookie без обновления политики — нарушение ст. 13.11 ч. 8 КоАП.
Ошибка 4: Кнопка «Отклонить» закрашена в серый цвет
Дизайн-паттерн «тёмного UX» — кнопка «Принять» яркая и заметная, кнопка «Отклонить» серая и мелкая. РКН в своих разъяснениях указывает, что оба варианта должны быть визуально равнозначны. Явный дисбаланс может быть признан манипуляцией.
Итоги
Cookie-баннер в 2026 году — не формальность, а реальное юридическое требование с реальными штрафами. Ошибка стоит до 300 000 рублей. Правильная реализация занимает 1–2 часа и стоит от 0 рублей.
Чеклист правильного cookie-баннера:
- [ ] Баннер появляется при первом посещении любой страницы сайта
- [ ] Есть кнопка «Принять все» с явным согласием
- [ ] Есть кнопка «Отклонить» или «Только необходимые»
- [ ] Обе кнопки визуально равнозначны
- [ ] Есть ссылка на Cookie-политику прямо в тексте баннера
- [ ] Трекеры (Метрика, Analytics, Pixel) не запускаются до нажатия «Принять»
- [ ] При нажатии «Отклонить» трекеры действительно не работают (проверить в DevTools)
- [ ] Cookie-политика содержит таблицу всех cookie с именами, сроками и назначением
- [ ] Согласие сохраняется между визитами (не показывать баннер повторно)
- [ ] Баннер обновляется при добавлении новых трекеров
Генерацию Cookie-политики и готового HTML/JS-кода баннера можно заказать в рамках полного пакета документов по 152-ФЗ — вместе с политикой конфиденциальности, формами согласия и пакетом под вашу отрасль.
Запустите бесплатный аудит вашего сайта прямо сейчас — за несколько секунд узнаете, есть ли на вашем сайте проблемы с cookie-баннером и другие нарушения 152-ФЗ. Начать бесплатный аудит →
Статья актуальна на апрель 2026 года. Нормативные акты: ФЗ № 152-ФЗ «О персональных данных» (ред. 2024), КоАП РФ ст. 13.11 (ред. ФЗ № 420-ФЗ от 30.11.2024), разъяснения Роскомнадзора по обработке cookie-файлов 2023–2025 годов.