Согласия на сайте и cookie-баннер: как настроить корректно и не собирать лишнее

Полное руководство для владельцев сайтов, маркетологов и разработчиков по требованиям 152-ФЗ в 2025 году

Почему это важно именно сейчас

Ещё три года назад надпись «Мы используем cookie» в футере сайта считалась достаточной мерой. Большинство российских бизнесов воспринимали это как европейскую причуду — что-то из мира GDPR, далёкое и необязательное. Сегодня ситуация кардинально иная.

За последние два года Роскомнадзор последовательно формировал позицию: cookie, позволяющие идентифицировать пользователя, подпадают под действие Федерального закона № 152-ФЗ «О персональных данных» [1]. В 2024 году Таганский районный суд Москвы подтвердил: cookie являются персональными данными [3]. В 2025 году вступил в силу Закон № 420-ФЗ, который кратно увеличил штрафы за нарушения [2]. С 1 сентября 2025 года ужесточились требования к форме самого согласия [10].

Это не теоретические риски. Spotify AB и Match Group уже заплатили миллионы рублей, в том числе за ненадлежащее обращение с cookie и IP-адресами российских пользователей [3]. Проверки Роскомнадзора продолжаются, и эксперты фиксируют тенденцию к их автоматизации [3].

Данная статья адресована всем, кто отвечает за сайт: владельцам бизнеса, маркетологам, разработчикам, юристам и DPO. Мы разберём, какие cookie требуют согласия, как технически и юридически правильно настроить баннер и формы, какие ошибки стоят дороже всего, и дадим конкретный чек-лист из 20 шагов.

Что такое cookie и почему они стали персональными данными

Как закон определяет персональные данные

Согласно статье 3 Федерального закона № 152-ФЗ, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу» [1]. Ключевое слово — «косвенно». Закон не требует, чтобы данные однозначно называли имя человека. Достаточно, чтобы в сочетании с другими данными их можно было привязать к конкретному лицу.

Именно здесь находится cookie. Сам по себе уникальный идентификатор (UID) в файле cookie — просто строка символов. Но в связке с IP-адресом, историей посещений, временными метками и поведением на сайте он позволяет составить профиль конкретного человека. Суды и регулятор это понимают.

Позиция Роскомнадзора и судебная практика

Первые прецеденты появились ещё в 2016 году: постановление 13АП-10775/2016 и решение 09АП-17574/2016 установили, что cookie-идентификаторы могут относиться к персональным данным [11]. В 2023 году, на «Дне открытых дверей» РКН, регулятор сформулировал тест из двух вопросов: можно ли по этим данным идентифицировать пользователя? Используются ли данные для целей, выходящих за рамки предоставления услуги — например, для аналитики или рекламы? [3] Положительный ответ на любой из них означает: обработка попадает под режим 152-ФЗ.

В октябре 2024 года Таганский районный суд Москвы (дело № 12−559/2024) прямо признал cookie персональными данными [5]. Ещё раньше, по делу № 5−1179/422/2023, Spotify AB была оштрафована за хранение cookie и IP-адресов российских пользователей на зарубежных серверах — штраф составил 6 миллионов рублей [5]. В 2025 году Match Group заплатила 10 миллионов рублей по аналогичному основанию [5].

Роскомнадзор дополнительно указывает: если сайт устанавливает cookie от иностранных сервисов (Google Analytics, ранее Facebook Pixel), этот факт обязательно должен быть отражён в политике конфиденциальности как трансграничная передача данных [4].

Какие cookie под действие закона не подпадают

Строгих изъятий в российском законодательстве нет, но сложившийся консенсус таков: если cookie не позволяет идентифицировать конкретного человека даже косвенно и используется исключительно для технического функционирования сайта (например, хранение состояния корзины, токена сессии, языковых настроек) — оснований считать его персональными данными меньше [8]. Тем не менее правовая неопределённость сохраняется, и многие юристы рекомендуют подстраховаться, включив и технические cookie в состав баннерного согласия.

Классификация cookie: четыре категории с разными правилами

Понимание типологии cookie — ключ к правильной настройке баннера. Категории не произвольны: они определяют, на каком основании обрабатываются данные и нужно ли согласие.

Технические (строго необходимые)

Это файлы, без которых сайт не работает: авторизационные токены, идентификаторы сессий, настройки безопасности, содержимое корзины в интернет-магазине. По общему правилу, для них уместно основание, предусмотренное п. 5 ч. 1 ст. 6 Закона № 152-ФЗ — исполнение договора с пользователем, то есть того самого пользовательского соглашения, которое регулирует доступ к сайту [8]. Теоретически согласие для них не нужно, однако отдельного исключения в российском законе нет, поэтому позиция «запрашивать всё равно» является наиболее безопасной.

Функциональные

Запоминают предпочтения пользователя: язык интерфейса, выбранная валюта, тёмная/светлая тема, регион. Они не используются для рекламы, но персонализируют опыт. Здесь граница размыта: если такой cookie позволяет отслеживать пользователя между сессиями, согласие желательно.

Аналитические

Собирают статистику поведения: количество посетителей, источники трафика, популярные страницы, глубина просмотра, время на сайте. Инструменты: Яндекс.Метрика, VK Pixel и их аналоги. Роскомнадзор прямо указывает: обработка данных при помощи метрических систем требует согласия пользователя [3]. Согласно позиции регулятора и практикующих юристов, аналитические cookie однозначно подпадают под режим ПДн и нуждаются в явном согласии [8].

Рекламные (маркетинговые)

Отслеживают поведение пользователя для показа персонализированной рекламы, ретаргетинга, передачи данных рекламным сетям. Сторонние cookie (third-party cookies) этой категории наиболее чувствительны: они передают данные третьим лицам и потенциально используются для профилирования. Для них согласие является безусловным требованием [8]. В российском контексте важно: Google Analytics и Facebook Pixel (Meta) использовать крайне нежелательно — первый передаёт данные на зарубежные серверы, что создаёт риски нарушения локализации, а Meta признана в России экстремистской организацией [22].

Законодательный ландшафт 2025: что изменилось и что ещё изменится

Закон № 420-ФЗ: новые штрафы с 30 мая 2025

Федеральный закон от 30 ноября 2024 г. № 420-ФЗ стал самым значительным ужесточением ответственности за нарушения в области ПДн за последние годы [2]. С 30 мая 2025 года вступили в силу следующие санкции:

За нарушение обязанности уведомить об утечке персональных данных — штраф для организаций от 1 до 3 миллионов рублей [15].

За утечку данных 1 000–10 000 физлиц или 10 000–100 000 идентификаторов — от 3 до 5 миллионов рублей [15].

За утечку данных 10 000–100 000 физлиц или 100 000–1 000 000 идентификаторов — от 5 до 10 миллионов рублей [15].

За утечку данных более 100 000 физлиц или более 1 миллиона идентификаторов — от 10 до 15 миллионов рублей [15].

За повторную утечку любой категории — от 1% до 3% годовой выручки компании, но не менее 20–25 миллионов рублей и не более 500 миллионов рублей [15].

По общему составу (нарушение обязанности уведомить о намерении обрабатывать ПДн) штраф для юрлиц вырос с диапазона 60–100 тысяч до 150–300 тысяч рублей [12]. Скидка при оплате в 50% больше не применяется [12].

Важно понимать: cookie — это идентификаторы. Если ваш сайт собирает cookie без надлежащего согласия и данные попадают к третьим лицам или хранятся на зарубежных серверах, именно это может стать основанием для штрафа по «утечечным» статьям.

Закон № 156-ФЗ: новые правила согласий с 1 сентября 2025

Федеральный закон от 24 июня 2025 г. № 156-ФЗ внёс в статью 9 Закона № 152-ФЗ важное уточнение: согласие на обработку персональных данных теперь обязательно должно быть оформлено отдельно от иных информации и документов [23]. Это означает конец практике «закопанных» согласий внутри пользовательских соглашений, многостраничных публичных оферт или политик конфиденциальности.

Нарушение требований к форме согласия влечёт штраф до 700 тысяч рублей для организаций и ИП [10]. На практике это означает, что под каждой формой обратной связи на сайте должен стоять отдельный чекбокс с текстом согласия и ссылкой на политику. Единое «я принимаю все условия» больше не работает.

Новые требования также закрепляют принцип, действующий де-факто: согласие должно быть получено до начала сбора персональных данных [23].

Судебная практика: дела Spotify, Match Group, Таганский суд

Три дела показывают, как Роскомнадзор и суды трактуют cookie в контексте 152-ФЗ.

Дело Spotify AB (постановление по делу № 5−1179/422/2023) стало прецедентом: компания была повторно привлечена к ответственности по ч. 9 ст. 13.11 КоАП РФ за то, что cookie, IP-адреса и регистрационные данные российских пользователей хранились на серверах в США и ЕС. Штраф — 6 миллионов рублей [5].

Дело Match Group (постановление № 5-0034/422/2025) подтвердило ту же логику. Данные российских пользователей, в том числе идентификаторы cookie, хранились на зарубежных серверах. Штраф — 10 миллионов рублей [5].

Решение Таганского суда (дело № 12−559/2024, октябрь 2024 г.) установило: нарушение локализации cookie является самостоятельным основанием для санкций [3].

Паттерн очевиден: регулятор рассматривает cookie как полноценные персональные данные и последовательно привлекает к ответственности тех, кто нарушает требования их локализации и обработки.

Что должен содержать корректный cookie-баннер

Обязательные элементы по 152-ФЗ

Баннер — это не украшение и не формальность. Это инструмент получения осознанного и информированного согласия [3]. Согласно требованиям законодательства и позиции регулятора, корректный баннер должен:

Появляться при первом посещении сайта до загрузки каких-либо аналитических или рекламных скриптов [4]. Если пользователь зашёл на сайт, а Яндекс.Метрика уже начала работу, — это нарушение.

Содержать понятный текст, объясняющий, какие категории cookie используются и с какой целью. Конкретика обязательна: «для аналитики поведения», «для показа персонализированной рекламы», «для корректной работы форм» [3].

Предоставлять возможность выбора по категориям: пользователь должен иметь возможность принять только технические cookie, отказавшись от аналитических и рекламных [6].

Содержать кнопку «Отклонить» или «Отказаться от всех», которая так же доступна, как кнопка «Принять» [26]. Наличие только кнопки «Принять» делает согласие недобровольным.

Включать ссылку на политику конфиденциальности или отдельную политику cookie, где дана исчерпывающая информация [3].

Не блокировать полностью работу с сайтом в случае отказа (dark pattern). Пользователь, отказавшийся от аналитических cookie, должен по-прежнему иметь возможность использовать сайт.

Что запрещено в баннере

Предустановленные галочки или автоматически отмеченные пункты: согласие должно быть активным действием пользователя, а не умолчанием [4].

«Молчаливое согласие» — трактовка продолжения использования сайта как согласия не соответствует требованиям 152-ФЗ, который требует активного действия [17].

Скрытые или труднодоступные настройки. Если кнопка «Принять» крупная и заметная, а «Отклонить» спрятана в настройках через три клика, суды и Роскомнадзор расценивают это как попытку обойти требование добровольности [26].

Таймеры автоматического согласия: баннер не должен автоматически скрываться через несколько секунд, засчитывая это как согласие.

Техническая реализация: consent-based loading

Ключевой принцип реализации: ни один аналитический или рекламный скрипт не должен загружаться до момента, пока пользователь не нажал «Принять» соответствующую категорию [20]. На практике это реализуется через:

Отложенную загрузку (deferred loading): теги Яндекс.Метрики, VK Pixel и подобных инструментов добавляются в DOM только после события согласия.

Технологию Consent Mode для Google-сервисов (если они всё же используются через server-side прокси): теги переходят в режим ограниченной функциональности до получения согласия [22].

Блокировку сторонних запросов на сетевом уровне: при первом заходе браузер не должен отправлять запросы к доменам третьих лиц (analitika.yandex.ru, mc.yandex.ru, vk.com/rtrg), пока пользователь не дал согласие.

Для проверки этого механизма удобно использовать вкладку Network в DevTools браузера: при первом заходе (в режиме инкогнито, без кешированных согласий) внешние аналитические запросы не должны появляться до взаимодействия с баннером [20].

Согласие в формах: чекбоксы, тексты и галочки

Требования ст. 9 152-ФЗ

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным [1]. Каждый из этих критериев имеет практическое значение.

Конкретность: нельзя запрашивать согласие «на любые цели». Каждая цель обработки (обратная связь, рассылка, передача партнёрам) требует отдельного пункта или отдельного согласия.

Предметность: пользователь должен понимать, какие именно данные будут обрабатываться — имя, email, телефон, IP, история посещений.

Информированность: пользователь должен знать, кто является оператором, каков срок хранения данных, как можно отозвать согласие [21].

Сознательность и однозначность: согласие должно быть активным действием — нажатием кнопки или проставлением галочки вручную.

Отдельность согласия от других документов

С 1 сентября 2025 года это требование стало законодательно закреплённым [23]. Если пользователь подписывает договор оферты или ставит галочку «я принимаю условия», — это не является согласием на обработку ПДн. Согласие должно быть вынесено в отдельный документ или, как минимум, в отдельный элемент интерфейса: отдельный чекбокс с явной привязкой к тексту согласия [24].

На практике это означает: на каждой форме сайта (обратная связь, заявка на консультацию, подписка на рассылку, регистрация) должен быть отдельный нечекнутый чекбокс с текстом согласия.

Что писать в тексте согласия

Минимально необходимый текст под формой обратной связи включает: указание на оператора (наименование организации), перечень обрабатываемых данных, цель обработки, срок хранения, ссылку на политику конфиденциальности и способ отзыва. Пример формулировки: «Я даю согласие ООО "Компания" (ИНН 0000000000) на обработку моих персональных данных (имя, телефон, email) в целях обработки заявки и обратной связи. Политика конфиденциальности — [ссылка]. Отозвать согласие можно, написав на privacy@company.ru» [9].

Важно: отдельное согласие на рассылку, если вы планируете отправлять маркетинговые письма. Использование данных из формы заявки для рассылки без отдельного согласия является нарушением принципа целевого использования данных [21].

Политика конфиденциальности и политика cookie: в чём разница и что обязательно

Политика конфиденциальности — это широкий документ, описывающий все аспекты обработки персональных данных оператором: категории данных, цели, правовые основания, сроки, права субъектов, контакты. Её обязан иметь любой сайт, собирающий хоть какие-либо данные о пользователях. Отсутствие или ненадлежащее оформление влечёт штраф 30–60 тысяч рублей [25].

Политика cookie — более специализированный документ (иногда включается в политику конфиденциальности как отдельный раздел), описывающий конкретно работу с файлами cookie: перечень всех используемых cookie с указанием названия, типа, цели, срока действия и источника (первая или третья сторона) [25]. Наличие такой таблицы — лучшая практика и соответствует требованиям прозрачности по ст. 5 152-ФЗ.

Что включать в политику cookie

Полный список всех используемых cookie с описанием назначения каждого. Разделение по категориям (технические, функциональные, аналитические, рекламные). Сроки хранения каждого типа. Информацию о третьих лицах, которым передаются данные (Яндекс, VK и т.д.), с указанием их собственных политик. Инструкцию по управлению cookie в браузере и способ отзыва согласия через баннер.

Как оформить и где разместить

Политика конфиденциальности должна быть доступна на каждой странице сайта — как правило, ссылка размещается в футере [25]. Также ссылка обязательна непосредственно в тексте согласия под каждой формой и в cookie-баннере. Документ должен быть написан понятным языком — без юридического «птичьего языка», который пользователь не может понять.

Логирование и хранение согласий: технические требования

Что фиксировать

Обязанность доказать получение согласия лежит на операторе — это прямо предусмотрено ч. 3 ст. 9 Закона № 152-ФЗ [1]. Для этого необходима система логирования. По каждому факту согласия нужно фиксировать: идентификатор сессии (session ID), IP-адрес пользователя в момент согласия, временную метку (timestamp с точностью до секунды), тип согласия (принято/отклонено по каждой категории cookie), URL страницы, на которой было получено согласие, и идентификатор версии баннера/политики на момент согласия [3].

Для форм обратной связи логируется аналогичная информация: IP, время, URL формы, факт простановки галочки согласия [21].

Сколько хранить

Практика, сложившаяся среди специалистов по комплаенсу: логи согласий хранить не менее 6 лет [14]. Это соответствует общему сроку исковой давности и позволяет доказать правомерность обработки при любой проверке. Сам срок хранения персональных данных, собранных через формы, определяется оператором в политике конфиденциальности и должен быть разумным с точки зрения целей обработки.

Практический чек-лист: 20 шагов для приведения сайта в соответствие

Ниже — последовательность действий, которая охватывает основные требования 152-ФЗ применительно к cookie и формам. Список не является юридическим советом и не заменяет аудит специалиста.

1. Провести инвентаризацию всех cookie, устанавливаемых сайтом (через DevTools или специализированные сканеры).
2. Разделить обнаруженные cookie по четырём категориям: технические, функциональные, аналитические, рекламные.
3. Убедиться, что аналитические и рекламные скрипты не загружаются при первом заходе без согласия (проверить в режиме инкогнито через вкладку Network).
4. Разработать или обновить cookie-баннер с кнопками «Принять все», «Отклонить все» и «Настроить».
5. Убедиться, что баннер виден сразу при первом посещении, не скрыт в футере, не появляется только после прокрутки.
6. Реализовать consent-based loading: загрузку аналитики и рекламных скриптов только после получения согласия.
7. Настроить повторный показ баннера, если пользователь закрыл его без явного выбора.
8. Реализовать логирование согласий (session ID, IP, timestamp, тип решения по каждой категории).
9. Хранить логи согласий не менее 6 лет в защищённом месте.
10. Разместить или обновить политику конфиденциальности: она должна быть актуальной, доступной с каждой страницы сайта, написана понятным языком.
11. Составить или обновить политику cookie (или раздел в политике конфиденциальности) с полным перечнем cookie, их целями, сроками и сторонними получателями.
12. Добавить отдельный нечекнутый чекбокс согласия под каждую форму обратной связи, регистрации, подписки.
13. Убедиться, что текст согласия под формой содержит: оператора, перечень данных, цель, срок, ссылку на политику, контакт для отзыва.
14. Отдельно оформить согласие на маркетинговые рассылки, если они планируются.
15. Убедиться, что Google Analytics или Facebook Pixel не используются без server-side прокси или заменены на российские альтернативы.
16. Проверить, что данные пользователей хранятся на серверах в России (ч. 5 ст. 18 152-ФЗ).
17. Подать или актуализировать уведомление в Роскомнадзор о намерении осуществлять обработку ПДн (с 30 мая 2025 года неуведомление грозит штрафом 1–3 млн рублей) [2].
18. Провести внутренний аудит: проверить договоры с подрядчиками (CRM, рассылки, рекламные системы) на наличие обязательств по соблюдению 152-ФЗ.
19. Назначить ответственного за ПДн и провести обучение сотрудников, работающих с данными клиентов.
20. Установить регулярный цикл пересмотра (раз в полгода–год) всех документов и настроек по мере изменений законодательства.

Типичные ошибки и как их избежать

Ошибки в баннере

Отсутствие кнопки «Отклонить». Это самая частая ошибка [26]. Сайт показывает только кнопку «Принять» — согласие, полученное таким образом, не является добровольным. Решение: всегда добавлять равнодоступную опцию отказа.

Баннер появляется только на главной странице. Если пользователь перешёл на сайт со страницы товара в поиске, а баннер показывается только на главной, — правило первого посещения нарушено. Решение: баннер должен триггериться по отсутствию cookie согласия, независимо от входной страницы.

Скрипты грузятся до взаимодействия с баннером. Это технически наиболее распространённая ошибка. Нередко разработчики добавляют баннер «поверх» уже работающей аналитики, не настраивая блокировку [26]. Решение: проверить через DevTools Network.

Ошибки в формах

Предустановленная галочка согласия. Прямое нарушение требований активного согласия. Встречается в половине проверяемых сайтов. Решение: чекбокс по умолчанию пустой.

Согласие «под всё сразу». Одна галочка «Согласен с условиями», которая одновременно означает согласие на обработку ПДн, рассылку, передачу партнёрам и использование cookie — нарушение принципа конкретности и требований с 1 сентября 2025 года [21]. Решение: отдельные согласия по целям.

Нет контакта для отзыва согласия. Пользователь должен иметь механизм отзыва и понимать, как им воспользоваться [21]. Решение: укажите email или форму в тексте согласия.

Ошибки в документах

Политика конфиденциальности устарела. Если в документе упоминаются сервисы, которые уже не используются, или не упоминаются те, что появились, — это несоответствие реальной практике обработки. Решение: пересматривать документ при каждом изменении ИТ-инфраструктуры.

Согласие «вшито» в пользовательское соглашение. С 1 сентября 2025 года это прямо противоречит закону [23]. Решение: выделить согласие в отдельный блок или документ.

Нет описания трансграничной передачи данных. Если вы используете сторонние сервисы (даже облачную CRM с серверами за рубежом), это нужно отразить в документах [4].

Технические ошибки

Использование Google Analytics без прокси. Даже если формально баннер присутствует, передача данных на серверы Google является потенциальным нарушением требований локализации [22]. Решение: server-side Tag Manager или замена на Яндекс.Метрику с российским хранением.

Отсутствие HTTPS. Без шифрования трафика cookie сессий и данные форм могут перехватываться. Это нарушение требований к безопасности обработки ПДн по ст. 19 152-ФЗ.

Нет механизма управления согласием после первого визита. Пользователь должен иметь возможность изменить свои настройки cookie в любое время — кнопка «Управление cookie» или «Настройки конфиденциальности» в интерфейсе сайта.

Инструменты и запрещённые сервисы в РФ

В контексте аналитики и рекламных инструментов ситуация в России значительно отличается от европейской практики.

Яндекс.Метрика — основной инструмент веб-аналитики для российских сайтов. Данные хранятся в России, что соответствует требованиям локализации. Тем не менее скрипт Метрики не должен загружаться без согласия — он собирает идентификаторы пользователей [22].

VK Pixel — допустим при наличии корректного согласия и при условии, что данные хранятся в России.

Google Analytics (GA4) — использование сопряжено с серьёзными рисками, поскольку данные передаются на серверы Google за рубежом. Если использование GA4 необходимо, данные следует передавать через server-side прокси с промежуточным хранением в России.

Facebook Pixel (Meta Pixel) — использование на российских сайтах недопустимо: Meta Platforms признана в России экстремистской организацией [22]. Передача данных пользователей на инфраструктуру Meta является нарушением.

Для управления согласиями (Consent Management Platform, CMP) можно использовать отечественные или нейтральные инструменты, а также собственные реализации на JavaScript с функциями логирования.

Взгляд со стороны: правовая неопределённость и дискуссии

Было бы некорректно представлять ситуацию как полностью однозначную. Ряд вопросов остаётся дискуссионным в профессиональном сообществе.

Парадокс технических cookie: закон формально позволяет использовать технические cookie на основании исполнения договора (п. 5 ч. 1 ст. 6), не требуя согласия [8]. Однако на практике эти cookie устанавливаются на устройство до того, как пользователь акцептовал пользовательское соглашение. Это создаёт логическое противоречие, которое не разрешено ни законом, ни разъяснениями РКН. Большинство практикующих юристов рекомендуют запрашивать согласие и на технические cookie, принимая во внимание неопределённость [8].

Возможная реформа института согласий: глава Роскомнадзора Андрей Липов публично высказался, что механизм согласий, предусмотренный 152-ФЗ, устарел — количество подписываемых согласий столь велико, что человек не способен их контролировать [24]. РКН предлагает постепенный переход к отраслевым стандартам. Это означает, что регуляторный ландшафт будет меняться, и нынешние требования — не финальная версия.

Дискуссия о принципе data minimisation: международные стандарты и GDPR явно формулируют принцип минимизации данных — собирать только то, что необходимо для конкретной цели. В российском 152-ФЗ этот принцип существует (п. 5 ст. 5), но на практике применяется менее строго, что создаёт риски для компаний, работающих одновременно на российском и европейском рынках.

Что будет дальше: тренды регулирования

На основе текущих тенденций можно ожидать следующего:

Автоматизация проверок Роскомнадзора. Регулятор движется в сторону сканирования сайтов программными методами [3]. Это означает, что масштаб выявляемых нарушений будет расти, а «небольшой сайт» перестанет быть фактором, снижающим риск.

Переход к отраслевым стандартам. РКН заявил о намерении разработать отраслевые стандарты обработки данных как альтернативу индивидуальным согласиям [24]. Вероятно, в течение 2–3 лет появятся специфические требования для e-commerce, медицины, финансов.

Рост роли server-side аналитики. На фоне ограничений для зарубежных инструментов и требований локализации многие компании переходят к server-side аналитике — сбору и обработке данных на собственном сервере без передачи третьим лицам. Это одновременно решает проблему локализации и снижает зависимость от внешних сервисов.

Усиление прав субъектов данных. Тренд, аналогичный GDPR: права на доступ к данным, исправление, удаление, переносимость — постепенно закрепляются и в российском регулировании.

Следует оговориться: конкретные сроки и форматы будущих изменений носят прогностический характер. За актуальным статусом лучше следить на официальных ресурсах Роскомнадзора и КонсультантПлюс.

Заключение и что делать дальше

Тема cookie-баннеров перестала быть «техническим вопросом, который решит разработчик». Сегодня это пересечение права, технологий и стратегии управления данными. Санкции стали реальными, проверки — системными, а судебная практика — предсказуемой.

Хорошая новость: при системном подходе привести сайт в соответствие с 152-ФЗ не так сложно. Большинство шагов из чек-листа можно реализовать за несколько рабочих дней: обновить документы, добавить корректный баннер, настроить consent-based loading, вынести согласия в отдельные чекбоксы. Сложнее — обеспечить системный контроль: отслеживать новые скрипты, которые появляются по мере развития сайта, и вовремя обновлять документацию.

Что делать прямо сейчас: провести инвентаризацию всех cookie через DevTools, сравнить список с тем, что описано в политике конфиденциальности, проверить, не загружаются ли аналитические скрипты до согласия, и убедиться, что под каждой формой стоит отдельный нечекнутый чекбокс.

Как «Пятый фактор» помогает держать ПДн под контролем

Описанные в статье проблемы — непрозрачность сбора данных, трудность отслеживания новых cookie и форм, разрыв между реальной практикой и документацией — характерны не только для веб-сайта, но и для всей ИТ-инфраструктуры компании.

На сайте появился новый лендинг с формой — нужно убедиться, что согласие оформлено. В CRM появилось новое поле — нужно проверить, покрыто ли оно действующими согласиями. Подключили новый аналитический сервис — нужно обновить политику конфиденциальности. Всё это происходит постоянно, и без единой актуальной «карты данных» компания узнаёт о новых рисках только на проверке или при инциденте.

Именно эту проблему решает on-prem платформа «Пятый фактор» (5factor.ru). Она автоматически обнаруживает, инвентаризирует и контролирует персональные данные в корпоративных системах — базах данных, хранилищах, CRM, 1С, API — без передачи и хранения «сырых» ПДн, работая только с метаданными, структурой и агрегатами. Это означает: платформа сама не становится источником риска.

В результате компания получает живую «карту ПДн»: где и какие данные обрабатываются, кто владелец, что изменилось с прошлой проверки, какие новые поля и интеграции появились. Это напрямую применимо к ситуации с cookie и формами на сайте: если в ИТ-системах появляются новые данные, «Пятый фактор» замечает это раньше, чем проблема превратится в нарушение. Вместо разрозненных ручных проверок — непрерывный контроль, понятные статусы и быстрая готовность к требованиям Роскомнадзора.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 9, ред. от 24.06.2025 — consultant.ru

[2] КонсультантПлюс: штрафы за нарушения при обработке персональных данных с 30 мая 2025 — consultant.ru

[3] Cookie-файлы как персональные данные: что это значит для бизнеса, сайта и команды — b-152.ru

[4] Файлы cookie и персональные данные: терминология и основания для обработки; трансграничная передача (Михаил Ратушный, Ozon / Право.ру) — pravo.ru

[5] Cookie-файлы как персональные данные — судебная практика: Spotify, Match Group, Таганский суд — cisoclub.ru

[6] Роскомнадзор в 2025 году: технические аспекты локализации и требования к cookie — krivoshein.site

[7] 152-ФЗ и файлы cookie: как сделать сайт юридически чистым в 2025 году — lpmotor.ru

[8] Файлы cookie и ПДн: основания для обработки; парадокс технических cookie (Право.ру) — pravo.ru

[9] 152-ФЗ: что нужно сделать владельцам интернет-магазинов — пример текста согласия — advantshop.net

[10] Согласие на обработку персональных данных с 1 сентября 2025 года: новые правила (Гарант) — garant.ru

[11] Нужно ли согласие на обработку cookie как персональных данных — судебные прецеденты 2016 — 1c-prime.ru

[12] КонсультантПлюс: ответственность за нарушения персональных данных с 30 мая 2025 — consultant.ru

[13] Изменения 152-ФЗ с 1 сентября 2025: чек-лист подготовки — robokassa.com

[14] Сбор cookie в 2025: правила 420-ФЗ; хранение логов согласий минимум 6 лет — crmlove.ru

[15] КонсультантПлюс: новые штрафы за утечку персональных данных — consultant.ru

[16] Полный гайд по 152-ФЗ в 2025 году — workspace.ru

[17] Юридические нюансы сбора cookies: молчаливое согласие недопустимо — qform.biz

[18] 6 простых шагов для обеспечения соответствия сайта 152-ФЗ — b-152.ru

[19] Cookie-уведомления: когда они обязательны и как оформить — sun-agency.ru

[20] Проверка сайта на 152-ФЗ — consent-based loading и DevTools — hostinside.ru

[21] Топ-5 типичных ошибок сайтов по 152-ФЗ — ошибки форм, отзыв согласия, логирование — kompot.bz

[22] Как настроить cookie-баннер: Google Consent Mode, запрещённые сервисы в РФ — habr.com

[23] Согласие на ПДн с 01.09.2025 — отдельность согласия от других документов (Klerk) — klerk.ru

[24] Новые согласия 2025 — позиция РКН об отраслевых стандартах как альтернативе (Главбух) — glavbukh.ru

[25] 152-ФЗ: что сделать на сайте — политика конфиденциальности обязательна, штраф за отсутствие (Tilda) — tilda.education

[26] Сайты: как выполнить требования 152-ФЗ — кнопка «Отклонить» обязательна (Cortel) — blog.cortel.cloud

[27] Гайд по разработке форм согласия на обработку cookie — ninen.ru

[28] Штрафы за нарушения 152-ФЗ с 30 мая 2025 — ic-tech.ru