Обновления по cookie-файлам

Введение

Cookie-файлы — это небольшие фрагменты данных, которые сайт сохраняет в браузере пользователя. Они помогают запоминать настройки, авторизацию, предпочтения и статистику посещений. Без них многие функции сайтов просто не работают — например, корзина в интернет-магазине или сохранение выбранного языка интерфейса.

О куки-файлах говорят уже не первый год, но тема снова стала актуальной: в России усилился контроль со стороны Роскомнадзора за тем, как именно сайты получают согласие на обработку данных пользователей. Если раньше достаточно было разместить простое уведомление вроде «Мы используем cookies — ОК», то теперь этого недостаточно.

Причина — в требованиях прозрачности. Пользователь должен иметь возможность согласиться или отказаться от использования несущественных cookie-файлов (например, аналитических или рекламных). А сайт обязан корректно зафиксировать этот выбор и не собирать данные до получения согласия.

Что изменилось в законе

Cookie-файлы не выделены в отдельную категорию в российском законодательстве. Однако, если они позволяют прямо или косвенно идентифицировать пользователя (например, через IP-адрес, уникальный ID, связку с другой информацией), они могут подпадать под действие Федерального закона № 152-ФЗ «О персональных данных».

Это означает, что их использование регулируется как обработка персональных данных, со всеми вытекающими требованиями — в том числе необходимостью получения согласия от пользователя.

ССЫЛКА НА ЗАКОНОДАТЕЛЬНУЮ ОСНОВУ

• 152-ФЗ «О персональных данных», статья 6: обработка персональных данных допускается только с согласия субъекта или при наличии других правовых оснований.
• Cookie-файлы не упомянуты напрямую, но если через них происходит идентификация или поведенческий учёт, их использование может требовать согласия.
• Роскомнадзор не выпускал отдельного документа, прямо касающегося cookie-баннеров, структуры согласия или формы отображения уведомления.

Закон не регулирует формат cookie-баннера, но из логики 152-ФЗ следует, что: обработка персональных данных до получения согласия — недопустима. А значит, размещение куки-баннера — это не просто формальность, а способ соблюсти требования закона при первичном взаимодействии с пользователем.

ЧТО МОЖЕТ ПРОТИВОРЕЧИТЬ ТРЕБОВАНИЯМ ЗАКОНА
Хотя прямо это не запрещено, следующие практики вызывают риск признания обработки некорректной:

• Один вариант действия («Принять»), без альтернатив. Такой баннер не даёт пользователю сделать осознанный выбор и не подтверждает добровольность согласия.
• Предзаполненные чекбоксы «Согласен». Согласие должно быть выражено активным действием (статья 9 152-ФЗ). Отмеченный по умолчанию чекбокс может быть признан недействительным.
• Сбор данных до выбора пользователя. Если аналитические или маркетинговые cookies устанавливаются до того, как пользователь что-либо выбрал — это противоречит базовому принципу закона: обработка персональных данных начинается только после получения согласия.

Всё вышеперечисленное не указано как прямой запрет, но основано на юридической логике 152-ФЗ и практике его применения. Именно такие моменты обычно проверяются в случае жалоб или аудита.

Как теперь должен выглядеть cookie-баннер

Российское законодательство не устанавливает жёстких требований к внешнему виду cookie-баннера. Однако если сайт собирает cookie-файлы, которые могут быть признаны персональными данными, то, в соответствии с законом № 152‑ФЗ, необходимо получить осознанное и добровольное согласие пользователя до начала обработки.

Из этого следуют минимальные функциональные требования к баннеру, чтобы зафиксировать корректное согласие.

Минимальные элементы cookie-баннера

• Кнопка «Принять все» — для выражения согласия на установку всех типов cookies (аналитика, реклама, поведенческий учёт и т. п.).
• Кнопка «Отклонить все» — или эквивалентная по смыслу. Возможность отказаться от необязательных файлов должна быть не менее доступной, чем согласие.
• Ссылка «Настроить» или «Подробнее» — для открытия окна, где пользователь может выбрать, какие категории cookies разрешает: технические, аналитические, маркетинговые и т. п.
• Краткое описание цели сбора данных — должно быть понятно, зачем сайт устанавливает cookie-файлы и как это отражено в политике обработки данных.
• Ссылка на Политику конфиденциальности / обработки персональных данных. Она должна быть доступна из баннера, чтобы пользователь мог ознакомиться с тем, как именно используются его данные, прежде чем согласиться или отказаться.

Пример: сравнение старого и нового баннера

❌ Как было раньше:
Мы используем cookies. Нажимая «Принять», вы соглашаетесь с их использованием.

• Только одна кнопка
• Нет отказа
• Непрозрачная формулировка
• Cookie ставятся сразу, без выбора

✅ Как стало сейчас (рекомендуемая структура):
Мы используем файлы cookie для работы сайта, аналитики и рекламы. Вы можете принять все файлы, настроить предпочтения или отказаться от необязательных cookies. Подробнее — в [Политике обработки персональных данных].

Кнопки:

• [Принять все]
• [Настроить]
• [Отклонить все]

UX-аспект: как сделать баннер удобным

• Расположение: фиксированная нижняя панель или всплывающее окно, не перекрывающее контент критично.
• Контрастные, но не агрессивные цвета: не прятать отказ и не подчёркивать «Принять» как единственный выбор.
• Минимум текста, максимум ясности: одно-два предложения и кнопки — всё, что нужно на первом экране.
• Настройка без перегрузки: если пользователь нажал «Настроить», дайте ему быстрый выбор по категориям, а не 15 чекбоксов без пояснений.

Такой подход не только снижает юридические риски, но и повышает доверие пользователей. Прозрачность — это часть пользовательского опыта, а не только юридическая обязанность.

Как это реализовать на Tilda

Tilda предлагает готовое решение для отображения cookie-баннера — это блок T972 из категории «Другое». Он предназначен для уведомления пользователей и получения согласия на обработку cookie-файлов.

Что умеет блок T972

• Отображает баннер при первом заходе на сайт и ждёт действия пользователя: согласие, отказ или настройка.
• Содержит настраиваемые кнопки: «Принять все», «Отклонить необязательные», «Настроить». Все надписи редактируются вручную — можно поменять текст, скрыть ненужные кнопки, переименовать категории cookies.
• Позволяет указать: цель использования cookie-файлов; категории: технические, аналитические, рекламные и собственные; ссылку на Политику конфиденциальности.
• Поддерживает иконку настройки cookie, которая остаётся на экране даже после закрытия баннера — пользователь может в любой момент вернуться к выбору и изменить своё решение.
• Работает с аналитикой, подключённой через интерфейс Tilda, без необходимости вставлять код вручную.

Как работает аналитика с баннером

Если вы подключили Яндекс. Метрику, Google Analytics или другой счётчик через раздел «Настройки сайта → Аналитика», Tilda:

• не инициализирует код до действия пользователя;
• не передаёт данные в аналитические системы до согласия;
• разделяет категории cookies (например, рекламные активируются отдельно, только при согласии на рекламу).

📌 Это реализовано автоматически — ничего вручную подключать не нужно.

Что важно учитывать

Если вы вставляете сторонние скрипты вручную (через Head, Zero-блок или HTML), Tilda не может управлять их загрузкой. В этом случае:

• необходимо использовать атрибуты type="text/plain" и data-tilda-cookie-type;
• самостоятельно связать эти скрипты с кнопками согласия баннера.

Если скрипты подключены через стандартный интерфейс Tilda, всё работает корректно.

Можно ли адаптировать старые проекты?

Да. Если ваш сайт использует встроенный блок T972 и стандартную аналитику Tilda, вы можете привести его в соответствие с требованиями законодательства о персональных данных:

• баннер появляется при первом заходе;
• пользователь может принять, отклонить или настроить cookies;
• скрипты аналитики не активируются без согласия;
• есть ссылка на Политику конфиденциальности;
• есть возможность изменить решение через иконку в интерфейсе.

ВЫВОД. Блок T972 — полноценное встроенное решение, соответствующее современным требованиям к cookie-уведомлениям. При корректной настройке он позволяет обеспечить прозрачную работу сайта и законный сбор согласия — без сторонних сервисов и без ручного кода.

Что будет, если оставить старый баннер

Старые cookie-баннеры — те, что содержат только одну кнопку «Принять» и не позволяют пользователю отказаться от обработки несущественных cookies — потенциально больше не соответствуют логике закона о персональных данных (152-ФЗ).

Даже если такие баннеры формально информируют пользователя, они не обеспечивают получение осознанного согласия, как требует закон. А значит — несут риски.

Возможные последствия

Предупреждение от Роскомнадзора
Если пользователь подаёт жалобу, а проверка покажет, что сайт собирает поведенческие или аналитические данные без возможности отказа, оператор может получить официальное уведомление или предписание.

Блокировка на уровне оператора связи
При грубых или систематических нарушениях Роскомнадзор вправе ограничить доступ к ресурсу. Такое бывает редко, но технически это возможно.

Штрафы
Штрафы за нарушение закона о персональных данных составляют от 6 до 75 тыс. руб. и выше по статье 13.11 КоАП РФ (размер зависит от состава и количества нарушений). При повторных проверках — выше.

Репутационные риски
Даже без вмешательства регулятора, сайт с агрессивным или непрозрачным поведением теряет доверие. Пользователи всё чаще обращают внимание, какие данные у них собирают и зачем.

Cookie-баннер — это не про «закрыть окошко и забыть». Это способ заявить пользователю, что его выбор важен, и что сайт не скрывает ничего «в фоне». Прозрачность — один из самых простых и действенных способов укрепить доверие. Особенно в нишах, где пользователь работает с персональными или платёжными данными.

FAQ частые вопросы про файлы cookie

Нужно ли получать согласие на файлы cookie по закону?
Если сайт использует cookie-файлы для аналитики, рекламы или отслеживания поведения пользователей, такое использование может подпадать под действие закона о персональных данных (152-ФЗ).
В этом случае согласие пользователя на установку cookie обязательно. Исключение — технические cookie, которые необходимы для работы сайта (например, авторизация или корзина).

Достаточно ли на сайте только надписи «Мы используем cookies»?
Нет. Баннер с простой фразой без возможности выбора не считается достаточным уведомлением.
По закону согласие должно быть осознанным и выраженным действием. Поэтому желательно использовать cookie-баннер с кнопками: «Принять все», «Отклонить» и «Настроить cookies».

Обязательно ли добавлять ссылку на Политику конфиденциальности в баннер cookies?
Закон требует, чтобы у пользователя был свободный доступ к Политике обработки персональных данных.
Ссылка на документ в cookie-баннере позволяет пользователю ознакомиться с целями и объёмом обработки данных до того, как он примет решение.

Работает ли cookie-баннер в Tilda корректно по требованиям закона?
Да, при условии, что вы используете блок T972 и подключаете аналитику через раздел «Настройки сайта».
Tilda не отправляет данные в системы аналитики, пока пользователь не дал согласие. В баннере можно настроить категории cookie-файлов, текст кнопок и оставить иконку для повторного доступа к настройкам.

Читать больше полезной информации: https://sheina-studio.ru/blog