Cookies и баннеры согласия по 152‑ФЗ: требования и внедрение

Владельцам сайтов в России важно корректно настроить работу с cookies: многие идентификаторы (cookie‑ID, IP, device‑ID) признаются персональными данными, а их обработка подпадает под 152‑ФЗ. Ниже — практическое руководство: когда нужно согласие, как оформить cookie‑баннер по 152‑ФЗ, какие документы подготовить и как технически внедрить решение на популярных платформах.

Table of contents

• Что такое cookies и ПДн по 152‑ФЗ
• Правовые основания и когда нужно согласие
• Политика cookies и комплект документов
• Требования к cookie‑баннеру по 152‑ФЗ
• Сбор, хранение и отзыв согласия
• Яндекс Метрика и 152‑ФЗ: как настроить
• Локализация и трансграничная передача cookies
• Внедрение: пошаговый план для сайта
• Частые ошибки и как их избежать
• Платформы: Tilda, WordPress, Bitrix
• Проверка, ответственность и что делать дальше

---

Что такое cookies и ПДн по 152‑ФЗ

Cookies — это текстовые файлы браузера, в которых обычно хранится уникальный идентификатор пользователя/устройства. В контексте 152‑ФЗ их следует рассматривать как персональные данные, если по ним (самим по себе или в совокупности с иной информацией) можно идентифицировать пользователя сайта. Подробнее о понятиях см. глоссарий и определения в ст. 3.

Ключевые принципы обработки cookies те же, что и любых ПДн: законность, минимизация, ограничение сроков, прозрачность и безопасность (см. принципы и цели и ст. 5).

![Схема потока согласия: баннер → выбор категорий → журнал согласий → загрузка скриптов] (Схема процесса управления согласиями и загрузкой cookie-скриптов)

Правовые основания и когда нужно согласие

Обработка cookies должна иметь юридическое основание из ст. 6 152‑ФЗ. На практике применяются:

• Исполнение договора/оказание услуги — для строго необходимых cookies (например, авторизация, корзина, выбор языка, безопасность сессии).
• Согласие пользователя — для аналитики, персонализации и рекламы.

Важное правило: если cookies не критичны для предоставления функции, их установка до получения согласия не допускается. Это относится к аналитическим пикселям, рекламным трекерам, heatmap/видеозаписи сессий и подобным технологиям.

Ниже — краткая «матрица» для 152 фз cookies:

Категория cookies	Юр. основание	Нужно предварительное согласие	Примеры
Строго необходимые	Исполнение договора/оказание сервиса	Обычно нет	Сессия, корзина, балансировка нагрузки, безопасность
Функциональные	Согласие либо явное действие пользователя	Часто да	Запоминание настроек, онсайт‑чат без авторизации
Аналитические	Согласие	Да	Веб‑аналитика, вебвизор/тепловые карты
Рекламные/трекеры	Согласие	Да	Ретаргетинг, look‑alike, конверсионные пиксели

Фраза из запроса пользователей: «нужно ли согласие на обработку ПДн 152 ФЗ cookies?» — в большинстве случаев «да» для аналитики и рекламы; обоснование без согласия допустимо только для строго необходимых файлов, что следует документально подтвердить (описать цели и логику обработки).

Политика cookies и комплект документов

Для прозрачности и доказуемости соответствия подготовьте набор документов:

• Политика cookies (отдельный документ или раздел в политике конфиденциальности) — структура, сроки хранения, категории, список третьих лиц. См. политика обработки ПДн и шаблон политики конфиденциальности.
• Оформление согласия (текст согласия, версии, механика отзыва). Готовые тексты и конструктор — в генераторе политики и согласий.
• Реестр/журнал согласий и оснований.
• Раздел «Cookies» в публичном комплекте сайта: см. документы для сайта и требования к сайту.

Следите за изменениями закона — см. изменения 2025 и структура и статьи 152‑ФЗ.

Требования к cookie‑баннеру по 152‑ФЗ

Корректный cookie баннер 152 фз — это не просто уведомление, а механизм управления согласиями. Рекомендации к интерфейсу и логике:

• Гранулярный выбор: категории «Необходимые» (всегда включены, без опции выключения), «Аналитика», «Реклама», «Функциональные».
• Равнозначные действия: «Принять все», «Отклонить все», «Настроить» без «тёмных паттернов».
• До выбора — блокировка загрузки нестрого необходимых скриптов/пикселей.
• Понятные описания целей и ссылку на «Политику cookies» в футере.
• Отдельное согласие для рекордера сессий/вебвизора.
• Возможность изменить выбор позже — закрепите ссылку «Настройки cookies» в футере.

![Пример cookie‑баннера с кнопками Принять/Отклонить и настройками категорий] (Визуальный пример cookie-баннера по 152-ФЗ)

Текстовые элементы баннера должны соотноситься с юридическими формулировками из вашей политики. Используйте HTTPS на сайте (см. SSL/HTTPS).

Сбор, хранение и отзыв согласия

Чтобы доказать законность обработки, фиксируйте согласия в журнале:

• Псевдоним/ID согласия, дата/время (UTC+3), версия политики/баннера.
• Выбранные категории, страна/IP (можно хранить хеш IP), user‑agent.
• Основание обработки (согласие/исполнение договора по конкретной функции).
• Источник: страница, с которой дано согласие.

Срок хранения согласий — в пределах цели и отчетности (см. сроки хранения ПДн). Отзыв согласия — так же просто, как и его предоставление: через кнопку в футере или обращение (см. заявления и отзыв согласия). После отзыва — прекращение обработки и удаление/блокировка (см. прекращение обработки ПДн).

Яндекс Метрика и 152‑ФЗ: как настроить

Яндекс Метрика — популярный инструмент, который устанавливает аналитические cookies. Для соответствия 152‑ФЗ:

• Разделите категории в баннере и загружайте Метрику только после согласия на «Аналитику» (см. страницу Яндекс Метрика и 152‑ФЗ).
• Отключите/включайте «Вебвизор» лишь при явном согласии (отдельный тумблер в настройках баннера или подкатегория «Запись сессий»).
• Обновляйте политику cookies со списком используемых идентификаторов и сроков хранения.
• Для рамочного контроля — подключайте скрипт Метрики через менеджер тегов/обертку, которая проверяет статус согласия до вставки кода.

Если помимо Метрики используются рекламные системы (ретаргетинг, конверсионные пиксели) — относим их к категории «Реклама» и загружаем только при согласии. Подробнее о маркетинге и ПДн см. реклама и ПДн.

Локализация и трансграничная передача cookies

Если cookies квалифицируются как ПДн граждан РФ, первичная запись и систематизация таких данных должны происходить в РФ (локализация). Проверьте размещение серверов и подрядчиков: см. серверы, хостинг, ЦОД и облака: Yandex Cloud.

При передаче ПДн за рубеж — соблюдайте требования к трансграничной передаче: оцените юрисдикцию получателя, договорные гарантии, механизмы безопасности, уведомления (см. трансграничная передача ПДн). Если вы оператор ПДн и подлежите уведомлению, проверьте статус в реестре операторов и порядок уведомления Роскомнадзор.

Внедрение: пошаговый план для сайта

1. Инвентаризация: составьте список скриптов/пикселей, cookie‑файлов, целей. Итоги внесите в «Политику cookies».
2. Классификация: разнесите по категориям — необходимые/аналитика/реклама/функциональные.
3. Правовые основания: документируйте обоснование по ст. 6 для каждой категории.
4. Баннер: выберите CMP/плагин, настройте интерфейс и блокировку скриптов до согласия.
5. Логирование: подключите журнал согласий, версии документов и обновления.
6. Безопасность: HTTPS, контроль доступа, актуальные меры защиты (см. меры безопасности ПДн).
7. Документы: обновите политику обработки ПДн и пакет документов.
8. Тестирование: пройдите онлайн‑проверку сайта и/или независимый аудит.

Частые ошибки и как их избежать

• Загрузка Метрики/рекламных тегов до согласия.
• Отсутствие кнопки «Отклонить все» и скрытие настроек.
• Необновляемая политика cookies без сроков хранения и перечня третьих лиц.
• Нет журнала согласий и версионирования.
• Одна общая «галочка» вместо категорий; предустановленные чекбоксы.
• Игнорирование локализации и трансграничных аспектов.

Проверяйте себя по чек‑листу и готовьтесь к проверкам Роскомнадзора.

Платформы: Tilda, WordPress, Bitrix

• Tilda: подключайте баннер через Zero Block/HTML‑блок и кастомный скрипт, который gating’ит внешние теги. См. Tilda и 152‑ФЗ.
• WordPress: используйте CMP‑плагин, совместимый с блокировкой тегов до согласия, и настройте исключения для «необходимых». См. WordPress и 152‑ФЗ.
• 1C‑Bitrix: включайте встроенный модуль согласий либо CMP, настраивайте событие OnBeforeProlog для блокировки скриптов до выбора. См. Bitrix и 152‑ФЗ.

Для сложных проектов пригодится общий аудит соответствия — см. аудит соответствия 152‑ФЗ.

Проверка, ответственность и что делать дальше

Регулярно пересматривайте перечни cookies, обновляйте версии баннера и политики. Отслеживайте изменения закона и практики: о законе 152‑ФЗ, последняя редакция. За нарушения возможны штрафы по КоАП 13.11 и иные последствия (см. ответственность и штрафы).

Если вы начали строить систему с нуля — начните с требований к сайту и базового пакета документов для сайта.

---

Вывод и следующий шаг Корректная работа с cookies по 152‑ФЗ — это прозрачный баннер, грамотная «Политика cookies», верное обоснование обработки и техническая блокировка тегов до согласия. Настройте сценарии для аналитики и рекламы (включая «Яндекс Метрику») и ведите журнал согласий — это снизит риски и упростит прохождение проверок.

Нужна помощь? Закажите быстрый аудит и комплект документов: консалтинг и документы под ключ, сгенерируйте тексты через генератор политики и согласий и проверьте сайт в нашем сервисе — онлайн‑проверка.