menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Cookie-файлы как персональные данные: что это значит для бизнеса, сайта и команды

лонгриды
13.01.2023
12/09/25
Б-152
Лонгриды
События /
Cookie-файлы как персональные данные: что это значит для бизнеса, сайта и команды
Сегодня практически каждый сайт использует cookie-файлы: для аналитики, маркетинга, авторизации, персонализации и автоматизации бизнес-процессов. Но далеко не все понимают: куки больше не просто технический элемент. С точки зрения закона — это объект правового регулирования. А точнее, персональные данные.
Закон, судебная практика и позиция Роскомнадзора подтверждают: если сайт использует cookies для анализа поведения, маркетинга, сохранения пользовательских настроек или передачи данных третьим лицам, он становится оператором персональных данных и обязан соблюдать 152-ФЗ.
Разберемся, почему cookies — это ПДн, что говорит суд, чем это грозит и что нужно изменить на сайте, чтобы работать законно.
Почему cookies — это персональные данные
Судебная практика и позиция Роскомнадзора
Содержание
Какие cookie-файлы подпадают под действие закона о персональных данных
Классификация cookies и юридические последствия
Какие риски возникают при неправильной работе с cookie-файлами
Что должны сделать разные роли
Как правильно оформить работу с cookies: пошаговый разбор
Вывод
Почему cookies — это персональные данные
Судебная практика и позиция Роскомнадзора
Содержание
Какие cookie-файлы подпадают под действие закона о персональных данных
Классификация cookies и юридические последствия
Какие риски возникают при неправильной работе с cookie-файлами
Что должны сделать разные роли
Как правильно оформить работу с cookies: пошаговый разбор
Вывод

Почему cookies — это персональные данные

По части 1 статьи 3 закона № 152-ФЗ, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. И если с паспортными данными все понятно, то cookie воспринимаются многими как анонимные.
На практике это не так.
Что делает cookie-файл:
  • присваивает пользователю уникальный ID;
  • отслеживает поведение на сайте;
  • связывает посещения и действия между сессиями;
  • может храниться долго и передаваться третьим лицам (Яндекс, VK и др.).
Все это позволяет идентифицировать поведение конкретного человека, даже без имени. А значит, речь идет о персональных данных, и они попадают под действие закона.

Судебная практика и позиция Роскомнадзора

Суды и надзорный орган прямо признали куки персональными данными.
Если данные нужны, чтобы выполнить договор (например, доставить товар, выставить счет или зарегистрировать участие), согласие не требуется. Это называется исполнение договора.
Примеры из судебной практики:
  • Решение Таганского районного суда г. Москвы от 15.10.2024 по делу № 12−559/2024
  • Постановления мировых судей по делу № 5−1179/422/2023 (судебный участок № 422)
Spotify AB повторно привлечена к ответственности по ч. 9 ст. 13.11 КоАП РФ: сведения российских пользователей (регистрационные данные, cookie, IP-адреса и др.) хранились на серверах в США и ЕС. Компания не предоставила Роскомнадзору запрошенную информацию и не выполнила требования локализации. Штраф — 6 млн рублей.
  • Постановление № 5−0034/422/2025
В рамках этого дела Match Group, LLC повторно привлечена к ответственности по ч. 9 ст. 13.11 КоАП РФ: сведения российских пользователей (регистрационные данные, фото, видео, платёжная информация, IP-адреса и идентификаторы cookie) хранились на серверах в США. Штраф — 10 млн рублей.
Cookie были признаны персональными данными. Нарушение заключалось в несоблюдении требований локализации — данные российских пользователей обрабатывались за пределами РФ.
Посетитель сайта должен предоставить согласие на обработку ПДн при помощи файлов cookie, в том числе при помощи метрических систем. Для выполнения указанного требования необходимо разместить cookie-баннер на сайте.
Кроме того, на «Дне открытых дверей» РКН (01.09.2023) указал:

Какие cookie-файлы подпадают под действие закона о персональных данных

Чтобы понять, какие cookies регулируются законом № 152‑ФЗ «О персональных данных», нужно ответить на два вопроса:
  1. Можно ли по этим данным идентифицировать пользователя?
  2. Используются ли эти данные для целей, выходящих за рамки предоставления услуги (например, для анализа поведения или рекламы)?
Если ответ на любой из них «да», значит, такие cookies приравниваются к персональным данным и попадают под правовой режим их обработки.

Классификация cookies и юридические последствия

Постоянные cookies
  • Сохраняются после того, как пользователь закрыл сайт.
  • Используются, чтобы «запомнить» пользователя между сессиями на сайте.
  • Пример: кука, которая хранит логин и пароль, чтобы их не приходилось вводить при каждом входе.
Временные cookies
  • Хранятся только в течение сессии на сайте.
  • После закрытия браузера удаляются.
Примеры:
  • временная отметка о том, что данные формы введены (чтобы при обновлении страницы они не потерялись);
  • сохранение корзины на время посещения сайта (но может быть реализовано и через постоянную cookie).
Сторонние cookies
  • Устанавливаются сторонними сервисами или скриптами, встраиваемыми в сайт: кнопки «Поделиться», интеграции с внешними виджетами, онлайн-чаты, аналитические счётчики (например, Яндекс. Метрика).
  • Как работают: могут собирать информацию о пользователе на разных сайтах — какие страницы он посещал, какие товары смотрел, на какие объявления кликал.
  • Пример: если человек искал товар на одном сайте, то при посещении другого сайта с рекламной сетью через сторонние cookies ему могут показывать аналогичные товары.

Какие риски возникают при неправильной работе с cookie-файлами

Если сайт:
  • не уведомляет пользователя о целях и получателях данных,
  • не соблюдает правила локализации (например, данные отправляются сразу в зарубежные сервисы),
— то это квалифицируется как нарушение законодательства о персональных данных.
Возможные последствия:
Штрафы по ст. 13.11 КоАП РФ:
— при первичном нарушении — от 150 000 до 300 000 ₽ для юрлица;
— при повторном нарушении — от 300 000 до 500 000 ₽;
— для должностных лиц — до 100 000 ₽.
Предписание Роскомнадзора:
— удалить незаконно собранные cookies или прекратить их использование;
— привести сайт в соответствие с требованиями закона.

Что должны сделать разные роли

Маркетолог:
  • Проверить, какие трекеры используются (метрики, пиксели, ретаргетинг).
  • Описать все цели и инструменты в политике конфиденциальности.
Разработчик:
  • Разместить баннер так, чтобы он был виден сразу при входе на сайт, а не «прятался» в футере или во всплывающих окнах, которые легко пропустить.
Digital-директор или продакт:
  • Проверить, кто принимает решения об использовании сторонних сервисов.
  • Убедиться, что согласие логируется (ID сессии, timestamp, тип согласия).
  • Прописать регламент взаимодействия с подрядчиками.
In-house юрист или DPO:
  • Обновить уведомление об обработке ПДн, включить в него собираемые cookies.
  • Обновить политику конфиденциальности и cookies-баннер.

Как правильно оформить работу с cookies: пошаговый разбор

Обработка cookie-файлов требует соблюдения всех требований законодательства. Это не только вопрос наличия баннера, но и прозрачности в документах.
1. Cookie-баннер: первый рубеж защиты
Cookie-баннер — это инструмент для получения осознанного и информированного согласия. Он должен быть:
  • Видимым сразу при заходе на сайт, без необходимости прокручивать страницу или переходить в футер. Иначе это может быть признано как навязанное или неявное согласие, что не соответствует требованиям статьи 6 закона № 152‑ФЗ.
  • Содержать понятный и прямой текст, например: «Мы используем cookie-файлы, в том числе для аналитики и рекламы. Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных. Подробнее — в политике конфиденциальности.»
  • Содержать кнопку/ссылку «Подробнее», ведущую на политику конфиденциальности или отдельную cookie-политику, где раскрываются все детали обработки.
2. Политика конфиденциальности или cookie-политика: полное раскрытие
Документ должен включать:
  • Перечень всех используемых cookies — с указанием их назначения (например, необходимые, статистичесие, маркетинговые).
  • Цели обработки — что именно вы делаете с данными (сбор статистики, улучшение интерфейса, показ рекламы и т. д.).
  • Перечень получателей/третьих лиц — кому передаются данные (например, Яндекс, VK, Mail.ru и др.).
  • Срок хранения cookies — как долго вы или третьи лица будут хранить данные на устройстве пользователя.
  • Права субъекта данных — в том числе право отозвать согласие, подать жалобу и требовать удаления данных.
  • Контакты для связи с оператором персональных данных.
Важно: этот документ должен быть написан понятным языком и доступен без регистрации.

Вывод

Cookie-файлы — это не просто технология, а инструмент, позволяющий отслеживать действия человека в сети. С точки зрения российского законодательства, они могут являться персональными данными, а значит, требуют внимательного и корректного подхода к их использованию.
Если вы работаете с сайтом или мобильным приложением, вы обязаны:
  • в баннере четко обозначать, что собираются cookie-файлы;
  • в политике конфиденциальности или cookie-политике подробно объяснять, какие именно cookie собираются, для чего они используются, и как пользователь может ими управлять.
При этом важно, чтобы баннер был виден при входе на сайт, а не скрыт в футере или в малозаметных элементах интерфейса.
Юридические риски уже не теоретические — они реализуются в виде штрафов и проверок. Даже в условиях моратория на проверки Роскомнадзора до 2030 года, проверки сайтов продолжаются, причем прослеживается тенденция к их автоматизации, что приведет к росту их количества.
С правильной настройкой баннера, корректным описанием cookie в документации и учетом требований закона вы сможете продолжать использовать аналитику и маркетинговые инструменты на законной основе и без лишних рисков.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме