Cookies (куки) — один из ключевых инструментов работы современных сайтов. Они позволяют анализировать поведение пользователей, настраивать рекламу, улучшать функциональность сайта. Однако их использование связано с обработкой персональных данных, а значит — подпадает под действие законодательства о защите персональных данных, прежде всего — Федерального закона № 152-ФЗ.

Нарушение требований может повлечь штрафы, блокировку сайта Роскомнадзором и репутационные риски для компании. Поэтому каждый владелец сайта должен понимать, как законно использовать cookies. В этой статье разберем, как легально работать с cookies, что нужно указать в Политике конфиденциальности и как правильно использовать Google Analytics.

 

Что такое cookies и какие данные они собирают?

Cookies — это небольшие текстовые файлы, которые сайт сохраняет на устройстве пользователя. Они помогают запоминать настройки, авторизацию, анализировать поведение посетителей и показывать релевантную рекламу.

Какие бывают cookies?

• Сессионные – удаляются после закрытия браузера.
• Постоянные – хранятся долго (например, для автовхода).
• Аналитические (Google Analytics, Яндекс.Метрика) – собирают статистику.
• Рекламные (Facebook Pixel, Google Ads) – используются для таргетинга.

Какие данные cookies относятся к персональным?

Во многих случаях cookies позволяют идентифицировать пользователя, особенно если они фиксируют IP-адрес, геолокацию, уникальные ID, данные о действиях на сайте. В сочетании с другими сведениями такие данные признаются персональными и подпадают под защиту закона.

 

Требования закона  и практические рекомендации

1. Согласие пользователя(ст. 9 152-ФЗ)

Сайт обязан запрашивать согласие на обработку cookies, если они собирают ПДн. Это делается через cookie-баннер (всплывающее окно), где должно быть:

• Какие данные собираются и зачем.
• Ссылка на Политику конфиденциальности.
• Кнопки «Принять» и «Отказаться».

2. Политика конфиденциальности

Если вы используете технологию cookies, документ должен содержать информацию:

• Какие cookies используются.
• Цели сбора данных (аналитика, реклама, функционал сайта).
• Сведения о передаче данных третьим лицам (если есть).

3. Уведомление Роскомнадзора

Если сайт обрабатывает ПДн (например, через формы заявок), необходимо подать уведомление в РКН. Исключение – если данные собираются только для аналитики без идентификации пользователя.

 

Роскомнадзор о cookies: судебная практика и требования

Роскомнадзор (РКН) последовательно рассматривает cookies как персональные данные, если они позволяют идентифицировать пользователя (например, IP-адрес в сочетании с поведенческими метками). Это подтверждается не только разъяснениями регулятора, но и судебными решениями.

1. Позиция РКН: cookies = персональные данные

Согласно ст. 3 152-ФЗ, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному лицу. РКН в своих рекомендациях указывает, что:

• IP-адрес (особенно статический) + данные о действиях на сайте могут быть ПДн.
• Cookie-идентификаторы (например, Google Analytics Client ID) тоже попадают под регулирование, если позволяют отслеживать пользователя.

Это означает, что большинство сайтов, использующих аналитику или рекламные системы, должны:
✔️ Получать явное согласие на сбор cookies (через баннер).
✔️ Указывать в Политике конфиденциальности, какие данные cookies собираются и как обрабатываются.
✔️ Обеспечивать хранение ПДн россиян на территории РФ (если данные передаются за рубеж — уведомлять РКН).

2. Кейс LinkedIn vs РКН: почему это важно для всех сайтов

В 2016 году Роскомнадзор добился блокировки LinkedIn в России через суд (дело № 02-3491/2016). Причины:

1. Хранение данных за границей, в том числе cookies. Соцсеть отказалась переносить серверы с ПДн россиян в РФ (нарушение ч. 5 ст. 18 152-ФЗ).
2. Незаконный сбор данных. LinkedIn собирал информацию не только о пользователях, но и о третьих лицах (например, импортируя контакты из почты без согласия).
3. Утечки данных. Хакеры похитили данные 117 млн аккаунтов, что стало дополнительным аргументом для блокировки.

Итог:

• Таганский суд Москвы признал LinkedIn нарушителем.
• Доступ к сайту в России заблокирован (и остается под санкциями до сих пор).

3. Какие выводы делать владельцам сайтов?

1. Если ваш сайт передает cookies за рубеж (например, в Google Analytics или Facebook Pixel), нужно уведомить РКН о трансграничной передаче (если собираются ПДн) и дать пользователям возможность отказаться от таких cookies.
2. Хранение данных россиян. Если сайт собирает логины, email, телефоны, важно обеспечить их хранение в РФ (или получить согласие на передачу за границу).
3. Открытость. В Политике конфиденциальности должно быть четко прописано, какие cookies используются и куда передаются данные.

 

Как законно использовать Google Analytics?

Google Analytics — один из самых популярных инструментов веб-аналитики, но он осуществляет трансграничную передачу данных, что требует дополнительных мер:

• Необходимо уведомить Роскомнадзор о трансграничной передаче (ст. 12 152-ФЗ).
• В Политике конфиденциальности нужно указать страну получателя и наименование оператора.
• Настроить cookie-баннер, запрашивающий согласие на передачу данных за рубеж до начала использования аналитических инструментов.

Важно: передача данных через Google Analytics без согласия пользователя и уведомления РКН может быть признана нарушением.

 

 

Ответственный специалист

Кустов Василий Юрьевич

ответит на вопросы:

+7 (966) 240-71-17

г. Казань, ул. Спартаковская, д. 2 , этаж 2

 

 

Наши юридические услуги по соблюдению 152-ФЗ для малого и среднего бизнеса

Минимизация рисков, связанных с обработкой персональных данных, требует профессионального подхода. Наша юридическая компания «Софист» специализируется на комплексном сопровождении бизнеса в вопросах соответствия требованиям 152-ФЗ и предлагает следующие услуги:

1. Юридический аудит обработки ПДн:
   • Содержание услуги: Экспертная оценка текущих процессов обработки ПДн (клиенты, сотрудники, контрагенты), сайта, приложения на предмет соответствия 152-ФЗ. Анализ сайта на наличие обязательных документов. Выявление нарушений и рисковых зон (включая процедуры получения согласий).
   • Результат: Заключение с перечнем выявленных несоответствий и рекомендациями по их устранению. Стоимость: определяется объемом проверки, начиная от 45 000 рублей.
2. Разработка и актуализация документооборота по 152-ФЗ:

• Содержание услуги: Подготовка полного комплекта локальных нормативных актов и форм, в том числе Политика обработки персональных данных, Формы согласий на обработку ПДн, приказы, реестры, журналы, формы уведомлений для обработки ПДн сотрудников и клиентов.

1. • Результат: Юридически корректный комплект документов, обеспечивающий формальное соблюдение требований 152-ФЗ. Стоимость пакетных решений: от 35 000 рублей.
3. 3. Консультационное сопровождение и абонентское обслуживание:
   • Содержание услуги: Правовые консультации по сложным вопросам применения 152-ФЗ. Представление интересов клиента во взаимоотношениях с Роскомнадзором, в том числе при проведении проверок и обжаловании вынесенных предписаний и постановлений.
   • Форматы: Разовые консультации (от 5 000 рублей/час), абонентское юридическое обслуживание (по запросу).
4. Защита при проверках Роскомнадзора:
   • Содержание услуги: Правовой анализ предписания/протокола об административном правонарушении; подготовка мотивированных возражений и жалоб; представительство в территориальном управлении Роскомнадзора и в суде.

 

Резюме

Сбор данных через cookies требует соблюдения закона о персональных данных. Чтобы избежать штрафов:
✔️ Разместите cookie-баннер с возможностью отказа.

✔️ Фиксируйте факт получения согласия (логирование)

✔️ Опубликуйте Политику конфиденциальности с разделом о cookie.

✔️ Если используете Google Analytics – уведомите РКН о передаче данных.

 

Нужна помощь? Обращайтесь – защитим ваш сайт от претензий регуляторов!

📩 Обратитесь за консультацией — мы поможем вам привести сайт в порядок и минимизировать риски.

 

Отзывы клиентов и благодарственные письма

 

ЗАКАЖИТЕ ЮРИДИЧЕСКИЕ УСЛУГИ  В  НАШЕЙ КОМПАНИИ

+79662407117

Telegram: https://t.me/Sofist_law

Мы работаем по предварительной записи пн-пт с 09 до 18

Юридическая компания "Софист" г. Казань, ул. Спартаковская, д. 2, этаж 2