СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Б-152
2 октября
#Статьи #Dev#ИБ#Инфра

Cookie-файлы как персональные данные: что это значит для бизнеса, сайта и команды

Cookie-файлы как персональные данные: что это значит для бизнеса, сайта и команды

Сегодня практически каждый сайт использует cookie-файлы: для аналитики, маркетинга, авторизации, персонализации и автоматизации бизнес-процессов. Но далеко не все понимают: куки больше не просто технический элемент. С точки зрения закона — это объект правового регулирования. А точнее, персональные данные.

Закон, судебная практика и позиция Роскомнадзора подтверждают: если сайт использует cookies для анализа поведения, маркетинга, сохранения пользовательских настроек или передачи данных третьим лицам, он становится оператором персональных данных и обязан соблюдать 152-ФЗ.

Разберёмся, почему cookies — это ПДн, что говорит суд, чем это грозит и что нужно изменить на сайте, чтобы работать законно.

Почему cookies — это персональные данные

По части 1 статьи 3 закона № 152-ФЗ, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. И если с паспортными данными всё понятно, то cookie воспринимаются многими как анонимные.

На практике это не так.

Что делает cookie-файл:

  • присваивает пользователю уникальный ID;
  • отслеживает поведение на сайте;
  • связывает посещения и действия между сессиями;
  • может храниться долго и передаваться третьим лицам (Яндекс, VK и др.).

Всё это позволяет идентифицировать поведение конкретного человека, даже без имени. А значит, речь идёт о персональных данных, и они попадают под действие закона.

Судебная практика и позиция Роскомнадзора

Суды и надзорный орган прямо признали куки персональными данными.

Примеры из судебной практики:

  • Решение Таганского районного суда г. Москвы от 15.10.2024 по делу № 12-559/2024. Cookie были признаны персональными данными. Нарушение заключалось в несоблюдении требований локализации — данные российских пользователей обрабатывались за пределами РФ.
  • Постановления мировых судей по делу № 5-1179/422/2023 (судебный участок № 422). Spotify AB повторно привлечена к ответственности по ч. 9 ст. 13.11 КоАП РФ: сведения российских пользователей (регистрационные данные, cookie, IP-адреса и др.) хранились на серверах в США и ЕС. Компания не предоставила Роскомнадзору запрошенную информацию и не выполнила требования локализации. Штраф — 6 млн рублей.
  • Постановление № 5-0034/422/2025. В рамках этого дела Match Group, LLC повторно привлечена к ответственности по ч. 9 ст. 13.11 КоАП РФ: сведения российских пользователей (регистрационные данные, фото, видео, платёжная информация, IP-адреса и идентификаторы cookie) хранились на серверах в США. Штраф — 10 млн рублей.

Кроме того, на «Дне открытых дверей» РКН (01.09.2023) указал:

Посетитель сайта должен предоставить согласие на обработку ПДн при помощи файлов cookie, в том числе при помощи метрических систем. Для выполнения указанного требования необходимо разместить cookie–баннер на сайте.

Какие cookie-файлы подпадают под действие закона о персональных данных

Чтобы понять, какие cookies регулируются законом № 152‑ФЗ «О персональных данных», нужно ответить на два вопроса:

  1. Можно ли по этим данным идентифицировать пользователя?
  2. Используются ли эти данные для целей, выходящих за рамки предоставления услуги (например, для анализа поведения или рекламы)?

Если ответ на любой из них «да», значит, такие cookies приравниваются к персональным данным и попадают под правовой режим их обработки.

Классификация cookies и юридические последствия

Постоянные cookies

  • Сохраняются после того, как пользователь закрыл сайт.
  • Используются, чтобы «запомнить» пользователя между сессиями на сайте.
  • Пример: кука, которая хранит логин и пароль, чтобы их не приходилось вводить при каждом входе.

Временные cookies

  • Хранятся только в течение сессии на сайте.
  • После закрытия браузера удаляются.

Примеры:

  • временная отметка о том, что данные формы введены (чтобы при обновлении страницы они не потерялись);
  • сохранение корзины на время посещения сайта (но может быть реализовано и через постоянную cookie).

Сторонние cookies

  • Устанавливаются сторонними сервисами или скриптами, встраиваемыми в сайт: кнопки «Поделиться», интеграции с внешними виджетами, онлайн-чаты, аналитические счётчики (например, Яндекс.Метрика).
  • Как работают: могут собирать информацию о пользователе на разных сайтах — какие страницы он посещал, какие товары смотрел, на какие объявления кликал.
  • Пример: если человек искал товар на одном сайте, то при посещении другого сайта с рекламной сетью через сторонние cookies ему могут показывать аналогичные товары.

Какие риски возникают при неправильной работе с cookie-файлами

Если сайт:

  • не уведомляет пользователя о целях и получателях данных,
  • не соблюдает правила локализации (например, данные отправляются сразу в зарубежные сервисы),

— то это квалифицируется как нарушение законодательства о персональных данных.

Возможные последствия:

Штрафы по ст. 13.11 КоАП РФ:

— при первичном нарушении — от 150 000 до 300 000 ₽ для юрлица;

— при повторном нарушении — от 300 000 до 500 000 ₽;

— для должностных лиц — до 100 000 ₽.

Предписание Роскомнадзора:

— удалить незаконно собранные cookies или прекратить их использование; — привести сайт в соответствие с требованиями закона.

Что должны сделать разные роли

Маркетолог:

  • Проверить, какие трекеры используются (метрики, пиксели, ретаргетинг).
  • Описать все цели и инструменты в политике конфиденциальности.

Разработчик:

  • Разместить баннер так, чтобы он был виден сразу при входе на сайт, а не «прятался» в футере или во всплывающих окнах, которые легко пропустить.

Digital-директор или продакт:

  • Проверить, кто принимает решения об использовании сторонних сервисов.
  • Убедиться, что согласие логируется (ID сессии, timestamp, тип согласия).
  • Прописать регламент взаимодействия с подрядчиками.

In-house юрист или DPO:

  • Обновить уведомление об обработке ПДн, включить в него собираемые cookies.
  • Обновить политику конфиденциальности и cookies-баннер.

Как правильно оформить работу с cookies: пошаговый разбор

Обработка cookie-файлов требует соблюдения всех требований законодательства. Это не только вопрос наличия баннера, но и прозрачности в документах.

1. Cookie-баннер: первый рубеж защиты

Cookie-баннер — это инструмент для получения осознанного и информированного согласия. Он должен быть:

  • Видимым сразу при заходе на сайт, без необходимости прокручивать страницу или переходить в футер. Иначе это может быть признано навязанным или неявным согласием, что не соответствует требованиям статьи 6 закона № 152‑ФЗ.
  • Содержать понятный и прямой текст, например: «Мы используем cookie-файлы, в том числе для аналитики и рекламы. Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных. Подробнее — в политике конфиденциальности.»
  • Содержать кнопку/ссылку «Подробнее», ведущую на политику конфиденциальности или отдельную cookie-политику, где раскрываются все детали обработки.

2. Политика конфиденциальности или cookie-политика: полное раскрытие

Документ должен включать:

  • Перечень всех используемых cookies — с указанием их назначения (например, необходимые, статистические, маркетинговые).
  • Цели обработки — что именно вы делаете с данными (сбор статистики, улучшение интерфейса, показ рекламы и т.д.).
  • Перечень получателей/третьих лиц — кому передаются данные (например, Яндекс, VK, Mail.ru и др.).
  • Срок хранения cookies — как долго вы или третьи лица будут хранить данные на устройстве пользователя.
  • Права субъекта данных — в том числе право отозвать согласие, подать жалобу и требовать удаления данных.
  • Контакты для связи с оператором персональных данных.

Важно: этот документ должен быть написан понятным языком и доступен без регистрации.

Вывод

Cookie-файлы — это не просто технология, а инструмент, позволяющий отслеживать действия человека в сети. С точки зрения российского законодательства, они могут являться персональными данными, а значит, требуют внимательного и корректного подхода к их использованию.

Если вы работаете с сайтом или мобильным приложением, вы обязаны:

  • в баннере чётко обозначать, что собираются cookie-файлы;
  • в политике конфиденциальности или cookie-политике подробно объяснять, какие именно cookie собираются, для чего они используются, и как пользователь может ими управлять.

При этом важно, чтобы баннер был виден при входе на сайт, а не скрыт в футере или в малозаметных элементах интерфейса.

Юридические риски уже не теоретические — они реализуются в виде штрафов и проверок. Даже в условиях моратория на проверки Роскомнадзора до 2030 года, проверки сайтов продолжаются, причём прослеживается тенденция к их автоматизации, что приведёт к росту их количества.

С правильной настройкой баннера, корректным описанием cookie в документации и учётом требований закона вы сможете продолжать использовать аналитику и маркетинговые инструменты на законной основе и без лишних рисков.

Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: