Cookie-файлы на сайте в 2026 году: что изменилось и как не получить штраф

Cookie-файлы — это небольшие текстовые фрагменты, которые сайт сохраняет на устройстве пользователя. Они запоминают язык интерфейса, содержимое корзины, данные для входа в личный кабинет и другую информацию, делающую работу с сайтом удобнее. Но с точки зрения закона cookie — это ещё и персональные данные, сбор которых требует согласия пользователя. Рассказываем, что изменилось в регулировании cookie в 2025–2026 годах и как настроить сайт, чтобы не нарушить 152-ФЗ.

Как закон смотрит на cookie

Роскомнадзор последовательно придерживается позиции: данные, собираемые через cookie-файлы, относятся к персональным данным, поскольку позволяют идентифицировать пользователя — пусть и косвенно. К таким данным относятся:

• IP-адрес;
• идентификаторы cookie;
• информация о браузере и операционной системе;
• данные о местоположении (геолокация);
• история посещений страниц и переходов.

В 2025 году РКН проверил почти 23 тысячи сайтов и выявило нарушения на 17 тысячах из них. Значительная часть нарушений была связана именно с неправомерной обработкой cookie: отсутствие согласия на сбор данных, отсутствие cookie-баннера или его некорректная реализация.

Таким образом, использование cookie-файлов — это обработка персональных данных, которая требует соблюдения всех требований 152-ФЗ: наличия правового основания, согласия пользователя (в определённых случаях) и отражения информации в политике конфиденциальности.

Какие cookie бывают и какие требуют согласия

Cookie-файлы принято делить на несколько категорий в зависимости от их назначения. От этого зависит, нужно ли получать согласие пользователя.

Тип cookie	Назначение	Пример
Строго необходимые (технические)	Обеспечивают базовую работу сайта: навигацию, доступ к защищённым разделам, запоминание товаров в корзине	Сессионный идентификатор, токен авторизации
Функциональные	Запоминают пользовательские настройки: язык интерфейса, регион, шрифт	Сохранение выбранного языка
Аналитические (статистические)	Собирают информацию о поведении пользователей для улучшения сайта	Яндекс.Метрика
Рекламные (маркетинговые)	Используются для показа таргетированной рекламы на основе интересов пользователя	Пиксели соцсетей, ретаргетинг
Сторонние	Устанавливаются не самим сайтом, а внешними сервисами	reCAPTCHA, виджеты соцсетей

Что изменилось в требованиях к cookie-баннерам

Теперь согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Это напрямую касается и cookie-баннеров. Рассмотрим ключевые требования.

1. Равноценные кнопки «Принять» и «Отказаться»

Роскомнадзор прямо указывает: пользователю должна быть предоставлена возможность как принять, так и отклонить использование cookie. Баннер, в котором есть только кнопка «Принимаю» или «ОК», а отказ спрятан в настройках браузера (о которых сказано мелким шрифтом), — это нарушение. Данный пункт не касается только технических cookie.

Правильно: две равноценные кнопки — «Принять» и «Отказаться».

2. Детальная настройка

Пользователь должен иметь возможность выбрать, на какие именно категории cookie он согласен. Нельзя ставить одну галочку «Согласен на все cookie». Нужна кнопка «Настроить» или «Подробнее», которая раскрывает список категорий с отдельными чекбоксами.

3. Никаких предзаполненных чекбоксов

Все чекбоксы в баннере и в настройках cookie должны быть пустыми по умолчанию. Предзаполненная галочка не считается надлежащим согласием (ч. 1 ст. 9 152-ФЗ в ред. от 01.09.2025).

4. Запрет на «стену cookie» (cookie wall)

«Стена cookie» — это практика, при которой доступ к сайту блокируется до тех пор, пока пользователь не согласится на сбор cookie. Роскомнадзор считает такую практику навязыванием согласия. Исключение — строго необходимые cookie, без которых сайт технически не может работать. Но блокировать доступ к сайту из-за отказа от аналитических или рекламных cookie нельзя.

5. Возможность изменить согласие

Пользователь должен иметь возможность в любой момент отозвать своё согласие или изменить его условия. Для этого на сайте должна быть постоянная ссылка (обычно в футере), ведущая на страницу управления cookie-настройками.

6. Информирование о третьих лицах

Если сайт использует сторонние сервисы, которые устанавливают свои cookie (аналитика, реклама, виджеты), об этом должно быть прямо сказано в баннере и политике обработки cookie. Пользователь должен понимать, кому именно передаются его данные.

Что должно быть в cookie-баннере?

На основе требований Роскомнадзора правильный cookie-баннер должен включать:

1. Краткий текст о том, что сайт использует cookie и для каких целей.
2. Ссылку на политику обработки cookie.
3. Три кнопки: «Принять все» — согласие на все категории cookie; «Отказаться» — отклонение всех cookie, кроме строго необходимых; «Настроить» — переход к детальным настройкам по категориям. Без этого – можно только технические!
4. В детальных настройках: отдельные неактивированные чекбоксы для каждой категории cookie; краткое описание каждой категории; кнопка «Подтвердить выбор».

Типичные ошибки при работе с cookie и ответственность за них

Ошибка	Почему это нарушение	Как исправить	Штраф для юрлиц	Статья КоАП РФ
Нет баннера вообще	Сбор cookie без согласия — неправомерная обработка ПДн	Установить cookie-баннер	до 300 000 руб.	ч. 1 ст. 13.11
Cookie загружаются до согласия пользователя	Обработка ПДн до получения согласия — прямое нарушение	Настроить загрузку скриптов только после согласия	до 300 000 руб.	ч. 1 ст. 13.11
«Стена cookie»	Блокировка доступа к сайту без согласия на аналитические/рекламные cookie — навязывание	Открыть доступ при отказе, ограничив только необязательные cookie	до 500 000 руб.	ч. 1 ст. 14.8
Cookie-файлы не упомянуты в политике конфиденциальности	Политика должна отражать все способы обработки ПДн	Добавить раздел о cookie в политику конфиденциальности или ссылку на отдельный документ	до 300 000 руб.	ч. 1 ст. 13.11
Использование Google reCAPTCHA и Google Fonts	Трансграничная передача данных в США без отдельного согласия и уведомления РКН	Заменить на Яндекс SmartCaptcha, локализовать шрифты на своём сервере	до 300 000 руб. (трансграничная передача); 1 000 000 – 6 000 000 руб. (нарушение локализации)	ч. 1, ч. 8 ст. 13.11

Cookie — лишь один из элементов проблематики по 152-ФЗ. О других требованиях к сайтам в 2026 году читайте в наших материалах:

• «Изменения в 152-ФЗ с 1 июля 2026: что проверить на сайте в первую очередь»;
• «Политика и согласие на обработку персональных данных: в чём разница и что должно быть в каждом документе»