Cookie-баннер по требованиям РКН: что считается нарушением

Cookie-баннер кажется мелочью — синяя плашка внизу экрана, «Принять» закрывает её навсегда. На самом деле это одна из самых частых причин штрафов от Роскомнадзора. С 2024 года РКН активно сканирует сайты и штрафует за неправильную реализацию cookie. Разбираемся, что именно считается нарушением и как сделать правильно.

Зачем вообще нужен cookie-баннер

Cookie-файлы технически — это маленькие записи, которые сайт сохраняет в браузере пользователя. Они позволяют запомнить вход в аккаунт, корзину товаров, настройки интерфейса. Но также через cookie работают аналитика (Я.Метрика, Google Analytics), маркетинговые пиксели (Я.Директ, ВК), CRM-трекеры.

Что РКН считает нарушением

1. Одностороннее «Принять»

Самая частая ошибка. Баннер с одной кнопкой «Принять» (без «Отказаться») трактуется как принуждение пользователя к согласию.

2. Преднажатые галочки

Баннер с чекбоксами по категориям, где галочки уже стоят по умолчанию. По 152-ФЗ молчание не является согласием. Все галочки, кроме строго необходимых (технических), должны быть сняты.

3. «Принять» большая и яркая, «Отказаться» — мелкая ссылка серым

Формально кнопки есть обе. Фактически пользователь видит только большую цветную. Это так называемый «тёмный паттерн» (dark pattern), РКН его признаёт нарушением.

4. Отсутствие политики или ссылка не работает

На баннере должна быть ссылка на политику конфиденциальности, в которой описано, какие cookie собираются, для чего и сколько хранятся.

5. Cookie начинают собираться до принятия баннера

Часто бывает: пользователь только зашёл на сайт, ещё не нажал «Принять» — а Я.Метрика уже фиксирует визит, маркетинговые пиксели уже отрабатывают. Это обработка без согласия.

6. Нет возможности отозвать согласие

По 152-ФЗ субъект имеет право отозвать согласие в любой момент. Кнопка «Управление согласием» должна быть доступна с любой страницы.

7. Согласие хранится «бесконечно»

Согласие должно иметь срок. Для cookie-баннеров принято TTL 6 месяцев — потом баннер показывается снова.

Как сделать правильно

Минимально приемлемый вариант

Баннер с двумя визуально равноценными кнопками: «Принять» и «Отказаться». Под кнопками — короткое объяснение и ссылка на политику.

«Мы используем cookie для аналитики и улучшения сервиса. Подробнее в Политике конфиденциальности. Вы можете принять или отказаться.»
[Принять] [Отказаться]

Продвинутый вариант — гранулярное согласие

Баннер с тремя кнопками: «Принять всё», «Принять только необходимые», «Настроить». При нажатии «Настроить» — пользователь выбирает категории cookie (аналитика, маркетинг, персонализация). Все галочки сняты по умолчанию.

Что должно быть в политике конфиденциальности про cookie

• Что такое cookie, какие виды используются на сайте.
• Цели использования (аналитика трафика, измерение эффективности рекламы, персонализация).
• Кто получает доступ — конкретные подрядчики (Yandex Metrica LLC, ВКонтакте и т.п.).
• Срок хранения каждого типа cookie.
• Право пользователя отказаться или отозвать согласие.
• Контакты для запросов по обработке ПДн.

Технически — как реализовать запрет

Если пользователь нажал «Отказаться», маркетинговые и аналитические скрипты не должны загружаться. На практике:

• Скрипты Я.Метрики, Я.Директа, ВК-пиксель загружаются динамически после получения согласия.
• Согласие хранится в localStorage или cookie с понятным именем.
• При перезагрузке страницы сайт проверяет это значение и решает, грузить ли скрипты.

Что грозит за неправильный баннер