Эксперт:

Содержание:

Что такое cookies (куки)

Cookies (куки, кукис) — это небольшие текстовые файлы, которые сайт сохраняет в браузере пользователя. С их помощью сайт запоминает технические параметры визита: язык, регион, выбранные настройки, авторизацию, содержимое корзины. При следующем заходе браузер передает эти данные обратно сайту, и тот продолжает работу не «с нуля», а с учетом предыдущих действий.

Куки часто воспринимают как нечто опасное — и это ошибка. Это не самостоятельное хранилище данных о человеке и не инструмент слежки.

Чем куки отличаются от кеша и автозаполнения

Куки часто путают с другими возможностями браузера, но это разные вещи.

Кеш — это сохраненные браузером копии «тяжелых» элементов сайта: изображений, видео, аудио, стилей и скриптов. Когда пользователь снова открывает страницу или запускает тот же медиафайл, браузер берет данные из хранилища, а не загружает их заново. Благодаря этому страницы открываются быстрее и экономится трафик.

Автозаполнение — это функция браузера, при которой он запоминает данные, введенные пользователем в формы: логин, имя, телефон, адрес электронной почты. При посещении другого сайта с похожими полями браузер предлагает подставить сохраненные значения.

В отличие от кеша, файлы куки не хранят копии файлов и медиа, привязаны к одному веб-ресурсу и не используются на других сайтах. Кроме того, кеш и автозаполнение — это встроенные функции браузера. Куки же создает сервер сайта, а браузер лишь сохраняет их на устройстве пользователя и передает обратно при следующих визитах.

Для чего нужны куки на сайте

Куки решают прикладные задачи бизнеса и продукта.

• Аналитика поведения пользователей. Помогают считать визиты, источники трафика, события и конверсии.
• UX. Сохраняют язык, регион, состояние сессии и другие настройки.
• Персонализация контента. Позволяют показывать рекомендации, избранные материалы, релевантные блоки.
• Корзина и авторизация. Поддерживают работу личного кабинета и корзины между страницами и визитами.
• Маркетинг и реклама. Используются для ограничения частоты показов, атрибуции и оценки эффективности кампаний.

Без куки сайт либо теряет функциональность, либо превращается в набор страниц без логики и памяти.

Как работают куки

Механизм работы простой и предсказуемый:

Именно поэтому сайт выглядит «знакомым» при повторном визите: браузер передает сохраненное состояние.

Эксперт отмечает, что абсолютное большинство сайтов использует cookies — это часть стандартного чек-листа при разработке. Но то, когда и как они закладываются, зависит от функционала.

Какие бывают куки

По сроку хранения

По источнику

По назначению

Это деление важно как технически, так и юридически: от типа куки зависят требования к уведомлению и согласию пользователя.

Куки и закон в России

Использование куки в России регулируется не отдельным законом, а общими нормами о персональных данных. Ключевой документ — Федеральный закон № 152-ФЗ. Он не делит эти данные на разрешенные и запрещенные и не оперирует техническими терминами. Важно, с какой целью используются данные и можно ли по ним идентифицировать человека.

Именно поэтому одинаковые куки в разных проектах могут иметь разный юридический статус — все зависит от контекста обработки.

Считаются ли куки персональными данными по 152-ФЗ

Регулятор смотрит на фактическую картину: какие куки установлены, какие данные они собирают, можно ли связать их с конкретным пользователем. Такой подход применяет Роскомнадзор при проверках и разъяснениях.

В таких случаях куки становятся частью обработки персональных данных и подпадают под требования 152-ФЗ.

Не относятся к персональным данным куки, которые:

• выполняют исключительно техническую функцию;
• используются в агрегированном виде;
• не позволяют идентифицировать пользователя;
• не применяются для профилирования или маркетинга.

Нужно ли согласие пользователя в РФ

В российском праве нет общего требования получать согласие на любые куки. Режим зависит от цели обработки.

Если сайт использует только технические данные, не идентифицирует пользователя и не решает маркетинговых задач, обычно достаточно уведомления. При этом цели использования должны быть указаны в политике обработки персональных данных.

Явное согласие требуется, когда куки используются для аналитики, маркетинга, ретаргетинга или подключаются сторонние сервисы с third-party cookies. Например, если на сайте стоит Яндекс Метрика или пиксель ВКонтакте. В таких сценариях возрастает риск идентификации пользователя и коммерческого использования данных.

Чем выше риск, тем строже требования к оформлению согласия — на этом принципе строится российская практика.

Что обязательно должно быть на сайте

Минимальный набор, без которого сайт попадает в зону риска:

• актуальная и доступная политика обработки персональных данных;
• описание использования куки и целей их применения;
• сведения об операторе персональных данных;
• контактные данные для обращений пользователей.

Отсутствие этих элементов чаще всего становится основанием для претензий со стороны регулятора.

Куки-баннер: нужен или нет

При первом заходе на сайт всплывающий баннер обязателен, если сайт использует аналитические или маркетинговые куки либо подключает сторонние сервисы со своими куки. В нем нужно объяснить цели использования файлов и дать ссылку на документ, согласно которому эти файлы собирают и обрабатывают. Пользователь должен иметь возможность согласиться или отказаться, закрыв уведомление.

Если сайт применяет только технические куки и не идентифицирует пользователя, можно ограничиться уведомлением без сложного баннера с настройками.

Формулировки должны быть нейтральными и понятными: без манипуляций, скрытых условий и давления. Пользователь должен видеть ссылку на политику и понимать, какие куки используются и зачем.

Типичные ошибки владельцев сайтов

Большинство проблем с куки возникает не из-за самой технологии, а из-за формального подхода, когда готовые решения копируют, не учитывая российскую практику и реальные сценарии обработки данных.

Ниже — ошибки, которые чаще всего привлекают внимание регулятора.

• Копирование чужих баннеров без учета российских правил. Многие владельцы сайтов берут готовые баннеры GDPR с зарубежных сайтов и ставят их почти без изменений. Такие баннеры сделаны под другие законы и не учитывают российские требования. В результате пользователь видит сложное окно с кнопками и галочками, но юридической пользы от этого почти нет. Копирование чужих решений не решает проблему и может создать ложное ощущение, что все оформлено правильно.
• Отсутствие или формальная политика персональных данных. Документ либо не обновляется годами, либо не отражает фактическую работу сайта: нет упоминания куки, аналитики, сторонних сервисов. В результате заявленные цели не совпадают с реальным фактом обработки данных.
• Подключение аналитики без оценки целей и рисков. Сервисы аналитики часто подключают автоматически, не задумываясь, какие данные они собирают и устанавливают ли third-party cookies. Без оценки целей и настроек аналитика может перейти в обработку персональных данных с повышенными требованиями к согласию.
• Незнание фактического набора куки на сайте. Не всегда понятно, какие куки в итоге работают на сайте. Плагины, виджеты и внешние инструменты могут добавлять свои файлы автоматически. Про них часто забывают написать в политике и уведомлении.
• Баннер ради галочки. Иногда баннер ставят просто потому, что так принято. Кнопка «Принять» есть, но нет объяснений и ссылки на политику. Пользователь не понимает, какие куки используются и зачем. В такой ситуации баннер не выполняет свою задачу и не снижает юридические риски для сайта.

Примеры куки для малого бизнеса

Требования к куки зависят от того, как именно работает сайт. Чем больше аналитики и маркетинга, тем больше внимания нужно уделять уведомлению, согласию и содержанию политики. Ниже — минимальные действия, которые позволяют снизить риски.

Куки для сайта услуг

Лендинги и сайты услуг обычно используют куки для базовой работы с формами заявок, сохранения сессии, корректной загрузки страниц. В таком случае достаточно технических куки и понятной политики обработки персональных данных.

Если на сайте подключена аналитика, нужно уведомить об этом пользователя и описать цель сбора данных. Отдельное согласие требуется только тогда, когда аналитика выходит за рамки простой статистики.

Куки для интернет-магазина

Для интернет-магазинов и маркетплейсов куки — часть функциональности. Корзина, авторизация, оформление заказа работают через технические куки и могут использоваться без отдельного согласия.

Но если на сайте установлены аналитика, реклама и таргетинг, почти всегда используются сторонние сервисы и third-party cookies. В таком случае нужен баннер, информирование пользователя и возможность выразить согласие или отказ. Без этого магазин попадает в зону повышенного риска.

Куки для блога и медиа

Медиа, блоги и агентские сайты часто начинают с минимального набора: технические куки и базовая аналитика для понимания посещаемости. Это допустимо при корректном уведомлении пользователя.

Когда появляется реклама, партнерские программы или персонализированный контент, требования ужесточаются. Использование маркетинговых куки без согласия в таких проектах — одна из самых частых ошибок.

Проверка куки: инструкция для владельца сайта

Полная проверка куки может занять время, но поможет значительно снизить риск внимания со стороны Роскомнадзора. В конце подробной инструкции предлагаем скачать краткий чек-лист для десятиминутной проверки.

1. Определите фактический набор cookies

• Откройте сайт в режиме инкогнито.
• Зайдите в инструменты разработчика браузера (Application →Storage →Cookies).
• Обновите страницу и посмотрите, какие cookies устанавливаются сразу.
• Перейдите по сайту (форма, корзина, личный кабинет) и проверьте, появляются ли новые cookies.

Учитывайте cookies CMS и шаблонов, плагинов, виджетов, систем аналитики, рекламных и маркетинговых сервисов.

На что обратить внимание:

• есть ли сторонние (third-party) cookies;
• какие cookies имеют длительный срок хранения;
• появляются ли cookies до согласия пользователя.

2. Классифицируйте cookies по типам

Разделите все найденные cookies на группы: технические, аналитические, маркетинговые.

Отметьте отдельно:

• first-party cookies,
• third-party cookies.

На что обратить внимание:

• используются ли cookies только для работы сайта, или также для анализа и рекламы;
• можно ли по cookies устойчиво отличить одного пользователя от другого.

3. Проверьте наличие политики обработки персональных данных

Убедитесь, что политика:

• существует,
• доступна по прямой ссылке с сайта (обычно в футере),
• открывается без ограничений.

Проверьте, соответствует ли документ текущей версии сайта.

На что обратить внимание:

• упоминаются ли куки прямо в тексте политики;
• описаны ли сторонние сервисы и аналитика;
• указан ли оператор персональных данных и контакты.

4. Проверьте описание целей обработки

Найдите в политике раздел о целях обработки данных. Убедитесь, что там прямо указано:

• зачем используются cookies,
• для каких задач они применяются (работа сайта, аналитика, маркетинг).

На что обратить внимание:

• цели должны быть понятными и конкретными;
• формулировки не должны противоречить реальной работе сайта;
• если используется аналитика или реклама, это должно быть отражено явно.

5. Оцените необходимость куки-баннера

Проверьте, используются ли на сайте:

• системы аналитики,
• рекламные инструменты,
• сторонние сервисы, устанавливающие свои cookies.

6. Проверьте корректность куки-уведомления или баннера

Посмотрите, появляется ли уведомление при первом заходе, и оцените текст:

• указано ли, что используются cookies;
• пояснены ли цели их применения;
• есть ли ссылка на политику обработки персональных данных;
• отсутствуют ли манипулятивные формулировки.

7. Сопоставьте документы и фактическую работу сайта

Сравните:

• список cookies на сайте,
• текст политики,
• текст уведомления или баннера.

На что обратить внимание:

• нет ли расхождений между тем, что написано, и тем, что реально работает;
• все ли используемые cookies учтены в документах;
• не появляются ли сторонние cookies без описания и уведомления.

8. Зафиксируйте риски и исправьте недочеты

Составьте список:

• неописанных cookies,
• лишних сторонних сервисов,
• устаревших формулировок.

Обновите:

• политику обработки данных,
• текст уведомления,
• настройки аналитики и рекламы.

Скачайте краткий чек-лист проверки куки за десять минут.

Частые вопросы о куки

Являются ли куки персональными данными в России?

Иногда да. Все зависит от того, можно ли с их помощью определить конкретного пользователя. Если куки связаны с аккаунтом, контактными данными или позволяют устойчиво отличать одного человека от другого, они подпадают под правила обработки персональных данных. Технические данные без идентификации обычно к персональным данным не относятся.

Можно ли применять куки без согласия пользователя?

Да, но только в ограниченных случаях. Речь идет о технических файлах, которые обеспечивают работу сайта и не позволяют идентифицировать пользователя. Для аналитики и маркетинга согласие, как правило, необходимо.

Чем требования к куки в России отличаются от европейских правил?

В России нет общего правила обязательного согласия на все куки. Закон смотрит на цель обработки и риски для пользователя. Важно не наличие куки как технологии, а то, как и зачем они используются.

Что будет, если игнорировать требования регулятора?

Возможны предписания Роскомнадзора об устранении нарушений, блокировка ресурса или штрафы от 150 тысяч до нескольких миллионов рублей. Проблемы выявляют по жалобам пользователей или в результате проверки регулятора.

Почему куки называются именно так?

Название появилось в профессиональной среде разработчиков. В программировании давно использовался термин magic cookie — это небольшой фрагмент данных, который одна программа передает другой, чтобы определить состояние или контекст. Когда этот механизм начали применять в вебе, название сохранилось. Со временем слово стало общеупотребительным, а визуальные образы с печеньем перекочевали в интерфейсы сайтов, хотя к реальной работе технологии они не относятся.

Главное о куки в РФ

• Куки — это технический инструмент. Закон оценивает не формат файла, а цель и способ использования данных.
• Куки становятся персональными данными, если позволяют идентифицировать пользователя и используются для сбора и хранения данных о нем.
• Аналитика и маркетинг почти всегда требуют информирования пользователя и, в ряде случаев, явного согласия.
• Информационный баннер на сайте нужен при использовании аналитики и сторонних сервисов.
• Политика обработки персональных данных должна отражать реальную работу сайта, включая использование куки.
• Формальный подход не защищает от претензий: важно понимать, какие куки используются и зачем.