ГрамотаИБ ГрамотаИБ

Cookie и баннер согласия на сайте: что требует российский закон

Нужен ли на сайте баннер согласия на cookie по российскому закону, являются ли cookie персональными данными, чем требования 152-ФЗ отличаются от европейского GDPR, что писать в баннере и политике и почему важны иностранные счётчики и локализация. Практический разбор для владельцев сайтов.

Владельцы сайтов часто копируют европейский «баннер согласия на cookie» и думают, что закрыли вопрос. В России требования иные. Разберём, являются ли cookie персональными данными, нужен ли баннер по 152-ФЗ и что на самом деле проверяют.

Являются ли cookie персональными данными

Сами по себе технические cookie не всегда персональные данные. Но если cookie и идентификаторы позволяют — в том числе в связке с другими сведениями — выделить и узнать конкретного пользователя, они приобретают характер персональных данных. Аналитические и рекламные трекеры, профилирующие посетителя, чаще всего попадают в зону риска.

Нужен ли баннер согласия на cookie

Прямого требования «cookie consent», как в европейском GDPR, в российском законе нет — слепо копировать евробаннер не нужно. Но действует общий принцип прозрачности (152-ФЗ): пользователя нужно информировать о том, что сайт использует cookie и счётчики, и с какими целями. Это делается через уведомление (баннер) со ссылкой на политику обработки ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). и через сам текст политики.

Что важнее баннера: иностранные счётчики и локализация

Главный риск на практике — не отсутствие баннера, а зарубежная аналитика. Если иностранный счётчик или виджет передаёт данные посетителей-россиян за границу, возникают вопросы локализации (часть 5 статьи 18) и трансграничной передачи (статья 12). При сборе ПДн граждан РФ их запись, систематизацию, накопление и хранение нельзя вести в зарубежных базах (часть 5 статьи 18), поэтому иностранная аналитика, через которую данные россиян уходят за рубеж до обработки в РФ, создаёт прямой риск нарушения. Подробнее — в статьях «Роскомнадзор проверяет сайты» и «Трансграничная передача ПДн».

Что сделать на сайте

  • Добавьте уведомление об использовании cookie со ссылкой на политику обработки ПДн.
  • Опишите в политике, какие cookie и счётчики используются и зачем; как её составить — здесь.
  • Проверьте подключённые счётчики: не уходят ли данные россиян за рубеж до записи в РФ.
  • Не выдавайте евробаннер GDPR за выполнение российских требований.

Типичные ошибки

  • Евробаннер вместо локализации. Поставили cookie-баннер, но данные уходят на зарубежные серверы.
  • Нет информирования. Счётчики стоят, в политике о них ни слова.
  • Считают, что cookie никогда не ПДн. Игнорируют профилирующие трекеры.

Главное

Российский закон не требует именно «баннера согласия на cookie» по образцу GDPR, но обязывает информировать о cookie и счётчиках и соблюдать локализацию и правила трансграничной передачи. Важнее красивого баннера — проверить, не уходят ли данные посетителей-россиян за рубеж через иностранную аналитику. ГрамотаИБ помогает привести политику и сайт в порядок под российские требования — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.

Как вести школьный чат и не нарушить 152-ФЗ

Родительские и классные чаты переполнены персональными данными: ФИО и телефоны, фотографии детей, оценки, сведения о здоровье. Разбираем, кто здесь оператор и применяется ли 152-ФЗ (личные нужды против официального чата школы), что категорически нельзя публиковать без согласия (фото детей, диагнозы, успеваемость, чужие контакты) и как вести чат аккуратно, чтобы не нарушить права других.

Персональные данные в школе и детском саду: согласие родителей и требования

Как образовательной организации (школе, детскому саду) законно обрабатывать персональные данные детей и родителей: когда основанием служит закон об образовании, а когда нужно согласие законного представителя, как быть с данными о здоровье и фотографиями, что оформить и какие ошибки ведут к претензиям.

Видеонаблюдение и персональные данные: что требует закон

Когда видеонаблюдение становится обработкой персональных данных и даже биометрии, на каком основании его можно вести, как информировать людей (таблички), сколько хранить записи и кому давать доступ. Отдельно — распознавание лиц как биометрия. Что оформить и типичные ошибки.