В России нет отдельного «закона о cookie», как нет и единого ePrivacy-регламента. Но есть 152-ФЗ, который требует получать согласие на обработку ПД, и cookie часто содержат идентификаторы, относимые к ПД (по позиции РКН с 2017 года).

Подробно об общем соответствии законам РФ — в пиллар-чек-листе. Здесь — конкретно про cookie-баннер.

Какие cookie требуют согласия

  • Аналитические (Я.Метрика, Google Analytics) — собирают идентификатор пользователя.
  • Рекламные (ремаркетинг, пиксели социальных сетей) — однозначно ПД.
  • A/B-тесты, heatmap-сервисы (Hotjar, VWO) — да.
  • Сторонние виджеты (Disqus, чаты, формы Calendly) — да, если передают ПД.

Какие НЕ требуют согласия

  • Технические — сессионные cookie корзины, авторизации, CSRF-токены.
  • Cookie настроек интерфейса — выбор языка, тёмная тема.
  • Анти-фрод и безопасность — рейт-лимиты, проверки на ботов.

Как должен работать баннер

  1. Показываться при первом визите.
  2. Давать выбор: «Принять всё», «Отклонить всё», «Настроить».
  3. Скрипты аналитики и рекламы не должны грузиться до согласия. Это критично — частая ошибка.
  4. Содержать ссылку на политику с описанием, какие cookie ставятся и зачем.
  5. Сохранять выбор на год; в любой момент пользователь должен иметь возможность изменить решение.

Технически

Распространённый паттерн:

  1. В HTML не вставлять Я.Метрику/GA напрямую.
  2. Загружать их через JS только после клика «Принять».
  3. Использовать localStorage для сохранения выбора (cookie на год).
  4. Дать кнопку «Изменить настройки cookie» в футере для повторного открытия баннера.

Частые ошибки

«Согласием считается дальнейшее использование сайта» — нет, такого согласия не существует. Согласие должно быть явным и активным действием.

Я.Метрика грузится сразу, а баннер показан «для галочки» — это нарушение. Скрипт нужно подключать асинхронно после клика «Принять».

Только одна кнопка «Принять» — не соответствует. Должна быть и кнопка «Отклонить» (или «Только необходимые»).

Баннер закрывает весь экран и нельзя пользоваться сайтом — серая зона. По строгой трактовке такое «принуждение» нарушает добровольность согласия.

Готовый код cookie-баннера

В платном отчёте по нашей проверке мы даём готовый JS-код cookie-баннера, который соответствует требованиям 152-ФЗ. Можно вставить в любой сайт за 5 минут.