Cookie-баннер на сайте: 7 ошибок, за которые приходит требование РКН

Cookie-баннер — самая видимая часть compliance на сайте. Его все ставят, потому что «так делают все», но половина вариантов в интернете оформлена неправильно — и формально это уже нарушение 152-ФЗ. С 2024 года Роскомнадзор стал чаще выписывать требования именно за баннеры: автоматическому сканеру РКН это самое простое из того, что можно проверить удалённо.

Разберёмся, зачем баннер нужен, что в нём обязательно должно быть, и какие семь ошибок чаще всего ловит проверка.

Зачем вообще баннер: один абзац

Cookies (и Яндекс.Метрика, и счётчики, и пиксели) — это идентификаторы конкретного пользователя. По закону «О персональных данных» это персональные данные, и собирать их без согласия нельзя. Баннер — это и есть согласие: пользователь его прочитал, нажал «принять» — собирать можно. Не нажал или нажал «отклонить» — пиксели и аналитика грузиться не должны.

Звучит просто, но почти никто не делает это правильно. Часто баннер ставят как чек-бокс «галочка для галочки», а аналитику грузят сразу при загрузке страницы. Формально это уже не «информированное согласие» из ст. 9 152-ФЗ, и любая жалоба пользователя превращается в дело.

Что должно быть в баннере (минимум)

На рабочем cookie-баннере должны быть пять элементов:

• Понятный текст «мы используем cookies» — без юр-канцелярита на пол-экрана.
• Кнопка «Принять» — равная по размеру кнопке отказа.
• Кнопка «Отклонить» или «Только необходимые» — на одной линии с «Принять», тех же размеров и стилей.
• Ссылка на политику конфиденциальности с подробностями: какие cookies, для чего, на какой срок.
• (Опционально) кнопка «Настройки» с раздельным управлением категориями (необходимые, аналитика, маркетинг).

Что НЕ должно быть на баннере: предзаполненных галочек, единственной кнопки «Принять» без альтернативы, фразы «продолжая использовать сайт, вы соглашаетесь». Подробнее — ниже.

Ошибка 1: «продолжая пользоваться сайтом, вы соглашаетесь»

Классика. Где-то в подвале или мелким шрифтом сверху написано «мы используем cookies, продолжая работу с сайтом вы даёте согласие». Никакой кнопки нет.

Это не согласие в смысле закона. По ст. 9 152-ФЗ согласие должно быть конкретным и активным — пользователь должен что-то сделать, чтобы выразить согласие. Сам факт открытия сайта таким действием не считается. Если позже на сайт пришёл проверяющий и нашёл, скажем, Яндекс.Метрику — оператор не сможет доказать, что согласие было получено.

Ошибка 2: только кнопка «Принять»

Баннер показывается, но единственный способ его убрать — нажать «Принять». Кнопки «Отклонить» нет, ссылки на закрытие тоже.

Согласие в этом случае не является свободным — пользователь не может пользоваться сайтом, не согласившись. РКН и ФАС по этому поводу единогласны: такой баннер формально нарушает п. 1 ст. 9 152-ФЗ. Кнопки «Принять» и «Отклонить» должны быть рядом, одинаковыми по размеру и одинаково очевидными. Если «Отклонить» спрятана в «Настройки» и требует трёх кликов — это уже не «равные» кнопки.

Ошибка 3: предзаполненные галочки

В расширенной форме баннера есть переключатели для категорий: «Аналитика», «Маркетинг», «Реклама». И все они по умолчанию включены. Пользователь должен снять галочки руками, если что-то не хочет.

Это прямое нарушение. Cookie Banner Working Group ещё в 2020 году чётко определила: для нестрого необходимых cookies галочки должны быть сняты по умолчанию, и пользователь активно их включает. В России это вытекает из той же ст. 9 — «активное согласие» означает поставить галочку, а не убрать.

Ошибка 4: аналитика грузится до согласия

Баннер на странице висит, кнопка «Принять» не нажата, а Яндекс.Метрика и счётчики уже отправили данные о визите. Это самая частая техническая ошибка: разработчик подключил скрипт Метрики «как обычно», в <head> или через GTM, и она срабатывает на каждую загрузку страницы независимо от баннера.

Что делать правильно: скрипт аналитики не подключать сразу, а только после нажатия «Принять» — например, через флаг в localStorage и динамическую вставку тега скрипта через document.createElement. Если нажали «Отклонить» — скрипт не подключается вообще. У всех российских counter-сервисов (Метрика, Top.Mail.Ru) есть документация о том, как это сделать.

Ошибка 5: нет ссылки на политику

Баннер красивый, две кнопки на месте, всё корректно — но в самом тексте баннера нет ссылки на политику конфиденциальности. Пользователь читает «мы используем cookies» и нажимает «Принять», не зная, на что именно соглашается.

Согласие должно быть информированным. Если пользователь не может ознакомиться с тем, какие именно cookies собираются, для чего, как долго хранятся и кому передаются — согласие не считается полученным. Ссылка на политику в самом баннере (не в футере сайта где-то внизу) — обязательна.

Ошибка 6: баннер только на главной странице

Пользователь зашёл на сайт через прямую ссылку на статью блога или карточку товара — баннера нет. Скрипт показа баннера привязан к главной странице, а на остальных страницах не срабатывает.

Проблема в том, что трафик на современных сайтах редко начинается с главной. Поисковики ведут на конкретные страницы, рекламные ссылки — тоже. Если первый показ страницы был не с главной — баннера пользователь не видел, согласия не давал, а cookies уже собираются. Баннер должен показываться на первой странице любого визита, независимо от того, какая это страница.

Ошибка 7: нет возможности отозвать согласие

Пользователь когда-то нажал «Принять», прошло полгода — он решил передумать. Где кнопка «забыть про моё согласие»? Часто её просто нет — баннер появляется один раз и больше никогда.

По ст. 9 152-ФЗ субъект ПДн имеет право в любой момент отозвать своё согласие. На сайте это обычно реализуется так: в подвале сайта или в политике конфиденциальности — ссылка «Настройки cookies» или «Изменить согласие», которая снова открывает тот же баннер. Или отдельная страница `/cookies-settings`.

А кто за всем этим следит

Раньше — в основном по жалобам пользователей. Кто-то жаловался в РКН, что на сайте собирают данные без его согласия, дело начинали. Теперь у Роскомнадзора есть автоматический сканер: он систематически обходит сайты в зонах .ru, .рф и .su, проверяет наличие баннера и грубые ошибки в его конфигурации. Если что-то не так — присылается требование устранить нарушение в установленный срок.

О боте РКН у нас отдельная статья — там подробнее как это работает. Сейчас важно понимать: проверка стала проактивной, ждать жалобы больше не надо.

Чек-лист для самопроверки

Открываем сайт в режиме инкогнито (чтобы не было сохранённых согласий) и проверяем:

1. Баннер появляется сразу при первой загрузке любой страницы.
2. На баннере две кнопки — «Принять» и «Отклонить» (или «Только необходимые»), они одинаковы по размеру и стилю.
3. Все галочки категорий — сняты по умолчанию.
4. На баннере есть ссылка на политику конфиденциальности.
5. Если нажать «Отклонить» — в Network DevTools не должно быть запросов к Метрике, GA, пикселям и счётчикам.
6. В подвале сайта есть ссылка «Настройки cookies» (или эквивалент), которая снова открывает баннер.
7. На странице политики написано: какие cookies собираются, для чего, на сколько, как отозвать согласие.

Не выполнен хотя бы один пункт — формально это уже состав по ч. 2 ст. 13.11 КоАП. Штраф юрлицу — от 300 000 до 700 000 ₽ за первое нарушение, и Роскомнадзор сейчас выписывает их активнее, чем когда-либо раньше. Для ИП и должностных лиц суммы меньше, но факт нарушения тот же.

Хорошая новость: исправить баннер несложно. Если в баннере уже использован готовый компонент (например, наш или из CMS) — обычно достаточно поменять две-три настройки. Главное — сначала точно понять, что именно нарушено.