Что требует закон
В соответствии с ФЗ-152, любая обработка персональных данных возможна только с согласия субъекта или на основании иных законных оснований. Если cookie используются для статистики или таргетинга, они почти всегда относятся к персональным данным. Поэтому оператор обязан:
- уведомить пользователей о целях обработки (например, аналитика, реклама, улучшение работы сайта);
- получить подтверждение согласия, если нет иного законного основания для обработки;
- обеспечить возможность отказа.
Практика Роскомнадзора
Роскомнадзор на проверках смотрит не только наличие политики конфиденциальности на сайте, но и на фактическую работу механизма получения согласия. В ряде случаев инспекторы указывали, что простого упоминания о cookie в тексте политики недостаточно, так как пользователь может не заметить эту информацию и фактически не выражает согласие.
Распространённая рекомендация — применять отдельное уведомление (баннер или всплывающее окно) при первом визите на сайт, чтобы пользователь мог подтвердить или отклонить использование cookie.
Что важно учитывать владельцам сайтов
- Если cookie применяются только для технической работы сайта (например, для авторизации или корзины товаров), отдельный баннер можно не выводить — достаточно указания в политике.
- Если данные используются для маркетинга, аналитики, рекламы — лучше внедрить баннер с возможностью выбора. Это снижает риск претензий Роскомнадзора.
- Политика конфиденциальности должна содержать описание используемых cookie, цели и сроки их хранения.
Вывод
Формально закон не обязывает размещать баннер, но на практике это лучший вариант для подтверждения согласия пользователя. Наличие только текста в политике часто признаётся недостаточным.
Компания ICTech разрабатывает корректные политики конфиденциальности и готовит решения по согласиям для сайтов, чтобы ваш бизнес соответствовал требованиям ФЗ-152 и не вызывал вопросов у Роскомнадзора.
