Алексей Ветров
Эксперт по защите данных IC-TECH
Да, в большинстве случаев использование cookies подпадает под закон о персональных данных. Cookies могут относиться к персональным данным, если по ним можно прямо или косвенно идентифицировать пользователя (например, через IP-адрес, данные браузера, поведение на сайте).
Это значит, что сайт обязан уведомить Роскомнадзор и соблюдать требования ФЗ-152, даже если не собирает e-mail или телефоны, а фиксирует только cookies.
Это значит, что сайт обязан уведомить Роскомнадзор и соблюдать требования ФЗ-152, даже если не собирает e-mail или телефоны, а фиксирует только cookies.
Обоснование по законодательству
- ФЗ-152, ст. 3, п. 1: персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.
- Разъяснения Роскомнадзора: IP-адреса, идентификаторы устройств, cookies и другие данные, которые позволяют идентифицировать пользователя, считаются персональными данными.
- Европейская практика (GDPR): cookies прямо отнесены к персональным данным. Российский Роскомнадзор часто следует этому подходу.
Когда cookies точно считаются персональными данными
- если они связаны с IP-адресом;
- если их можно сопоставить с аккаунтом пользователя (например, в личном кабинете);
- если через них можно отследить конкретного человека (поведенческий профиль, ретаргетинг).
Когда уведомление может не требоваться
- если используются только технические cookies, которые не идентифицируют пользователя (например, временные сессии, чтобы корзина в магазине не сбрасывалась до оплаты);
- если cookies обезличены и не связаны с конкретным пользователем.
Но на практике Роскомнадзор в большинстве случаев трактует cookies как персональные данные.
Пример ситуации
- Сайт использует Google Analytics или Яндекс.Метрику → собираются cookies + IP → это обработка ПДн, нужно уведомление.
- Онлайн-магазин хранит cookies для сохранения товаров в корзине, но не ведёт их учёт и не использует для аналитики → формально можно спорить, но Роскомнадзор обычно считает это обработкой ПДн.
Рекомендации и выводы
- Если на сайте используются cookies — безопаснее подать уведомление в Роскомнадзор.
- Обязательно разместите на сайте:
- Политику в отношении обработки ПДн;
- Политику по использованию файлов cookies (отдельно или как часть общей политики);
- Баннер-согласие на cookies (сообщение при входе на сайт).
- Это не только требование Роскомнадзора, но и повышает доверие пользователей.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
