Алексей Ветров
Эксперт по защите данных IC-TECH
Да, в большинстве случаев сбор cookie-файлов признаётся обработкой персональных данных. Cookie могут содержать или позволять идентифицировать данные о пользователе — например, его IP-адрес, историю посещений, технические параметры устройства. Эти сведения прямо или косвенно относятся к конкретному человеку, а значит подпадают под определение «персональные данные» по ФЗ-152.
Таким образом, если на сайте собираются cookie, оператор обязан уведомить Роскомнадзор и разместить на сайте политику обработки ПДн с отдельным разделом про cookie.
Таким образом, если на сайте собираются cookie, оператор обязан уведомить Роскомнадзор и разместить на сайте политику обработки ПДн с отдельным разделом про cookie.
Обоснование по законодательству
- ФЗ-152, статья 3, пункт 1: персональные данные — любая информация, относящаяся прямо или косвенно к определённому физическому лицу.
- ФЗ-152, статья 22, часть 1: до начала обработки ПДн оператор обязан уведомить Роскомнадзор.
- Разъяснения Роскомнадзора (2021, 2023 годы): cookie-файлы, в том числе IP-адреса и идентификаторы устройств, относятся к персональным данным, так как позволяют идентифицировать пользователя в сети.
Когда cookie точно считаются персональными данными
- Используются для аналитики (Google Analytics, Яндекс.Метрика и др.) с привязкой к конкретному пользователю.
- Применяются для персонализированной рекламы (таргетинг, ремаркетинг).
- Сохраняют авторизационные данные (логины, пароли, настройки пользователя).
Пример:
Интернет-магазин устанавливает cookie, чтобы «узнавать» пользователя при следующем визите и показывать ему товары, которые он смотрел. Это — обработка персональных данных.
Если на сайте используются cookie и нужно легализовать обработку — поможем. Услуга по подаче уведомления в Роскомнадзор
Когда cookie могут не считаться персональными данными
- Если собираются только обезличенные технические данные, которые невозможно связать с конкретным пользователем.
- Если cookies используются исключительно для базового функционирования сайта (например, запоминание языка интерфейса) без привязки к человеку.
На практике же полностью исключить идентификацию сложно, поэтому Роскомнадзор чаще всего признаёт обработку cookie обработкой ПДн.
Рекомендации и выводы
- Если на сайте используются cookie, почти всегда это подпадает под ФЗ-152.
- Для легализации обработки необходимо:
- подать уведомление в Роскомнадзор;
- разместить политику по ПДн с разделом про cookie;
- при необходимости реализовать баннер-согласие (cookie consent), где пользователь подтверждает обработку.
Это снижает риск штрафов при проверках и делает сайт соответствующим требованиям закона.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
