Cookie-баннеры на сайте: требования GDPR в 2026 году
- 10 февраля, 2026
- Data Privacy, Для бизнеса
Содержание
Что такое cookies?
Cookie — это небольшие фрагменты данных, которые веб-сайт отправляет и сохраняет на устройстве пользователя для хранения информации о сеансе, настройках и поведении пользователя.
В зависимости от выполняемых функций выделяют разные типы cookie.
| Тип cookie | Примеры и функции |
|---|---|
| Строго необходимые | Cookie аутентификации позволяют пользователю остаться авторизованным без необходимости повторного входа в аккаунт. |
| Строго необходимые | Cookie безопасности защищают сайт от атак, предотвращают подделку запросов и обеспечивают защиту от несанкционированного доступа. |
| Строго необходимые | Cookie сессии хранят временные данные о действиях пользователя в рамках одного посещения, например, содержимое корзины в интернет-магазине или прогресс заполнения формы. |
| Строго необходимые | Cookie для управления предпочтениями сохраняют выбранные пользователем настройки: язык интерфейса, тему оформления или параметры отображения контента. |
| Дополнительные | Аналитические и статистические cookies отслеживают активность на сайте, подсчитывают уникальные визиты, анализируют время сессии и поведение пользователей для улучшения содержания. |
| Дополнительные | Маркетинговые cookies собирают данные о предпочтениях и интересах, чтобы показывать персонализированную рекламу, отслеживать конверсии и создавать профили пользователей. |
| Дополнительные | Функциональные cookies запоминают пользовательские предпочтения сверх необходимых; обеспечивают работу встроенных сервисов третьих сторон: видеоплееры, социальные сети; определяют местоположение пользователя. |
Когда cookie привязаны к конкретному пользователю, они являются персональными данными и требуют защиты.
Компании должны информировать об их использовании на сайте через cookie баннеры, чтобы обеспечить контроль пользователя над своими данными. Кроме этого компании должны кратко объяснять, какие cookie файлы используются и зачем и давать выбор — соглашаться на это или нет.
📌 Cookie баннер — это ключевой элемент интерфейса сайта, который поддерживает прозрачность коммуникации с пользователем и помогает соблюдать законы о защите персональных данных.
С большими данными приходит большая ответственность
Владельцам веб-сайтов важно понимать законы, которые применяются в отношении cookie, чтобы избегать риски наложения штрафов за нарушения и помогать пользователям принимать осознанные решения.
Регулирование cookie одновременно осуществляется тремя ключевыми документами:
🔹 ePrivacy Directive требует получить согласие пользователя на использование любых cookie, кроме строго необходимых;
🔹 GDPR устанавливает, что каким согласие должно быть, чтобы признаваться действительным;
🔹 Digital Service Act закрепляет запрет на манипулятивные интерфейсы, которые ухудшают способность пользователей делать свободный и осознанный выбор (Regulation (EU) 2022/2065 (Digital Services Act, DSA) [2022] OJ L277/1, article 25).
📌 ePrivacy Directive регулирует не только cookies, но все, что касается сохранения информации на устройстве пользователя или доступа к ней (EDPB, Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive (Version 2.0), adopted on 7 October 2024).
Это включает URL‑ и pixel‑tracking, локальную обработку данных на устройстве, трекинг на основе одного лишь IP‑адреса, отчетность IoT‑устройств и использование уникальных идентификаторов.
Если компания не запрашивает согласие на использование cookie и cookie баннер на ее сайте отсутствует, это может повлечь серьезные риски.
Прежде всего, это потеря доверия и лояльности пользователей, когда их данные используются в целях, о которых их не информировали. Репутационные издержки быстро распространяются в соцсетях — компанию начинают отменять, а для инвесторов это красный флаг: вкладывать в компанию с подобными скандалами мало кто захочет. Так, например, в 2024 году Twitter (X) столкнулся с масштабным репутационным кризисом после того, как выяснилось, что компания использует данные пользователей для обучения ИИ без их информирования и согласия. Реакцией стали судебные иски, жалобы регуляторам в девяти странах ЕС и публичная критика в СМИ, показавшие, насколько дорого бизнесу может обойтись игнорирование принципа прозрачности (пример 1, пример 2).
Но главное — это регуляторные штрафы. Надзорные органы все активнее проверяют сайты и выписывают штрафы за нарушения установленных требований.
30 000 евро за отсутствие согласия
Испанская авиакомпания Vueling столкнулась с проверкой после жалоб пользователей. Заявители указали, что на сайте компании отсутствует механизм для выбора или отказа от cookies.
Заходя на сайт, пользователи видели cookie баннер со следующим текстом:
«Мы используем cookies, чтобы запомнить ваши предпочтения, составлять статистику и предлагать рекламу на основе ваших привычек. Продолжая навигацию, вы принимаете их использование…»
И единственной кнопкой — «Принять и продолжать навигацию».
Не было ни кнопки отклонения, ни возможности выбрать, какие cookies принимать, ни каких-либо иных вариантов. По сути, это была не просьба о согласии, а констатация факта: согласие предполагалось автоматически при любом действии пользователя на сайте.
Ссылка на легитимный интерес и список целей сбора cookie исключительно с возможностью принять условия может привести к тому, что среднестатистический пользователь будет думать, что у него нет возможности возражать против использования cookies вообще.
Ссылка на правовые основания из GDPR при обработке cookies также противоречит позиции Европейского суда в деле Inteligo от ноября 2025. Суд разъяснил: если обработка регулируется статьей 5(3) ePrivacy Directive, то нельзя подбирать правовое основание из статьи 6 GDPR. Правовым основанием остается только согласие пользователя, либо его отсутствие для строго необходимых cookies по ePrivacy Directive. По аналогии с прямыми маркетинговыми рассылками по ePrivacy, «легитимный интерес» неприменим.
Испанский надзорный орган AEPD, провел проверку и пришел к однозначному выводу: такая реализация cookie баннера с отсутствием запроса о согласии на обработку cookie представляет собой игнорирование требований европейского регулирования о защите данных. Штраф составил 30 000 евро.
📌 Для всех cookies, кроме строго необходимых, единственное законное основание обработки — это согласие пользователя. Размещение таких cookies без баннера согласия или под видом «легитимного интереса» нарушает требования ePrivacy Directive и GDPR.
Выбор без выбора: согласие на использование файлов cookie по GDPR
«Быстро сгенерировали вариант cookie баннера в ИИ, который не будет снижать продажи и эффективность бизнеса, — всё, требования закона соблюдены, можно расслабиться» — большое заблуждение.
Формальное наличие cookie баннера на сайте с запросом согласия вовсе не означает, что вы застрахованы от внимания регуляторов и штрафов. GDPR не просто требует согласия; он предъявляет к нему очень конкретные и строгие критерии. Согласие, полученное неправильным образом, — это все равно, что его отсутствие.
Корректное согласие по GDPR должно быть:
|
Добровольным Cookie баннер не должен создавать ситуацию, при которой согласие является единственным способом продолжить использование сайта, получить доступ к услуге или сохранить функциональность сайта. Отозвать согласие должно быть также легко, как и дать его. |
Конкретным Cookie баннер должен позволять пользователю принимать одни категории и отклонять другие без необходимости соглашаться со всеми. |
|
Информированным Cookie баннер должен кратко объяснять цель используемых сайтом cookie, содержать ссылку на Cookie Policy, чтобы пользователь мог ознакомиться с подробной информацией для принятия решения. |
Однозначным Cookie баннер должен выражать требование согласия ясным и недвусмысленным языком, с четкими кнопками согласия и отказа, позволяющими пользователю однозначно выразить свое решение. |
GDPR также требует, чтобы согласие было получено посредством активного действия: например, нажатия кнопки или проставления галочки.
Рассказываем, как кейс румынской компании изменил использование легитимного интереса для маркетинговых целей.
Поскольку возможность отказа от cookie, как правило, не выгодна для бизнеса, компании часто стремятся всячески способствовать согласию посредством заранее проставленных галочек в чекбоксах, чтобы пользователю не требовалось ничего делать для дачи согласия.
Однако, как показывает практика, такое решение бизнес-проблемы может стать менее выгодным, если учитывать риск потенциальных штрафов.
40 000 евро за проставленные галочкиНидерландская розничная сеть Coolblue использовала отслеживающие cookies и столкнулась с проверкой надзорного органа, который выявил, что компания:
🔹 Предполагала согласие пользователя просто при продолжении им навигации по сайту. Если пользователь не закрывал баннер и просто кликал на ссылку или прокручивал страницу, это автоматически трактовалось как согласие.
🔹 Использовала предзаполненные чекбоксы для согласия. Если пользователи не снимали проставленные галочки, это рассматривалось как согласие.
Это прямое нарушение, поскольку молчание или бездействие пользователя согласием не является (EDPB, Report of the work undertaken by the Cookie Banner Taskforce, adopted on 17 January 2023, p. 5).
Надзорный орган пришел к выводу, что у Coolblue отсутствовало правовое основание для обработки cookies. Штраф составил 40 000 евро.
📌 Недостаточно формального согласия: оно должно быть свободным, информированным, конкретным, однозначным и активным.
Я дизайнер — я так вижу. Cookie баннер с точки зрения дизайна
Когда регуляторные штрафы достигают сотен тысяч и миллионов евро, способы их обхода становятся все более изощренными. Cookie баннер перестает быть исключительно вопросом UX дизайна — это вопрос соблюдения требований.
При создании cookie баннеров запрещено использовать манипулятивные интерфейсы, которые ухудшают способность пользователей делать свободный и осознанный выбор, получили название «темные паттерны».
Статистика разных исследований показывает, что 70–80% cookie баннеров содержат хотя бы один темный паттерн. Полученное таким образом согласие может быть признано недействительным и повлечь значительные штрафы.
Типы темных паттернов в cookie баннерах
| Обман | Использование двусмысленных формулировок или визуально замаскированных кнопок/текста |
|---|---|
| Асимметрия интерфейса | Визуальное или структурное преимущество согласия над отказом, в частности, разный шрифт, размер или цвет кнопок. |
| Сокрытие | Затруднение процедуры отказа или отзыва согласия: согласие можно дать одним кликом, а для отказа нужно выполнить множество дополнительных шагов, перейти на второй уровень баннера, найти нужные чекбоксы. |
| Принуждение | Создание ситуации, при которой пользователь вынужден согласиться: 🔹 продолжение навигации по сайту предполагает согласие с cookies; 🔹 отказ от cookies приводит к деградации функциональности; 🔹 даже после отказа cookie баннеры постоянно всплывают и мешают пользоваться сайтом. |
Наиболее частые манипулятивные практики — это асимметрия интерфейса и усложнение процедуры отказа. Они встречается даже в достаточно проработанных cookie баннерах.
Полученное таким образом согласие может быть признано недействительным и повлечь значительные штрафы.
50 000 евро за сложную процедуру отказа
Нидерландская розничная компания Kruidvat, специализирующаяся на продаже товаров для здоровья, личной гигиены и бытовых нужд, стала объектом проверки со стороны надзорного органа Autoriteit Persoonsgegevens.Проверка показала, что на сайте kruidvat.nl использовались файлы cookie для отслеживания поведения пользователей без получения надлежащего согласия: cookie баннер формировал впечатление, что согласие уже дано.При этом согласие можно было выразить одним простым действием, а возможность отказа от cookies была намеренно затруднена. Чтобы добраться до реального выбора, пользователю необходимо было последовательно пройти через несколько уровней интерфейса («Хотите узнать больше?» → «Дополнительная информация» → «Расширенные настройки»), и лишь после этого появлялась возможность отдельно разрешить или запретить использование cookies по категориям.Такая организация интерфейса создавала явное преимущество для согласия и фактически подталкивала пользователей к принятию условий, лишая их возможности легко и свободно отказаться от обработки данных.Через установленные cookies компания собирала сведения о поведении пользователей, в том числе посещенные страницы, добавленные и купленные товары. С учетом продажи товаров аптечного характера (например, лекарств, тестов на беременность), такая информация могла позволить составить подробные и чувствительные профили посетителей сайта.Надзорный орган пришел к выводу, что подобная реализация уведомления о cookies не соответствует требованиям, а обработка персональных данных является незаконной.Штраф составил 600 000 евро, позднее он был снижен до 50 000 евро за сотрудничество с надзорным органом.
Примечательно, что у национальных надзорных органов существуют разные подходы к правилам реализации отказа на cookie баннере.
Так, французский регулятор требует, чтобы на cookie баннере была кнопка «Отклонить все». Схожей позиции следует надзорный орган Италии, который требует использовать крестик в правом верхнем углу баннера для его закрытия. В этом случае пользователь не выражает согласие, а файлы cookie по умолчанию остаются отключенными.
Испанский надзорный орган, в свою очередь, придерживается более гибкой позиции и признает допустимыми варианты cookie баннеров как с кнопкой «Отклонить все», так и без нее, при условии, что в этом случае предоставляется ссылка или кнопка для перехода к настройкам.
📌 Cookie баннеры, структурированные так, чтобы подталкивать пользователя к согласию через манипулятивный UX-дизайн, могут приводить к признанию полученных согласий недействительными.
На курсе GDPR Data Privacy Professional мы учим понимать европейское регулирование, ориентироваться в актуальных кейсах его применения и перекладывать их на свою практику. Присоединяйтесь!
Постмодерн посткуки эра
В 2025 году наряду с проблемой темных паттернов возникла проблема усталости людей от бесконечных cookie баннеров, которые всплывают на каждом сайте, требуют выбора, занимают место на экране и мешают чтению контента.
Все чаще пользователи просто кликают «Согласен» без прочтения, потому что больше не хотят разбираться с этими уведомлениями.
Это означает, что сама система cookie баннеров начинает работать против целей, которые она призвана достигать — защиты данных и информирования пользователей.
Упрощение cookie баннеров: Digital Omnibus Regulation
Европейская комиссия предложила упростить систему, собрав свои инициативы в Digital Omnibus Regulation.
Суть предложения:
🔹 Автоматизированные сигналы выбора через настройки браузера или приложения — вместо баннеров на каждом сайте, предпочтения пользователя будут передаваться автоматически. Один раз установленные настройки будут действовать везде.
🔹 Упрощение регулирования — вместо двойной системы (ePrivacy + GDPR) останется только GDPR, который «поглотит» чёткое требование получать согласие на доступ к конечному устройству физического лица, когда собираются персональные данные.
🔹 Некоторые низкорисковые cookies больше не будут требовать согласия.
Однако эти изменения еще не приняты и находятся на стадии разработки. На данный момент все компании обязаны полностью соблюдать требования GDPR, ePrivacy Directive и Digital Service Act, описанные в предыдущих разделах статьи.
Технологии, которые заменят cookies
Параллельно с упрощением баннеров развиваются технологии, которые могут заменить cookies как источник данных для маркетинга и аналитики.
🔹 Fingerprinting — это технология, которая создает уникальный идентификатор пользователя на основе сбора параметров его устройства и браузера. Комбинация разных параметров браузера является уникальной, как отпечаток пальца, и позволяет сайтам отслеживать активность пользователя. Подпадает под регулирование GDPR при возможности идентификации личности.
🔹 Контекстный таргетинг — размещение рекламы на основе содержимого страницы, которую смотрит пользователь, а не на основе его поведения. Например, когда на странице о спортивных товарах показывается реклама спортивной одежды.
🔹 Privacy Sandbox — набор инструментов Google для приватной рекламы, которые группируют пользователей по интересам без индивидуального отслеживания.
🔹 Искусственный интеллект — анализ поведения пользователей и прогнозирование интересов на основе взаимодействия с контентом, без сбора персональных данных о конкретных людях.
📌 Если новая технология кладет данные на устройство или извлекает их — регулирование и обязанности остаются теми же. Чтобы не разбираться во всевозможных требованиях, пробуйте переходить на решения без хранения на устройстве пользователя.
Будьте на светлой стороне и соблюдайте требования
Требования к cookie баннерам строгие, штрафы — внушительные, но соблюдать закон полностью возможно. Компании, которые создают прозрачные и честные cookie баннеры, на самом деле выигрывают: избегают штрафов, сохраняют репутацию и завоевывают доверие пользователей.
Вот что действительно работает:
🔹 Укажите типы cookies, которые вы собираете, и цель их сбора.
🔹 Создайте симметричный интерфейс выбора.
🔹 Отказывайтесь от предустановленных опций.
🔹 Избегайте ложной срочности и давления.
🔹 Обеспечьте легкий доступ к отзыву согласия.
🔹 Регулярно обновляйте Cookie Policy и следите за изменениями требований.
Комплаенс в области cookies — это не одноразовая задача, а постоянный процесс. В рамках консалтингового проекта команда Data Privacy Office может помочь вам в управлении всеми аспектами cookies. Мы можем:
🔹 Провести аудит и проконсультировать — проверим текущий cookie баннер и Cookie Policy на соответствие требованиям GDPR, ePrivacy Directive, Digital Service Act.
🔹 Создадим cookie баннер и Cookie Policy — разработаем баннер, который информирует пользователей ясно и честно, без манипулятивных элементов.
🔹 Вести реестр согласий — поможем сохранить записи о том, когда и на что согласился каждый пользователь.
Правильно реализованный cookie баннер — это инвестиция в избежание штрафов и сохранение репутации вашей компании. Запишитесь на бесплатную консультацию с нашим экспертом, чтобы понять, какие шаги вам нужно сделать для комплаенса уже сейчас.
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг. Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими. Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы. Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
