Что скрывает ваш сайт: как составить Cookie Policy без ошибок
- 24 июня, 2026
- Data Privacy
Для тех, кто спешит
Краткая выжимка статьи:
Качественная Cookie Policy начинается не с текста, а с технической проверки сайта: сначала выясните, какие технологии реально работают, и только потом описывайте их в документе. Готовый чужой образец с заменой названия компании для этого не подходит.
🔹 Проверьте все страницы и поддомены в режиме инкогнито в четырёх состояниях: до взаимодействия с cookie-баннером; после отказа от необязательных технологий; после выбора отдельных категорий; после согласия на использование всех технологий.
🔹 Учитывайте не только cookie, но и другие технологии, которые сохраняют данные на устройстве или получают к ним доступ: local storage, пиксели, рекламные идентификаторы и другие инструменты.
🔹 Представьте сведения о технологиях в таблице, указав для каждой из них название, владельца, категорию, цель использования, домен и срок хранения.
🔹 Указывайте конкретные цели. Избегайте общих формулировок вроде «для улучшения работы сайта».
🔹 «Строго необходимые» cookie — это правовая категория, а не пожелание бизнеса: аналитика, измерение рекламы и ретаргетинг к ним обычно не относятся.
🔹 Cookie-баннер, система управления согласием и Cookie Policy должны быть согласованы между собой и соответствовать фактической работе сайта. После технических изменений необходимо проверять и при необходимости обновлять каждый из этих элементов, включая категории технологий, цели их использования, перечень и момент запуска, а также способы изменения и отзыва согласия.
Что дальше: загляните в первый раздел, чтобы понять, как проверять сайт, проверьте контрольный список для проверки политики перед публикацией, а также разберитесь, как согласовать cookie-баннер с политикой.
Политика использования файлов cookie (Cookie Policy) часто появляется на сайте в последнюю очередь. Маркетинг уже подключил аналитику, разработчики установили на сайт Youtube video player, рекламные службы вовсю передают сведения о действиях посетителей — а юристу остаётся лишь «быстро подготовить документ про cookie». В итоге компания берёт готовый образец из интернета, добавляет упоминание Google Analytics и пишет, что пользователь может отключить cookie в настройках браузера.
Формально политика есть, но на практике она нередко не описывает и половины технологий, которые реально работают на сайте. Одного документа недостаточно: чтобы политика была понятной и полезной для пользователей и не вызывала вопросов у надзорных органов, сначала нужно разобраться, как работает ваш сайт, и только потом описывать это в документе.
Как сделать это на практике — разберём в этой статье.
Содержание
Начинайте не с текста, а с проверки сайта
Хорошая политика — это не юридическая декорация и не справочник технических терминов. Она понятно объясняет:
🔹 какие технологии применяются на сайте;
🔹 кто их устанавливает;
🔹 для чего они нужны;
🔹 как долго действуют;
🔹 какие запускаются только после согласия;
🔹 как пользователь может изменить свой выбор.
Ответы на эти вопросы лежат в самой архитектуре сайта, поэтому одна из самых частых ошибок — сначала написать политику, а потом подгонять сайт под её содержание. Правильная последовательность обратная: сначала техническая проверка, затем документ.
Проверять нужно не только главную страницу, но и личный кабинет, формы регистрации и обратной связи, страницу оплаты, блог, страницы услуг и рекламных предложений, встроенные видео, чат поддержки, страницы, на которые ведёт реклама, поддомены.
Проверку лучше проводить в новом профиле браузера, без ранее сохранённых cookie, как минимум в четырёх состояниях:
1) до взаимодействия с cookie-баннером;
2) после отказа от дополнительных технологий;
3) после выбора отдельных категорий;
4) после принятия всех технологий.
Для каждой обнаруженной технологии нужно определить набор характеристик — он же станет основой таблиц в самой политике:
| Что определяем | Что нужно установить |
|---|---|
| Название | Точное название файла cookie, ключа локального хранилища или группы идентификаторов |
| Владелец | Кто устанавливает технологию: владелец сайта или сторонняя организация |
| Момент запуска | До согласия, после согласия или после конкретного действия пользователя |
| Назначение | Для какой функции используется технология |
| Срок | Действует только во время посещения или сохраняется на определённый срок |
| Домен | На каком домене или поддомене размещается |
| Получатель | Кто получает собранные сведения |
| Категория | Строго необходимая, функциональная, аналитическая или рекламная |
Средства автоматической проверки полезны, но не заменяют людей: они находят файл cookie или обращение к внешнему серверу, но не всегда правильно определяют назначение технологии и не подтверждают, что она действительно строго необходима. Поэтому к проверке стоит привлекать разработчиков, специалистов по продвижению, сотрудников, отвечающих за продукт и рекламные кабинеты, и тех, кто подключает внешние службы.
Практическое правило: если никто в компании не знает, зачем на сайте нужна конкретная технология, скорее всего, она вам не нужна. Удалите её.
Не одними cookie-файлами едиными
Название политики создаёт впечатление, что речь идёт только о небольших файлах в браузере. На практике сайты используют и другие технологии, например локальное хранилище браузера, пиксели отслеживания, рекламные метки.
Значение имеет не название технологии, а то, сохраняет ли она сведения на устройстве пользователя или получает доступ к тому, что уже там есть. Поэтому в начале политики удобно дать общее определение:
В целях обеспечения прозрачности обработки данных и соблюдения применимого законодательства мы информируем пользователей о том, что на нашем сайте используются не только файлы cookie, но и иные сходные технологии.
К таким технологиям, в частности, относятся механизмы локального хранения данных в браузере (Local Storage), веб-маяки (Web Beacons) и другие средства, которые, хотя и не являются файлами cookie в строгом смысле, выполняют аналогичные функции и нередко используются совместно с ними.
В настоящем разделе подробно описываются конкретные технологии, используемые на нашем сайте, принципы их работы и цели их применения.
Далее технологии удобно разделить на самостоятельные таблицы: файлы cookie, локальное хранилище браузера, пиксели отслеживания и иные средства, если они применяются. Так пользователю понятно, что сбор сведений не ограничивается обычными cookie, а разработчикам проще сопоставлять политику с фактическими настройками сайта.
«Строго необходимые» — это правовая категория, а не пожелание бизнеса
«Эта статистика очень нужна отделу маркетинга». «Без измерения рекламы снизятся продажи». «Партнёрская программа важна для компании». Всё это может быть правдой, но технология не становится строго необходимой только потому, что приносит пользу компании.
К строго необходимым технологиям могут относиться: поддержание входа в учётную запись, сохранение товаров в корзине, защита от подделки запросов к сайту, распределение нагрузки между серверами, сохранение выбора пользователя относительно cookie, обеспечение безопасности платежа.
Но каждую технологию нужно оценивать с учётом того, где, когда и зачем она применяется. Файл cookie платёжной службы может быть необходим на странице оформления заказа — но это не значит, что его можно устанавливать сразу на главной. Средства статистики, измерения рекламы и повторного показа объявлений, как правило, к необходимым не относятся.
Проверочный вопрос: сможет ли пользователь получить именно ту услугу или функцию, которую запросил, без этой технологии? Если сможет — технологию, вероятнее всего, нельзя считать строго необходимой.
Таблица полезнее десяти страниц общих формулировок
Фраза «мы используем cookie для улучшения работы сайта» почти ничего не сообщает. Что именно улучшается? Кто получает сведения? Записываются ли действия на странице? Используются ли данные для рекламы? Как долго хранится идентификатор? Ответы должны быть в таблице.
В таблицу попадают те же характеристики, что определялись на этапе проверки сайта. Для публикации их удобно свести в четыре основные графы:
Название — Назначение — Срок и место хранения — Владелец.
Можно ли объединять технологии в группы
Некоторые службы создают изменяющиеся названия cookie с номером проекта или кампании. В этом случае допустимо указывать общую часть или группу, например _ga_*,_gcl_*, ttcsid_* — если пользователь может понять, какая служба их использует, для какой цели, на какой максимальный срок и к какой категории они относятся.
Как описывать назначение
Неудачно:
Используется для улучшения сайта.
Понятно:
Объединяет просмотры страниц одного браузера в одно посещение, чтобы определить наиболее посещаемые страницы и последовательность переходов.
Неудачно:
Используется в рекламных целях.
Понятно:
Сохраняет рекламный идентификатор и связывает переход по объявлению с оформлением заказа для измерения результатов рекламной кампании.
Назначение должно быть конкретным и соответствовать реальному поведению технологии.
Cookie-баннер и политика использования файлов cookie должны говорить одно и то же
Cookie-баннер — это первый, краткий уровень информирования; политика — второй, подробный. Они не должны противоречить друг другу. Если в cookie-баннере используются категории «необходимые / предпочтения / статистика / реклама», а в политике — «строго необходимые / функциональные / аналитические / рекламные», нужно, чтобы пользователь понимал соответствие между ними. Названия категорий, цели и владельцы технологий должны быть согласованы.
| В cookie-баннере | В политике |
|---|---|
| Краткое описание категории | Подробное описание каждой технологии |
| Возможность согласиться или отказаться | Объяснение порядка управления выбором |
| Кнопка перехода к настройкам | Постоянный способ повторно открыть настройки |
| Ссылка на политику | Полный перечень технологий |
| Дополнительные категории выключены по умолчанию | Указано, что технологии запускаются после согласия |
Cookie Policy работает только в связке с корректным баннером. Разбираем частые ошибки и требования GDPR к cookie-баннерам: категории, момент запуска, действительное согласие.
Рекомендуемая структура политики
1) Общая информация: наименование юридического лица, адрес сайта и связанные домены, назначение политики, дата последнего обновления.
2) Что такое файлы cookie и сходные технологии: обычные cookie, локальное хранилище браузера, пиксели отслеживания, иные фактически используемые средства.
3) Как распределяются технологии: по владельцу (собственные / сторонние), по сроку (только во время посещения / сохраняющиеся после закрытия браузера), по назначению (строго необходимые / функциональные / аналитические / рекламные).
4) Подробные таблицы — отдельно для файлов cookie, локального хранилища, пикселей отслеживания и иных технологий.
5) Согласие и правовые основания: какие технологии требуют согласия, какие применяются без него, когда появляется cookie-баннер, какие варианты выбора доступны, как сохраняется решение пользователя.
6) Изменение и отзыв согласия — рабочая ссылка для повторного открытия настроек.
7) Сторонние службы — перечень и при необходимости ссылки на их документы.
8) Связь с Политикой конфиденциальности: где узнать, какие персональные данные обрабатываются, кто их получает, передаются ли они за пределы ЕЭЗ и какими правами обладает пользователь.
9) Порядок обновления — дата редакции и порядок внесения изменений.
10) Контактные сведения: адрес электронной почты по вопросам защиты данных и контакты ответственного за защиту данных, если он назначен.
Политика должна регулярно обновляться
Технические настройки сайта меняются быстрее юридических документов: запускается новая рекламная кампания, меняется платёжная служба, подключается запись действий посетителей, сторонняя служба меняет названия cookie или сроки их действия. Без пересмотра политика быстро устаревает.
Чтобы этого избежать:
🔹 Назначьте ответственного — специалиста по защите данных, юриста или иное лицо, которое координирует обновления.
🔹 Проверяйте новые подключения заранее — каждое подключение внешней службы должно включать оценку вопросов защиты данных.
🔹 Проводите регулярную техническую проверку — после существенных изменений и дополнительно через установленные промежутки, например раз в квартал.
🔹 Сопоставляйте три элемента одновременно: фактическую работу сайта, настройки системы управления согласием и содержание политики.
🔹 Указывайте дату обновления и при существенных изменениях сохраняйте предыдущие редакции или кратко описывайте, что изменилось.
Семь ошибок, из-за которых политика перестаёт соответствовать сайту
1) Перечень технологий не совпадает с фактическими настройками. В политике три файла cookie, а при проверке — тридцать.
2) Не описаны локальное хранилище и пиксели отслеживания. Описаны только обычные cookie, хотя сайт использует и другие средства.
3) Все технологии объявлены необходимыми. В категорию необходимых попадают статистика, партнёрская атрибуция и измерение рекламы.
4) Цели сформулированы слишком широко. Слова «улучшение», «оптимизация», «продвижение» не объясняют, что происходит со сведениями.
5) Срок указан как «до удаления пользователем». Это не раскрывает срок, установленный самой службой (90, 180 или 400 дней).
6) Политика обещает выбор, которого нет. Написано, что аналитику можно отклонить, но она запускается ещё до появления cookie-баннера.
7) Управление сводится только к настройкам браузера. На сайте нет постоянной возможности изменить или отозвать согласие.
Курс «GDPR Data Privacy Professional» за 4 недели учит применять все требования GDPR на практике — от правовых оснований и согласия до Реестра обработок — и становится первой ступенью к профессии DPO.
Контрольный список перед публикацией
Политику можно считать готовой, если на все вопросы ответ «да»:
☐ Проведена техническая проверка всех страниц и поддоменов?
☐ Проверены не только файлы cookie, но и иные фактически используемые технологии?
☐ У каждой технологии есть понятная и конкретная цель?
☐ Определены владелец и срок действия?
☐ Обоснована необходимость каждой технологии, отнесённой к строго необходимым?
☐ Дополнительные технологии заблокированы до получения согласия?
☐ Названия категорий в cookie-баннере и политике совпадают?
☐ Можно отказаться без дополнительных препятствий?
☐ Можно легко изменить выбор или отозвать согласие?
☐ Таблица соответствует текущим настройкам сайта?
☐ Указаны дата обновления и контактные сведения?
☐ Установлен порядок регулярного пересмотра документа?
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
