Правовые документы

Куки-баннер - когда актуален и что изменится в мае 2025 года

2025-05-10 23:08
Давайте обсудим, когда целесообразно использовать куки и насколько ужесточится ответственность за нарушения в сфере защиты персональных данных.

Это странное слово «куки»…

Ни для кого не секрет, что с каждым годом законодательная база в сегменте защиты персональных данных (ПД) пользователей становится все строже и строже. А причем здесь cookie, возможно, спросите вы. Все очень просто! Дело в том, что практика отнесения куки к ПД существует уже давно, поэтому при их сборе нужно быть крайне осмотрительным.
Если рассматривать распространенную формулировку, то под куки понимаются генерируемые веб-сервером файлы, уходящие в браузер и затем сохраняющиеся на пользовательском устройстве. В них содержится внушительный массив информации о пользователе:
  • предпочтения;
  • истории просмотров;
  • поведенческая модель в сети и др.
Именно эти файлы позволяют провести идентификацию пользователя при повторном посещении сайта, поэтому разные компании активно используют их в своих целях:
  • формируют профиль пользователя;
  • собирают аналитику;
  • хранят учетные данные для облегчения последующего входа в систему;
  • генерируют персонифицированный контент, в том числе и рекламный;
  • создают виртуальную модель потенциального клиента компании и т.д.
Многие предприниматели не относят куки к персональным данным, но на самом деле существует уже давно сложившаяся судебная практика, на которую нужно опираться в этом вопросе. Например, cookiе были признаны ПД в деле Linkedin (Определение Московского городского суда по делу № 33-38783/2016 от 10.11.2016). Кроме того, Роскомнадзор не единожды высказывал свою позицию по данной теме, исходя из которой генерируемые файлы подпадают под определение персональных данных, а значит запросы на их использование должны отвечать действующему законодательству.

Несколько слов о куки-баннере

Сookie баннеры – это всплывающие окна уведомлений, информирующие о виде собираемых данных и запрашивающие разрешение на их сбор у пользователя. И если честно, их никто не любит: пользователи за отвлечение от интересующего их контента, а компании за необходимость тратить лишние средства на создание подходящего уведомления. Но ФЗ-152 неумолим и требует обрабатывать ПД строго в соответствии со своими правилами, хотя и не содержит отдельного описания сбора согласия для такого рода информации.
Тем не менее, здесь важно понимать, что для обработки данных, согласно закону, должны быть весомые основания, понятные и конкретные цели, ограниченные сроки обработки, личное согласие пользователя и т.д.
Последнее как раз и обеспечивает куки-баннер, в котором пользователь ставит галочку согласия или, наоборот, запрещает сбор информации. Поэтому данная форма просто необходима на каждой странице сайта, когда других законных оснований для сбора ПД нет.
Но учтите, что создается баннер тоже по определенным правилам. Как минимум, в нем должны быть указаны цели сбора данных, описан порядок отзыва своего согласия (удаления cookie), а способ предоставления согласия однозначно понятен для пользователя.

Всегда ли нужен куки-баннер?

И вот теперь мы переходим к самому главному. Конечно, не стоит тратить силы на баннер и раздражать пользователей, если вы собираете только технические и обезличенные данные, однако в ряде случаев cookie собирают и для целей, подпадающих под законодательство об обработке ПД. Здесь важно рассматривать каждый случай в отдельности, так как закон не содержит закрытого перечня случаев.
Вот один из примеров. Предположим, что вы собираете куки исключительно для анализа обезличенных данных или с целью поддержания функциональности своего интернет-ресурса. Здесь вы вправе не размещать на сайте баннер. Но стоит лишь применить собранные ПД для персонализации рассылок, как вы переходите в разряд нарушителей (если не собираете согласие, само собой).
А ужесточение ответственности за такие оплошности уже не за горами – оно грядет в мае текущего года.

Штрафы, штрафы и еще раз штрафы

С 30.05.2025 года вступают в силу изменения в КоАП РФ, которые напрямую отразятся на компаниях, обрабатывающих в процессе своей деятельности ПД.
В первую очередь в несколько раз вырастут штрафы за незаконную обработку данных и использование ПД в целях, не отвечающих сбору. Максимальный размер штрафа за первое подобное нарушение будет составлять 300 000 рублей для ЮЛ и ИП против прежнего максимума в 100 000 рублей. А повторное нарушение может стоить потери уже полмиллиона рублей.
С мая появятся штрафы за неуведомление госструктур об аспектах работы с ПД – игнорирование или несвоевременное оповещение о:
  • намерении вести обработку ПД;
  • обновлении данных в реестре операторов ПД;
  • трансграничной передаче ПД.
За перечисленные нарушения на компанию накладываются штрафные санкции в размере 300 000 рублей.
Также появляются градации по объемам утечки персональных данных с присвоением соответствующего штрафа:
  • до 100 000 идентификаторов – до 5 000 000 рублей штрафа;
  • до миллиона идентификаторов – до 10 000 000 рублей;
  • более миллиона идентификаторов – до 15 000 000 рублей.
В отдельную категорию выделены специальные данные, за утечку которых прилетит штраф в 15 000 000 рублей, и биометрические данные – штраф составит 20 000 000 рублей.
Если нарушение будет повторным, то компании придется заплатить уже до 3% от своего годового оборота, но не менее 20 млн. рублей. Но изменения в законе вводят такие понятия как отягчающие и смягчающие обстоятельства при повторном нарушении.
К первым относят:
  • игнорирование требований прекратить правонарушение;
  • наличие фактов привлечения к административной ответственности за нарушения в сфере ПД (ч.1 -11 ст. 13.11, ст. 13.6, 13.12 КоАП).
Уменьшить размер штрафа возможно, если:
  • в течение 3 лет до совершения нарушения от 0,1% годового размера выручки расходовались нарушителем на меры по защите информации в ЮЛ с лицензией ФСТЭК;
  • соблюдать требования к защите ПД;
  • проводить ежегодный аудит на предмет соблюдения требований к защите ПД.
В случае применения смягчающих обстоятельств вместо 3% от своего годового оборота компания заплатит 1/10 минимального размера штрафа, но не менее 15 млн рублей.

Время в запасе

До мая осталось не так уж и много времени, поэтому используйте его на все 100%:
  • проведите аудит по процессам обработки ПД в вашей компании;
  • разработайте требуемые документы или приведите их к соответствию закону;
  • обучите сотрудников работе с ПД;
  • убедитесь в надежной защите данных;
  • уведомите РКН о ведении обработки/обновлении информации.
Также рекомендую разработать алгоритм действий на случай утечки данных. Он поможет быстро среагировать и держаться строго в рамках закона. И не забывайте о юридической консультации либо сопровождении юриста, который обеспечит соблюдение всех нормативных актов и своевременно оповестит о грядущих изменениях. А в результате – ведение бизнеса без штрафов и волнений!
Не в порядке рекламы, но с готовностью пообщаться: если у вас есть вопросы по данной теме (равно как и по иным юридическим), вы хотите заручиться мнением опытного юриста – пишите ТГ @patrikeevofficial_bot, всегда рад новым кейсам и вопросам.