Гайд по разработке форм согласия на обработку файлов cookie: как не получить штраф

Например, куки позволяют вам оставаться авторизованным на сайте, видеть персонализированную рекламу или получать рекомендации на основе прошлых действий.

Но не все куки одинаковые. Некоторые действительно необходимы, а другие используются для сбора данных о поведении пользователей. И именно эти куки требуют явного согласия.

Этот гайд поможет вам правильно настроить согласие на обработку файлов cookie, чтобы соответствовать законам и избежать штрафов (а штрафы могут быть существенные. Например, согласно части 3 статьи 13.11 КоАП РФ, за обработку персональных данных без законного согласия штраф от 30 000 до 60 000 рублей).

Типы файлов cookie и зачем они нужны

Если уже знаете, можете смело пропускать раздел. Не знаете — давайте разбираться. Но, в любом случае, рекомендуем оставить как краткую памятку.

Технические (обязательные) куки. Эти куки нужны для работы сайта. Без них нельзя войти в личный кабинет, добавить товар в корзину или переключить язык интерфейса. Они не требуют согласия пользователя, потому что без них сайт просто не сможет работать.

На этом куки, которые не требуют согласия, закончились. Для всех типов далее согласие пользователей требуется!

Аналитические куки. Эти файлы собирают статистику: сколько пользователей заходило на сайт, какие страницы самые популярные, сколько времени посетители проводят на сайте. Они помогают владельцам сайтов улучшать работу ресурса.

Функциональные куки. Они позволяют сайту запоминать индивидуальные настройки пользователя (например, язык интерфейса, валюту, темную или светлую тему).

Рекламные (маркетинговые) куки. Эти куки собирают информацию о поведении пользователей и используются для показа персонализированной рекламы. Например, если вы искали кроссовки в интернет-магазине, потом реклама этих кроссовок будет появляться на других сайтах.

Как настроить формы согласия для России

Технические куки работают без ограничений — их можно использовать без разрешения. Но для аналитики, маркетинга и персонализации контента придется уведомить пользователя, дать ему выбор и объяснить, зачем вообще нужны эти файлы.

Почему? Cookie-файлы могут попасть под закон о персональных данных, если они позволяют идентифицировать пользователя. Например, если с их помощью можно понять, кто именно зашел на сайт (через логин, IP или email), то вам обязательно нужно получать согласие.

Правильный cookie-баннер в России выглядит так: крупный заголовок (Этот сайт использует cookie), понятное объяснение, зачем это нужно (Мы используем cookie-файлы для работы сайта, анализа трафика и персонализации контента), а также три кнопки: «Принять», «Настроить» и «Отклонить».  Кнопкой отклонить для особой дотошности можно пожертвовать:)

А что по клику на «Настроить». Типы файлов, конечно. Желательно, с объяснением для пользователей, какие куки и за что отвечают. Вот, как это может выглядеть:

Важный нюанс: пользователю нужно дать возможность в любой момент изменить свое решение. Поэтому где-то на сайте (чаще всего в подвале) должна быть ссылка типа «Настройки cookie», где можно пересмотреть или отозвать согласие.

Как настроить формы согласия для Беларуси

В Беларуси правила работы с cookie-файлами довольно строгие. Если ваш сайт использует только технические куки — можно расслабиться, они (как и в России) не требуют согласия. Но если подключены аналитические, рекламные или функциональные файлы, нужно получить явное согласие пользователя.

Вот, что говорит Национальный центр защиты персональных данных. Важно, чтобы пользователю было так же легко отказаться от обработки данных, как и согласиться. Это значит, что на вашем cookie-баннере должна быть не только кнопка «Принять», но и «Отклонить». Кроме того, если сайт собирает куки для разных целей, например, отдельно для аналитики и отдельно для рекламы, то согласие должно запрашиваться по каждой категории отдельно.

(Почему НЦЗПД об этом заговорили? Потому что нашли нарушения и раздали чуть-чуть штрафов).

Как это выглядит в идеале? Человек заходит на сайт и видит баннер с понятным объяснением: «Мы используем файлы cookie, чтобы сайт работал стабильно, анализировать его посещаемость и показывать релевантную рекламу. Вы можете принять все файлы или выбрать, какие именно разрешить».

При этом у него есть три варианта действий: принять все, отклонить или настроить. В настройках пользователь может отключить рекламу, но оставить аналитику, или наоборот. При этом настройки лучше сделать доступными сразу, без кликов и лишних действий. Такой подход полностью соответствует белорусскому закону.

Как настроить формы согласия для Казахстана

Казахстанские требования похожи на российские: если cookie-файлы содержат персональные данные, их обработка возможна только с согласия пользователя. Это значит, что если ваш сайт собирает информацию, по которой можно определить личность человека, нужно уведомлять его об этом.

Как правило, технические куки можно использовать без ограничений, но для всего остального — только с разрешения.

Что важно сделать?

1. Четко объяснить, какие куки использует сайт и зачем. Например: «Мы используем cookie-файлы, чтобы запомнить ваши настройки, анализировать посещаемость и предлагать персонализированный контент».
2. Дать пользователю выбор. Вместо одной кнопки “ОК” на баннере должны быть: «Принять», «Настроить» и «Отклонить».
3. Показать, что отказаться легко. Если скрыть кнопку “Отклонить” в настройках, это будет нарушением закона.

И последнее: информация о файлах cookie должна быть доступна на сайте в любой момент. Например, в политике конфиденциальности или отдельной странице о cookie.

Как проверить, правильно ли собираются куки?

Просто разместить баннер с кнопочками недостаточно. Мы заметили, что на многих сайтах куки начинают собирать вне зависимости от того, согласился пользовать (нажал на кнопочку) или нет. То есть форма, по сути, бутафорская.

Как надо? Пользователь зашел на сайт → ему показали баннер → он кликнул → сбор пошел. Если переживаете, что баннер отрицательно повлияет на конверсию, не стоит. Редко у кого возникает мысль, что куки — часть масонского заговора.

Кто это может настроить? Как обычно, волшебные технари: фронтендер и бэкендер.

Как проверить настройку? Зайдите на сайт, который проверяет ресурсы на соответствие GDPR (Общему регламенту по защите данных). Далее вставьте ссылку на ваш сайт и нажмите check, а дальше остается подождать отчет.

Для примера мы взяли amazon.com. Что видим в отчете?

✅Безопасность форм сбора персональных данных (GDPR). Нет выявленных проблем. Это означает, что формы, используемые для сбора персональных данных, защищены и соответствуют требованиям GDPR.

❌Предварительное согласие на обработку файлов cookie, кроме строго необходимых (ePrivacy). Обнаружены возможные проблемы. Это означает, что сайт автоматически загружает или использует файлы cookie, которые не являются строго необходимыми (например, рекламные или аналитические), без явного согласия пользователя. Именно эта строка и указывает на неверную настройку куки.

❌Предварительное согласие на обработку персональных данных (GDPR). Обнаружены возможные проблемы. Это указывает, что сайт собирает и обрабатывает персональные данные пользователей без их явного информированного согласия.

✅ Передача персональных данных в «адекватные страны» (GDPR). Не совсем интересующий нас показатель (но может понадобиться, если планируете работать на рынок Европы). Это означает, что при передаче персональных данных в страны, признанные Европейской комиссией как обеспечивающие достаточный уровень защиты данных, не требуется дополнительных мер, таких как стандартные договорные положения или обязательные корпоративные правила.

✅ Другие риски утечки персональных данных (GDPR). Нет выявленных проблем. Это говорит о том, что в ходе проверки не выявлены уязвимости, которые могли бы привести к утечке данных пользователей.

Вывод

Чтобы избежать штрафов и соответствовать законам: 

• Добавьте баннер для пользоветелей при первом посещении сайта.
• Разделите куки по категориям (обязательные, аналитические, рекламные и т. д.).
• Дайте пользователю выбор, какие куки он хочет разрешить.
• Объясните простыми словами, зачем нужны куки и как их отключить.
• Публикуйте политику использования файлов cookie и обновляйте её при изменении законов.
• Проверяйте техническую настройку куки (привлекайте ваших фронта и бэка).

Такой подход поможет не только избежать юридических рисков, но и повысит доверие пользователей к вашему сайту. Вот и все, надеемся, что мы ответили на ваши вопросы про cookie (а их поступает очень много). 

А больше полезного показываем в нашем тг-канале.