Cookie-баннер: что это и как сделать правильно в 2026 году

Cookie-баннер: что это, зачем нужен и как сделать правильно в 2026 году

Вы заходите на любой крупный сайт — и первое, что видите, это полоска или всплывающее окно про cookie. Большинство пользователей кликают «Принять» не читая. Но для владельца сайта этот баннер — юридическая необходимость с реальными штрафами за его отсутствие или некорректную реализацию.

В этой статье: что такое cookie-баннер, какие требования GDPR и 152-ФЗ нужно соблюдать в 2026 году, как выглядит правильная анатомия баннера и четыре способа его реализовать. В конце — чек-лист для самопроверки.

Что такое cookie-баннер и как он работает

Cookie-баннер (баннер согласия) — интерфейсный элемент сайта, который уведомляет посетителя об использовании файлов cookie и при необходимости запрашивает его согласие. Ключевое различие: уведомление просто информирует, запрос согласия требует активного действия пользователя. Юридически это разные вещи.

Файлы cookie — небольшие текстовые файлы, которые сайт сохраняет в браузере. Они бывают сессионными (удаляются при закрытии браузера) и постоянными, первичными (от вашего сайта) и третьесторонними (от Google, Facebook и других сервисов). Именно третьесторонние cookie аналитики и рекламы и создают юридические риски.

Механика prior consent

Корректный баннер работает по принципу prior consent — скрипты аналитики и маркетинга не должны загружаться до получения согласия. Баннер появляется → пользователь делает выбор → только после «Принять» подгружается Google Analytics, рекламные пиксели и прочие трекеры. При «Отклонить» — загружаются только технически необходимые скрипты.

Зачем нужен: юридические требования

GDPR — для сайтов с европейской аудиторией

Если на ваш сайт заходят пользователи из стран ЕС, GDPR применяется автоматически — независимо от того, где зарегистрирована ваша компания. Ключевые требования к баннеру:

  • Согласие — только opt-in: пользователь должен нажать кнопку, а не просто продолжить просмотр
  • Отказать должно быть так же легко, как принять — кнопка «Отклонить» равнозначна «Принять»
  • Предустановленные галочки «Согласен» — прямое нарушение
  • Пользователь может отозвать согласие в любой момент
  • Штрафы: до 20 млн евро или 4% от глобального оборота

152-ФЗ — для российских сайтов

Российское законодательство мягче GDPR, но не игнорирует тему. Cookie, позволяющие идентифицировать пользователя (например, связанные с Google Analytics), относятся к персональным данным по 152-ФЗ. Требования: уведомление об обработке, указание цели, ссылка на политику конфиденциальности. Штрафы за нарушения — до 18 млн рублей при систематических нарушениях.

Кому нужен баннер

Тип сайта Нужен баннер? Основание
Сайт с Google Analytics / Яндекс.Метрикой ✅ Да Сбор данных пользователей
Интернет-магазин с ЕС-аудиторией ✅ Да, строго GDPR
SaaS с международными пользователями ✅ Да, строго GDPR + локальные законы
Лендинг без аналитики ⚠️ Рекомендуется 152-ФЗ (осторожность)
Сайт только для внутреннего использования ❌ Нет

Анатомия правильного баннера

Обязательные элементы

  1. Текст уведомления — коротко и понятно: что используется и зачем. Без юридического жаргона: не «осуществляется обработка ПДн», а «мы собираем данные о посещениях»
  2. Кнопка «Принять» — явное активное действие
  3. Кнопка «Отклонить» / «Только необходимые» — визуально равнозначная кнопке «Принять» (требование GDPR)
  4. Ссылка на Политику конфиденциальности — обязательна
  5. Ссылка на Политику cookie — желательна отдельным документом

Типичные ошибки, которые нарушают закон

Ошибка Почему это проблема
Кнопка «Отклонить» серая и мелкая, «Принять» — яркая и крупная Нарушение принципа равного выбора (GDPR)
Предзаполненные чекбоксы «Согласен» Прямое нарушение GDPR
Баннер исчезает при скролле без фиксации согласия Согласие не зафиксировано — юридически ничтожно
Нет ссылки на политику конфиденциальности Нарушение принципа прозрачности
Нельзя отозвать согласие после принятия Нарушение права пользователя

Как реализовать: 4 способа

1
CMP-сервис (Consent Management Platform)

Специализированные онлайн-платформы управления согласиями. Регистрация → настройка категорий → копирование кода → вставка на сайт. Плюс: быстро, не нужен разработчик, автообновление под законодательство. Минус: зависимость от платформы, платные тарифы на высоком трафике.

2
Плагин или встроенный модуль CMS

Для WordPress, Tilda, Framer, Shopify и других платформ — готовые решения. Алгоритм: найти плагин с поддержкой GDPR → установить → настроить текст и категории → проверить блокировку скриптов до согласия.

3
Самописный баннер (для разработчиков)

HTML-блок + CSS (позиционирование: bottom-fixed или модальное) + JavaScript-логика: проверить localStorage на наличие согласия → показать/скрыть баннер → записать выбор → условно загрузить скрипты аналитики. Бесплатно, полный контроль, но требует поддержки.

4
Google Consent Mode v2

С марта 2024 года обязательно для корректной работы Google Analytics 4 и Google Ads. Передаёт сигналы о согласии в теги Google через dataLayer. Без него данные в GA4 собираются неполно — отсутствует моделирование конверсий для отказавших пользователей. Большинство CMP-сервисов поддерживают это из коробки.

💡 Позиционирование баннера: нижняя полоса (bottom bar) — наименее навязчива и не блокирует контент. Центральный модал даёт максимальную заметность, но повышает показатель отказов. На мобильных кнопки — не менее 44×44px, текст — не менее 14px.

Как проверить, что ваш баннер работает правильно

Откройте сайт в режиме инкогнито и пройдитесь по чек-листу:

Выполнено: 0/9

  • Баннер появляется при первом визите (режим инкогнито)
  • До принятия согласия аналитические/маркетинговые скрипты не загружаются (DevTools → Network)
  • До согласия нет третьесторонних cookie (DevTools → Application → Cookies)
  • Кнопки «Принять» и «Отклонить» визуально равнозначны
  • Нет предустановленных чекбоксов «Согласен»
  • Есть ссылка на политику конфиденциальности
  • Пользователь может отозвать согласие (через footer или floating-кнопку)
  • Согласие запоминается — баннер не показывается повторно при следующем визите
  • Для ЕС-аудитории: поддерживается Google Consent Mode v2

Ручная проверка через DevTools охватывает только текущую страницу. Трекеры могут присутствовать только на отдельных разделах сайта — корзине, форме заказа, посадочных страницах. Для полного аудита всех страниц удобнее воспользоваться специализированным сканером: scanbase.ru автоматически обходит сайт и показывает, какие сторонние скрипты загружаются без согласия пользователя.

Cookie-баннер — не бюрократия, а инструмент доверия. Корректно реализованный, он защищает вас юридически, сохраняет точность аналитики и не раздражает пользователей. Проверьте свой баннер по чек-листу выше — большинство ошибок устраняются за один рабочий день.

Проверьте, какие скрипты работают на вашем сайте

scanbase.ru найдёт все трекеры, которые загружаются без согласия пользователя — автоматически и бесплатно

Запустить проверку →

Частые вопросы

Обязателен ли cookie-баннер для российского сайта без европейских пользователей? +

Строгие требования GDPR применяются только при работе с гражданами ЕС. Однако российский 152-ФЗ требует уведомлять пользователей об обработке персональных данных — а идентификационные cookie к ним относятся. Для любого коммерческого сайта баннер или хотя бы ссылка на политику конфиденциальности рекомендуется.

Чем cookie-баннер отличается от политики конфиденциальности? +

Cookie-баннер — интерфейсный элемент, который показывается при первом визите и фиксирует согласие. Политика конфиденциальности — отдельный документ, подробно описывающий, какие данные собираются, как используются и как их удалить. Баннер должен содержать ссылку на политику, но не заменяет её.

Можно ли сделать cookie-баннер бесплатно? +

Да. Есть бесплатные тарифы у CMP-сервисов (с ограничением по сайтам или просмотрам), бесплатные плагины для WordPress и других CMS, а также возможность написать баннер самостоятельно на HTML/CSS/JS — это требует только базовых знаний разработки.

Что такое Google Consent Mode v2 и обязательно ли его поддерживать? +

Google Consent Mode v2 — механизм передачи сигналов о согласии пользователя в теги Google (GA4, Google Ads) через dataLayer. С марта 2024 года без его поддержки данные в Google Analytics и рекламных кампаниях собираются неполно: отсутствует моделирование конверсий для пользователей, отказавших в согласии. Фактически обязателен для любого сайта с Google-инструментами.

Нужно ли обновлять баннер при изменении законодательства? +

Да. Это одно из главных преимуществ CMP-сервисов — они обновляются автоматически. При самописном решении нужно самостоятельно следить за изменениями в GDPR, ePrivacy Directive и 152-ФЗ и обновлять тексты и логику баннера вручную.

Нужен ли отдельный баннер для каждой страницы? +

Нет. Достаточно одного на весь сайт. Согласие фиксируется через cookie или localStorage и запоминается до истечения срока или до отзыва. Баннер повторно показывается только если изменилась политика или истёк срок согласия (обычно 12 месяцев).

Олег Просин
Об авторе
Олег Просин
Основатель Scanbase

Эксперт по соответствию сайтов 152-ФЗ. Пишет о практике защиты персональных данных, требованиях Роскомнадзора и технической стороне закона.

Meta Platforms Inc. (включая социальные сети Facebook и Instagram) признана в России экстремистской организацией, её деятельность на территории РФ запрещена.