KOLOMNA WEB
Compliance 2026

Архитектура приватности: Как не получить штраф за Cookies в 2026 году

В 2026 году Cookies перестали быть просто техническим инструментом и превратились в объект жесткого контроля со стороны закона и браузеров. После краха инициативы Google Privacy Sandbox индустрия перешла к модели «информированного выбора пользователя».

Защитить сайт
GDPR
ePrivacy Ready

Главные ошибки: Как делать НЕЛЬЗЯ

❌ Неправильный баннер

Только одна кнопка — нарушение GDPR

  • • Нет кнопки «Отклонить»
  • • Скрипты загружаются до клика
  • • Предустановленные галочки

✅ Правильный баннер

Равноценные варианты выбора

  • • Opt-in по умолчанию
  • • Скрипты блокируются до согласия
  • • Гранулярные настройки

Скрипты в очереди ожидания

Waiting
Yandex.Metrika
Google Analytics
Facebook Pixel
Active (после клика)
Yandex.Metrika
Google Analytics

Почему это важно:

Кнопка «ОК» в одиночестве

Согласие не считается свободным, если нет равноценной возможности нажать «Отклонить» прямо на первом экране.

Скроллинг как согласие

Продолжение просмотра страницы или свайп больше не являются «активным утвердительным действием».

Предустановленные галочки

Все категории cookies, кроме строго необходимых, должны быть выключены по умолчанию (принцип Opt-in).

Скрипты до решения

Если Яндекс.Метрика или пиксели соцсетей загружаются до клика пользователя по кнопке «Принять», вы нарушаете статью 5(3) директивы ePrivacy.

Технический стандарт Kolomna WEB

Мы внедряем каскадную защиту данных на уровне протокола HTTP (спецификация RFC 6265bis):

Визуализация заголовка Set-Cookie

// Пример защищенного cookie
Set-Cookie:__Host-sessionid=abc123;HttpOnlySecureSameSite__Host-;Max-Age=3600;Path=/

HttpOnly

Запрещает доступ к cookies через JavaScript, блокируя кражу сессий (XSS-атаки)

Secure

Гарантирует передачу данных только по зашифрованному HTTPS-каналу

SameSite

Исключает подделку межсайтовых запросов (CSRF). Значения: Lax/Strict

__Host-

Префикс создает реальную границу безопасности, привязывая данные исключительно к вашему домену

1. Формы (имя + телефон + email)

➡️

Обязательно нужна галочка согласия

Любая форма, собирающая персональные данные (имя, телефон, email), должна содержать чекбокс согласия с политикой конфиденциальности. Предустановленная галочка = нарушение.

2. Яндекс.Метрика + Google Analytics

➡️ Это уже:

Яндекс.Метрика

  • Cookies
  • Аналитика
  • IP-адрес пользователя

Google Analytics

  • Cookies
  • Аналитика
  • Трансграничная передача данных

3. Уведомление в Роскомнадзор

➡️

Если не подали — формально уже нарушение

При обработке персональных данных российских граждан вы обязаны зарегистрироваться как оператор ПДн в реестре Роскомнадзора.

Реестр операторов Роскомнадзора →

🧠 Как проверяют (реально)

Обычно не «ходят по сайтам» — проверки приходят:

👤

По жалобе пользователя

Недовольный клиент или конкурент отправляет жалобу в Роскомнадзор

📢

При подключении рекламы

Яндекс/Google могут триггернуть проверку при модерации рекламных кампаний

📋

При работе с юрлицами

В тендерах и договорах с крупными компаниями проверяют соответствие 152-ФЗ

✅ Чек-лист: Минимум для compliance

Выполните все пункты — это базовый набор для защиты от штрафов

Обязательно

1

Политика конфиденциальности

Отдельная страница с описанием обработки данных

2

Согласие на обработку ПД

Отдельная страница или встроенный текст

3

Cookies-баннер

С выбором "Принять/Отклонить", не предустановлен

Дополнительно

4

Галочка в формах

Необходимо согласие перед отправкой данных

5

Уведомление в Роскомнадзор

При обработке ПД российских граждан

6

Хостинг в РФ

Для хранения персональных данных граждан РФ

Обязательный юридический чек-лист в РФ

Помимо технической части, ваш сайт в зоне .ru обязан соблюдать:

Уведомление в Роскомнадзор

Регистрация вас как оператора персональных данных в реестре операторов.

Локализация данных

Хостинг строго на территории Российской Федерации (требование 152-ФЗ).

HTTPS обязательный

Обязательное шифрование для законной передачи персональных данных.

💸

Основные штрафы (для ИП = как для должностного лица)

📄Статья 13.11 КоАП РФ

Нет политики конфиденциальности / она "пустая"

3 000 — 10 000 ₽
Самый частый кейс

Обрабатываешь данные без согласия (нет галочки)

10 000 — 20 000 ₽
📨Уведомление в Роскомнадзор

Не уведомил Роскомнадзор как оператор ПД (а должен был)

3 000 — 5 000 ₽
🗄️Локализация данных

Нарушение правил хранения (данные россиян не в РФ)

30 000 — 50 000 ₽
🔒Защита данных

Нет защиты данных (утечка / слабая безопасность)

10 000 — 50 000 ₽
📧Права пользователя

Не ответил на запрос пользователя ("удалите мои данные")

5 000 — 10 000 ₽
🚫Передача третьим лицам

Передал данные третьим лицам незаконно (без указания в политике)

до 20 000 ₽
⚠️

Штрафы суммируются

Пример реальной ситуации:

  • Нет галочки согласия
  • Нет уведомления в Роскомнадзор
  • Нет нормальной политики конфиденциальности

➡️ Легко выходит 20 000 — 40 000 ₽

Сколько стоит безопасность?

В Kolomna WEB разработка и внедрение GDPR-совместимой системы защиты данных

Простая

Базовая защита для небольших сайтов

10 000 ₽
  • GDPR-совместимый баннер
  • Кнопки «Принять/Отклонить»
  • Блокировка 1 сервиса
  • Базовые политики на сайт

Многоуровневая

Полная защита для бизнеса

25 000 ₽
  • Всё из «Простой»
  • Гранулярные настройки (аналитика, маркетинг)
  • Блокировка неограниченного количества сервисов
  • Защищенные cookies (HttpOnly, Secure, SameSite)
  • Полный комплект политик (Privacy, Agreement, Cookies)
Заказать аудит безопасности