Cookie-баннер: как сделать правильно и по закону
Cookie-баннер на сайте кажется формальностью, но именно здесь чаще всего нарушают закон и одновременно теряют посетителей. Половина баннеров не спрашивает согласие как положено, вторая половина делает это так навязчиво, что человек закрывает вкладку. Разберём, как сделать баннер законным по GDPR и при этом не вредящим бизнесу.
Что на самом деле требует закон
До загрузки любых необязательных куки посетитель должен дать активное согласие. Это значит, что аналитика, реклама и трекеры соцсетей не должны срабатывать до клика.
Баннер обязан предлагать реальный выбор. Кнопка Принять всё не может быть единственной. Кнопка Отклонить должна быть так же заметна, на том же уровне.
Предустановленные галочки запрещены. Пользователь должен сам активно выбрать согласие, а не молча принять его по умолчанию.
Выбор должно быть можно изменить позже. Обычно это постоянная ссылка Настройки cookie в подвале сайта.
Какие куки не требуют согласия
Сессионные куки, которые держат вход в систему или корзину.
Куки безопасности (защита от CSRF, защита от подбора пароля).
Языковые и региональные настройки, если пользователь выбрал их сам.
Это необходимые куки, они подпадают под исключение GDPR. Перечислите их в политике конфиденциальности, но в баннере согласие на них не спрашивайте.
Типичные ошибки на эстонских сайтах
Google Analytics грузится до согласия. Это самое частое нарушение, и его видно сразу в DevTools на вкладке Network.
Тексты в духе Продолжая пользоваться сайтом, вы соглашаетесь. Это старый и незаконный подход без реального выбора.
Баннеры, которые на мобильном закрывают весь экран и не дают пользоваться сайтом до клика. Google понижает такие страницы, а пользователи закрывают окно.
Отсутствующая кнопка Отклонить или спрятанная за два-три клика в настройках.
Что реально работает
Короткий баннер внизу экрана (не на весь экран) с тремя равноценными кнопками: Принять, Отклонить, Настроить.
Основной текст максимум 1-2 предложения. Детали раскрываются под Настроить, а не в стартовом баннере.
Чёткое деление на категории: необходимые (всегда включены), аналитика, маркетинг, контент третьих сторон (например, встроенный YouTube). Каждую категорию пользователь включает и выключает отдельно.
Выбирайте инструмент согласия, подходящий для EU: Cookiebot, CookieYes, Termly, Klaro, Iubenda. Бесплатных версий хватает большинству малых сайтов.
Практический совет
Если сайт использует только Plausible или Fathom (аналитика без куки) и других трекеров нет, cookie-баннер вообще не нужен. Это самое простое и лучшее для пользователя решение.
Если Google Analytics обязателен (например, требование клиента), настройте в GA4 Consent Mode и сделайте нормальный баннер. Промежуточные решения - аналитика без баннера - незаконны, хотя их всё ещё часто встречают.
FAQ
Бесплатный или платный инструмент для cookie выбрать?+
Бесплатные версии (CookieYes, Termly) закрывают нужды небольшого сайта. Платный (Cookiebot, Iubenda) окупается, если сайт большой, многоязычный или в строгой нише (медицина, финансы).
Нужно ли отдельно писать политику cookie?+
Да, это часть политики конфиденциальности или отдельный документ. Хороший инструмент генерирует её автоматически, остаётся проверить, что она соответствует вашему реальному использованию.
Что будет, если не ставить cookie-баннер?+
Инспекция по защите данных может вынести предписание или штраф, но чаще сначала приходит жалоба с просьбой исправить. Больший риск - потеря доверия пользователей, особенно в B2B.