Мы используем анонимную аналитику для улучшения сайта. Разрешить сбор статистики? Политика

Cookie-баннер и персональные данные на сайте белорусской компании: что требуется и как навести порядок

1 мин чтения
15 июля 2026 г.
Cookie-баннер на сайте белорусской компании и документы по защите персональных данных

Рекомендуем также: другие статьи, обслуживание сайтов и наши услуги.

Короткий ответ. Если ваш сайт использует аналитику (Яндекс.Метрику, Google Analytics), рекламные пиксели или собирает заявки через формы, вы обрабатываете персональные данные и обязаны выполнить требования Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»: разместить на сайте политику обработки персональных данных и политику cookie в открытом доступе, поставить баннер с реальным выбором «принять / отклонить» для необязательных cookie, назначить в компании ответственного за обработку данных и навести порядок в формах. Технические cookie, без которых сайт не работает, согласия не требуют. За несоблюдение мер защиты для юридического лица предусмотрен штраф от 20 до 50 базовых величин по ч. 4 ст. 23.7 КоАП, а отдельные нарушения при работе с данными тянут и на большее.

Если вам уже пришло письмо о нарушениях на сайте – сначала определите отправителя. Рекламное предложение юридических услуг не требует ответа и ничем не грозит само по себе. Обращение гражданина (субъекта персональных данных) требует ответа по существу в установленный законом срок: без ответа его жалоба уходит в НЦЗПД в усиленном виде. Официальный документ от НЦЗПД или другого госоргана – это уже процедура со сроками, тут подключается юрист. Подробный разбор всех трёх сценариев – ниже.

Дальше разберём по шагам, что это значит для обычной торговой или инжиниринговой компании с сайтом-каталогом и парой форм.

Пришло письмо про нарушения на сайте: кто его прислал и насколько это серьёзно

Волна таких писем связана с тем, что требования закона № 99-З действуют с ноября 2021 года, а разрыв между «как положено» и «как сделано на большинстве сайтов» стал заметным. Письма при этом бывают трёх принципиально разных типов, и путать их дорого в обе стороны: можно запаниковать из-за рекламы, а можно проигнорировать документ со сроком.

Пример письма о нарушениях на сайте по закону о персональных данных
Как выглядит типовое письмо о нарушениях на сайте – важно различать отправителя

Тип 1: коммерческая рассылка. Юридическая фирма или сервис пишет, что нашли на вашем сайте нарушения, и предлагает услуги по приведению в порядок. Это реклама, а не претензия: отвечать не обязательно, штрафом само письмо не грозит. Единственный правильный вывод из него – нарушения, скорее всего, действительно есть, потому что отправитель нашёл вас простым сканированием сайта, и точно так же вас найдёт кто угодно другой.

Тип 2: обращение гражданина. Физическое лицо (клиент, посетитель сайта, бывший сотрудник) пишет вам как оператору персональных данных: требует прекратить обработку, удалить данные, объяснить, на каком основании вы их собрали. Это самый серьёзный из «неофициальных» сценариев, потому что закон устроен последовательно: сначала человек обращается к оператору, и сроки ответа зависят от требования – на предоставление информации об обработке у вас 5 рабочих дней (ст. 11 Закона № 99-З), на требования об удалении данных, внесении изменений или прекращении обработки – 15 дней (ст. 10, 14). Если ответа нет или он не устроил – человек идёт с жалобой в НЦЗПД, и ваш неответ прикладывается к жалобе как доказательство бездействия, ускоряющее рассмотрение. Игнорировать такое письмо – худший из вариантов.

Тип 3: официальный документ. Письмо от НЦЗПД, запрос или обращение из прокуратуры. Важно знать: НЦЗПД находит нарушения не только по жалобам – центр ведёт собственный мониторинг сети и рассылает требования по его итогам. Масштаб виден по отчётам самого центра: за 2025 год вынесено 556 требований об устранении нарушений против примерно 370 годом ранее, и лишь чуть больше половины из них – по жалобам, остальное дал мониторинг. Типовое такое письмо выглядит буднично: перечислены конкретные нарушения на вашем сайте (обработка целевых cookie без согласия, отсутствие политики по ст. 17), дан срок на устранение и указана обязанность письменно проинформировать Центр об устранении с приложением подтверждающих документов – это требование Положения о НЦЗПД, утверждённого Указом № 422 (в самом Законе № 99-З его нет, поэтому о нём часто не знают). Починить сайт и промолчать означает не выполнить требование. Паниковать по такому письму рано (это требование устранить, а не постановление о штрафе, и в письме обычно даны ссылки на типовые документы cpd.by), но и тянуть нельзя: ответственность наступает при неустранении в срок. Если объективно не успеваете – Положение допускает продление срока по заявлению, поданному не позднее трёх рабочих дней до его истечения. Здесь стоит подключить юриста для ответа и параллельно закрыть техническую часть.

Для спокойствия духа: публичных случаев штрафов конкретно за cookie в Беларуси пока немного – типовой сценарий начинается с требования устранить, а не с постановления. Но рассчитывать на то, что «нас не заметят», уже не приходится: сайты находят и мониторинг НЦЗПД, и жалобы граждан, и разбирательство по одному поводу спокойно вытаскивает на свет всё остальное. Закон при этом продолжает дорабатываться – в июле 2026 года на общественное обсуждение вынесен проект очередных изменений, и НЦЗПД анонсирует их как упрощения для бизнеса, а не ужесточения. Действующих требований это не отменяет: письма по итогам мониторинга приходят по ним.

Что делать в первую неделю после письма

День первый: определить тип письма по описанию выше и зафиксировать дату получения – от неё считаются сроки. День первый-второй, если письмо типа 2: подготовить ответ по существу (что обрабатываете, на каком основании, что сделали по требованию человека) и выполнить само требование, если оно законно – удалить данные из рассылки стоит дешевле любого продолжения. Если письмо типа 3, от НЦЗПД: выписать из него перечень нарушений и срок, распределить работы так, чтобы закончить с запасом, и запланировать финальное действие – письменно проинформировать Центр об устранении до истечения срока, приложив подтверждения (скриншоты баннера, ссылки на политики). Параллельно, в те же дни: закрыть технические дыры на сайте по чек-листу ниже – баннер, политики, чекбоксы. Это важно в любом сценарии: если дело дойдёт до жалобы, к ней прикладываются скриншоты вашего сайта, и сайт с уже наведённым порядком выглядит в разбирательстве совсем иначе, чем сайт, где нарушение продолжается. К концу недели: назначить ответственного за данные приказом, если его ещё нет, – при любом развитии событий это первое, о чём спросят.

Cookie – это вообще персональные данные?

Зависит от типа. Закон определяет персональные данные как любую информацию, относящуюся к физическому лицу, которое можно идентифицировать. Cookie, которые хранят уникальные идентификаторы, IP-адрес, историю поведения на сайте, позволяют выделить конкретного пользователя – и в этот момент они попадают под закон. Позиция НЦЗПД здесь последовательная: центр опубликовал примерную политику в отношении cookie и прямо указывает, что её издание необходимо операторам, которые обрабатывают не только технические cookie.

На практике cookie делятся на три группы, и от группы зависит, нужно ли согласие:

Тип cookieПримерыНужно ли согласие
Технические (необходимые)сессия корзины, авторизация, защита формНет – сайт без них не работает
Функциональныеязык интерфейса, выбранный регион, настройкиКак правило, нет, если не передаются третьим лицам
Аналитические и маркетинговыеЯндекс.Метрика, Google Analytics, рекламные пиксели, ретаргетингДа, до начала сбора

Отсюда главный практический вывод: почти каждый корпоративный сайт в Беларуси попадает под требование о согласии, потому что счётчик аналитики стоит практически у всех.

Что должно быть на сайте: чек-лист из пяти пунктов

1. Политика обработки персональных данных. Документ в открытом доступе, доступный до начала обработки данных, то есть по прямой ссылке с любой страницы, где есть форма. Это требование ст. 17 Закона № 99-З; его невыполнение – самостоятельный состав по ч. 4 ст. 23.7 КоАП. Примерные формы всех документов собраны в «Портфеле оператора» на сайте НЦЗПД.

2. Политика cookie. Отдельный документ или раздел: какие cookie используются, для чего, срок хранения, как отключить. НЦЗПД публикует примерную форму политики cookie – её можно брать за основу и адаптировать под свой сайт.

3. Баннер с реальным выбором и возможностью передумать. Пользователь должен иметь возможность как принять, так и отклонить необязательные cookie, и отказ должен быть таким же доступным, как согласие. Две вещи, которые точно делать нельзя: включать аналитические cookie до того, как человек нажал «принять», и блокировать доступ к сайту тем, кто отказался. Предустановленные галочки и баннеры с единственной кнопкой «ОК» согласием по закону не считаются. И ещё одно требование, о котором забывают чаще всего: согласие должно быть отзывным прямо на сайте (п. 1 ст. 10 Закона) – пользователю нужен способ изменить свой выбор после закрытия баннера, обычно это ссылка «Настройки cookie» в подвале. НЦЗПД в своих письмах по итогам мониторинга указывает на это отдельным пунктом.

Пример правильного cookie-баннера с выбором «принять» и «отклонить»
Как должен выглядеть баннер: равнозначные кнопки принятия и отказа, ссылка на настройки

4. Порядок в формах. Каждая форма (заявка, обратный звонок, подписка) собирает персональные данные, поэтому рядом с ней нужны чекбокс согласия (пустой по умолчанию) и ссылка на политику. Согласие должно быть конкретным: на что, для какой цели, на какой срок.

5. Ответственный внутри компании. Закон требует назначить лицо, отвечающее за внутренний контроль обработки данных, и это требование усилено Указом № 422 от 28.10.2021: ответственные за защиту данных проходят специальное обучение. Для компании на 20–50 человек это обычно совмещение, а не отдельная ставка.

Про что все забывают: ваша аналитика – это трансграничная передача

Сервисы веб-аналитики хранят данные на серверах за пределами Беларуси. С точки зрения закона использование Яндекс.Метрики или Google Analytics – трансграничная передача персональных данных, и это отдельный режим со своими условиями. То же касается CRM в облаке, хранения клиентских баз на иностранных дисках и переписки с клиентами через зарубежные почтовые сервисы. Это не значит, что аналитикой пользоваться нельзя – это значит, что она должна быть честно описана в политике cookie: какой сервис, куда передаются данные, на каком основании. Кстати, сам НЦЗПД для своего сайта выбрал автономную аналитику без передачи данных третьим лицам – показательный ориентир того, как регулятор смотрит на вопрос.

Что будет, если не сделать

Административная ответственность по ст. 23.7 КоАП устроена так: несоблюдение мер защиты персональных данных (нет политики, нет ответственного, нет порядка доступа к данным) – штраф на юридическое лицо от 20 до 50 базовых величин; умышленные незаконные сбор, обработка или хранение данных – до 50 базовых величин; те же действия лицом, которому данные известны по службе, – от 4 до 100; незаконное распространение – до 200. Для отдельных нарушений существует и уголовная ответственность (ст. 203-1 и 203-2 УК), но это уже про существенный вред, а не про отсутствующий баннер.

Практическая иерархия рисков для обычной компании выглядит так: сначала предписание, затем штраф при невыполнении или при жалобе клиента. Жалоба, к слову, самый частый триггер: недовольный клиент или бывший сотрудник пишет обращение, и проверка приходит по конкретному поводу, а находит всё остальное.

Симптомы, что у вас не закрыто

Проверить себя можно за десять минут. Откройте свой сайт в режиме инкогнито и посмотрите:

  • счётчик аналитики срабатывает до какого-либо согласия (видно в инструментах разработчика на вкладке Network);
  • баннера нет, либо в нём одна кнопка;
  • в подвале нет ссылки на политику обработки персональных данных;
  • у форм заявок нет чекбокса согласия;
  • в компании никто не назначен ответственным за данные приказом.

Два и более пункта из пяти – вопрос стоит закрывать. Объём работ зависит от того, сколько счётчиков, виджетов и форм накопил сайт за годы.

С чего начать: план по шагам

Первый шаг – аудит: выписать все cookie сайта (расширение браузера или отчёт CMS), все формы и все сервисы, куда уходят данные. Второй – документы: политика обработки ПДн и политика cookie на основе примерных форм НЦЗПД, приказ о назначении ответственного. Третий – техническая часть: баннер согласия с блокировкой необязательных cookie до принятия, чекбоксы у форм, ссылки на политики в подвал. Четвёртый – проверка в инкогнито: аналитика молчит до согласия, отказ работает, сайт при отказе доступен. Организационные шаги делаются своими силами; сроки технической части у всех разные – они зависят от платформы сайта и количества источников cookie.

Единственный пункт, где обычно нужна помощь со стороны, – корректная блокировка счётчиков до согласия: скрипты аналитики должны загружаться после нажатия кнопки, и на некоторых CMS это требует рук разработчика.

Когда звать подрядчика

Если сайт на самописной CMS, счётчиков и пикселей больше двух, есть интернет-магазин с личным кабинетом или данные из форм уходят сразу в несколько систем (почта, CRM, 1С) – блокировку cookie до согласия и описание всех потоков данных быстрее и дешевле сделать с тем, кто видит сайт, хостинг и внутреннюю инфраструктуру целиком.

Свежий пример из нашей практики: компании пришло письмо НЦЗПД по итогам мониторинга – обработка целевых cookie без согласия, отсутствие политик, месяц на устранение. Мы прошли по всем страницам сайта и собрали полный список источников cookie (счётчики аналитики, карты, виджеты соцсетей, пиксели), классифицировали их по типам, поставили необязательные под согласие с возможностью отзыва, подготовили политики по формам НЦЗПД и собрали подтверждения устранения для ответа Центру. Компания отчиталась регулятору в срок – без штрафа и без остановки работы сайта.

Такие задачи мы делаем в рамках услуги обслуживания сайтов – разово или на постоянной основе. Если хотите проверить свой сайт – напишите нам, посмотрим вместе.

Частые вопросы

Пришло письмо от НЦЗПД по итогам мониторинга – это уже штраф?
Нет. Это требование устранить нарушения к указанному сроку и проинформировать Центр. Штрафные составы включаются при неустранении или игнорировании. Типовые требования (баннер с согласием, политики, отзыв согласия через сайт) при своевременном старте закрываются в срок из письма с запасом – главное не тянуть с началом и не забыть отчитаться об устранении.
Пришло письмо от юридической компании о нарушениях на сайте – это штраф?
Нет. Штраф назначается по постановлению в рамках административного процесса, а не письмом от частной фирмы. Такое письмо – реклама услуг. Но нарушения, которые в нём перечислены, стоит проверить: их видно при простом просмотре сайта.
Что будет, если не ответить на обращение гражданина о его персональных данных?
Его жалоба уйдёт в НЦЗПД вместе с фактом вашего молчания, что усиливает позицию заявителя и ускоряет рассмотрение. Кроме того, при угрозе общественным интересам дело может инициировать прокурор и без заявления пострадавшего. Ответ по существу в срок – самый дешёвый вариант из всех возможных.
Нужен ли баннер, если на сайте только каталог без форм?
Если стоит счётчик аналитики – нужен: аналитические cookie требуют согласия независимо от наличия форм. Если сайт вообще ничего не собирает и использует только технические cookie, баннер не обязателен, но политика cookie в открытом доступе всё равно нужна как часть мер по ст. 17 Закона.
Можно ли взять политику cookie с чужого сайта?
За основу лучше брать примерные формы НЦЗПД: они официальные и обновляются. Чужой документ описывает чужие cookie и чужие сервисы, и расхождение между политикой и реальностью само по себе создаёт риск.
Обязательно ли отключать Яндекс.Метрику?
Нет. Требование в том, чтобы метрика запускалась после согласия пользователя и была честно описана в политике, включая трансграничную передачу данных.
Что делать со старыми данными из форм, собранными без согласия?
Это вопрос к юристу в каждом конкретном случае: многое зависит от цели и основания обработки. Минимум – навести порядок на будущее и описать в политике, что и на каком основании хранится.
Кто вообще проверяет сайты?
Контроль в сфере персональных данных осуществляет НЦЗПД, отдельные полномочия есть у ОАЦ и прокуратуры. Типовой сценарий для бизнеса – обращение физлица, по которому начинается разбирательство.

Нужен внешний взгляд на ваш сайт с точки зрения Закона № 99-З? Мы проведём аудит, настроим баннер и подготовим политики в рамках обслуживания сайтов от dserver.by.

Нужна помощь с компьютерным обслуживанием?

Свяжитесь с нами для получения профессиональной консультации

Наши услуги