Перейти до основного вмісту
AGENTIS Legal Platform

Згода на cookies в Україні: коли і як | AGENTIS

Перевірив юрист: Олександр Кравченко, магістр права (КНУ ім. Шевченка)·Оновлено: 22.06.2026·Правова база: ст. 8 ЗУ Про захист персональних даних, ст. 11 ЗУ Про захист персональних даних

Коротка відповідь

Згода на cookies в Україні є обов'язковою, якщо сайт через файли cookie збирає персональні дані користувачів (ідентифікатори пристроїв, IP-адреси, поведінкові дані). Відповідно до ст.

Довідкова інформація на основі законодавства України, не юридична консультація.

Потрібен документ для вашої ситуації? Створіть чернетку договору — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

Згода на cookies в Україні є обов'язковою, якщо сайт через файли cookie збирає персональні дані користувачів (ідентифікатори пристроїв, IP-адреси, поведінкові дані). Відповідно до ст. 11 Закону України «Про захист персональних даних», обробка персональних даних без правової підстави — зокрема без згоди — є незаконною. Згоду необхідно отримати до початку збору даних.

Disclaimer: Матеріал носить інформаційний характер і не є юридичною консультацією.

Які сайти зобов'язані отримувати згоду на cookies?

Обов'язок отримати згоду виникає у будь-якого власника сайту — юридичної особи, ФОП або фізичної особи, — якщо сайт використовує cookies, що ідентифікують конкретного користувача або збирають дані про його поведінку. Це стосується:

  • інтернет-магазинів (відстеження кошика, поведінки покупця);
  • блогів і медіа з аналітичними скриптами (Google Analytics, Facebook Pixel);
  • лендингів ФОП, які встановлюють рекламні пікселі або ретаргетинг;
  • сервісів SaaS, що зберігають сесійні токени понад технічну необхідність.

Відповідно до ст. 2 ЗУ «Про захист персональних даних», cookie-ідентифікатор, що дозволяє прямо чи опосередковано ідентифікувати фізичну особу, є персональними даними. Для ФОП та бізнесу в Україні це означає повноцінне застосування вимог закону про захист персональних даних.

Виняток: технічні (функціональні) cookies, без яких сайт не може працювати (наприклад, збереження мовних налаштувань або сесії авторизації), не потребують згоди — вони обробляються на підставі п. 3 ч. 1 ст. 11 ЗУ «Про захист персональних даних» (необхідність виконання правочину).

Як правильно налаштувати cookie-банер і отримати згоду?

Коректна згода на cookies — це не просто спливаюче вікно. Відповідно до ст. 2 ЗУ «Про захист персональних даних», згода має бути добровільною, поінформованою та конкретною. Покрокова схема:

Крок 1. Аудит cookies сайту. Визначте всі файли cookie: технічні, аналітичні, маркетингові. Інструменти: Cookie Scanner від Cookiebot, CookieYes або браузерний DevTools → вкладка Application → Cookies.

Крок 2. Класифікація за категоріями. Розбийте cookies на групи: обов'язкові (технічні), аналітичні, маркетингові/рекламні. Для кожної нетехнічної категорії потрібна окрема згода.

Крок 3. Впровадження cookie-банера. Банер має з'являтися при першому відвідуванні до завантаження нетехнічних скриптів. Банер повинен містити:

  • чіткий опис кожної категорії cookies;
  • окремі перемикачі (toggle) для кожної категорії;
  • кнопки «Прийняти всі», «Відхилити всі» та «Налаштувати»;
  • посилання на Політику cookies.

Крок 4. Блокування скриптів до отримання згоди. Рекламні пікселі та аналітика мають завантажуватися лише після підтвердження. Технічно це реалізується через Consent Management Platform (CMP): Cookiebot, OneTrust, або власне рішення на JavaScript.

Крок 5. Збереження запису про згоду. Зберігайте: дату/час згоди, версію банера, IP-адресу (або хеш), обрані категорії. Строк зберігання запису — не менше 3 років для можливості доведення правомірності обробки.

Коли має бути отримана згода і як довго вона діє?

Згода має бути отримана до початку обробки персональних даних — тобто до завантаження будь-яких нетехнічних cookies. Завантаження аналітичного скрипту до кліку «Прийняти» вже є порушенням ст. 11 ЗУ «Про захист персональних даних».

Строки дії згоди:

  • Технічно — більшість CMP зберігають згоду на 12 місяців, після чого банер з'являється знову.
  • Юридично — згода діє до її відкликання користувачем або до зміни мети обробки (ст. 8 ЗУ «Про захист персональних даних»). Якщо змінюється склад cookies або мета їх використання — потрібна нова згода.
  • Користувач має право відкликати згоду в будь-який момент — і це має бути так само просто, як її надання.

Які документи потрібні: що має містити Політика cookies та форма згоди?

Мінімальний пакет документів для правомірної обробки cookies включає два документи.

Політика cookies (окремий документ або розділ Політики конфіденційності) має містити:

  • перелік усіх cookie-файлів із зазначенням назви, провайдера, мети, строку зберігання;
  • правову підставу обробки для кожної категорії (ст. 11 ЗУ «Про захист персональних даних»);
  • контактні дані володільця персональних даних;
  • порядок відкликання згоди;
  • інформацію про передачу даних третім особам (Google, Meta тощо).

Форма згоди (cookie-банер) має відповідати вимогам ст. 2 ЗУ «Про захист персональних даних» щодо поінформованості: користувач повинен розуміти, на що він погоджується, ще до натискання кнопки.

Зверніть увагу: відповідно до ст. 14 ЗУ «Про електронну комерцію», у сфері e-commerce забороняється збирати персональні дані з метою, відмінною від тієї, для якої надано згоду.

FAQ

Чи потрібна згода на технічні cookies?

Ні. Технічні (строго необхідні) cookies, без яких сайт технічно не функціонує, не потребують згоди користувача. Вони обробляються на підставі п. 3 ч. 1 ст. 11 ЗУ «Про захист персональних даних» — як необхідні для виконання правочину або надання послуги на запит користувача. Проте навіть для них рекомендується зазначати їх наявність у Політиці cookies.

Що буде за порушення вимог щодо cookies?

За незаконну обробку персональних даних передбачена адміністративна відповідальність за ст. 188-39 Кодексу України про адміністративні правопорушення (КУпАП) — штраф від 85 до 170 неоподатковуваних мінімумів доходів громадян. Уповноважений орган — Уповноважений Верховної Ради України з прав людини (Омбудсман), який здійснює нагляд у сфері захисту персональних даних.

Чи діє GDPR для українських ФОП?

GDPR (Регламент ЄС 2016/679) застосовується до українського ФОП, якщо сайт цілеспрямовано орієнтований на резидентів ЄС: є мова інтерфейсу країн ЄС, ціни в євро, доставка до ЄС (ст. 3 GDPR — екстериторіальний принцип). У такому разі ФОП зобов'язаний дотримуватись вимог GDPR додатково до українського законодавства. Для сайтів, орієнтованих виключно на українську аудиторію, застосовується лише ЗУ «Про захист персональних даних». Детальніше про правові зобов'язання ФОП читайте у відповідному розділі.

Чи достатньо просто розмістити посилання на Політику конфіденційності?

Ні. Пасивне розміщення посилання без активної згоди користувача не відповідає вимогам ст. 2 та ст. 11 ЗУ «Про захист персональних даних». Згода має бути активним волевиявленням — галочкою, кліком або іншою дією, яка однозначно свідчить про погодження. Автоматично проставлена галочка або продовження перегляду сайту не є належною згодою.

Створити «Політика cookie» онлайн

Сформуйте проєкт документа «Політика cookie» під вашу ситуацію в конструкторі AGENTIS — Політика cookie: відкрити конструктор. Сервіс готує структуровану чернетку на основі ваших даних; це підготовчий інструмент, що не замінює консультацію юриста перед підписанням.

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 8 ЗУ Про захист персональних даних, ст. 11 ЗУ Про захист персональних даних з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.