Кожен сайт, що використовує cookie для аналітики, реклами або персоналізації, зобов'язаний отримати явну згоду користувача до активації таких файлів — відповідно до ст. 8 ЗУ «Про захист персональних даних» та вимог GDPR, що поширюються на українські сайти з відвідувачами з ЄС. Без банера згоди та окремої політики cookie ФОП ризикує штрафом від Уповноваженого з прав людини та блокуванням рекламних інструментів.
Disclaimer: Матеріал носить інформаційний характер і не є юридичною консультацією.
Коли застосовується: хто зобов'язаний мати політику cookie та банер згоди
Обов'язок розміщувати банер згоди та окрему політику cookie виникає за наявності хоча б однієї з умов:
- Сайт встановлює cookie, що ідентифікують або можуть ідентифікувати фізичну особу (аналітика Google Analytics, Meta Pixel, Hotjar, рекламні мережі).
- Сайт має відвідувачів із держав ЄС/ЄЕЗ — тоді автоматично застосовується Регламент ЄС 2016/679 (GDPR), ст. 7 і Recital 32.
- Сайт здійснює електронну комерцію — ст. 14 ЗУ «Про електронну комерцію» прямо зобов'язує захищати персональні дані відвідувачів.
Хто саме зобов'язаний:
- ФОП на будь-якій системі оподаткування, що має власний сайт.
- Юридичні особи — ТОВ, ПрАТ, ГО — з публічними сайтами.
- Блогери та фрилансери, якщо їхній сайт монетизується через рекламні мережі.
Виключення (edge cases):
- Сайт використовує виключно технічні cookie (сесійні, кошик покупця, авторизація) — такі файли не потребують згоди, але потребують згадки в політиці (відповідно до ст. 6 ЗУ «Про захист персональних даних», обробка без згоди допускається лише за наявності законної підстави).
- Внутрішні корпоративні ресурси без зовнішніх відвідувачів.
Детальний огляд обов'язків ФОП у сфері даних — у гайді для ФОП та бізнесу.
Що таке cookie та які типи потребують згоди
Cookie — це невеликі текстові файли, що зберігаються в браузері користувача. Класифікація за потребою у згоді:
| Тип cookie | Приклади | Потребує згоди |
|---|---|---|
| Строго необхідні | Сесія, кошик, CSRF-токен | ❌ Ні |
| Функціональні | Збережена мова, тема | ⚠️ Бажано |
| Аналітичні | Google Analytics, Hotjar | ✅ Так |
| Рекламні / маркетингові | Meta Pixel, Google Ads | ✅ Так |
| Соціальні мережі | Facebook Like, Twitter Share | ✅ Так |
Відповідно до ст. 8 ЗУ «Про захист персональних даних», обробка персональних даних допускається за наявності однієї з підстав, серед яких — згода суб'єкта даних. Cookie аналітичного та рекламного типу збирають дані, що дозволяють ідентифікувати особу (IP-адреса, поведінкові патерни), тому є персональними даними.
Вимоги законодавства: ЗУ «Про захист персональних даних» і GDPR у 2026 році
Українське законодавство регулює питання через:
- Ст. 2 ЗУ «Про захист персональних даних» — визначає поняття персональних даних і суб'єктів відносин. Cookie-ідентифікатори підпадають під визначення персональних даних, якщо дозволяють ідентифікувати особу прямо чи опосередковано.
- Ст. 8 ЗУ «Про захист персональних даних» — встановлює вимогу отримання добровільної, конкретної та поінформованої згоди суб'єкта до початку обробки його даних.
- Ст. 6 ЗУ «Про захист персональних даних» — перелічує законні підстави обробки; для маркетингових cookie єдина релевантна підстава — згода.
- Ст. 14 ЗУ «Про електронну комерцію» — забороняє використання персональних даних з метою, що виходить за межі вчинення електронного правочину, без окремої згоди.
GDPR (Регламент ЄС 2016/679) застосовується до українських сайтів за принципом екстериторіальності (ст. 3 GDPR): якщо сайт пропонує товари/послуги особам у ЄС або відстежує їх поведінку — GDPR діє незалежно від місця реєстрації власника сайту.
Ключові вимоги GDPR до банера згоди (Recital 32, ст. 7):
- Згода — до встановлення cookie, не після.
- Відмова від cookie має бути так само простою, як і прийняття.
- Мовчання або попередньо встановлені галочки — не є згодою.
- Згода має бути задокументована.
З питань правомірності обробки персональних даних у контексті онлайн-договорів — дивіться суміжну тему захисту даних в електронній комерції.
Покроково: як скласти та розмістити політику cookie для сайту ФОП
Крок 1. Проведіть аудит cookie (1-3 дні) Використайте інструменти: Cookie Scanner від CookieYes, Cookiebot Scanner або розширення браузера EditThisCookie. Зафіксуйте: назву cookie, тип, строк зберігання, постачальника.
Крок 2. Складіть текст політики cookie (2-5 днів) Документ має містити обов'язкові розділи:
- Хто є контролером даних (ПІБ ФОП, ЄДРПОУ, адреса, email).
- Що таке cookie і навіщо сайт їх використовує.
- Таблицю всіх cookie з категоріями та строками зберігання.
- Правову підставу обробки (ст. 8 ЗУ «Про захист персональних даних»).
- Як користувач може відкликати згоду.
- Посилання на загальну політику конфіденційності.
Крок 3. Розмістіть документ на сайті (1 день)
Окрема сторінка /cookie-policy або /polityka-cookie. Посилання — у підвалі сайту та в банері згоди.
Крок 4. Зберігайте записи про згоди (ongoing) Відповідно до ст. 7(1) GDPR, контролер зобов'язаний довести факт отримання згоди. Платформи CMP (Consent Management Platform) зберігають лог автоматично.
Покроково: як налаштувати банер згоди (cookie consent banner)
Крок 1. Оберіть CMP-платформу Безкоштовні варіанти: CookieYes (до 100 000 переглядів/міс.), Cookiebot (до 100 сторінок), Complianz (WordPress). Платні: OneTrust, TrustArc.
Крок 2. Налаштуйте категорії cookie У CMP вкажіть мінімум 3 категорії: «Необхідні» (без вибору), «Аналітичні», «Маркетингові». Кожна — з описом і переліком конкретних cookie.
Крок 3. Забезпечте правильне відображення
- Банер з'являється до завантаження будь-яких нетехнічних скриптів.
- Кнопки «Прийняти всі» та «Відхилити всі» — однакового розміру та кольору (вимога GDPR; практика CNIL Франції та ICO Великобританії).
- Посилання на повну політику cookie — у тексті банера.
Крок 4. Налаштуйте блокування скриптів Google Analytics, Meta Pixel та інші трекери мають завантажуватись лише після отримання відповідної згоди. CMP реалізує це через тег-менеджер або власний механізм.
Крок 5. Протестуйте в режимі інкогніто Перевірте: банер з'являється при першому відвіданні, відмова працює, cookie не встановлюються до вибору.
Зразок політики cookie для сайту ФОП 2026
ПОЛІТИКА COOKIE
ФОП [Прізвище Ім'я По батькові], ЄДРПОУ/ІПН: [номер]
Адреса: [адреса], Email: [email]
Дата набрання чинності: [дата]
1. Загальні положення
Цей сайт ([URL]) використовує cookie-файли відповідно до ст. 8
ЗУ «Про захист персональних даних» та Регламенту ЄС 2016/679 (GDPR).
2. Що таке cookie
Cookie — текстові файли, що зберігаються у браузері для
забезпечення функціональності сайту та аналізу відвідуваності.
3. Типи cookie, що використовуються
[Таблиця: назва | категорія | постачальник | строк | мета]
4. Правова підстава обробки
Аналітичні та маркетингові cookie обробляються на підставі
вашої згоди (ст. 8 ЗУ «Про захист персональних даних», ст. 6(1)(a) GDPR).
Необхідні cookie — на підставі законного інтересу (ст. 6(1)(f) GDPR).
5. Як керувати cookie
Ви можете відкликати згоду в будь-який момент через [посилання
на налаштування cookie] або налаштування браузера.
6. Передача даних третім особам
[Перелік: Google LLC, Meta Platforms Inc. тощо з посиланням
на їх політики конфіденційності]
7. Контакти
З питань обробки даних: [email]
Зразок тексту банера згоди на cookie 2026
🍪 Ми використовуємо cookie
Цей сайт використовує cookie-файли для аналітики та персоналізації.
Натискаючи «Прийняти всі», ви надаєте згоду на обробку ваших даних
відповідно до нашої [Політики cookie].
[Налаштування] [Відхилити всі] [Прийняти всі]
Вимоги до оформлення банера:
- Жоден скрипт не запускається до вибору користувача.
- Кнопка «Відхилити» — не менш помітна, ніж «Прийняти».
- Банер не перекриває весь контент (не є «cookie wall»).
Строки зберігання згоди та cookie: що вказати в документах
| Параметр | Вимога | Правова підстава |
|---|---|---|
| Строк зберігання запису про згоду | Мінімум 3 роки | Ст. 7(1) GDPR (тягар доказування на контролері) |
| Строк дії самої згоди | До відкликання або 12 місяців (рекомендовано) | Ст. 8 ЗУ «Про захист персональних даних» |
| Максимальний строк аналітичних cookie | 13 місяців | Рекомендація CNIL (FR), ICO (UK) |
| Максимальний строк маркетингових cookie | 6-12 місяців | Практика ЄС |
| Повторний запит згоди | Кожні 12 місяців | Ст. 7 GDPR, практика регуляторів ЄС |
Усі зазначені строки мають бути відображені в таблиці cookie у вашій політиці.
Документи: перелік необхідних для відповідності вимогам
- Політика cookie — окрема сторінка на сайті (
/polityka-cookie). - Політика конфіденційності — загальний документ про обробку персональних даних (ст. 8 ЗУ «Про захист персональних даних»).
- Реєстр операцій з обробки даних — внутрішній документ ФОП із переліком усіх видів обробки (ст. 30 GDPR для організацій з ≥250 працівників; рекомендовано для всіх).
- Договори з обробниками даних (DPA) — з Google, Meta, Hotjar тощо (ст. 28 GDPR).
- Лог згод — автоматично формується CMP-платформою.
- Процедура відповіді на запити суб'єктів даних — внутрішній регламент (ст. 12-15 GDPR).
Шаблони договорів із постачальниками послуг та інші документи для ФОП — у базі знань для підприємців.
Відповідальність за відсутність політики cookie та банера згоди
Українське законодавство: Відповідно до ЗУ «Про захист персональних даних», Уповноважений Верховної Ради з прав людини має повноваження:
- Видавати приписи про усунення порушень.
- Складати протоколи про адміністративні правопорушення.
- Притягувати до відповідальності за ст. 188-39 КУпАП (штраф від 100 до 200 нмдг = від 1 700 до 3 400 грн).
GDPR (для сайтів із аудиторією ЄС): Штрафи за порушення правил отримання згоди:
- До 10 млн євро або 2% глобального річного обороту (ст. 83(4) GDPR) — за технічні порушення.
- До 20 млн євро або 4% обороту (ст. 83(5) GDPR) — за порушення основних принципів, включно з відсутністю законної підстави обробки.
Практика регуляторів ЄС у 2023-2025 роках:
- CNIL (Франція), 2023: штраф Google на 150 млн євро за ускладнення відмови від cookie порівняно з прийняттям.
- DPC (Ірландія), 2023: штраф Meta на 390 млн євро за використання персоналізованої реклами без належної згоди.
- DPA (Нідерланди), 2024: штраф Uber на 290 млн євро, частково — за порушення вимог до документування згоди.
Ці справи підтверджують: відсутність рівнозначної кнопки «Відхилити» або прихована кнопка відмови — самостійна підстава для штрафу. Детальніше про права суб'єктів персональних даних — у статті про захист персональних даних.
Часті помилки
Помилка 1. «Cookie wall» — блокування контенту без згоди Заборонено: вимагати прийняти cookie як умову доступу до сайту (рішення EDPB Guidelines 05/2020).
Помилка 2. Попередньо встановлені галочки Pre-checked boxes — не є згодою відповідно до Recital 32 GDPR і ст. 8 ЗУ «Про захист персональних даних».
Помилка 3. Відсутність кнопки «Відхилити всі» на першому екрані Якщо «Прийняти» — на першому екрані, а «Відхилити» — лише в налаштуваннях, це порушення (практика CNIL 2022-2025).
Помилка 4. Завантаження скриптів до вибору користувача Google Analytics або Meta Pixel, що завантажуються до взаємодії з банером, — пряме порушення ст. 8 ЗУ «Про захист персональних даних» і ст. 7 GDPR.
Помилка 5. Відсутність таблиці cookie у політиці Загальна фраза «ми використовуємо cookie» без переліку конкретних файлів — недостатня для виконання вимоги поінформованості.
Помилка 6. Не оновлювати політику після зміни інструментів Додали новий піксель або аналітику — оновіть таблицю cookie та повторно запросіть згоду.
FAQ: часті запитання ФОП щодо cookie та банера згоди
Чи потрібен банер, якщо сайт лише «вітринний» без магазину? Так, якщо встановлено аналітичні або рекламні cookie — банер обов'язковий незалежно від типу сайту. Навіть статичний сайт із Google Analytics збирає персональні дані відповідно до ст. 2 ЗУ «Про захист персональних даних».
Чи потрібна окрема політика cookie, якщо є загальна політика конфіденційності? Бажано мати окремий документ. GDPR не забороняє об'єднувати їх, але окрема сторінка покращує відповідність вимогам прозорості (ст. 13 GDPR) і зручність для користувача.
Що робити, якщо відвідувач не взаємодіє з банером і закриває вкладку? Мовчання — не є згодою (Recital 32 GDPR). Нетехнічні cookie не активуються. При наступному візиті банер з'являється знову.
Чи можна використовувати безкоштовний CMP? Так. CookieYes, Cookiebot і Complianz мають безкоштовні тарифи, достатні для малого сайту. Важливо, щоб платформа зберігала лог згод і підтримувала блокування скриптів.
Як часто оновлювати політику cookie? При кожній зміні набору cookie-інструментів і мінімум раз на 12 місяців для перевірки актуальності. Дату оновлення вказуйте у шапці документа.
Чи застосовується GDPR до ФОП із Харкова, якщо сайт лише українською? Так, якщо сайт доступний з ЄС і відвідувачі з ЄС фактично його використовують. Мова сайту не є визначальним критерієм — важлива доступність і факт обробки даних осіб із ЄС (ст. 3(2) GDPR).
Що таке «законний інтерес» і чи можна ним обґрунтувати аналітику? Законний інтерес (ст. 6(1)(f) GDPR) — підстава обробки без згоди, але для аналітичних cookie регулятори ЄС (зокрема EDPB) вважають її недостатньою: аналітика вимагає згоди. Законний інтерес допустимий лише для суто технічних операцій безпеки.
Створити «Політика cookie» онлайн
Сформуйте проєкт документа «Політика cookie» під вашу ситуацію в конструкторі AGENTIS — Політика cookie: відкрити конструктор. Сервіс готує структуровану чернетку на основі ваших даних; це підготовчий інструмент, що не замінює консультацію юриста перед підписанням.