Роскомнадзор неоднократно разъяснял: cookie-файлы относятся к персональным данным, если они позволяют идентифицировать конкретного пользователя — прямо или в совокупности с другими данными. На практике это касается большинства сайтов.

Если cookie позволяет отличить одного посетителя от другого и отслеживать его поведение — это персональные данные по 152-ФЗ. Уникальный идентификатор Яндекс.Метрики (_ym_uid) или Google Analytics (_ga) — прямой пример.

Размер штрафа зависит от нарушения:

• Обработка cookie без согласия субъекта — ч. 2 ст. 13.11 КоАП РФ, для ИП — 10 000–20 000 рублей, для юридических лиц — 150 000–500 000 рублей.
• Отсутствие политики обработки cookie — ч. 3 ст. 13.11 КоАП РФ, для ИП — 5 000–10 000 рублей, для юридических лиц — 30 000–60 000 рублей.
• Непредоставление информации о cookie — ч. 4 ст. 13.11 КоАП РФ, для ИП — 5 000–10 000 рублей, для юридических лиц — 40 000–80 000 рублей.
• Повторное нарушение — ч. 2–3 ст. 13.11 КоАП РФ, до 1 500 000 рублей.