Роскомнадзор неоднократно разъяснял: cookie-файлы относятся к персональным данным, если они позволяют идентифицировать конкретного пользователя – прямо или в совокупности с другими данными. На практике это касается большинства сайтов.

Если cookie позволяет отличить одного посетителя от другого и отслеживать его поведение на сайте – это персональные данные, которые попадают под закон №152-ФЗ. Уникальный идентификатор Яндекс.Метрики (_ym_uid) или Google Analytics (_ga) – прямой пример.

Размер штрафа зависит от нарушения:

• Обработка cookie без согласия субъекта – ч. 2 ст. 13.11 КоАП РФ,
  для индивидуальных предпринимателей – 10 000-20 000 руб.,
  для юридических лиц – 150 000-500 000 руб.
• Отсутствие политики обработки cookie – ч. 3 ст. 13.11 КоАП РФ,
  для индивидуальных предпринимателей – 5 000-10 000 руб.,
  для юридических лиц – 30 000-60 000 руб.
• Непредоставление информации о cookie – ч. 4 ст. 13.11 КоАП РФ,
  для индивидуальных предпринимателей – 5 000-10 000 руб., 
  для юридических лиц – 40 000-80 000 руб.
• Повторное нарушение – ч. 2-3 ст. 13.11 КоАП РФ, до 1 500 000 руб.