инструкция 16 января 2029 По состоянию на 16 января 2029

Активное согласие на cookies (не галочка по умолчанию)

Галочка, проставленная по умолчанию, не является согласием субъекта персональных данных по ст. 9 ФЗ-152.

С 30.05.2025 за отсутствие активного согласия на cookies интернет-магазин получает штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторном нарушении — до 1 500 000 ₽.

→ Если вы маркетолог и баннер cookies на сайте уже стоит, но пользователь не кликает «Принять» — проверьте схему сбора согласия прямо сейчас.

Роскомнадзор квалифицирует cookies как персональные данные, если они позволяют идентифицировать пользователя. Интернет-магазины, маркетплейсы и SaaS-сервисы, использующие GA4, Meta Pixel или аналогичные инструменты, собирают такие cookies автоматически. При этом большинство сайтов до сих пор предлагают пользователю готовую отмеченную галочку «я согласен» — такая практика нарушает ч. 3 ст. 9 ФЗ-152: согласие должно быть явным, конкретным, информированным и добровольным действием субъекта. В этой инструкции — шесть шагов, чтобы привести согласие на cookies в соответствие с требованиями закона без остановки маркетинговых инструментов.

Шаг 1. Определите, какие cookies на сайте являются персональными данными

Не все cookies требуют согласия. Технические cookies, без которых сайт не работает (сессия, корзина, авторизация), согласия не требуют — они необходимы для исполнения договора с пользователем (п. 5 ч. 1 ст. 6 ФЗ-152). Согласие нужно для маркетинговых, аналитических и третьесторонних cookies.

Категории cookies, требующие активного согласия:

аналитические — GA4, Яндекс.Метрика, Hotjar, если передают идентификаторы пользователя;
рекламные — Meta Pixel, Google Ads Tag, ВКонтакте Pixel;
персонализационные — cookies программы лояльности, истории просмотров;
третьесторонние — виджеты чатов, виджеты социальных сетей, сторонние формы;
трекинговые — UTM-параметры, cross-site идентификаторы, fingerprinting.

Проведите аудит cookies через браузерный инспектор (вкладка Application → Cookies) или специализированные сканеры (CookieScan, OneTrust Scanner). Результат — реестр cookies с разбивкой по категориям, срокам хранения и получателям данных.

«Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу. Cookie-идентификатор, связанный с профилем пользователя или его поведением, подпадает под это определение по позиции РКН.»

Шаг 2. Настройте баннер cookies с активным действием пользователя

Активное согласие означает, что пользователь сам совершает действие: нажимает кнопку «Принять», ставит галочку вручную или выбирает категории cookies. Любая схема, при которой cookies уже загружены до действия пользователя или галочка проставлена заранее, нарушает ч. 3 ст. 9 ФЗ-152.

Технические требования к баннеру:

блокировка нетехнических cookies до получения согласия — скрипты GA4, Meta Pixel не должны загружаться;
кнопка «Принять все» и отдельная кнопка «Настроить» или «Отклонить» — равнозначные по размеру и положению;
чекбоксы по категориям — по умолчанию сняты для нетехнических категорий;
запоминание выбора — повторный показ баннера при каждом визите нарушает принцип однократности согласия;
возможность изменить выбор в любой момент — ссылка в подвале сайта («Настройки cookies»).

Баннер стоит, но cookies грузятся до нажатия «Принять»?

Это типичная ошибка платформ на Tilda, WordPress и 1С-Битрикс с готовыми плагинами. Загрузка GA4 до согласия — нарушение ч. 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных законом). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, включая проверку технической реализации баннера и передачи данных в сторонние сервисы.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оформите политику конфиденциальности с разделом о cookies

Политика конфиденциальности — обязательный публичный документ по ч. 2 ст. 18.1 ФЗ-152. Отсутствие раздела о cookies или неполное описание даёт основание для штрафа по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ для юрлица), а также по ч. 1 при фактической обработке без правового основания.

Обязательные элементы раздела о cookies в политике интернет-магазина:

перечень категорий cookies с описанием назначения каждой;
список третьих сторон, получающих данные (Google, Meta, Яндекс и другие);
срок хранения cookies по каждой категории;
указание на трансграничную передачу — GA4 передаёт данные в США, что требует уведомления РКН по ст. 12 ФЗ-152;
инструкция по управлению cookies через настройки браузера и через баннер;
контакты оператора для отзыва согласия.

Для программы лояльности cookies, связывающие анонимного пользователя с идентифицированным профилем, требуют отдельного описания: такая связка превращает аналитические данные в персональные данные участника программы.

Как работает GA4 трансграничка и при чём здесь cookies?

Google Analytics 4 передаёт идентификаторы пользователей на серверы Google в США. США не входят в перечень стран с адекватным уровнем защиты персональных данных по приказу РКН. Это означает, что использование GA4 с cookies-идентификаторами — трансграничная передача персональных данных, которая требует уведомления РКН по ст. 12 ФЗ-152 до начала передачи.

«Ст. 12 ФЗ-152: до трансграничной передачи ПДн в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. Уведомление подаётся через pd.rkn.gov.ru. Нарушение квалифицируется по ч. 10 ст. 13.11 КоАП — штраф для юрлица от 100 000 до 300 000 ₽.»

Три варианта работы с GA4 в соответствии с законодательством:

подача уведомления о трансграничной передаче в РКН и описание передачи в политике конфиденциальности;
включение IP-анонимизации и ограничение передачи идентификаторов пользователей (снижает полноту данных, но уменьшает риск);
переход на российский аналог — Яндекс.Метрику или Топвизор — с хранением данных в РФ.

При выборе первого варианта согласие пользователя на cookies является обязательным условием для законной передачи — без согласия нет правового основания для сбора идентификаторов, а значит, нет и законного основания для трансграничной передачи.

Если маркетолог использует GA4 и уведомление о трансграничной передаче в РКН не подавалось — это два самостоятельных нарушения: по ч. 1 и ч. 10 ст. 13.11 КоАП. Срок на первичное уведомление об утечке — 24 часа; срок подачи уведомления о трансграничной передаче — до начала обработки. Оба уже прошли, если вы используете GA4 сегодня.

Заказать аудит 152-ФЗ

Шаг 4. Настройте отзыв согласия и управление подпиской

Субъект персональных данных вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). Для cookies это означает: на сайте должен быть механизм, позволяющий пользователю изменить ранее данное согласие и прекратить обработку cookies в выбранных категориях.

Технические решения для управления отзывом:

постоянная ссылка в подвале («Управление cookies» или «Настройки конфиденциальности»), открывающая повторно баннер с текущими настройками;
при отзыве согласия — немедленное прекращение передачи данных в сторонние сервисы (удаление или сброс соответствующих cookies);
журнал согласий — фиксация факта и даты согласия или отзыва для доказательства при проверке РКН.

Для email-рассылок отзыв подписки — отдельный механизм. Ссылка «Отписаться» в каждом письме обязательна по ст. 18 Федерального закона «О рекламе»; обработка email-адреса для рассылки после отзыва согласия нарушает ч. 2 ст. 13.11 КоАП. Срок исполнения запроса на отзыв — не более 10 рабочих дней.

Шаг 5. Разграничьте ответственность, если вы маркетплейс или работаете через подрядчиков

На маркетплейсах ответственность за обработку cookies определяется ролью: платформа (маркетплейс) выступает оператором ПДн и несёт ответственность за cookies, установленные на домене платформы. Продавец на маркетплейсе несёт самостоятельную ответственность за cookies на своих внешних лендингах и в личном кабинете партнёра, если он собирает ПДн покупателей напрямую.

При работе с маркетинговыми агентствами и подрядчиками, имеющими доступ к системам аналитики:

заключите договор поручения обработки персональных данных (п. 3 ст. 6 ФЗ-152) — без него оператор несёт полную ответственность за действия подрядчика;
в договоре зафиксируйте перечень cookies и данных, к которым имеет доступ агентство;
установите запрет на передачу данных четвёртым сторонам без согласования.

«По сложившейся судебной практике оператор персональных данных несёт ответственность за утечку или неправомерную обработку через подрядчика наравне с самим подрядчиком, если договор поручения не был оформлен надлежащим образом (принцип ответственности оператора за действия обработчика по ст. 6 ФЗ-152).»

Шаг 6. Подготовьте документацию и обеспечьте готовность к проверке

Роскомнадзор при проверке интернет-магазина запрашивает доказательства наличия активного согласия. Голословное утверждение «у нас есть баннер» без документов — не доказательство.

Что подготовить для подтверждения активного согласия на cookies

реестр cookies сайта с категориями, сроками хранения и получателями данных;
технический отчёт или скриншоты, подтверждающие блокировку нетехнических cookies до нажатия «Принять»;
актуальная политика конфиденциальности с разделом о cookies, дата последнего обновления;
журнал согласий — записи о дате, времени и способе получения согласия пользователей;
уведомление РКН о трансграничной передаче (если используете GA4, Meta Pixel и аналоги).

Если сайт работает на платформе (Tilda, Bitrix, Shopify), убедитесь, что настройки платформы не перекрывают ваш баннер согласия. Ряд платформ имеет собственные cookies-скрипты, которые загружаются независимо от пользовательских настроек.

Практические сценарии нарушений по cookies

Сценарий 1. Интернет-магазин на Tilda с предустановленным GA4. Маркетолог настроил GA4 через Google Tag Manager. Баннер присутствует, но cookies загружаются при первом визите до любого действия пользователя. Ситуация: фактическая обработка ПДн (cookie-идентификаторов) без согласия. Применяемая норма: ч. 1 ст. 13.11 КоАП — штраф 150 000 — 300 000 ₽. Стратегия: перенастроить GTM с триггером на событие согласия; без этого блокировка тегов невозможна.

Сценарий 2. Маркетплейс с программой лояльности. Платформа собирает cookies участников программы лояльности (история покупок, поведенческие паттерны) без явного согласия — пользователь при регистрации ставит единую галочку «согласен с условиями». Ситуация: согласие не разграничено по целям; cookies лояльности не выделены в отдельный элемент согласия. Норма: ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽ за обработку без надлежащего согласия. Исход при проверке: предписание об устранении + штраф. Стратегия: разделить согласие на технические, аналитические и маркетинговые cookies на этапе регистрации.

Сценарий 3. SaaS-сервис с трансграничной передачей через Meta Pixel. Директор по маркетингу подключил Meta Pixel для ретаргетинга. Уведомление о трансграничной передаче в РКН не подавалось. Ситуация: два самостоятельных нарушения — обработка без согласия (ч. 1 ст. 13.11) и неуведомление РКН о трансграничной передаче (ч. 10 ст. 13.11: штраф 100 000 — 300 000 ₽). Стратегия: подать уведомление о трансграничной передаче через pd.rkn.gov.ru; настроить баннер с блокировкой Pixel до получения согласия.

Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, лето 2025). Директор по маркетингу получил предписание РКН по результатам мониторинга: сайт загружал Яндекс.Метрику и GA4 без баннера. Проверка зафиксировала отсутствие записей о согласиях в журнале. Штраф по ч. 1 ст. 13.11 КоАП составил сотни тысяч рублей. После введения требований ФЗ-420 повторное нарушение повлекло бы штраф по ч. 1.1 до 500 000 ₽. Юристы DATUM подключились после предписания: настроили CMP-платформу, подали уведомление о трансграничной передаче, подготовили ОРД. Повторной проверки не последовало.

Кейс 2 (на основе практики РКН 2025). SaaS-платформа для B2B-маркетинга (Северо-Западный ФО, осень 2025). Компания использовала cookies-трекинг для идентификации корпоративных пользователей без отдельного согласия — ссылаясь на то, что корпоративные email не являются ПДн физлиц. РКН квалифицировал cookie-идентификаторы, привязанные к конкретным контактным лицам, как ПДн. По ч. 1 ст. 13.11 вынесено постановление о штрафе в сотни тысяч рублей. Позиция «корпоративные данные — не ПДн» не была принята.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка баннера cookies, трансграничной передачи и политики конфиденциальности
Комплект ОРД под ключ — политика конфиденциальности, согласия, журналы для интернет-магазина
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-идентификатор позволяет прямо или косвенно идентифицировать физическое лицо. Технические cookies (сессия, авторизация) обычно не идентифицируют конкретного человека и могут обрабатываться без согласия на основании ст. 6 ФЗ-152 (исполнение договора). Аналитические и рекламные cookies, привязанные к профилю пользователя, его поведению или устройству, — персональные данные. Обработка без согласия нарушает ч. 1 ст. 13.11 КоАП.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 законно при соблюдении трёх условий: активное согласие пользователя на cookies до загрузки скрипта, уведомление РКН о трансграничной передаче персональных данных в США (ст. 12 ФЗ-152), описание передачи в политике конфиденциальности. Без уведомления РКН — нарушение ч. 10 ст. 13.11 КоАП (штраф 100 000 — 300 000 ₽). IP-анонимизация снижает риск, но не исключает его полностью при передаче других идентификаторов.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс является оператором в отношении cookies, собираемых на домене платформы. Продавец является самостоятельным оператором в отношении данных, которые он получает через собственные инструменты (лендинги, CRM, email-рассылки). При наличии интеграций между платформой и продавцом необходим договор поручения обработки персональных данных по п. 3 ч. 1 ст. 6 ФЗ-152, иначе оба несут самостоятельную ответственность за нарушения.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера — обработка ПДн без согласия субъекта. При наличии нетехнических cookies: ч. 2 ст. 13.11 КоАП — штраф для юрлица от 300 000 до 700 000 ₽. При повторном нарушении по ч. 2.1 — от 1 000 000 до 1 500 000 ₽. Дополнительно: ч. 1 ст. 13.11 (обработка в случаях, не предусмотренных законом) — 150 000 — 300 000 ₽. Оба состава могут быть вменены одновременно за одно нарушение по разным основаниям.

5. Как оформить отзыв подписки на email-рассылки?

Каждое рекламное письмо должно содержать ссылку «Отписаться» или «Отказаться от рассылки» — это требование ст. 18 Федерального закона «О рекламе». После перехода по ссылке обработка email-адреса для рассылки должна прекратиться. Срок исполнения — не более 10 рабочих дней. Продолжение рассылки после отзыва согласия квалифицируется по ч. 2 ст. 13.11 КоАП как обработка ПДн без согласия субъекта. Подтверждение отзыва и дата исполнения фиксируются в журнале согласий.

6. Нужно ли переоформлять согласия пользователей после 01.09.2025?

ФЗ-156 от 24.06.2025 установил требование об отдельном документе согласия начиная с 01.09.2025 — согласие не может быть частью договора или общих условий. Для cookies это означает: если согласие на обработку cookies было встроено в пользовательское соглашение единой галочкой, после 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152. Согласия, полученные до 01.09.2025 в корректной форме (отдельным документом или отдельным чекбоксом), обратной силы не теряют — переоформлять их не требуется.

Итог

Активное согласие на cookies — не формальность. Это правовое основание для работы GA4, Meta Pixel, систем персонализации и программ лояльности. Без него каждый визит пользователя, при котором загружается нетехнический cookie, — потенциальное нарушение ч. 1 или ч. 2 ст. 13.11 КоАП с штрафом от 150 000 до 700 000 ₽ и риском повторного нарушения до 1 500 000 ₽.

DATUM сопровождает интернет-магазины, маркетплейсы и SaaS-сервисы в приведении обработки cookies в соответствие с ФЗ-152: от технического аудита баннера до уведомления РКН о трансграничной передаче и подготовки полного комплекта ОРД.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.

16 января 2029 года