Баннер cookies на сайте: правовые требования

Cookies — текстовые файлы, которые сайт сохраняет в браузере пользователя. По позиции РКН, cookies, позволяющие идентифицировать конкретного пользователя (сессионные идентификаторы, маркеры авторизованного пользователя, рекламные ID), относятся к персональным данным по ст. 3 ФЗ-152. Технические cookies, необходимые исключительно для функционирования сайта и не позволяющие идентифицировать пользователя, обычно выводятся за рамки ФЗ-152 — но граница неустойчива.

Разделите файлы cookies по функциям:

• Необходимые (технические) — сессии, корзина, авторизация. Обработка возможна на основании договора (ст. 6 п. 5 ФЗ-152), согласие не требуется.
• Аналитические — GA4, Яндекс.Метрика, Roistat. Идентифицируют пользователя через client_id. Требуют согласия и — при передаче за рубеж — уведомления РКН.
• Маркетинговые — Meta Pixel, VK Pixel, ретаргетинговые счётчики. Передают данные третьим лицам, зачастую за рубеж. Требуют отдельного согласия на распространение (ст. 10.1 ФЗ-152) и уведомления о трансграничной передаче (ст. 12 ФЗ-152).
• Функциональные — запоминание языка, региона, настроек. Оцениваются индивидуально.

Ч. 2 ст. 18.1 ФЗ-152 требует, чтобы оператор опубликовал политику обработки персональных данных в открытом доступе. Отсутствие политики или её несоответствие требованиям — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽. Политика интернет-магазина должна включать:

• перечень категорий ПДн и целей обработки (ст. 5 ФЗ-152);
• правовые основания обработки (ст. 6 ФЗ-152) — отдельно для каждой категории;
• описание обработки cookies: какие типы используются, кому передаются, на каком основании;
• порядок трансграничной передачи и список стран-получателей;
• срок хранения данных и порядок их уничтожения;
• права субъектов и порядок их реализации (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152).

Для маркетплейса важно дополнительно разграничить роли: кто является оператором — площадка или продавец-партнёр. Если маркетплейс собирает данные покупателя и передаёт продавцу, он выступает оператором. Продавец, получивший данные от площадки по договору поручения (ст. 6 п. 3 ФЗ-152), является лицом, осуществляющим обработку по поручению, и обязан соблюдать условия поручения.

Баннер cookies — это инструмент получения согласия субъекта на обработку ПДн по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не может быть совмещено с другими условиями. Для digital-среды это означает: нельзя считать продолжение использования сайта молчаливым согласием.

Обязательные элементы баннера согласия на cookies:

• Описание целей — какие типы cookies используются и зачем (аналитика, реклама, функциональность).
• Гранулярный выбор — пользователь должен иметь возможность принять или отклонить каждую категорию отдельно. Кнопка «Принять все» без кнопки «Отклонить» или «Настроить» не соответствует требованиям.
• Ссылка на политику — прямая ссылка на полный текст политики обработки ПДн.
• Равнозначные кнопки — кнопки «Принять» и «Отклонить» должны быть визуально равнозначными. Скрытая кнопка отказа или мелкий шрифт — нарушение принципа добровольности согласия (ст. 9 ФЗ-152).
• Сохранение выбора — система должна запомнить выбор пользователя и не показывать баннер повторно при каждом визите.
• Возможность отзыва — ссылка на управление настройками cookies доступна в любой момент (например, в подвале сайта).

Google Analytics 4 передаёт данные на серверы Google LLC (США). США не включены в перечень стран, обеспечивающих адекватную защиту персональных данных. Передача данных в такую страну квалифицируется как трансграничная передача по ст. 12 ФЗ-152 и требует до начала передачи направить уведомление в РКН.

Без уведомления о трансграничной передаче — нарушение ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽). Если данные уже передавались без уведомления — это самостоятельный состав. Подача уведомления задним числом смягчает, но не устраняет нарушение.

Три сценария для маркетолога, использующего GA4:

• Сценарий 1: GA4 включён, уведомление не подавалось. Ситуация: каждый визит пользователя на сайт генерирует передачу идентификаторов в Google. Вероятный исход: протокол по ч. 10 ст. 13.11 КоАП. Стратегия: немедленно подать уведомление о трансграничной передаче, зафиксировать дату подачи, рассмотреть переход на GA4 с прокси-сервером или замену на Яндекс.Метрику.
• Сценарий 2: GA4 настроен с server-side таггингом через российский прокси. Ситуация: данные сначала поступают на российский сервер, затем передаются в Google в анонимизированном виде. Это снижает риск трансгранички, но требует юридической оценки конкретной конфигурации.
• Сценарий 3: Meta Pixel активен без отдельного согласия на распространение. Ситуация: передача данных третьему лицу (Meta) без согласия по ст. 10.1 ФЗ-152. Вероятный исход: нарушение ч. 1 ст. 13.11 (150 000–300 000 ₽) + ч. 10 (100 000–300 000 ₽). Стратегия: получить отдельное согласие на распространение через баннер, подать уведомление о трансграничке.

До начала обработки ПДн (включая cookies) оператор обязан направить уведомление в РКН по ст. 22 ФЗ-152. Форма — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru с ЕСИА или УКЭП. Срок включения в реестр — 30 дней. Отсутствие уведомления — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Если уведомление было подано ранее, но с тех пор вы добавили новые инструменты (GA4, CRM, программу лояльности, email-рассылки) — необходимо подать уведомление об изменении сведений. Проверьте, что в реестре отражены:

• все цели обработки, включая аналитику и маркетинг;
• все страны трансграничной передачи;
• перечень обрабатываемых категорий ПДн (в том числе идентификаторы устройств и cookies);
• наименование и реквизиты ответственного за обработку по ст. 22.1 ФЗ-152.

Email-рассылки и программы лояльности — самостоятельные каналы обработки ПДн, требующие отдельных согласий. Согласие на рассылку не заменяет согласие на обработку cookies и наоборот.

Для рассылок обязателен механизм double opt-in: пользователь подтверждает адрес через ссылку в письме. Без этого невозможно доказать факт согласия при жалобе субъекта или проверке РКН. Каждое письмо должно содержать ссылку для отписки — это требование ст. 18 Федерального закона о рекламе.

Для программ лояльности (бонусные карты, кешбэк) собираются расширенные данные: история покупок, предпочтения, геолокация. Правовое основание обработки — согласие (ст. 9 ФЗ-152) или договор (ст. 6 п. 5 ФЗ-152). Если данные передаются партнёрам программы лояльности — требуется договор поручения обработки или самостоятельное согласие на передачу третьим лицам.

Жалоба субъекта на незаконную обработку cookies — типовой триггер проверки РКН. Алгоритм реагирования:

• Запрос субъекта — ответить в течение 10 рабочих дней (ст. 20 ФЗ-152). Если нужно больше времени — уведомить субъекта в течение этого срока и продлить ещё на 5 рабочих дней.
• Запрос РКН — ответить в установленный в запросе срок. Как правило, 30 дней. Непредоставление ответа усиливает позицию регулятора при составлении протокола.
• Устранение нарушений — зафиксировать дату устранения документально. Это смягчающее обстоятельство при назначении штрафа.
• Уведомление об утечке — если в результате инцидента cookies-данные скомпрометированы, у оператора 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 и 72 часа на отчёт по Приказу РКН №187. Неуведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

Как выглядит практика: два случая из работы

Кейс 1. Интернет-магазин товаров для дома (Центральный ФО, лето 2025) использовал GA4 и Meta Pixel без уведомления РКН о трансграничной передаче. После жалобы пользователя РКН провёл внеплановую проверку. Баннер cookies на сайте присутствовал, но кнопка «Отклонить» была скрыта в дополнительном меню — это квалифицировано как нарушение принципа добровольности согласия. Протокол составлен по ч. 1 и ч. 10 ст. 13.11 КоАП. Компания устранила нарушения до вынесения постановления, что учтено судом как смягчающее обстоятельство.

Кейс 2. Маркетплейс одежды (Приволжский ФО, осень 2025) разграничил роли: площадка оформила договоры поручения обработки с продавцами-партнёрами по ст. 6 п. 3 ФЗ-152, политику конфиденциальности обновила с разделом о cookies и трансграничке, подала уведомление о трансграничной передаче в отношении GA4. При плановой проверке РКН нарушений не выявлено. Стоимость подготовки — в пределах аудита соответствия. Штраф, которого удалось избежать по ч. 10 ст. 13.11, — потенциально до 300 000 ₽.

Услуги DATUM по теме

• Аудит соответствия 152-ФЗ — проверка cookies, политики и трансгранички по чек-листу из 38 пунктов.
• Комплект ОРД под ключ — политика, согласия, уведомления, договоры поручения для интернет-магазина.
• Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookies позволяют идентифицировать конкретного пользователя. Это касается аналитических и маркетинговых cookies (client_id GA4, рекламные идентификаторы, сессионные токены авторизованных пользователей). Технические cookies, не позволяющие установить личность, как правило, не относятся к ПДн, но граница определяется в каждом случае отдельно. Правовое основание — ст. 3 ФЗ-152.

2. Можно ли использовать GA4 после ограничений?

Можно, но с соблюдением требований. Обязательно: получить согласие пользователя через баннер cookies, подать уведомление о трансграничной передаче в РКН по ст. 12 ФЗ-152 (США — страна без адекватной защиты), настроить минимизацию данных в GA4 (IP-анонимизация, ограничение передачи идентификаторов). Альтернатива с меньшим правовым риском — server-side таггинг через российский прокси или переход на Яндекс.Метрику.

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто определяет цели и способы обработки данных покупателя. Маркетплейс, собирающий данные при оформлении заказа и передающий их продавцу, является оператором. Продавец, получивший данные по договору от площадки, — лицом, осуществляющим обработку по поручению (ст. 6 п. 3 ФЗ-152). Если продавец самостоятельно собирает данные через свою форму на площадке — он тоже оператор. Роли следует закрепить в договоре между сторонами.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера означает обработку ПДн без согласия субъекта, что образует нарушение по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025). Если при этом данные передаются за рубеж без уведомления РКН — дополнительно ч. 10 ст. 13.11 (100 000–300 000 ₽). При повторном нарушении — ч. 1.1 ст. 13.11 (300 000–500 000 ₽).

5. Как оформить отзыв подписки?

Отзыв согласия на рассылку должен быть таким же простым, как его дача: ссылка «Отписаться» в каждом письме, обработка отписки — немедленно, максимум в течение 10 рабочих дней (ст. 20 ФЗ-152). Для cookies — кнопка или ссылка в подвале сайта, позволяющая изменить или отозвать ранее данное согласие. Сохраняйте логи: дата подписки, IP, дата отзыва согласия. Это доказательная база при жалобах субъектов.

Итог

Баннер cookies — не технический элемент дизайна, а инструмент исполнения требований ФЗ-152. Отсутствие баннера, скрытая кнопка отказа, неподанное уведомление о трансграничке — каждый из этих элементов образует самостоятельный состав административного нарушения по ст. 13.11 КоАП в редакции с 30.05.2025.

DATUM сопровождает интернет-магазины, маркетплейсы и SaaS-продукты в части cookies, трансграничных сервисов и программ лояльности: от аудита до оформления полного комплекта ОРД и защиты в арбитраже при штрафе.