инструкция 3 февраля 2029 По состоянию на 3 февраля 2029

Cookie Consent Management Platform

Cookie Consent Management Platform (CMP) — программный инструмент, который фиксирует, хранит и управляет согласиями пользователей на обработку cookies и аналогичных идентификаторов в соответствии с требованиями законодательства о персональных данных.

По позиции Роскомнадзора, cookies, однозначно идентифицирующие пользователя, признаются персональными данными. Отсутствие баннера согласия — нарушение ч. 6 ст. 13.11 КоАП, штраф для юрлица 50–100 тыс. ₽ при первичном нарушении. При повторности — до 500 тыс. ₽ по ч. 5.1.

Если вы маркетолог и сайт использует GA4, Meta Pixel или сторонние рекламные сети — у вас высока вероятность нарушения сразу по трём основаниям: cookies без согласия, трансграничная передача без уведомления РКН, отсутствие записей об обработке в политике конфиденциальности. → Проверьте соответствие за два часа с юристами DATUM.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 — 18 частей вместо прежних семи. Маркетолог теперь отвечает не только за факт сбора cookies, но и за корректность согласия, наличие уведомления об обработке и соответствие трансграничных передач требованиям ст. 12 ФЗ-152. Эта инструкция описывает шесть последовательных шагов: от технической инвентаризации cookies до интеграции CMP и верификации документов.

Шаг 1. Почему маркетологу нужна CMP: что изменилось в регулировании cookies?

Роскомнадзор квалифицирует cookies как персональные данные, если они позволяют косвенно идентифицировать пользователя — через связку с IP-адресом, идентификатором устройства или поведенческим профилем. Это означает, что любой сайт, устанавливающий аналитические, рекламные или функциональные cookies, является оператором персональных данных по ст. 3 ФЗ-152.

«Ст. 3 ФЗ-152 — обработка персональных данных включает сбор, запись, систематизацию и хранение. Если cookie-идентификатор позволяет отследить субъекта, его установка = обработка ПДн.»

До 01.09.2025 согласие на обработку ПДн допускалось встраивать в текст пользовательского соглашения или политики конфиденциальности. С 01.09.2025 согласие оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Для cookies это означает: баннер должен запрашивать явное раздельное согласие по категориям — аналитические, маркетинговые, функциональные.

Второй триггер — трансграничная передача. GA4 передаёт данные на серверы Google в США. По ст. 12 ФЗ-152, передача в страну без адекватной защиты требует предварительного уведомления РКН. Без уведомления — нарушение ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽ для юрлица).

Ваш сайт уже под риском по ч. 6 ст. 13.11?

Если маркетолог не уверен, какие cookies устанавливает сайт и кому передаёт данные — это ситуация до первого запроса РКН. После запроса на устранение останется 10 рабочих дней по ст. 20 ФЗ-152, и каждый день промедления увеличивает риск протокола. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Инвентаризация cookies: как определить, что именно устанавливает ваш сайт?

Инвентаризация — обязательный первый технический шаг перед выбором и настройкой CMP. Без неё невозможно корректно заполнить политику конфиденциальности и настроить категории согласия в баннере.

Проводится через браузерные инструменты разработчика (вкладка Application — Cookies) и специализированные сканеры: Cookiebot Scanner, OneTrust Cookie Audit, Privacy Bee. Сканер запускается с разных страниц сайта — главная, карточка товара, страница оформления заказа — поскольку наборы cookies различаются. Результат фиксируется в реестре обработки ПДн.

Что зафиксировать при инвентаризации

Название cookie, домен, срок жизни (session / persistent)
Назначение: аналитика, реклама, корзина, A/B-тест, чат-виджет
Поставщик: Google (GA4), Meta (Pixel), Яндекс (Метрика), собственные
Факт передачи данных третьим лицам и их юрисдикция
Правовое основание: согласие / законный интерес / исполнение договора

По итогам инвентаризации cookies делятся на четыре категории: строго необходимые (авторизация, корзина — согласие не требуется), функциональные (настройки языка, темы), аналитические (GA4, Яндекс.Метрика), маркетинговые (Meta Pixel, ретаргетинг). Строго необходимые не включаются в баннер согласия — они активируются автоматически. Остальные — только после подтверждения пользователем.

Шаг 3. Выбор и настройка CMP: какие платформы работают в российском праве?

На российском рынке используется несколько подходов к реализации CMP. Зарубежные платформы (Cookiebot, OneTrust, Usercentrics) технически полнофункциональны, но передают данные о согласиях на зарубежные серверы — это само по себе создаёт трансграничную передачу, которую нужно учесть в уведомлении РКН. Отечественные решения (CoookieFirst.ru, DataPrivacy.pro) хранят журнал согласий в РФ, что упрощает соответствие ч. 5 ст. 18 ФЗ-152 (требование локализации).

Минимальные требования к CMP для соответствия ФЗ-152 в редакции с 01.09.2025:

Раздельные переключатели по категориям cookies — без «принять всё» как единственного варианта
Отказ должен быть так же доступен, как принятие — кнопки одного размера и цвета
Журнал согласий с меткой времени, IP-адресом, версией политики — доказательство для РКН
Механизм отзыва согласия в любое время без объяснения причин (ч. 2 ст. 9 ФЗ-152)
Ссылка на политику конфиденциальности прямо в баннере

«Ст. 9 ФЗ-152 (ред. ФЗ-156, с 01.09.2025) — согласие оформляется отдельным документом; субъект вправе отозвать его в любой момент; бремя доказывания наличия согласия — на операторе.»

Технически CMP реализуется через тег-менеджер (GTM, Яндекс.Тег-менеджер) или прямое встраивание скрипта. Ключевое условие: скрипты сторонних сервисов (GA4, Meta Pixel) загружаются только после получения согласия пользователя — не до. Это называется consent-first архитектурой. Загрузка скриптов до согласия означает обработку ПДн без законного основания.

Если маркетолог уже использует GA4 или Meta Pixel без корректной CMP — с 30.05.2025 это одновременно нарушение ч. 2 ст. 13.11 (обработка без согласия, до 700 тыс. ₽) и потенциально ч. 8 (трансграничка без локализации). Юристы DATUM оценят конфигурацию за 48 часов и выдадут план исправления.

Оценить риски по 152-ФЗ

Шаг 4. Обновление политики конфиденциальности интернет-магазина под cookies

Политика конфиденциальности для интернет-магазина с cookies должна содержать самостоятельный раздел об обработке cookies. Его отсутствие — нарушение ч. 3 ст. 13.11 КоАП (невыполнение обязанности по публикации политики, 30–60 тыс. ₽ для юрлица). Требования к содержанию политики закреплены в ч. 2 ст. 18.1 ФЗ-152.

Раздел о cookies должен включать: перечень используемых cookies по категориям, назначение каждой категории, перечень третьих лиц — получателей данных (Google LLC, Meta Platforms Inc. и др.), сведения о трансграничной передаче и правовом основании, срок хранения, механизм управления согласием и ссылку на CMP-баннер. Для маркетплейсов: отдельно указать, в каком объёме продавец и в каком объёме платформа являются операторами данных покупателей.

Особый вопрос — программы лояльности. Согласие на участие в программе лояльности не является автоматически согласием на маркетинговые cookies и email-рассылки. Каждое основание обработки — отдельное согласие или отдельный законный интерес с документированным тестом на балансирование.

Шаг 5. Email-рассылки и программы лояльности: как связать с cookie-согласием?

Email-рассылки, основанные на поведенческих данных из cookies (ретаргетинг, брошенная корзина), требуют двух самостоятельных согласий: на обработку cookies для маркетинговых целей и на получение рекламных рассылок по ст. 18 Федерального закона «О рекламе». Одного недостаточно.

Для программ лояльности в интернет-магазинах и на маркетплейсах рекомендуется двойное подтверждение (double opt-in): при регистрации пользователь получает письмо с ссылкой для подтверждения — это доказательство согласия, которое хранится в CRM. Отзыв подписки должен быть однокликовым — ссылка «Отписаться» в каждом письме обязательна по требованиям закона «О рекламе», а отзыв ПДн-согласия — через личный кабинет или обращение к оператору в срок, установленный ст. 9 ФЗ-152.

«Ст. 10.1 ФЗ-152 — распространение ПДн допускается только при отдельном согласии; молчание = запрет. Ст. 9 ч. 2 — субъект вправе отозвать согласие; оператор обязан прекратить обработку.»

Шаг 6. Уведомление РКН о трансграничной передаче через GA4

GA4 (Google Analytics 4) по умолчанию передаёт идентификаторы пользователей, параметры событий и поведенческие данные на серверы Google в США. США не входит в перечень стран с адекватным уровнем защиты персональных данных по российскому праву. По ст. 12 ФЗ-152, до начала трансграничной передачи в такую страну оператор обязан уведомить Роскомнадзор.

Уведомление подаётся через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022 — раздел «Трансграничная передача». В уведомлении указываются: страна-получатель, наименование получателя (Google LLC), категории передаваемых ПДн, цель передачи, правовое основание (согласие субъекта), наличие договора с обработчиком (DPA — Data Processing Agreement). Использование GA4 без уведомления при одновременном отсутствии уведомления о намерении обрабатывать — два самостоятельных нарушения по ч. 10 ст. 13.11.

Альтернатива GA4 — серверная аналитика с локализацией данных в РФ: Яндекс.Метрика (данные хранятся в РФ), собственные решения на базе Matomo или Plausible с размещением на российском сервере. В этом случае трансграничная передача исключается.

Типовые сценарии нарушений у маркетолога

Сценарий 1. Сайт с GA4 без баннера и без уведомления РКН. Интернет-магазин (Центральный ФО, весна 2026) использовал GA4 с момента запуска. Баннер согласия отсутствовал; в реестре РКН уведомление о трансграничной передаче не подавалось. По итогам плановой проверки РКН составил протоколы по ч. 2 ст. 13.11 (обработка без согласия) и ч. 10 ст. 13.11 (неуведомление о трансграничке). Совокупный штраф для юрлица — в сотни тысяч рублей. Аудит и замена GA4 на Яндекс.Метрику снизили бы риск вдвое ещё до проверки.

Сценарий 2. Маркетплейс: продавец и платформа как совместные операторы. Региональный маркетплейс (Сибирский ФО, лето 2026) использовал единую политику конфиденциальности платформы для всех продавцов. Жалоба покупателя в РКН: данные о заказах у конкретного продавца были переданы маркетинговому агентству без согласия. Ответственность нёс оператор-платформа, поскольку договор поручения с продавцом не предусматривал конкретного перечня разрешённых действий (нарушение п. 3 ст. 6 ФЗ-152). Штраф — в диапазоне ч. 1 ст. 13.11 для юрлица.

Сценарий 3. Программа лояльности: одно согласие на всё. Федеральная розничная сеть (осень 2025) включила согласие на маркетинговые рассылки и аналитические cookies в единую форму регистрации карты лояльности. После 01.09.2025 такая конструкция нарушает требование отдельного согласия по ФЗ-156. При проверке РКН квалифицировал это как нарушение ч. 2 ст. 13.11 (ненадлежащий состав согласия). Решение — разделить форму на три самостоятельных чекбокса с отдельными текстами.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка cookies, политики, согласий и уведомлений РКН
Комплект ОРД под ключ — политика конфиденциальности, тексты согласий, регламент обработки
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-идентификатор позволяет прямо или косвенно идентифицировать пользователя. Это характерно для аналитических и маркетинговых cookies, связанных с профилем пользователя, историей покупок или IP-адресом. Строго технические cookies (сессионные, корзина) персональными данными не считаются при условии, что они не связываются с идентификационными данными субъекта. Правовое основание — ст. 3 ФЗ-152 (определение персональных данных).

2. Можно ли использовать GA4 после ограничений?

GA4 можно использовать, если выполнены три условия: получено явное согласие пользователя через CMP-баннер до загрузки скрипта, подано уведомление в РКН о трансграничной передаче в США (ст. 12 ФЗ-152), заключён Data Processing Agreement с Google. Использование GA4 без этих мер — нарушение сразу нескольких частей ст. 13.11 КоАП. Альтернатива без трансграничных рисков — Яндекс.Метрика или Matomo на российском сервере.

3. Кто оператор: маркетплейс или продавец?

Зависит от архитектуры обработки. Маркетплейс-платформа является оператором в части данных, которые она собирает и обрабатывает самостоятельно (регистрация, аналитика, реклама). Продавец становится оператором, если получает ПДн покупателей и обрабатывает их независимо — ведёт CRM, отправляет рассылки. Если платформа передаёт данные продавцу по его поручению — нужен договор поручения с конкретным перечнем разрешённых действий по п. 3 ст. 6 ФЗ-152. Без договора передача незаконна.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера означает обработку cookies без согласия субъекта. По ч. 6 ст. 13.11 КоАП (несоблюдение условий хранения при неавтоматизированной обработке) — штраф 50–100 тыс. ₽ для юрлица. При квалификации как обработка без письменного согласия (ч. 2) — 300–700 тыс. ₽. Повторное нарушение по ч. 2.1 — 1–1,5 млн ₽. Кроме того, трансграничная передача через GA4 без уведомления — дополнительный протокол по ч. 10 (100–300 тыс. ₽).

5. Как оформить отзыв подписки?

Отзыв согласия на рассылки должен быть доступен в каждом письме — кнопка или ссылка «Отписаться» с мгновенным исполнением. Отзыв согласия на обработку ПДн оформляется письменно или через личный кабинет; оператор обязан прекратить обработку в срок, достаточный для технического исполнения (ст. 9 ч. 2 ФЗ-152). Факт отзыва и дату прекращения обработки необходимо фиксировать — это доказательство для РКН при проверке. Для cookies отзыв реализуется через интерфейс CMP: пользователь снимает согласие по категориям, скрипты деактивируются.

6. Нужна ли CMP для одностраничного лендинга?

Да, если лендинг устанавливает хотя бы один аналитический или маркетинговый cookie. Объём сайта не влияет на обязанность получить согласие: требование ст. 9 ФЗ-152 распространяется на любого оператора независимо от масштаба. Минимальная реализация для лендинга — простой баннер с раздельными категориями и журналом согласий. Полноценная CMP-платформа обоснована при наличии нескольких сервисов аналитики и ретаргетинга одновременно.

Итог

Cookie Consent Management Platform перестала быть опциональным инструментом: с 01.09.2025 отдельное согласие по ФЗ-156 и с 30.05.2025 расширенная ответственность по ст. 13.11 КоАП превратили её в юридическое требование для любого интернет-магазина, маркетплейса или сервиса с аналитическими или маркетинговыми cookies. Шесть шагов — инвентаризация, выбор CMP, настройка consent-first архитектуры, обновление политики, оформление рассылок, уведомление РКН о трансграничной передаче — закрывают основные риски по ч. 2, ч. 6, ч. 10 ст. 13.11 КоАП.

DATUM сопровождает интернет-магазины, маркетплейсы и SaaS-продукты в части cookies, политик конфиденциальности и уведомлений РКН. Практика включает аудит технической конфигурации, подготовку пакета ОРД и защиту при проверке РКН.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

3 февраля 2029 года