Cookie Policy как отдельный документ
Маркетологи e-commerce регулярно подключают новые инструменты аналитики и трекинга — GA4, Meta Pixel, Yandex Metrica, системы ретаргетинга. Каждый из них оставляет cookie на устройстве пользователя. С 2023 года Роскомнадзор фиксирует cookie как возможные персональные данные и проверяет сайты на наличие политики, баннера согласия и уведомления об операторе. В этой инструкции — пять шагов: от оценки cookie-инвентаря до оформления документа и технической реализации баннера.
Шаг 1. Инвентаризируйте cookie на сайте
Прежде чем писать документ, нужно понять, какие cookie фактически устанавливает сайт. Технический аудит cookie выявляет три группы: строго необходимые (сессия, корзина, авторизация), аналитические (GA4, Яндекс.Метрика, Amplitude) и маркетинговые (Meta Pixel, пиксели ретаргетинга, партнёрские трекеры).
Для инвентаризации используйте browser DevTools (вкладка Application → Cookies) или специализированные сканеры (Cookiebot, OneTrust Scanner, аналоги). Фиксируйте для каждого cookie: название, домен-источник, срок жизни, цель, правовое основание обработки. Этот список станет основой таблицы в Cookie Policy.
Маркетплейсы и мультивендорные платформы устанавливают cookie как собственного оператора, так и сторонних подключённых вендоров. Разграничение важно: оператор отвечает за cookie своей платформы; cookie третьих сторон должны быть явно указаны в политике с наименованием третьей стороны и ссылкой на её политику конфиденциальности.
Шаг 2. Определите правовые основания для каждой группы cookie
Строго необходимые cookie не требуют согласия — они обрабатываются на основании законного интереса оператора или необходимости исполнения договора (ст. 6 ФЗ-152). Достаточно уведомить пользователя об их наличии.
Аналитические и маркетинговые cookie — другая история. Они идентифицируют пользователя между сессиями и передают данные третьим лицам (Google, Meta, Яндекс). Правовое основание — согласие субъекта по ст. 9 ФЗ-152. После 01.09.2025 согласие должно быть оформлено отдельным документом или отдельным действием (ФЗ-156 от 24.06.2025), а не объединяться с офертой или политикой конфиденциальности.
Отдельно — cookie, обеспечивающие передачу данных за рубеж (GA4 → серверы Google в США/ЕС). Это трансграничная передача по ст. 12 ФЗ-152. Если страна назначения не входит в перечень адекватной защиты, оператор обязан уведомить РКН до начала передачи. GA4 в стандартной конфигурации передаёт данные на серверы вне России, что требует уведомления и отражения в Cookie Policy.
GA4 на сайте — уведомляли РКН о трансграничной передаче?
Если маркетолог подключил GA4 без уведомления РКН о трансграничной передаче, каждый день работы счётчика — это длящееся нарушение ч. 8 ст. 13.11 КоАП (штраф 1–6 млн ₽) плюс риск нарушения ч. 1 ст. 13.11 за обработку без надлежащих оснований. До 30.05.2025 это стоило 50–100 тыс. ₽; с 30.05.2025 — уже 1–6 млн ₽ за нарушение локализации.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Составьте структуру Cookie Policy
Cookie Policy — это не «мы используем cookie для улучшения сервиса». Это юридически значимый документ с конкретным содержанием. Минимальная структура для e-commerce:
Обязательные разделы Cookie Policy
- Наименование оператора, контактные данные ответственного за обработку (ст. 22.1 ФЗ-152) и ссылка на уведомление в реестре РКН
- Таблица cookie: название, тип (необходимые / аналитические / маркетинговые), поставщик третьей стороны, срок хранения, цель, правовое основание
- Порядок управления cookie: как пользователь может отозвать согласие или изменить настройки через баннер и через настройки браузера
- Информация о трансграничной передаче: страна назначения, наименование получателя, статус уведомления РКН
- Дата вступления в силу и порядок обновления документа
Для интернет-магазина с программой лояльности добавляется раздел об использовании cookie для персонализации предложений и профилирования покупателей. Это обработка в целях принятия автоматизированных решений, которая по ст. 16 ФЗ-152 требует отдельного уведомления субъекта с правом возражения.
Cookie Policy размещается на отдельной странице сайта с постоянным URL. Ссылка — в подвале, в баннере согласия и в политике конфиденциальности. Не допускается встраивать Cookie Policy в политику конфиденциальности как раздел: это затрудняет отзыв согласия и противоречит требованию о раздельном оформлении по ФЗ-156.
Шаг 4. Реализуйте баннер согласия технически
Баннер — это технический инструмент получения согласия субъекта. Требования к нему вытекают из ст. 9 ФЗ-152: согласие должно быть конкретным, информированным, добровольным и однозначным. Для cookie это означает:
Первое — отсутствие предварительно установленных галочек для аналитических и маркетинговых cookie. Пользователь должен активно выбрать «Принять», а не снимать галочки. Предустановленное согласие не соответствует требованию добровольности.
Второе — возможность отказаться от необязательных cookie и при этом продолжить использование сайта. Конструкция «без согласия на все cookie сайт недоступен» создаёт риск квалификации как принудительного согласия по ст. 9 ч. 1 ФЗ-152.
Третье — баннер должен содержать ссылку на Cookie Policy, краткое описание категорий cookie и кнопки управления. Технически это реализуется через Consent Management Platform (CMP): отечественные решения или собственная разработка. Google Consent Mode v2 интегрируется с большинством CMP и передаёт в GA4 только агрегированные данные от пользователей, не давших согласия.
Если маркетолог не может подтвердить, что баннер реализован корректно и согласие фиксируется отдельно от договора, — это готовое основание для протокола РКН по ч. 2 ст. 13.11 (до 700 000 ₽). С 01.09.2025 требование отдельного согласия закреплено законодательно (ФЗ-156). Юристы DATUM проверят документацию и технику баннера за 3 рабочих дня.
Заказать аудит 152-ФЗШаг 5. Синхронизируйте Cookie Policy с остальной документацией оператора
Cookie Policy существует не изолированно. Она должна быть согласована с политикой конфиденциальности, уведомлением в реестре РКН, договорами с подрядчиками-обработчиками (рекламные платформы, аналитические сервисы) и внутренними регламентами.
Уведомление в реестре РКН (ст. 22 ФЗ-152) должно включать все цели обработки, зафиксированные в Cookie Policy: аналитику, рекламный ретаргетинг, программы лояльности, email-рассылки. Если уведомление подавалось давно и в нём нет актуальных целей — это нарушение ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽ за неактуальные сведения).
Рекламные платформы (Meta, Google, DoubleClick) выступают обработчиками ПДн по поручению оператора в рамках ст. 6 ч. 3 ФЗ-152. Поручение обработки оформляется договором или принятием условий платформы. В Cookie Policy нужно указать наименование каждого такого обработчика и цель передачи данных.
Как это работает на практике: два сценария
Сценарий 1. Интернет-магазин с GA4 и Meta Pixel без Cookie Policy
Ситуация. Региональный интернет-магазин (Сибирский ФО, средний оборот) подключил GA4 и Meta Pixel для отслеживания конверсий. Cookie Policy отсутствует, баннера нет, уведомление о трансграничной передаче в РКН не подавалось.
Риски. Три одновременных нарушения: ч. 1 ст. 13.11 (обработка без надлежащего основания, 150–300 тыс. ₽), ч. 2 ст. 13.11 (отсутствие согласия на маркетинговые cookie, 300–700 тыс. ₽), ч. 8 ст. 13.11 (нарушение локализации через передачу в Google/Meta, 1–6 млн ₽). Итого риск — до 7 млн ₽ по совокупности протоколов.
Стратегия. Аудит cookie-инвентаря, подача уведомления о трансграничной передаче в РКН, оформление Cookie Policy и баннера, обновление уведомления в реестре операторов. При оперативном устранении до проверки — основания для протокола снимаются.
Сценарий 2. Маркетплейс: разграничение ответственности между платформой и продавцом
Ситуация. Маркетплейс (Центральный ФО) устанавливает собственные аналитические cookie и предоставляет продавцам пиксели для отслеживания продаж. Продавцы считают, что ответственность лежит на платформе.
Разграничение. Оператор cookie платформы — маркетплейс. Оператор пикселей, установленных в интересах продавца, — сам продавец. Cookie Policy маркетплейса обязана содержать раздел о cookie третьих сторон (продавцов) с указанием, что каждый продавец несёт самостоятельную ответственность за свои трекеры.
Исход. В практике Арбитражного суда региона продавцы на маркетплейсах получали протоколы по ст. 13.11 как самостоятельные операторы, даже если платформа имела собственную Cookie Policy. Ссылка на «документы платформы» не освобождает от ответственности.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка cookie-документации, баннера и уведомлений РКН
- Комплект ОРД под ключ — Cookie Policy, согласия, политика конфиденциальности для e-commerce
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
Роскомнадзор с 2023 года последовательно квалифицирует cookie-идентификаторы, позволяющие косвенно идентифицировать конкретного пользователя (User ID, Client ID, device fingerprint), как персональные данные по ст. 3 ФЗ-152. Строго необходимые технические cookie (сессия, CSRF-токен) под это определение не подпадают. Аналитические и маркетинговые cookie, связанные с профилем конкретного пользователя, — подпадают. Правовая неопределённость существует, но риск протокола реален.
2. Можно ли использовать GA4 после ограничений?
GA4 использовать можно, но с соблюдением двух требований. Первое — уведомить РКН о трансграничной передаче ПДн в Google по ст. 12 ФЗ-152 до начала (или немедленно, если счётчик уже работает). Второе — настроить Google Consent Mode v2 так, чтобы до получения согласия пользователя GA4 не передавал идентифицирующие данные. Без этих мер работа GA4 создаёт риски по ч. 1 и ч. 8 ст. 13.11 КоАП.
3. Кто оператор: маркетплейс или продавец?
Зависит от того, в чьих интересах и под чьим контролем устанавливается конкретный cookie. Cookie платформы маркетплейса — оператор сам маркетплейс. Cookie, установленный продавцом через пиксель ретаргетинга в карточке товара, — оператор продавец. Маркетплейс при этом может выступать обработчиком по поручению продавца (ст. 6 ч. 3 ФЗ-152) — тогда нужен договор поручения обработки. Арбитражная практика в регионах подтверждает: РКН выписывает протоколы именно продавцам как самостоятельным операторам.
4. Что грозит за отсутствие баннера cookies?
За отсутствие баннера согласия при наличии аналитических или маркетинговых cookie применяется ч. 2 ст. 13.11 КоАП — обработка ПДн без согласия субъекта (когда оно требуется). Штраф для юрлица в редакции с 30.05.2025 — 300 000–700 000 ₽. При повторном нарушении по ч. 2.1 — 1 000 000–1 500 000 ₽. Дополнительно возможен протокол по ч. 1 ст. 13.11 за обработку без надлежащего правового основания — 150 000–300 000 ₽.
5. Как оформить отзыв подписки на email-рассылку?
Отзыв согласия на email-рассылку — самостоятельный механизм, не связанный с Cookie Policy, но часто упоминаемый в том же блоке документации. По ст. 9 ч. 2 ФЗ-152 субъект вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку в течение разумного срока (практика — не позднее 10 рабочих дней). Ссылка «Отписаться» в теле письма — обязательна. Подтверждение отзыва должно фиксироваться в системе (журнал отзывов согласий). Отсутствие механизма отписки — нарушение ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽).
Итог
Cookie Policy как отдельный документ — не формальность, а инструмент управления правовыми рисками e-commerce. Пять шагов: инвентаризация cookie, определение оснований, составление документа с таблицей, технический баннер и синхронизация с реестром РКН и договорами подрядчиков — закрывают основные риски по ст. 13.11 КоАП в редакции с 30.05.2025.
Юристы DATUM сопровождают e-commerce-операторов в части cookie-документации, уведомлений РКН о трансграничной передаче и защиты от протоколов по ст. 13.11 КоАП. Практика «Ветров и партнёры» с 2014 года.