инструкция 3 декабря 2026 По состоянию на 3 декабря 2026

Cookie Policy как отдельный документ

Cookie Policy — самостоятельный локальный акт оператора, который регулирует сбор идентификаторов пользователей через файлы cookie на сайте и в мобильных приложениях.

Роскомнадзор относит cookie к персональным данным при условии возможности идентификации пользователя. Отсутствие отдельного документа и баннера согласия — нарушение ч. 1 ст. 13.11 КоАП (штраф для юрлица 150 000–300 000 ₽) и ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽ за непубликацию политики).

Если вы юрист и проверяете комплаенс компании — эта инструкция даёт пошаговый порядок подготовки Cookie Policy, соответствующей требованиям ФЗ-152 в редакции с 01.09.2025. →

С 30.05.2025 вступила в силу новая редакция ст. 13.11 КоАП с 18 составами вместо 7. Одновременно с 01.09.2025 действует требование ФЗ-156 от 24.06.2025: согласие субъекта — отдельный документ, не встроенный в пользовательское соглашение или оферту. Эти два изменения превращают типовую «галочку под формой» в юридически уязвимую конструкцию. Ниже — шесть шагов по подготовке Cookie Policy и смежной документации, которые закроют пробел.

Шаг 1. Определите, обрабатывает ли ваш сайт персональные данные через cookie

Не все cookie создают обязанность оператора по ФЗ-152. Технически необходимые файлы (сессионный идентификатор авторизации, корзина интернет-магазина) обеспечивают функционирование сервиса и не требуют согласия. Аналитические, маркетинговые и трекинговые cookie — в частности, Google Analytics 4, Meta Pixel, Яндекс.Метрика — передают данные третьим лицам и формируют идентификатор пользователя для последующей таргетированной коммуникации.

Позиция Роскомнадзора: cookie являются персональными данными, если позволяют прямо или косвенно идентифицировать физическое лицо. Передача таких cookie зарубежным сервисам (GA4 — серверы Google в США) квалифицируется как трансграничная передача по ст. 12 ФЗ-152 и требует уведомления РКН.

«Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу. Cookie-идентификатор, связанный с профилем пользователя, подпадает под это определение.»

Проверьте сайт через DevTools (вкладка Application — Cookies): составьте реестр всех cookie с указанием домена, типа, срока хранения и получателя данных. Это исходный материал для Cookie Policy.

Шаг 2. Проверьте уведомление в реестре РКН и обновите сведения об обработке

До начала обработки персональных данных оператор обязан направить уведомление в Роскомнадзор по ст. 22 ФЗ-152. Форма утверждена Приказом РКН № 180 от 28.10.2022, подача — через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Включение в реестр занимает до 30 дней.

Если уведомление подавалось до внедрения аналитических cookie или до подключения GA4/Метрики — сведения о целях, категориях ПДн и получателях устарели. Неактуальный реестр при проверке трактуется как необеспечение требований ч. 7 ст. 22 ФЗ-152 об обновлении сведений.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН до начала обработки. При изменении сведений — направить уведомление об изменении. Неуведомление образует состав по ч. 10 ст. 13.11 КоАП — штраф для юрлица 100 000–300 000 ₽ (в редакции с 30.05.2025).»

Обновите уведомление: добавьте cookie-идентификаторы в перечень категорий ПДн, укажите цели (аналитика, таргетинг, персонализация), перечислите получателей (Google LLC, Meta Platforms и т. д.) и страны их нахождения.

Реестр РКН устарел или уведомление не подавалось?

Если юрист обнаружил, что уведомление не отражает фактическую обработку через cookie — каждый день просрочки создаёт риск по ч. 10 ст. 13.11 КоАП (до 300 000 ₽). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и подготовят актуальное уведомление для РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Назначьте ответственного по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Требование установлено ст. 22.1 ФЗ-152. Ответственный — не обязательно юрист: законодатель не устанавливает требований к должности, но предполагает достаточную квалификацию для организации соблюдения норм ФЗ-152 на практике.

Назначение оформляется приказом. В приказе указывают: ФИО, должность, перечень полномочий (взаимодействие с РКН, рассмотрение запросов субъектов, ведение реестра обработки, контроль за Cookie Policy и согласиями). Без этого приказа оператор нарушает ч. 1 ст. 18.1 ФЗ-152 — что при проверке РКН фиксируется как самостоятельное нарушение.

«Ст. 22.1 ФЗ-152: оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Ч. 4 той же статьи устанавливает, что ответственный подотчётен непосредственно руководителю оператора.»

Шаг 4. Составьте Cookie Policy — структура и обязательные разделы

Cookie Policy — это специализированный раздел политики обработки персональных данных или самостоятельный документ, публикуемый на сайте. Ст. 18.1 ФЗ-152 обязывает оператора публиковать политику, определяющую порядок обработки. Ч. 2 ст. 18.1 устанавливает обязательные элементы содержания.

Cookie Policy должна включать следующие разделы:

Перечень типов cookie: технически необходимые, аналитические, маркетинговые, функциональные — с описанием назначения каждого типа.
Перечень конкретных cookie: наименование, домен, срок хранения, получатель данных (наименование компании и страна).
Правовые основания обработки: ст. 6 ФЗ-152 — для технически необходимых (п. 5 — исполнение договора); для аналитических и маркетинговых — согласие субъекта по ст. 9 ФЗ-152.
Трансграничная передача: указание на то, что данные передаются в страны, не входящие в перечень стран с адекватным уровнем защиты, и что передача осуществляется после уведомления РКН по ст. 12 ФЗ-152.
Права субъекта: как отозвать согласие, как отключить cookie через настройки браузера, как подать запрос оператору.
Порядок управления cookie: описание работы баннера согласия на сайте.
Дата последнего обновления документа.

«Ч. 2 ст. 18.1 ФЗ-152: политика должна содержать сведения об операторе, целях обработки, категориях субъектов и ПДн, правах субъектов, порядке обработки, мерах по обеспечению безопасности. Отсутствие публикации — ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽ для юрлица.»

Шаг 5. Как правильно получить согласие после 01.09.2025?

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, внесённые ФЗ-156 от 24.06.2025. Согласие субъекта на обработку персональных данных теперь оформляется отдельным документом — его нельзя встраивать в текст пользовательского соглашения, договора оферты или политики конфиденциальности.

Для cookie-согласия это означает: баннер должен предоставлять выбор по категориям (технически необходимые без согласия; аналитические и маркетинговые — только после явного подтверждения). Конструкция «продолжая использовать сайт, вы соглашаетесь» не отвечает требованиям ст. 9 ФЗ-152 — согласие должно быть однозначным и информированным.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта является отдельным документом, не совмещённым с иными документами. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Ранее полученные согласия, оформленные до 01.09.2025 в составе пользовательского соглашения, обратной силы норма не имеет — переоформлять принудительно не требуется. Однако при повторном визите пользователя или обновлении Cookie Policy следует получить согласие в новой форме.

Что подготовить юристу перед публикацией Cookie Policy

Реестр cookie сайта: тип, домен, срок хранения, получатель — по результатам технического аудита.
Актуальное уведомление в реестре РКН (pd.rkn.gov.ru) с указанием трансграничной передачи и получателей за рубежом.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Cookie Policy с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 и ссылкой на баннер согласия.
Баннер согласия с раздельным выбором категорий cookie и механизмом отзыва.

Шаг 6. Разместите документ на сайте и настройте баннер согласия

Cookie Policy публикуется в доступном месте сайта — как правило, в подвале рядом с политикой конфиденциальности. Ссылка на документ должна присутствовать в баннере согласия при первом посещении. Отсутствие ссылки делает согласие неинформированным, что равнозначно его отсутствию.

Технически баннер реализуется через Consent Management Platform (CMP) или собственную разработку. Минимальные требования к функционалу: разделение cookie по категориям, кнопки «Принять все», «Отклонить необязательные», «Настроить», возможность отзыва ранее данного согласия через настройки сайта. Аналитические скрипты активируются только после положительного согласия — не до него.

После публикации обновите раздел политики конфиденциальности: добавьте ссылку на Cookie Policy, синхронизируйте перечни оснований обработки и получателей. РКН при проверке сверяет политику на сайте с уведомлением в реестре — расхождения фиксируются как нарушение ст. 18.1 ФЗ-152.

Типовые ситуации: как применяется порядок на практике

Ситуация 1. Сайт без Cookie Policy и без баннера. Юрист при проверке комплаенса обнаруживает, что сайт компании использует GA4 и Meta Pixel без баннера согласия. В реестре РКН уведомление есть, но получатели данных и трансграничная передача не указаны. Риск: одновременно ч. 1 ст. 13.11 (обработка без правового основания, 150 000–300 000 ₽), ч. 3 ст. 13.11 (отсутствие публикации политики, 30 000–60 000 ₽), ч. 10 ст. 13.11 (неполное уведомление, 100 000–300 000 ₽). Стратегия: технический аудит cookie — обновление уведомления — публикация Cookie Policy — внедрение баннера последовательно, в течение 2–3 недель до получения какого-либо запроса от РКН.

Ситуация 2. Согласие встроено в пользовательское соглашение до 01.09.2025. Компания получила проверку РКН в ноябре 2025. Инспектор фиксирует, что согласие на cookie вшито в раздел 7 пользовательского соглашения — без отдельного документа по ФЗ-156. Согласие выдано пользователями до 01.09.2025. По букве закона обратной силы норма не имеет, однако новые посетители с сентября фиксируются уже под новыми требованиями. Риск по ч. 2 ст. 13.11 — 300 000–700 000 ₽ (обработка без согласия при несоответствии реквизитов). Стратегия: немедленное разделение согласия в отдельный модуль баннера, параллельная подготовка возражений на протокол со ссылкой на переходный период.

Ситуация 3. Cookie Policy есть, но не актуальна. Документ опубликован в 2022 году, подключены новые сервисы (Яндекс.Метрика, CRM-пиксель). Реестр РКН не обновлялся. При плановой проверке РКН обнаруживает расхождение: в политике нет Яндекса, в уведомлении нет CRM-цели. Риск по ч. 1 ст. 13.11 (обработка, не соответствующая заявленным целям, 150 000–300 000 ₽). Стратегия: актуализировать оба документа синхронно — до завершения проверки направить обновлённое уведомление в РКН как доказательство добросовестности.

Если юрист готовит Cookie Policy под проверку РКН или после получения предписания — актуальность уведомления и полнота ОРД проверяются до подачи документов. Промедление сужает позицию при обжаловании. Юристы DATUM соберут комплект ОРД под ключ, актуализируют уведомление и подготовят баннер согласия в соответствии с требованиями ФЗ-156.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Юридическая служба e-commerce компании (Центральный ФО, осень 2025) в ходе внутреннего аудита выявила 14 активных cookie-скриптов, из которых 9 передавали данные зарубежным сервисам. Уведомление в РКН не содержало сведений о трансграничной передаче, Cookie Policy на сайте отсутствовала. По результатам работы с DATUM: подготовлено обновлённое уведомление, опубликована Cookie Policy с перечнем из 14 скриптов, внедрён баннер с раздельным выбором. Проверка РКН, инициированная по жалобе пользователя через два месяца, завершилась предписанием об устранении без штрафа — оператор представил полный пакет документов.

Кейс 2. В деле об оспаривании протокола по ч. 1 и ч. 3 ст. 13.11 КоАП (интернет-ритейлер, Сибирский ФО, начало 2026) юрист компании обратился в DATUM после получения протокола на сумму штрафов в сотни тысяч рублей. Протокол составлен по факту отсутствия Cookie Policy и баннера согласия. В ходе работы юристы DATUM подготовили доказательную базу о первичности нарушения, отсутствии вреда субъектам и принятых мерах по устранению. Арбитражный суд региона снизил штраф до минимального предела по каждому составу. ⚠ Точный номер дела и итоговая сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая Cookie Policy и формы согласий по ФЗ-156.
Аудит соответствия 152-ФЗ — проверка cookie, реестра РКН, политики и баннера по чек-листу.
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы субъектов.

Частые вопросы

1. Какие документы должны быть у оператора ПДн в части cookie?

Минимальный пакет: политика обработки персональных данных с разделом о cookie (или отдельная Cookie Policy), актуальное уведомление в реестре РКН с указанием целей и получателей, баннер согласия с раздельным выбором категорий, приказ о назначении ответственного по ст. 22.1 ФЗ-152. Если сайт передаёт данные за рубеж — уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Отсутствие любого из этих документов образует самостоятельный состав по ст. 13.11 КоАП.

2. Как составить политику обработки ПДн так, чтобы она отвечала требованиям ст. 18.1 ФЗ-152?

Политика должна содержать: наименование и контакты оператора, цели обработки по каждой категории ПДн, правовые основания (ст. 6 ФЗ-152), категории субъектов, перечень ПДн, порядок хранения и уничтожения, права субъектов и механизм их реализации, меры по обеспечению безопасности, сведения о получателях и трансграничной передаче. Cookie должны быть выделены в отдельный раздел с перечнем скриптов. Шаблон из интернета, не адаптированный к фактической обработке, не закрывает риски — инспектор РКН сверяет документ с реальным функционалом сайта.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 в небольшой компании?

Закон не ограничивает круг кандидатов — ответственным может быть штатный юрист, офис-менеджер или внешний специалист по договору аутсорсинга. Главное — приказ с конкретным перечнем полномочий и подотчётность руководителю. При небольшом объёме обработки оптимален DPO-аутсорсинг по ст. 22.1: функцию берёт на себя специализированная компания, это экономически эффективнее штатной единицы.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Типовой шаблон создаёт видимость комплаенса, но не закрывает риски: он не отражает фактический перечень cookie вашего сайта, реальных получателей, специфику обработки. При проверке РКН сверяет политику с уведомлением в реестре и функционалом сайта. Расхождение — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Политику следует готовить под конкретного оператора после технического аудита.

5. Какие согласия нужны после 01.09.2025 по ФЗ-156?

С 01.09.2025 согласие субъекта — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152: ФИО, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Для cookie это означает: баннер не может быть частью пользовательского соглашения. Согласия, полученные до 01.09.2025, имеют силу — обратной силы норма не имеет. Новые посетители сайта с сентября 2025 должны видеть обновлённую форму.

6. Что проверяет РКН при плановой проверке оператора по cookie?

Инспектор запрашивает: уведомление из реестра РКН, политику обработки ПДн с сайта, скриншоты баннера согласия, технический перечень cookie. Сверяются: соответствие политики уведомлению, наличие оснований обработки для каждой категории cookie, корректность механизма согласия по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025, наличие приказа об ответственном по ст. 22.1. Расхождение хотя бы по одному пункту — основание для протокола.

Итог

Cookie Policy как отдельный документ — обязательный элемент ОРД оператора, работающего с аналитическими и маркетинговыми скриптами. После 01.09.2025 требования к согласию ужесточились: встроенная «галочка» в пользовательском соглашении не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Паузы в синхронизации политики, уведомления РКН и баннера создают одновременно несколько составов по ст. 13.11 КоАП.

Практика DATUM по сопровождению операторов в части cookie охватывает технический аудит скриптов, подготовку Cookie Policy под конкретного оператора, актуализацию уведомления в РКН и защиту в арбитраже при наличии протокола.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

3 декабря 2026 года