Cookie Wall (запрет доступа без согласия)
С 30.05.2025 ст. 13.11 КоАП действует в расширенной редакции ФЗ-420. Практика применения накапливается, но РКН уже использует индикаторы риска по cookies при плановых и внеплановых проверках. Ниже — шесть шагов, которые закрывают основные уязвимости интернет-магазина, маркетплейса и любого сайта с аналитическими счётчиками.
Шаг 1. Определите, какие cookies вы используете и считаются ли они ПДн
Cookies делятся на технические (сессионные, корзина), аналитические (GA4, Яндекс.Метрика) и маркетинговые (пиксели, ретаргетинг). Технические cookies, не содержащие идентификаторов пользователя, как правило, не считаются ПДн. Аналитические и маркетинговые — содержат идентификаторы устройства, IP-адрес, историю поведения. Роскомнадзор расценивает такие файлы как ПДн, если по ним можно прямо или косвенно идентифицировать физическое лицо (ст. 3 ФЗ-152).
Проведите инвентаризацию: выгрузите список всех установленных скриптов через инструменты разработчика браузера или специализированные сканеры. Зафиксируйте для каждого cookie: назначение, срок хранения, домен, наличие передачи данных за рубеж. Это основа для заполнения политики обработки ПДн и уведомления РКН.
Шаг 2. Проверьте законность Cookie Wall — можно ли закрывать доступ до согласия?
Cookie Wall в классическом виде — это условие: «Продолжая использование сайта, вы соглашаетесь с обработкой cookies». Такая формулировка не соответствует требованиям ст. 9 ФЗ-152: согласие должно быть свободным, конкретным, информированным и сознательным. Принуждение к согласию под угрозой отказа в услуге лишает его добровольности.
Роскомнадзор при проверках фиксирует именно отсутствие реальной возможности отказаться от аналитических и маркетинговых cookies без потери доступа к контенту. Допустимая конструкция: разделение cookies на категории, возможность принять только технические, чёткий отказ от аналитических — и доступ к сайту при любом выборе.
Для интернет-магазина с программой лояльности это означает: сбор поведенческих данных для персонализации рекомендаций требует отдельного согласия, которое пользователь может отозвать в любой момент (ст. 9 ч. 2 ФЗ-152).
Сайт собирает cookies, но баннера нет или он стоит неправильно?
Отсутствие корректного баннера согласия — индикатор риска для внеплановой проверки РКН. Юристы DATUM проверят механику cookies на вашем сайте и подготовят соответствующий пакет документов: политику обработки ПДн, форму согласия, реестр cookies. Аудит 152-ФЗ — от 100 000 ₽, результат — отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Оформите баннер cookies по требованиям ст. 9 ФЗ-152
Баннер согласия должен содержать: наименование оператора, перечень категорий cookies с их назначением, список третьих лиц, которым данные передаются (включая зарубежные сервисы), срок обработки, способ отзыва согласия. Кнопка «Принять всё» без альтернативы «Отклонить всё» или «Настроить» — дефектная конструкция.
Технически баннер реализуется через CMP (Consent Management Platform). Для российского рынка в 2025–2026 годах актуальны решения с поддержкой хранения истории согласий на российских серверах, поскольку РКН вправе запросить подтверждение факта согласия конкретного пользователя.
Что подготовить для корректного баннера cookies
- Реестр cookies: категория, назначение, срок хранения, домен, факт трансграничной передачи
- Политика обработки ПДн с разделом о cookies — опубликована на сайте (ч. 2 ст. 18.1 ФЗ-152)
- Форма согласия с тремя опциями: принять всё / только технические / настроить категории
- Журнал согласий с датой, версией политики и идентификатором сессии
- Процедура отзыва согласия: ссылка в футере + инструкция за два клика
Как работают GA4 и Meta Pixel после ограничений — трансграничная передача ПДн?
GA4 (Google Analytics 4) передаёт данные о поведении пользователей на серверы Google за пределами России. По ч. 5 ст. 18 ФЗ-152 первичный сбор, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных на территории России. Передача собранных данных за рубеж допустима, но требует соблюдения ст. 12 ФЗ-152: уведомление РКН до начала трансграничной передачи, если страна получателя не включена в перечень адекватной защиты.
США не включены в перечень стран с адекватным уровнем защиты ПДн. Это означает: использование GA4 без уведомления РКН о трансграничной передаче — нарушение ст. 12 ФЗ-152. Для маркетолога это риск привлечения компании к ответственности по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица).
Альтернативы, снижающие риск: Яндекс.Метрика (данные в РФ), server-side аналитика с хранением данных на российском облаке, анонимизация IP до передачи (снижает риск, но не устраняет полностью при наличии других идентификаторов).
Если маркетолог использует GA4, Meta Pixel или HubSpot без уведомления РКН о трансграничной передаче — компания нарушает ст. 12 ФЗ-152. Юристы DATUM проверят состав используемых инструментов и подготовят пакет документов для РКН.
Оценить риски по 152-ФЗШаг 5. Проверьте email-рассылки и программы лояльности — отдельное согласие обязательно
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не встроенным в договор, оферту или политику конфиденциальности (ФЗ-156 от 24.06.2025, ст. 9 ч. 1 ФЗ-152 в новой редакции). Для email-рассылок и программ лояльности это означает: форма подписки должна содержать самостоятельную форму согласия с обязательными реквизитами — ФИО (или иной идентификатор), цель обработки, перечень ПДн, перечень действий с ПДн, срок, способ отзыва.
Согласие на рассылку, полученное через галочку в общих условиях до 01.09.2025, продолжает действовать — обратной силы ФЗ-156 не имеет. Но новые подписки с 01.09.2025 должны оформляться по новым правилам. Маркетплейсы, где продавец собирает ПДн покупателей через собственные механики внутри платформы, обязаны разграничить роли: кто является оператором ПДн покупателя — маркетплейс или продавец.
Отзыв подписки должен быть реализован не сложнее, чем сама подписка: ссылка «отписаться» в каждом письме, обработка запроса в разумный срок. Требование субъекта прекратить обработку ПДн оператор обязан исполнить в сроки, установленные ст. 21 ФЗ-152.
Шаг 6. Обновите политику конфиденциальности и уведомление в реестре РКН
Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора, цели обработки, правовые основания, перечень обрабатываемых категорий ПДн, порядок обработки, сведения о передаче третьим лицам (включая зарубежные сервисы), права субъектов и порядок их реализации. Раздел о cookies — обязательная часть политики для любого сайта с аналитическими счётчиками.
Уведомление в реестре операторов ПДн (ст. 22 ФЗ-152) должно отражать фактический состав обрабатываемых ПДн и цели. Если cookies добавились к обработке после последней подачи уведомления — подайте уведомление об изменении сведений через pd.rkn.gov.ru. Несоответствие реестра фактической обработке — отдельный состав нарушения по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽).
Как применяется ответственность: типовые сценарии для маркетолога
Сценарий 1. Сайт интернет-магазина без баннера cookies. Сайт использует GA4, Яндекс.Метрику и пиксель ретаргетинга. Баннера нет, политика конфиденциальности опубликована, но раздела о cookies не содержит. РКН при плановой проверке фиксирует нарушение как обработку ПДн без надлежащего согласия (ч. 2 ст. 13.11 КоАП) и отсутствие раздела в политике (ч. 3 ст. 13.11 КоАП). Совокупный штраф для юрлица — до 700 000 + 60 000 ₽. Стратегия: до проверки внедрить CMP с раздельным согласием по категориям, обновить политику, подать изменение в реестр РКН.
Сценарий 2. Маркетплейс и вопрос о роли оператора. Продавец на маркетплейсе собирает ПДн покупателей (имя, телефон, адрес доставки) через форму заказа. Маркетплейс является оператором ПДн покупателей и несёт ответственность за обеспечение их обработки по 152-ФЗ. Продавец, получающий эти данные, становится лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152), и обязан заключить договор поручения с маркетплейсом. При отсутствии такого договора — риск привлечения обеих сторон. Стратегия: маркетплейс разрабатывает типовое соглашение об обработке ПДн с продавцами, включает его в оферту.
Сценарий 3. Программа лояльности и GA4 одновременно. Розничная сеть ведёт программу лояльности (профиль покупателя с историей покупок) и использует GA4 для аналитики поведения на сайте. Согласие на программу лояльности оформлено в анкете участника. GA4 передаёт данные в США без уведомления РКН. При проверке: нарушение по ст. 12 ФЗ-152 и ч. 1 ст. 13.11 КоАП. Стратегия: уведомить РКН о трансграничной передаче через GA4, рассмотреть замену на server-side аналитику или Яндекс.Метрику, актуализировать согласие участника программы лояльности в части передачи данных аналитическим сервисам.
Как это применяется на практике
Кейс 1. Интернет-магазин (Центральный ФО, осень 2025) получил предписание РКН по результатам внеплановой проверки: на сайте был реализован Cookie Wall — доступ к каталогу открывался только после нажатия «Принять все cookies», кнопки отказа не было. РКН квалифицировал ситуацию как обработку ПДн без надлежащего согласия по ч. 2 ст. 13.11 КоАП. Юристы сопроводили устранение нарушения: внедрили CMP с тремя категориями cookies, обновили политику конфиденциальности, подали уведомление об изменении сведений в реестре. Штраф составил сотни тысяч рублей; повторного нарушения не последовало.
Кейс 2. Компания в сфере e-commerce (Северо-Западный ФО, начало 2026) использовала GA4 без уведомления РКН о трансграничной передаче ПДн в США. После жалобы субъекта РКН запросил документы. Компания не могла представить ни уведомление о трансграничной передаче, ни раздел политики об используемых аналитических сервисах. Применены ч. 1 ст. 13.11 КоАП. Стратегия защиты включала аргументацию о первичности нарушения и принятых мерах по устранению — штраф соответствовал нижней границе диапазона.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка cookies, политики, согласий и реестра РКН
- Комплект ОРД под ключ — политика конфиденциальности, формы согласий, реестр cookies
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookies позволяют прямо или косвенно идентифицировать физическое лицо (ст. 3 ФЗ-152). Технические сессионные cookies без идентификаторов пользователя, как правило, не относятся к ПДн. Аналитические и маркетинговые cookies (GA4, Meta Pixel, пиксели ретаргетинга) содержат идентификаторы устройства, историю поведения и IP-адрес — РКН квалифицирует их как ПДн и требует получения согласия на их обработку.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 не запрещено, но требует соблюдения ст. 12 ФЗ-152: до начала трансграничной передачи ПДн граждан РФ на серверы Google (США) необходимо уведомить РКН. США не входят в перечень стран с адекватным уровнем защиты ПДн. Альтернативы с меньшим регуляторным риском: Яндекс.Метрика, server-side аналитика с хранением данных в России, обезличивание данных до передачи.
3. Кто оператор: маркетплейс или продавец?
Маркетплейс является оператором ПДн покупателей, поскольку именно он определяет цели и способы обработки (ст. 3 ФЗ-152). Продавец, получающий ПДн покупателей от маркетплейса для исполнения заказа, действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Договор поручения между маркетплейсом и продавцом обязателен — без него продавец становится самостоятельным оператором без законного основания обработки.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера согласия на обработку cookies, квалифицируемых как ПДн, — основание для привлечения по ч. 2 ст. 13.11 КоАП: обработка ПДн без письменного согласия субъекта или с нарушением требований к составу согласия. Штраф для юрлица — 300 000–700 000 ₽. Дополнительно — ч. 3 ст. 13.11 за ненадлежащую политику обработки ПДн (30 000–60 000 ₽). При повторном нарушении по ч. 2.1 — 1 000 000–1 500 000 ₽.
5. Как оформить отзыв подписки?
Отзыв согласия на рассылку должен быть не сложнее по механике, чем сама подписка: ссылка «отписаться» в каждом письме, удаление из базы в разумный срок. Для cookies — кнопка управления согласием в футере сайта или отдельная страница настроек. Факт отзыва и дату необходимо фиксировать в журнале согласий: РКН вправе запросить подтверждение. Нарушение порядка отзыва — основание для жалобы субъекта и внеплановой проверки.
6. Нужно ли обновлять уведомление в реестре РКН при добавлении новых счётчиков?
Да. Если добавление аналитического счётчика изменяет состав обрабатываемых ПДн, цели обработки или появляется трансграничная передача, не отражённая в действующем уведомлении, — необходимо подать уведомление об изменении сведений через pd.rkn.gov.ru (ст. 22 ФЗ-152). Несоответствие реестра фактической обработке квалифицируется по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽ для юрлица.
Итог
Cookie Wall в форме принудительного согласия нарушает требование добровольности по ст. 9 ФЗ-152. Корректная модель: раздельное согласие по категориям cookies с реальной возможностью отказа без потери доступа к контенту. GA4 и аналогичные зарубежные сервисы требуют уведомления РКН о трансграничной передаче. Email-рассылки и программы лояльности с 01.09.2025 — только через отдельное согласие по требованиям ФЗ-156.
Юристы DATUM специализируются на 152-ФЗ для e-commerce: аудит cookies и политики конфиденциальности, подготовка согласий и реестра cookies, уведомления РКН о трансграничной передаче, защита при штрафах по ст. 13.11 КоАП.