Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Cookieless tracking

Cookieless tracking — сбор данных о поведении пользователей без файлов cookie: через server-side теги, отпечатки браузера, first-party данные и хеширование email. По позиции Роскомнадзора, cookies относятся к персональным данным, если позволяют идентифицировать пользователя — значит, отказ от cookie не снимает обязанности по ФЗ-152.
С 30.05.2025 отсутствие баннера согласия на cookies — нарушение ч. 6 ст. 13.11 КоАП с штрафом до 100 000 ₽ для юридических лиц. Передача данных в GA4, Meta Pixel или HubSpot за рубеж может квалифицироваться как трансграничная передача персональных данных с требованием уведомления РКН.
Если вы маркетолог и используете GA4, CRM-рассылки или программу лояльности — проверьте, соответствует ли ваш стек 152-ФЗ после поправок ФЗ-420 и требований РКН к обезличиванию с 2025 года.

Рынок цифровой аналитики трансформируется: браузеры блокируют сторонние cookies, Google сократил поддержку third-party cookies в Chrome, а РКН усилил внимание к трансграничной передаче данных. Для маркетолога российского интернет-магазина это означает двойное давление — технологическое и регуляторное. Инструкция ниже объясняет, какие инструменты cookieless tracking легальны по ФЗ-152, как их настроить, чтобы не получить штраф по ст. 13.11 КоАП, и что переделать прямо сейчас.

Считаются ли cookies персональными данными по российскому праву?

Роскомнадзор в своих разъяснениях квалифицирует идентификаторы устройств, в том числе cookie-файлы, как персональные данные, если они позволяют прямо или косвенно идентифицировать физическое лицо. Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся к определённому или определяемому физическому лицу.

«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Идентификатор cookie, привязанный к профилю пользователя, подпадает под это определение по позиции РКН.»

Важен контекст: изолированный технический cookie сессии, не привязанный к профилю, с трудом квалифицируется как ПДн. Но маркетинговый cookie — тот, что хранит историю покупок, связан с email или передаётся в рекламные сети, — квалифицируется РКН как ПДн. Это означает: для его установки нужно согласие субъекта, его передача за рубеж требует уведомления РКН, а хранение — локализации по ч. 5 ст. 18 ФЗ-152.

Cookieless tracking не отменяет требования ФЗ-152. Fingerprinting браузера (отпечаток по разрешению, шрифтам, IP) и хеши email — тоже потенциальные ПДн, если позволяют идентифицировать лицо. Разница лишь в том, что отпечаток сложнее связать с конкретным человеком, но при наличии у оператора дополнительных данных это становится возможным.

Используете GA4 или Meta Pixel на российском сайте?

Передача данных пользователей в Google Analytics 4 и Meta Pixel — это трансграничная передача персональных данных по ст. 12 ФЗ-152. Без уведомления РКН и корректной политики конфиденциальности это нарушение, которое при проверке влечёт штраф по ч. 8 ст. 13.11 КоАП (1–6 млн ₽). До проверки есть время подготовить документы — уведомление, политику, согласие на cookies.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проведите инвентаризацию трекеров на сайте

Прежде чем выбирать cookieless-решение, зафиксируйте, какие инструменты уже установлены. Список типовых трекеров интернет-магазина:

  • Счётчик метрики: Яндекс.Метрика, GA4
  • Пиксели рекламных сетей: Meta Pixel, VK Pixel, MyTarget
  • CRM-трекеры и системы email-рассылок: Sendsay, UniSender, Mailchimp
  • Виджеты чатов и обратного звонка: Jivosite, Calltouch
  • A/B-тестирование: VWO, Optimizely, Carrot Quest
  • Программы лояльности: Mindbox, Retail Rocket

Для каждого трекера определите: в какую страну передаются данные, какие категории ПДн собираются, есть ли договор поручения обработки по ст. 6 ч. 3 ФЗ-152. Результат — таблица трекеров с колонками «страна», «категория ПДн», «правовое основание», «договор поручения».

Что подготовить на этом шаге

  • Список всех скриптов, установленных через GTM или напрямую в код сайта
  • Определение страны обработки для каждого трекера (Россия / ЕС / США / иное)
  • Перечень ПДн, которые каждый трекер собирает и передаёт
  • Статус договора поручения обработки с каждым подрядчиком
  • Скриншот текущего баннера cookies (если есть) или фиксация его отсутствия

Шаг 2. Разделите трекеры на допустимые и требующие оформления

После инвентаризации разделите инструменты на три группы по регуляторному статусу.

Группа А — технические cookies без идентификации. Сессионные cookies, CSRF-токены, корзина — не являются ПДн, согласие не нужно. Использование без ограничений.

Группа Б — аналитические и маркетинговые cookies в России. Яндекс.Метрика с обезличиванием IP, ВКонтакте Pixel с настроенным хешированием — допустимы при наличии баннера согласия на cookies и корректной политики конфиденциальности. Договор поручения с Яндексом и ВКонтакте как операторами заключён стандартно через оферту.

Группа В — трансграничные трекеры. GA4, Meta Pixel, HubSpot, Salesforce, Mailchimp — передают данные за рубеж. Для легальной работы нужны: уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152, локализация первичной записи ПДн в России по ч. 5 ст. 18, отдельное согласие пользователя на трансграничную передачу.

«Ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, расположенных на территории России. Требование действует с 01.09.2015.»

Шаг 3. Настройте баннер согласия на cookies по требованиям РКН

Баннер согласия — обязательный элемент сайта, если на нём установлены маркетинговые или аналитические cookies. Его отсутствие квалифицируется как обработка ПДн без согласия субъекта по ч. 2 ст. 13.11 КоАП с штрафом 300 000 — 700 000 ₽ для юридических лиц.

Требования к баннеру, соответствующему ст. 9 ФЗ-152:

  • Отображается до установки любых маркетинговых cookies — то есть до загрузки скриптов GA4, Meta Pixel и аналогичных
  • Содержит перечень категорий cookies с описанием цели каждой категории
  • Предоставляет возможность принять все, отклонить все или выбрать категории
  • Кнопка «Отклонить» или «Только необходимые» должна быть так же заметна, как «Принять»
  • Содержит ссылку на политику конфиденциальности с разделом о cookies
  • Фиксирует выбор пользователя — журнал согласий хранится как доказательство

Технически баннер реализуется через Consent Management Platform (CMP): российские решения — Usercentrics RU, Cookiebot с настройкой на российское законодательство, собственная разработка через GTM. Важно: скрипты GA4 и Meta Pixel должны загружаться только после получения согласия пользователя, а не одновременно с показом баннера.

Если маркетолог обнаружил, что на сайте стоит GA4 без баннера cookies и уведомления РКН о трансгранике — это два нарушения одновременно. До проверки РКН можно устранить оба за 2–4 недели: подготовить политику, баннер и подать уведомление. После проверки — только платить штраф и устранять под предписание.

Подготовиться к проверке РКН

Шаг 4. Перейдите на server-side аналитику и first-party данные

Cookieless tracking в практическом смысле — это переход с client-side сбора данных (скрипт в браузере) на server-side (данные уходят на ваш сервер, а уже с него — в аналитическую систему). Это снижает зависимость от браузерных ограничений и облегчает соблюдение ФЗ-152, поскольку вы контролируете, какие данные и куда передаёте.

Server-side GA4 через GTM Server-Side. Разворачиваете собственный сервер GTM в российском облаке (Yandex Cloud, Selectel, SberCloud). Браузер пользователя обращается к вашему серверу. Сервер отправляет в GA4 только те данные, которые вы разрешили — без IP пользователя, без полных идентификаторов. Это снижает объём ПДн в трансграничной передаче, хотя не отменяет уведомление РКН полностью.

First-party данные как основа аналитики. Данные, которые пользователь передал вам напрямую (email при регистрации, история заказов, поведение в личном кабинете), — это first-party данные. Они обрабатываются на основании договора или согласия, хранятся в России и не требуют трансграничной передачи для базовой аналитики. Сегментируйте аудиторию на основе first-party данных из CRM — это и точнее, и юридически чище.

Хеширование email для рекламных сетей. VKontakte, Яндекс и Mail.ru позволяют загружать аудитории через хешированные email (SHA-256) вместо прямых ПДн. Хешированный email — квазиидентификатор: формально не ПДн в изолированном виде, но РКН рассматривает его как ПДн при наличии у платформы возможности деанонимизации. Используйте хеширование + сегментацию аудиторий только через российские площадки без выгрузки хешей за рубеж.

Шаг 5. Оформите документы для легальной аналитики

Техническая настройка без документального оформления не защищает от штрафа. РКН при проверке смотрит на комплект документов, а не только на наличие баннера. Минимальный пакет для интернет-магазина с аналитическими инструментами:

  • Политика конфиденциальности с разделом о cookies: категории cookies, цели, срок хранения, третьи лица, которым передаются данные, права пользователей. Опубликована на сайте в соответствии с ч. 2 ст. 18.1 ФЗ-152.
  • Отдельное согласие на cookies через баннер с журналом фиксации: кто дал согласие, когда, на какие категории. С 01.09.2025 по ФЗ-156 согласие на обработку ПДн должно быть оформлено отдельным документом — не встроено в пользовательское соглашение или оферту.
  • Уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 — для каждого зарубежного сервиса (GA4, Meta, HubSpot). Подаётся через pd.rkn.gov.ru.
  • Договоры поручения обработки ПДн с каждым подрядчиком, который обрабатывает ваши данные — по п. 3 ст. 6 ФЗ-152.
  • Уведомление о намерении обрабатывать ПДн в реестре РКН (если не подано) — по ст. 22 ФЗ-152.
«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — не объединяется с договором, офертой или политикой конфиденциальности. Ранее полученные согласия, включённые в другие документы, переоформлять не требуется — обратной силы нет.»

Типовые ситуации для маркетолога: что пошло не так

Ситуация 1. Интернет-магазин с GA4 без уведомления РКН. Маркетолог крупного ритейлера (Центральный ФО, весна 2026) провёл редизайн сайта и подключил GA4 через GTM без обновления политики конфиденциальности и уведомления РКН о трансгранике. При плановой проверке РКН зафиксировал передачу данных на серверы Google в США без уведомления по ст. 12 ФЗ-152 и без баннера согласия на маркетинговые cookies. Компания получила предписание, штраф по ч. 1 ст. 13.11 КоАП в диапазоне сотен тысяч рублей и 30-дневный срок на устранение. Устранение потребовало привлечения юристов и разработчиков — суммарно дороже профилактики.

Ситуация 2. Маркетплейс и вопрос «кто оператор». Компания продавала товары через маркетплейс и считала, что ПДн покупателей обрабатывает платформа, а не продавец. При внеплановой проверке РКН установил: продавец получал email покупателей для отправки собственных рассылок, вёл собственную CRM, то есть самостоятельно определял цели и способы обработки — признаки оператора по ст. 3 ФЗ-152. Продавец как оператор обязан был уведомить РКН, разместить политику и получить согласие на рассылки. Штраф по ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать) — 100 000 — 300 000 ₽.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie позволяет идентифицировать пользователя прямо или косвенно. Ст. 3 ФЗ-152 не содержит закрытого перечня: любая информация, относящаяся к определяемому лицу, — это ПДн. Маркетинговый cookie, связанный с email или историей покупок, подпадает под это определение. Технический сессионный cookie без привязки к профилю — с большей вероятностью нет, но риск квалификации сохраняется.

2. Можно ли использовать GA4 после ограничений РКН?

Можно, но с соблюдением требований ФЗ-152. Обязательны: уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152, локализация первичной записи ПДн в российской базе по ч. 5 ст. 18, баннер согласия на cookies с возможностью отказа, раздел о GA4 в политике конфиденциальности. Оптимальное решение — server-side GTM на российском сервере с обезличиванием IP до передачи в Google.

3. Кто оператор ПДн: маркетплейс или продавец?

Зависит от того, кто самостоятельно определяет цели и способы обработки данных — признак оператора по ст. 3 ФЗ-152. Если продавец ведёт собственную CRM, отправляет рассылки покупателям или использует данные для ретаргетинга — он оператор, обязан уведомить РКН и соблюдать ФЗ-152 в полном объёме. Маркетплейс при этом может быть самостоятельным оператором или обработчиком — зависит от договора и фактических действий.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера при наличии маркетинговых cookies означает обработку ПДн без согласия субъекта. По ч. 2 ст. 13.11 КоАП — штраф для юридических лиц 300 000 — 700 000 ₽. При повторном нарушении (ч. 2.1) — 1 000 000 — 1 500 000 ₽. Если cookies передаются за рубеж без уведомления РКН — дополнительно ч. 8 ст. 13.11 (локализация) с штрафом 1 000 000 — 6 000 000 ₽.

5. Как оформить отзыв подписки на рассылку?

Пользователь вправе отозвать согласие на обработку ПДн в любой момент по ст. 9 ФЗ-152. Для email-рассылок: в каждом письме — ссылка «Отписаться», обработка запроса — в течение 10 рабочих дней (ст. 20 ФЗ-152). После отписки адрес должен быть исключён из активных рассылок, а при отсутствии иных оснований обработки — удалён. Фиксируйте дату отзыва согласия в CRM как доказательство соблюдения требований.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 в составе пользовательского соглашения или оферты, остаются действительными до их отзыва. Новое требование об отдельном документе распространяется на согласия, получаемые после 01.09.2025. При редизайне форм или обновлении CRM — переходите на новый стандарт.

Итог

Cookieless tracking снижает зависимость от браузерных ограничений, но не снимает обязанностей по ФЗ-152. Маркетолог, переходящий на server-side аналитику и first-party данные, обязан одновременно привести в порядок баннер согласия, политику конфиденциальности, уведомления РКН о трансгранике и договоры поручения с подрядчиками. С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно: нарушение локализации — до 6 млн ₽, повторное — до 18 млн ₽.

DATUM сопровождает интернет-магазины и e-commerce компании в переходе на легальный аналитический стек: от инвентаризации трекеров до подачи уведомлений в РКН и подготовки к проверке.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности.

14 января 2029 года