Перейти к содержанию
инструкция 3 декабря 2028 По состоянию на 3 декабря 2028

Cookies как ПДн: позиция РКН 2025-2026

РКН квалифицирует cookies как персональные данные: использование без согласия пользователя — нарушение ч. 1 ст. 13.11 КоАП.
С 30.05.2025 штраф за обработку ПДн без законного основания составляет 150 000–300 000 ₽ за первое нарушение; повторно — 300 000–500 000 ₽. GA4, Яндекс.Метрика и счётчики рекламных пикселей передают cookie-данные за рубеж, что дополнительно квалифицируется как трансграничная передача по ст. 12 ФЗ-152.
Если вы маркетолог интернет-магазина или маркетплейса — без баннера согласия, корректной политики конфиденциальности и уведомления РКН о трансгранике каждый сеанс аналитики создаёт основание для протокола. → Проверьте сайт прямо сейчас.

Роскомнадзор последовательно расширяет трактовку персональных данных: с 2023 года регулятор в методических материалах и ответах на обращения операторов указывает, что cookie-идентификаторы, связанные с конкретным устройством или сессией пользователя, относятся к ПДн. К 2025–2026 годам эта позиция закреплена в практике проверок. Маркетолог интернет-магазина, который запускает ретаргетинг через Meta Pixel или отслеживает поведение через GA4, де-факто обрабатывает ПДн — и обязан выполнять требования ФЗ-152. Инструкция ниже разбирает шесть конкретных шагов: от аудита счётчиков до уведомления РКН о трансграничной передаче.

Шаг 1. Понять, какие cookies на сайте считаются ПДн

Не все cookies одинаковы с точки зрения 152-ФЗ. РКН разграничивает два типа: технически необходимые (сессионные, корзина, авторизация) и аналитические/маркетинговые. Первые, как правило, не требуют отдельного согласия — они нужны для работы сайта и не идентифицируют пользователя как субъекта ПДн. Вторые — идентифицируют: связывают действия на сайте с устройством, браузером, IP-адресом, а нередко с аккаунтом в соцсети или email из программы лояльности.

«Ст. 3 ФЗ-152 определяет ПДн как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Cookie-идентификатор, связанный с учётной записью пользователя или его поведением на сайте, подпадает под это определение по позиции РКН 2025 года.»

Практический способ разграничения: если cookie хранит уникальный идентификатор дольше закрытия сессии (persistent cookie) и этот идентификатор может быть сопоставлен с профилем пользователя — это ПДн. Счётчики GA4, Яндекс.Метрика, пиксели Meta и TikTok Ads относятся к этой категории.

Проведите инвентаризацию: выгрузите список всех скриптов и трекеров на сайте через браузерные инструменты разработчика или специализированные сканеры (Cookie Scanner, Cookiebot). Разделите на три группы: технически необходимые, аналитические, маркетинговые. Это основа для следующих шагов.

Шаг 2. Установить баннер согласия на cookies — что он должен содержать

Отсутствие баннера согласия на cookies при наличии аналитических и маркетинговых трекеров — прямое нарушение ч. 1 ст. 13.11 КоАП (обработка ПДн без законного основания) в редакции с 30.05.2025. Штраф для юрлица — 150 000–300 000 ₽.

«Ст. 6 ФЗ-152 устанавливает закрытый перечень оснований обработки ПДн. Для маркетинговых cookies подходит только одно — согласие субъекта (п. 1 ч. 1 ст. 6). Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 требует, чтобы согласие было конкретным, информированным и выраженным активным действием.»

Баннер согласия должен содержать: описание категорий cookies (аналитические, маркетинговые, третьих сторон), наименование конкретных сервисов (GA4, Яндекс.Метрика, Meta Pixel), возможность принять или отклонить каждую категорию отдельно, ссылку на политику конфиденциальности. Молчание пользователя (закрыл страницу без действия) — не согласие. Пре-чекнутые чекбоксы — тоже не согласие.

Важный нюанс для интернет-магазинов: если пользователь вошёл в аккаунт — cookies связываются с его учётными данными напрямую. В этом случае к согласию на cookies применяются требования ст. 9 ФЗ-152 в полном объёме: отдельный документ с реквизитами оператора, перечнем действий и сроком.

Баннер есть, но настроен формально?

Если на сайте стоит баннер «Мы используем cookies», но нет раздельного согласия по категориям и нет ссылки на политику — это не снимает риск. РКН при проверке анализирует функциональность баннера, а не его наличие. У маркетолога есть возможность исправить ситуацию до первого протокола: аудит занимает 3–5 рабочих дней.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как правильно оформить политику конфиденциальности для интернет-магазина с GA4?

Шаг 3. Обновить политику конфиденциальности под cookies и трекеры

Политика конфиденциальности — это не формальность. По ч. 2 ст. 18.1 ФЗ-152 оператор обязан опубликовать документ с указанием целей, категорий субъектов, перечня действий с ПДн, порядка обработки, мер защиты и прав субъектов. Отсутствие политики или её несоответствие требованиям — ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.

Для интернет-магазина, использующего cookies, политика должна содержать отдельный раздел о cookies: какие типы используются, какие данные собирают, кому передаются (включая иностранные сервисы), как пользователь может отозвать согласие. Если используется GA4 — нужно прямо указать, что данные передаются в Google LLC (США), и описать правовое основание: согласие или стандартные договорные положения.

«Ст. 18.1 ч. 2 ФЗ-152 обязывает оператора публиковать политику обработки ПДн с конкретным перечнем разделов. Для трансграничной передачи через аналитические сервисы дополнительно применяется ст. 12 ФЗ-152: оператор обязан уведомить РКН о намерении передавать ПДн за рубеж.»

Типовая ошибка маркетологов: политика обновлена, но баннер не связан с ней технически — пользователь принимает cookies, не видя документа. Это нарушение требования информированности согласия. Проверьте, что кнопка в баннере ведёт на актуальную версию политики.

Что подготовить маркетологу по cookies

  • Реестр cookies сайта: технически необходимые, аналитические, маркетинговые — с указанием поставщика и срока хранения
  • Баннер согласия с раздельным управлением по категориям и активным подтверждением (не пре-чекнутые чекбоксы)
  • Актуальная политика конфиденциальности с разделом о cookies, трансграничной передаче и правах субъекта
  • Уведомление РКН о трансграничной передаче (для GA4, Meta Pixel и других иностранных сервисов)
  • Механизм отзыва согласия: пользователь должен иметь возможность отозвать согласие так же просто, как дать его

Шаг 4. Уведомить РКН о трансграничной передаче через GA4 и пиксели

GA4 передаёт данные в Google LLC — компанию, зарегистрированную в США. США не входят в перечень стран с адекватным уровнем защиты ПДн по позиции РКН. По ст. 12 ФЗ-152 до начала трансграничной передачи оператор обязан уведомить РКН и в ряде случаев получить разрешение. Аналогичная ситуация — с Meta Pixel (Meta Platforms, США), TikTok Pixel (ByteDance, Каймановы острова/Китай), Hotjar (Мальта / серверы ЕС).

«Ст. 12 ФЗ-152 требует от оператора до начала трансграничной передачи в страну, не обеспечивающую адекватной защиты ПДн, уведомить РКН. Перечень стран с адекватной защитой утверждён приказом РКН; США в него не входят. Нарушение порядка трансграничной передачи квалифицируется по ч. 1 ст. 13.11 КоАП.»

Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. В уведомлении указываются: страна назначения, категории ПДн, цели передачи, получатель (наименование и адрес иностранного лица), гарантии защиты. Важно: уведомление подаётся до начала использования счётчика, а не после. Если сайт уже работает с GA4 без уведомления — нарушение уже есть.

Для маркетплейсов ситуация сложнее: платформа может использовать одни трекеры, продавец — подключать собственные через SDK или iframe. Роль оператора в этом случае распределяется: маркетплейс — за свои счётчики, продавец — за свои. Но если технически данные проходят через инфраструктуру маркетплейса — возможна совместная ответственность по ст. 6 ФЗ-152 (поручение обработки).

Если маркетолог подключил GA4 или Meta Pixel без уведомления РКН о трансгранике — нарушение уже существует. Срок давности по ст. 13.11 КоАП составляет 1 год с момента нарушения. Юристы DATUM подготовят уведомление РКН и закроют пробел в документах.

Заказать аудит 152-ФЗ

Шаг 5. Урегулировать программы лояльности и email-рассылки

Программы лояльности интернет-магазинов — отдельная зона риска. При регистрации в программе пользователь, как правило, даёт одно универсальное согласие на «обработку ПДн». С 01.09.2025 это недостаточно: ФЗ-156 от 24.06.2025 обязал оформлять согласие как отдельный документ, не включённый в договор или оферту. Согласие на получение рекламных рассылок по email — ещё одно отдельное согласие по ст. 18 ФЗ «О рекламе».

«Ст. 9 ч. 1 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) требует, чтобы согласие на обработку ПДн оформлялось отдельным документом. Включение согласия в текст договора, оферты или правил программы лояльности с 01.09.2025 — нарушение требования к форме согласия.»

Для email-рассылок дополнительно применяется механизм двойного подтверждения (double opt-in): пользователь указывает email и затем подтверждает подписку по ссылке из письма. Это не требование ФЗ-152 напрямую, но позволяет доказать факт согласия при жалобе субъекта или запросе РКН. При отсутствии double opt-in и поступлении жалобы — оператор не сможет предъявить подтверждение согласия, что влечёт ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽ за обработку без надлежащего согласия).

Отдельный вопрос — передача данных из программы лояльности в CRM, которая стоит на зарубежном SaaS (например, HubSpot или Salesforce). Это трансграничная передача, на которую распространяются требования ст. 12 ФЗ-152. С 01.07.2025 требования к локализации первичного сбора ужесточились: запись и систематизация ПДн граждан РФ должны происходить в базах на территории России (ч. 5 ст. 18 ФЗ-152, штраф по ч. 8 ст. 13.11 — 1 000 000–6 000 000 ₽).

Шаг 6. Зарегистрироваться в реестре операторов РКН и проверить уведомление

Любой оператор ПДн — включая интернет-магазин, который собирает только имена, email и cookies зарегистрированных пользователей — обязан уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 до начала обработки. Неуведомление или несвоевременное уведомление — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.

«Ст. 22 ФЗ-152 обязывает оператора до начала обработки ПДн направить уведомление в РКН через портал pd.rkn.gov.ru. Срок включения оператора в реестр — 30 дней с момента уведомления. Изменение состава обрабатываемых ПДн или целей обработки требует подачи изменений в реестр.»

Маркетологи часто не участвуют в первоначальной регистрации — это задача юриста или руководителя. Но именно маркетолог добавляет новые инструменты: подключает новый пиксель, запускает программу лояльности с новыми полями анкеты, интегрирует CRM. Каждое такое изменение может затрагивать состав или цели обработки ПДн — и требовать обновления уведомления в реестре.

Проверить актуальность: зайдите на pd.rkn.gov.ru, найдите запись вашей организации, сравните перечень целей и категорий ПДн с тем, что фактически обрабатывается. Если расхождение есть — подайте изменения через тот же портал. Срок — до начала обработки новых категорий или целей, а не по факту.

Типовые ситуации для маркетолога: сценарии и риски

Сценарий 1. Сайт с GA4, без баннера и без уведомления о трансгранике. Ситуация: интернет-магазин запустил GA4 через GTM; баннера нет, политика не обновлялась с 2022 года. При плановой проверке РКН или по жалобе пользователя инспектор фиксирует три нарушения одновременно: обработка без согласия (ч. 1 ст. 13.11), неопубликованная или устаревшая политика (ч. 3 ст. 13.11), трансграничная передача без уведомления (ч. 1 ст. 13.11 + ст. 12 ФЗ-152). Совокупный штраф при трёх протоколах — от 330 000 ₽ при первичных нарушениях. Стратегия: провести технический аудит счётчиков, установить Consent Management Platform (CMP), обновить политику, подать уведомление о трансгранике до возбуждения дела.

Сценарий 2. Программа лояльности со старыми согласиями. Ситуация: маркетплейс запустил программу лояльности в 2023 году; согласие на обработку ПДн включено в правила программы единым блоком. С 01.09.2025 такая форма нарушает ФЗ-156: согласие должно быть отдельным документом. Субъект подаёт жалобу в РКН после отказа удалить его из базы рассылок. РКН возбуждает дело по ч. 2 ст. 13.11 — обработка без надлежащего согласия. Штраф 300 000–700 000 ₽. Стратегия: до 01.09.2025 переоформить согласия для новых пользователей; существующую базу не трогать (обратной силы нет), но настроить отдельную форму отзыва для действующих подписчиков.

Сценарий 3. CRM на зарубежном SaaS после 01.07.2025. Ситуация: компания использует HubSpot (серверы в ЕС/США) для хранения базы клиентов интернет-магазина. С 01.07.2025 ужесточились требования к локализации первичного сбора: систематизация и хранение ПДн граждан РФ должны происходить в России. HubSpot без зеркальной российской копии — нарушение ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 — 1 000 000–6 000 000 ₽. Стратегия: перевести первичное хранение в российскую CRM или облако с российской юрисдикцией; при необходимости использовать HubSpot только как инструмент рассылки с синхронизацией из российской базы.

Как это применяется на практике

Кейс 1. Интернет-магазин (Центральный ФО, весна 2025) получил предписание РКН по результатам плановой проверки: на сайте отсутствовал баннер согласия на cookies при работающих счётчиках GA4 и Яндекс.Метрики; политика конфиденциальности не содержала раздела о трансграничной передаче. Директор по маркетингу не знал о наличии проверки до момента получения акта. Компания получила протоколы по ч. 1 и ч. 3 ст. 13.11 КоАП; штрафы составили сотни тысяч рублей. Устранение нарушений заняло 3 недели — установка CMP, обновление политики, подача уведомления о трансгранике. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. В деле о cookies и программе лояльности (Приволжский ФО, осень 2025) маркетолог крупного ритейлера обнаружил, что согласия пользователей в программе лояльности включены в пользовательское соглашение единым блоком. После анализа правовых рисков компания переработала форму регистрации: добавила отдельный чекбокс на обработку ПДн с реквизитами оператора и отдельный — на рекламные рассылки. Проверка РКН, инициированная жалобой одного из пользователей, не выявила нарушений в обновлённой форме; дело прекращено. Стоимость юридического сопровождения переработки — существенно ниже минимального штрафа по ч. 2 ст. 13.11.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН 2025 года — да, если cookie-идентификатор позволяет косвенно определить физическое лицо. Технически необходимые сессионные cookies (корзина, авторизация) как правило не идентифицируют субъекта. Аналитические и маркетинговые cookies (GA4, пиксели рекламных сетей, идентификаторы программ лояльности) — относятся к ПДн по ст. 3 ФЗ-152, поскольку связывают действия с конкретным устройством или учётной записью.

2. Можно ли использовать GA4 после ограничений?

Можно, но при соблюдении трёх условий: (1) пользователь дал согласие через корректно настроенный баннер CMP; (2) в политике конфиденциальности описана передача данных в Google LLC и правовое основание; (3) в РКН подано уведомление о трансграничной передаче по ст. 12 ФЗ-152 до начала использования счётчика. Режим Google Consent Mode v2 снижает объём передаваемых данных, но не отменяет требования российского законодательства.

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто определяет цели и порядок обработки ПДн. Маркетплейс — оператор в отношении данных, которые платформа собирает самостоятельно (регистрация, заказы, аналитика). Продавец на маркетплейсе — оператор в отношении ПДн, которые он собирает через собственные инструменты (форма связи, программа лояльности, пиксели в карточке товара). Если продавец передаёт данные маркетплейсу для обработки — применяется механизм поручения по п. 3 ст. 6 ФЗ-152 с заключением договора поручения.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера при работающих аналитических или маркетинговых счётчиках квалифицируется как обработка ПДн без законного основания (согласия) по ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025. Штраф для юрлица — 150 000–300 000 ₽; при повторном нарушении — 300 000–500 000 ₽ по ч. 1.1. Если данные передаются за рубеж без уведомления РКН — дополнительный протокол по ст. 12 ФЗ-152.

5. Как оформить отзыв подписки?

Субъект вправе отозвать согласие на обработку ПДн в любой момент; оператор обязан прекратить обработку в течение 30 дней после отзыва (ст. 9 ч. 2 ФЗ-152). Для email-рассылок механизм отзыва — ссылка «отписаться» в каждом письме. Для cookies — кнопка управления согласием в баннере или в настройках сайта. Отзыв должен быть таким же простым, как дача согласия: если согласие дано одним кликом, отзыв не может требовать заполнения формы или звонка.

6. Нужно ли уведомлять РКН, если сайт использует только Яндекс.Метрику?

Яндекс зарегистрирован в России, поэтому передача данных в Яндекс.Метрику не является трансграничной. Уведомление о трансгранике по ст. 12 ФЗ-152 не требуется. Однако обязанность иметь согласие пользователя на сбор аналитических cookies и корректную политику конфиденциальности сохраняется — это требования ст. 6 и ст. 18.1 ФЗ-152. Уведомление о намерении обрабатывать ПДн в реестре РКН по ст. 22 ФЗ-152 также обязательно независимо от используемого счётчика.

Итог

Cookies — персональные данные в части аналитических и маркетинговых трекеров. Требования ФЗ-152 для интернет-магазина: баннер согласия с реальным управлением по категориям, актуальная политика конфиденциальности с разделом о трансгранике, уведомление РКН о трансграничной передаче для GA4 и зарубежных пикселей, соответствие требованиям к локализации при использовании зарубежных CRM. Нарушение каждого из этих пунктов — отдельный состав по ст. 13.11 КоАП.

Практика DATUM включает аудит сайтов интернет-магазинов и маркетплейсов на соответствие 152-ФЗ в части cookies и трекеров, подготовку комплекта ОРД под ключ и сопровождение при проверках РКН.

Есть ситуация с РКН или инцидент с ПДн?

Оценим риски сайта по cookies и трекерам, подготовим уведомление о трансгранике и комплект документов. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Более 300 операторов сопровождено.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

3 декабря 2028 года