справочник 10 сентября 2026 По состоянию на 10 сентября 2026

Cookies как ПДн: позиция РКН и судебная практика

Cookie-файл — это фрагмент данных, который браузер сохраняет на устройстве пользователя и передаёт обратно серверу при каждом обращении к сайту. Роскомнадзор квалифицирует cookies как персональные данные в той мере, в которой они позволяют идентифицировать конкретного субъекта прямо или косвенно.

С 30.05.2025 штраф за обработку ПДн без надлежащего правового основания достигает 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторное нарушение — 1 000 000 — 1 500 000 ₽. Каждый сайт без баннера согласия на cookies — потенциальное основание для протокола.

→ Если вы юрист и проверяете комплаенс сайта компании — ниже разбор позиции РКН, судебной практики и перечень документов, которые закрывают риск.

Cookies как инструмент веб-аналитики используют большинство российских сайтов. Однако правовой статус cookies в контексте ФЗ-152 по-прежнему вызывает споры: одни операторы считают cookies техническими данными вне сферы закона, другие — полноценными ПДн с обязательным согласием. Разбор ниже строится на позиции РКН, нормах закона и сформировавшейся практике 2025–2026 годов.

Что такое персональные данные по ст. 3 ФЗ-152 и почему cookies попадают в это определение?

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Ключевое слово — «косвенно».

Cookie содержит уникальный идентификатор сессии или пользователя, который в сочетании с IP-адресом, историей переходов и данными браузера позволяет выделить конкретного посетителя среди миллионов. Это и есть косвенная идентификация по смыслу ст. 3.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).»

Оператор персональных данных по той же статье — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующие обработку ПДн и определяющие её цели. Владелец сайта, устанавливающий счётчики и рекламные пиксели, подпадает под это определение автоматически.

РКН в своих методических материалах и ответах на обращения последовательно указывает: cookies, позволяющие отследить поведение пользователя на сайте, квалифицируются как персональные данные и требуют правового основания для обработки по ст. 6 ФЗ-152. Позиция не менялась с 2021 года и подтверждена проверочной практикой 2024–2025 годов.

Какие виды cookies обрабатываются как ПДн, а какие — нет?

Не все cookies одинаковы с точки зрения 152-ФЗ. Практика делит их на три группы.

Технические (сессионные) cookies — обеспечивают базовую работу сайта: авторизацию, корзину, языковые настройки. Не позволяют идентифицировать пользователя вне сессии. РКН, как правило, не квалифицирует их как ПДн при условии, что они не содержат уникального долгосрочного идентификатора и не передаются третьим лицам.

Аналитические cookies (счётчики Яндекс.Метрики, Google Analytics 4, Топ.Мэйл и аналоги) — присваивают устройству уникальный идентификатор на срок от нескольких месяцев до двух лет, отслеживают поведение, строят профиль пользователя. Это ПДн по ст. 3 ФЗ-152 в трактовке РКН. Обработка требует правового основания по ст. 6.

Рекламные (таргетинговые) cookies — Meta Pixel, DoubleClick, Criteo и аналоги. Передают идентификатор и поведение пользователя в рекламную сеть за рубежом. Помимо ст. 6 ФЗ-152 (основание обработки), здесь возникает вопрос трансграничной передачи по ст. 12 и локализации по ч. 5 ст. 18 ФЗ-152.

Хотите проверить, как сайт компании соответствует требованиям РКН по cookies?

Если вы юрист и готовите заключение о соответствии сайта 152-ФЗ — список нарушений по cookies типично включает 3–5 позиций: отсутствие баннера, неверное правовое основание в политике, GA4 без уведомления о трансгранике. Аудит DATUM закрывает все точки за 5 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как оформить правовое основание для обработки cookies по ст. 6 и ст. 9 ФЗ-152?

Ст. 6 ФЗ-152 перечисляет 11 оснований для обработки ПДн. Для аналитических и рекламных cookies на практике применимо только одно — согласие субъекта (п. 1 ч. 1 ст. 6). Иные основания (исполнение договора, законная обязанность) к cookies не подходят: посетитель сайта не заключает с оператором договор по умолчанию.

Согласие субъекта ПДн по ст. 9 ФЗ-152 должно быть конкретным, информированным, сознательным и однозначным. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не может быть встроено в текст договора, оферты или политики конфиденциальности.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025) — согласие субъекта на обработку его персональных данных оформляется отдельным документом. Совмещение с иными документами не допускается.»

Для сайта это означает: баннер согласия на cookies должен предшествовать установке аналитических и рекламных cookies, содержать перечень передаваемых данных и категорий получателей, а кнопка «Принять» должна быть отделена от кнопки «Закрыть». Молчание пользователя или прокрутка страницы не являются согласием.

Принципы обработки ПДн по ст. 5 ФЗ-152 требуют, чтобы объём обрабатываемых данных соответствовал заявленным целям. Устанавливать рекламные cookies при цели «улучшение работы сайта» — нарушение принципа соответствия объёма целям.

Судебная практика по cookies и ст. 13.11 КоАП в 2025–2026 годах

До вступления в силу ФЗ-420 (30.05.2025) штрафы за нарушения, связанные с cookies, назначались по ч. 1 и ч. 2 ст. 13.11 в прежней редакции и не превышали нескольких десятков тысяч рублей. С 30.05.2025 санкции существенно выросли.

Кейс 1. Компания электронной коммерции (Центральный ФО, осень 2025) использовала на сайте счётчики трёх рекламных платформ без баннера согласия. РКН выявил нарушение в ходе планового мониторинга. Протокол составлен по ч. 1 ст. 13.11 КоАП (обработка без надлежащего основания). Мировой судья назначил штраф в диапазоне 150 000 — 300 000 ₽. После введения баннера и обновления политики конфиденциальности компания избежала повторного нарушения по ч. 1.1. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Интернет-магазин (Северо-Западный ФО, начало 2026) передавал данные через Meta Pixel в адрес зарубежного сервера без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Юрист компании самостоятельно выявил нарушение при внутреннем аудите до проверки, направил уведомление и обновил политику. РКН ограничился предписанием без штрафа, сославшись на добровольное устранение. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Если вы юрист и на сайте компании стоит GA4 или Meta Pixel без уведомления о трансгранике — это два самостоятельных нарушения: отсутствие основания по ст. 6 и нарушение ст. 12 ФЗ-152. Устранить до проверки РКН дешевле, чем оспаривать штраф в суде.

Заказать аудит 152-ФЗ

Что подготовить для соответствия требованиям по cookies

Минимальный пакет документов

Политика конфиденциальности с разделом о cookies: категории, цели, срок хранения, получатели (в том числе зарубежные).
Баннер согласия на cookies с раздельными кнопками «Принять» / «Отклонить» и ссылкой на политику; согласие фиксируется технически до установки нетехнических cookies.
Отдельное согласие на обработку ПДн (ст. 9 ФЗ-152 в ред. с 01.09.2025) — если сайт собирает данные через форму обратной связи или регистрацию.
Уведомление РКН о намерении осуществлять обработку ПДн (ст. 22 ФЗ-152) с указанием целей и категорий данных, включая cookies.
Уведомление РКН о трансграничной передаче (ст. 12 ФЗ-152) — при использовании зарубежных счётчиков или рекламных пикселей.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка ПДн — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Установка cookie-файла, содержащего уникальный идентификатор пользователя, подпадает под «сбор» и «хранение».

2. На основании чего можно обрабатывать ПДн через cookies?

Для аналитических и рекламных cookies единственным практически применимым основанием является согласие субъекта по п. 1 ч. 1 ст. 6 ФЗ-152. Технические cookies, не позволяющие идентифицировать пользователя вне сессии, формально не требуют отдельного основания, однако лучше упомянуть их в политике конфиденциальности.

3. Что грозит за обработку cookies без согласия?

С 30.05.2025 — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽ за первичное нарушение; при повторном — по ч. 1.1 от 300 000 до 500 000 ₽. Если cookies собираются без письменного согласия, когда оно обязательно, — ч. 2 ст. 13.11 от 300 000 до 700 000 ₽. Передача данных через зарубежный пиксель без уведомления РКН — отдельное нарушение по ч. 8 ст. 13.11 (локализация) или ст. 12 ФЗ-152.

4. Нужно ли уведомлять РКН малому бизнесу, использующему только Яндекс.Метрику?

Да. Освобождение от уведомления по ч. 2 ст. 22 ФЗ-152 распространяется на строго ограниченный перечень случаев (обработка ПДн работников в кадровых целях, разовые договоры с физлицами и ряд других). Обработка данных посетителей сайта через аналитический счётчик под эти исключения не подпадает. Малый бизнес обязан уведомить РКН до начала такой обработки.

5. С какого возраста нужно согласие на обработку ПДн через cookies?

ФЗ-152 устанавливает: согласие несовершеннолетних до 18 лет должно быть получено от их законных представителей (родителей, усыновителей, попечителей). Если сайт ориентирован на аудиторию моложе 18 лет, механизм сбора согласий должен учитывать этот возрастной порог. Для сайтов общей аудитории достаточно стандартного баннера без возрастной верификации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сайта, баннера согласия, политики и уведомлений РКН.
Комплект ОРД под ключ — политика конфиденциальности, баннер, согласия и уведомления в едином пакете.
DPO-аутсорсинг — абонентское сопровождение ответственного по ст. 22.1 ФЗ-152.

Итог

Cookies — персональные данные в трактовке РКН, если позволяют косвенно идентифицировать пользователя. Аналитические и рекламные cookies требуют согласия субъекта по ст. 9 ФЗ-152, отдельного от иных документов с 01.09.2025, и уведомления РКН о намерении обрабатывать. Передача данных через зарубежные пиксели — отдельное обязательство по ст. 12 ФЗ-152.

Практика DATUM по цифровым продуктам охватывает аудит cookies-инфраструктуры, подготовку политик и баннеров согласия, уведомление РКН о трансграничной передаче.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

10 сентября 2026 года