Dark patterns в cookies: запрет
Роскомнадзор включил отсутствие корректного cookie-баннера в индикаторы риска для плановых проверок. В 2024 году ведомство зафиксировало более 135 инцидентов с компрометацией данных; значительная часть исходных точек входа — трекеры и пиксели, установленные маркетологами без правовой обвязки. Настоящая инструкция описывает шесть шагов: от диагностики текущего состояния cookie-согласий до подготовки документов для регулятора.
Что такое dark patterns в cookies и почему они под запретом?
Dark pattern — это интерфейсное решение, которое намеренно затрудняет выбор пользователя в пользу оператора. В контексте cookies типичные примеры: кнопка «Принять всё» крупным шрифтом при отсутствии кнопки «Отклонить», предустановленные чекбоксы согласия, необходимость перехода через несколько экранов для отказа от нерекламных категорий, а также баннеры, закрывающие контент до нажатия «Принять».
Cookie-идентификатор (device ID, CAID, cookie_id) позволяет устойчиво идентифицировать устройство и через него — конкретного пользователя. РКН в разъяснениях квалифицирует такие данные как персональные по ст. 3 ФЗ-152. Следовательно, любая обработка cookie-данных без надлежащего согласия подпадает под ч. 2 ст. 13.11 КоАП. Dark pattern не освобождает от ответственности: формальное нажатие на кнопку, которая не даёт реального выбора, согласием не признаётся.
Отдельный риск — подключение счётчиков Google Analytics 4 и Meta Pixel. Передача идентификаторов на серверы, расположенные за пределами России, квалифицируется как трансграничная передача ПДн по ст. 12 ФЗ-152 и требует уведомления РКН. При отсутствии уведомления — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.
Баннер на сайте есть, но реальная опция отказа — нет?
Маркетологу достаточно одной жалобы пользователя, чтобы РКН возбудил проверку по ч. 2 ст. 13.11 КоАП. Штраф — от 300 000 ₽, при повторном нарушении — от 1 000 000 ₽. До 01.09.2025 шаблон согласия можно ещё пересобрать без переоформления ранее полученных. После — каждый новый пользователь требует правильного баннера. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 1. Проведите технический аудит cookie на сайте
Откройте браузер в режиме инкогнито и зайдите на главную страницу магазина до любого взаимодействия с баннером. В инструментах разработчика (вкладка Application → Cookies) зафиксируйте, какие cookie устанавливаются до нажатия «Принять». Если _ga, _gid, fbp, _ym_uid или аналогичные трекеры уже записаны — это нарушение: обработка началась до получения согласия.
Составьте таблицу: имя cookie, домен, срок жизни, категория (технические / аналитические / рекламные), третья сторона. Этот документ понадобится на следующих шагах и при проверке РКН. Инструменты автоматического сканирования (CookieBot Scanner, OneTrust Discovery) ускоряют работу, но не заменяют ручную проверку для нестандартных параметров.
Шаг 2. Классифицируйте cookie по правовым основаниям
Технические cookie (сессия, корзина, csrf-токен) не требуют согласия: их обработка обоснована исполнением договора с пользователем по п. 5 ч. 1 ст. 6 ФЗ-152. Аналитические и рекламные cookie — обоснование только согласие по п. 1 ч. 1 ст. 6 ФЗ-152. Смешивать категории в одном чекбоксе нельзя: каждая цель обработки требует отдельного согласия.
Отдельно выделите cookie, которые передают данные за рубеж. GA4 (серверы Google в США/ЕС), Meta Pixel, TikTok Pixel, Criteo, Admitad — каждый из них запускает процедуру трансграничной передачи по ст. 12 ФЗ-152. США не входит в перечень стран с адекватной защитой по позиции РКН, поэтому уведомление обязательно до начала передачи.
Шаг 3. Перепроектируйте баннер: обязательные элементы
Корректный cookie-баннер по требованиям ст. 9 ФЗ-152 содержит: наименование оператора, цель обработки по каждой категории cookie, перечень третьих лиц — получателей данных, срок хранения, кнопку «Принять всё», равнозначную по визуальному весу кнопку «Отклонить всё» или «Только необходимые», ссылку на политику конфиденциальности с детальным описанием.
Запрещённые паттерны: предустановленный чекбокс для нетехнических категорий; отсутствие кнопки отказа на первом экране баннера; кнопка «Настроить» без реальной возможности отключить категорию; баннер, исчезающий при скролле без действия пользователя; формулировка «Продолжая использовать сайт, вы соглашаетесь» — это не согласие по ст. 9 ФЗ-152.
Баннер должен появляться при каждом новом сеансе пользователя, не давшего согласие. Повторный показ — при изменении состава cookie или целей обработки.
Если вы маркетолог и на сайте уже работают GA4, Яндекс.Метрика или Meta Pixel без уведомления РКН о трансграничной передаче — каждый день обработки увеличивает период нарушения. Неуведомление о трансгранике: штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Юристы DATUM соберут пакет ОРД и подадут уведомление в РКН.
Собрать ОРД под ключШаг 4. Обновите политику конфиденциальности и ОРД
Политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 должна быть опубликована на сайте в открытом доступе. Для интернет-магазина обязательны разделы: оператор и его контактные данные; категории обрабатываемых ПДн (включая cookie-идентификаторы); цели обработки; правовые основания по каждой цели; список третьих лиц — получателей (все подключённые счётчики, пиксели, CRM-интеграции); перечень стран, в которые передаются данные при трансграничке; срок хранения; права субъекта и порядок их реализации.
Политика без раздела о cookie при наличии счётчиков на сайте — нарушение ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽ за неопубликование). Это небольшая сумма, но она автоматически фиксируется при первом осмотре сайта инспектором РКН и включается в акт проверки отдельной строкой.
Параллельно обновите внутренние документы: приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152, регламент реагирования на запросы субъектов (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152), журнал учёта согласий.
Шаг 5. Уведомите РКН о трансграничной передаче и обновите реестровую запись
Если на сайте используются зарубежные счётчики, до начала передачи данных необходимо направить уведомление в РКН по форме Приказа РКН №180 через портал pd.rkn.gov.ru. Уведомление подаётся отдельно на каждую страну-получателя. В нём указываются: получатель данных за рубежом, цели передачи, категории ПДн, правовое основание, меры защиты.
Если компания уже включена в реестр операторов, но реестровая запись не содержит сведений о трансграничной передаче — направьте уведомление об изменении сведений. Срок включения актуализированных данных в реестр — до 30 дней.
Альтернативный вариант для GA4 — переключить на server-side GTM с сервером в России. Данные тогда сначала попадают на российский сервер, и передача за рубеж формально не происходит. Этот подход требует технической реализации, но снимает вопрос уведомления о трансгранике для GA4-потока.
Шаг 6. Настройте процесс для программ лояльности и email-рассылок
Программы лояльности в интернет-магазинах обрабатывают расширенный набор данных: история покупок, поведение на сайте, категории интересов. Согласие на участие в программе лояльности и согласие на рекламную рассылку — два разных документа с разными целями. Объединение в одном чекбоксе нарушает принцип конкретности целей по ст. 5 ФЗ-152.
Для email-рассылок обязательна возможность отписки в каждом письме. Механизм отписки должен работать без авторизации и без подтверждения по второму каналу — это требование ст. 18 ФЗ «О рекламе». Реализация через ссылку «Отписаться» с одним кликом и без дополнительных экранов — стандарт, отклонение от которого создаёт риск жалобы в РКН и ФАС одновременно.
Для маркетплейсов: если продавец подключается к платформе, оператором ПДн покупателей выступает маркетплейс. Продавец получает данные по поручению оператора (ст. 6 ч. 3 ФЗ-152) и обязан заключить с маркетплейсом соглашение об обработке ПДн по поручению с перечнем допустимых действий. Использование данных покупателей для собственных рассылок без отдельного согласия — самостоятельное нарушение ч. 1 ст. 13.11 КоАП.
Что подготовить для проверки РКН по cookies
- Технический реестр cookie: имя, домен, срок жизни, категория, третьи лица-получатели — подтверждает осведомлённость оператора о составе обработки.
- Скриншоты баннера с равнозначными кнопками «Принять» и «Отклонить» и журнал версионирования баннера с датами изменений.
- Актуальная политика конфиденциальности с разделом о cookie и трансграничной передаче, опубликованная на сайте по прямой ссылке.
- Уведомление в РКН о трансграничной передаче (квитанция с pd.rkn.gov.ru) — для каждой страны-получателя отдельно.
- Шаблоны согласий на рассылку и программу лояльности как отдельные документы с реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025.
Практические сценарии для маркетолога
Сценарий 1. GA4 работает без уведомления о трансгранике. Ситуация: счётчик установлен через GTM, данные уходят на серверы Google. Доказательства нарушения: сетевой лог с запросами к google-analytics.com до нажатия баннера. Вероятный исход: протокол по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽) и по ч. 2 ст. 13.11 (300 000–700 000 ₽) одновременно — за обработку без согласия и за непроведение уведомления. Стратегия: немедленно приостановить запуск GA4 до нажатия баннера, параллельно подать уведомление в РКН; в банке данных использовать только агрегированные данные без cookie-ID до легализации.
Сценарий 2. Баннер есть, но «Отклонить» спрятано в настройках. Ситуация: на первом экране — только кнопка «Принять все» и ссылка «Управление настройками», ведущая на второй экран. Доказательства dark pattern: сравнительный анализ визуального веса кнопок (размер, цвет, позиция). Вероятный исход: РКН квалифицирует как отсутствие надлежащего согласия — нарушение ч. 2 ст. 13.11; при жалобе пользователя возбуждается административное дело. Стратегия: перепроектировать баннер — кнопка «Только необходимые» на первом экране, равный визуальный вес с «Принять все».
Сценарий 3. Маркетплейс-продавец делает рассылки по базе покупателей. Ситуация: продавец экспортирует email покупателей из личного кабинета маркетплейса и отправляет акционные письма через собственный ESP. Правовое основание: данные переданы по поручению оператора (маркетплейса), использование вне рамок поручения — самостоятельная обработка без основания. Вероятный исход: штраф по ч. 1 ст. 13.11 (150 000–300 000 ₽) + жалоба в ФАС по ст. 18 ФЗ «О рекламе». Стратегия: организовать сбор отдельного согласия на рассылку на собственном сайте; не использовать данные маркетплейса вне платформы.
Как это применяется на практике
Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, осень 2025). Маркетолог подключил Meta Pixel и GA4 через GTM без cookie-баннера. После жалобы пользователя РКН провёл мониторинг сайта и выявил запись cookie до взаимодействия с баннером. Возбуждены два производства: по ч. 2 ст. 13.11 и по ч. 10 ст. 13.11. Компания приостановила работу Pixel до получения консультации. Юристы подготовили уведомление в РКН, перепроектировали баннер и подали ходатайство о смягчении. Итоговый штраф по обоим производствам составил сумму в диапазоне нижних порогов по каждой части.
Кейс 2 (case_07_vkusvill). В 2022 году розничная сеть сообщила РКН об утечке контактных данных клиентов в добровольном порядке. Это решение стало примером правильной тактики взаимодействия с регулятором: добровольное уведомление и оперативное устранение нарушений учитываются как смягчающие обстоятельства по ч. 1 ст. 4.2 КоАП. Аналогичная логика применима при самовыявлении нарушений с cookie — досудебное устранение до возбуждения дела существенно снижает риск максимального штрафа.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка cookie, баннера, политики и уведомлений РКН.
- Комплект ОРД под ключ — политика, согласия, шаблоны для рассылок и программ лояльности.
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП, применение ст. 4.1.1.
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookie-идентификатор позволяет устойчиво идентифицировать конкретного пользователя или его устройство. Это соответствует определению ПДн в ст. 3 ФЗ-152: «любая информация, относящаяся прямо или косвенно к определённому физическому лицу». Device ID, cookie_id, CAID, _ga — попадают под это определение. Исключение составляют технические cookie сессии, которые удаляются при закрытии браузера и не привязаны к профилю пользователя.
2. Можно ли использовать GA4 после ограничений?
Использовать GA4 можно при соблюдении двух условий: наличие корректного cookie-баннера с реальной опцией отказа от аналитических cookie и уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152. Альтернатива — server-side GTM с сервером в России, при котором передача за рубеж формально исключается. Подключение GA4 без этих условий создаёт риск двойного штрафа по ч. 2 и ч. 10 ст. 13.11 КоАП.
3. Кто оператор: маркетплейс или продавец?
При продаже через маркетплейс оператором ПДн покупателей выступает маркетплейс. Продавец получает данные по поручению оператора в рамках ст. 6 ч. 3 ФЗ-152 и вправе использовать их только в объёме, предусмотренном соглашением об обработке ПДн по поручению. Использование данных покупателей для собственных рассылок, таргетинга или передачи третьим лицам вне поручения превращает продавца в самостоятельного оператора без правового основания — нарушение ч. 1 ст. 13.11 КоАП.
4. Что грозит за отсутствие баннера cookies?
При отсутствии баннера нарушаются сразу несколько норм. Обработка аналитических и рекламных cookie без согласия — ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000–700 000 ₽. Передача данных через зарубежные счётчики без уведомления РКН — ч. 10 ст. 13.11, штраф 100 000–300 000 ₽. Отсутствие раздела о cookie в политике конфиденциальности — ч. 3 ст. 13.11, штраф 30 000–60 000 ₽. Три состава применяются одновременно и независимо друг от друга.
5. Как оформить отзыв подписки?
Отзыв согласия на email-рассылку должен быть доступен без авторизации, одним действием (одним кликом по ссылке «Отписаться» в письме) и без подтверждения по второму каналу — это требование ст. 9 ч. 2 ФЗ-152 и ст. 18 ФЗ «О рекламе». После отзыва оператор обязан прекратить рассылку не позднее следующего рабочего дня. Сохранение email в базе для других целей (история покупок, исполнение договора) допустимо при наличии отдельного правового основания, не связанного с согласием на рассылку.
6. Нужно ли переоформлять старые согласия после 01.09.2025?
ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 по действовавшим на тот момент требованиям, остаются действительными до истечения срока или отзыва. Новые согласия с 01.09.2025 — только в форме отдельного документа или отдельного действия, не совмещённого с договором или офертой. Для интернет-магазина это означает: обновить форму регистрации, форму подписки и cookie-баннер к 01.09.2025, не трогая уже собранную базу.
Итог
Dark patterns в cookies — это не только дизайнерская проблема, но и правовой риск по ст. 13.11 КоАП с совокупным потенциалом штрафов от 430 000 до 1 000 000 ₽ за первичное нарушение по трём составам одновременно. Шесть шагов инструкции — технический аудит, классификация cookie, перепроектирование баннера, обновление ОРД, уведомление РКН и настройка процессов для лояльности и рассылок — закрывают все основные основания для протокола.
DATUM сопровождает интернет-магазины, маркетплейсы и SaaS-продукты в приведении cookie-обработки в соответствие с ФЗ-152: от технического аудита до подачи уведомлений в РКН и подготовки полного пакета ОРД.