инструкция 28 октября 2028 По состоянию на 28 октября 2028

DATUM-аудит cookies на сайте

Cookies — персональные данные по позиции Роскомнадзора. Отсутствие баннера согласия или работа без уведомления РКН — основание для штрафа по ч. 1 ст. 13.11 КоАП до 300 000 ₽ за первичное нарушение.

Для маркетолога это конкретный риск: GA4, Meta Pixel, Яндекс.Метрика и программы лояльности собирают идентификаторы пользователей, которые РКН квалифицирует как ПДн. Трансграничная передача через GA4 требует отдельного уведомления регулятора.

→ Если вы маркетолог и используете GA4 или сторонние трекеры — пройдите пошаговый аудит cookies ниже или передайте его юристам DATUM.

По данным РКН за 2024 год зафиксировано 135 случаев компрометации данных с числом записей свыше 710 млн. Значительная часть нарушений связана не с классической «утечкой», а с ненадлежащей обработкой идентификаторов на сайтах: отсутствием баннера согласия, несогласованной трансграничной передачей через сервисы аналитики, неверно оформленной политикой конфиденциальности. Аудит cookies — это последовательная проверка шести зон: правовое основание, состав cookies, баннер, трансграничка, политика, документы. Ниже — пошаговый порядок для маркетолога или юриста интернет-магазина.

Шаг 1. Определите, какие cookies собирает сайт и есть ли среди них ПДн

Откройте браузер в режиме инкогнито, зайдите на сайт и через DevTools (Application → Cookies) выгрузите полный список файлов cookie. Разделите их на четыре группы: технические (сессия, авторизация, корзина), аналитические (GA4, Яндекс.Метрика, Mindbox), маркетинговые (Meta Pixel, DoubleClick, retargeting-пиксели) и прочие (чат-виджеты, виджеты социальных сетей).

Аналитические и маркетинговые cookies содержат client_id и user_id — устойчивые идентификаторы, которые РКН в методических рекомендациях относит к персональным данным. Если такие cookies передаются на зарубежные серверы Google, Meta, Mixpanel — возникает трансграничная передача по ст. 12 ФЗ-152.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту). Устойчивый браузерный идентификатор, связанный с поведением пользователя, подпадает под это определение по позиции РКН.»

Зафиксируйте каждый cookie: название, домен, срок жизни, передаётся ли в третью страну. Это основа для следующих шагов.

Шаг 2. Проверьте правовое основание для каждой группы cookies

Технические cookies, необходимые для работы сайта (авторизация, корзина, сессия), обрабатываются на основании п. 5 ч. 1 ст. 6 ФЗ-152 — исполнение договора с пользователем. Согласие для них не требуется, но это должно быть явно указано в политике конфиденциальности.

Аналитические и маркетинговые cookies обрабатываются исключительно на основании согласия по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн должно быть оформлено отдельным документом или отдельным действием — встроить его в пользовательское соглашение или политику конфиденциальности нельзя. Проставление галочки в баннере cookies считается отдельным действием, если баннер соответствует требованиям ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта оформляется отдельным документом; не может быть включено в состав иного документа. Обязательные реквизиты: наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Для программ лояльности и email-рассылок правовое основание — то же: согласие по ст. 9 ФЗ-152. Рассылки дополнительно регулируются ст. 18 ФЗ «О рекламе»: требуется явное согласие на получение рекламных сообщений. Смешивать эти два согласия в одной форме нельзя.

Уже используете GA4 и ретаргетинг, но баннера нет?

Если маркетолог запустил трекеры до настройки баннера — обработка идёт без правового основания. Это нарушение ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽) и одновременно трансграничная передача без уведомления РКН (штраф по ч. 10 — 100 000–300 000 ₽). Оба состава могут применяться одновременно. Срок уведомления о намерении обрабатывать ПДн — до начала обработки, не после запуска пикселей.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте баннер cookies — соответствует ли он требованиям?

Баннер считается корректным, если одновременно выполнены три условия. Первое — он появляется до загрузки любых аналитических и маркетинговых скриптов, то есть трекеры активируются только после получения согласия. Второе — пользователь может отказаться от необязательных cookies так же легко, как принять их: кнопки «Принять все» и «Отклонить» равнозначны по визуальной заметности. Третье — в баннере перечислены категории cookies и указаны получатели данных (Google LLC, Meta Platforms и т. д.).

Распространённая ошибка: баннер есть, но скрипты GA4 загружаются в head до того, как пользователь нажал кнопку. Проверьте через DevTools (Network → XHR) — если запросы к google-analytics.com уходят раньше взаимодействия с баннером, правовое основание отсутствует.

Второй типичный случай — кнопка «Принять» выделена цветом, а «Отклонить» спрятана в ссылку мелким шрифтом. Такой баннер РКН расценивает как принуждение к согласию, что противоречит принципу добровольности по ст. 9 ФЗ-152.

Как проверить трансграничную передачу через GA4 и что с этим делать?

GA4 передаёт данные на серверы Google LLC (США). США не входит в перечень стран с адекватным уровнем защиты ПДн по приказу РКН. Это означает: до начала передачи данных через GA4 оператор обязан уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152.

Уведомление подаётся через личный кабинет на pd.rkn.gov.ru. В нём указывают: страну получателя, наименование получателя, цель передачи, категории ПДн. Срок — до начала передачи, не после. Отсутствие уведомления при работающем GA4 — нарушение ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000–300 000 ₽.

«Ст. 12 ФЗ-152 — трансграничная передача ПДн в страну, не обеспечивающую адекватную защиту, допустима только при условии предварительного уведомления РКН и соблюдения ряда дополнительных требований. Перечень адекватных стран утверждает РКН отдельным приказом.»

Практическое решение: переключить GA4 на Server-Side Tagging с сервером в России, либо использовать Яндекс.Метрику как основной инструмент аналитики, либо подать уведомление о трансграничной передаче и зафиксировать его в ОРД. Каждый из вариантов имеет разную стоимость и уровень риска — выбор зависит от объёма трафика и маркетинговых задач.

Шаг 5. Проверьте политику конфиденциальности на соответствие ч. 2 ст. 18.1 ФЗ-152

Политика конфиденциальности интернет-магазина должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152. Проверьте наличие каждого пункта по следующему списку.

Что должно быть в политике конфиденциальности

Наименование, адрес и контакты оператора (и лица, ответственного за обработку ПДн по ст. 22.1 ФЗ-152)
Цели обработки ПДн с указанием правового основания для каждой цели (ст. 6 ФЗ-152)
Перечень обрабатываемых ПДн по каждой цели: cookies как идентификаторы, email, телефон, история заказов
Сведения о передаче ПДн третьим лицам: службы доставки, CRM-сервисы, рекламные платформы с указанием стран получателей
Порядок обращения субъекта: срок ответа 10 рабочих дней (ст. 20 ФЗ-152), способ подачи запроса, контакт ответственного

Отдельно проверьте, что политика опубликована на сайте в открытом доступе и ссылка на неё есть в баннере cookies, форме подписки и форме регистрации. Отсутствие опубликованной политики — штраф по ч. 3 ст. 13.11 КоАП 30 000–60 000 ₽.

Шаг 6. Проверьте комплект ОРД и уведомление в реестре РКН

Аудит cookies завершается проверкой организационно-распорядительной документации. Минимальный состав для интернет-магазина: уведомление в реестре операторов ПДн на pd.rkn.gov.ru (ст. 22 ФЗ-152), приказ о назначении лица, ответственного за обработку ПДн (ст. 22.1 ФЗ-152), регламент работы с cookies и идентификаторами, согласия на рассылки с указанием реквизитов ст. 9 ФЗ-152, договор-поручение с каждым подрядчиком, обрабатывающим ПДн (служба доставки, CRM, CDP-платформа).

Если уведомление в реестре не подано, а сайт собирает email через форму заказа — это нарушение ч. 10 ст. 13.11 КоАП. Штраф 100 000–300 000 ₽, независимо от того, был ли причинён вред субъектам. Проверить статус уведомления можно на pd.rkn.gov.ru по ИНН или наименованию организации.

Если маркетолог прошёл все шесть шагов и выявил нарушения — следующий этап: устранение и документирование. Каждый незакрытый пункт — это отдельный состав по ст. 13.11 КоАП. Юристы DATUM соберут ОРД под ключ, подадут уведомление в РКН и настроят баннер cookies в соответствие с ФЗ-152.

Собрать ОРД под ключ

Как применяется аудит cookies на практике

Кейс 1. Интернет-магазин одежды (Центральный ФО, осень 2025) использовал GA4, Meta Pixel и сервис email-рассылок. Директор по маркетингу обнаружил, что уведомление в реестре РКН подано, но в нём не указана трансграничная передача. Баннер cookies загружал все скрипты до получения согласия. По результатам аудита DATUM: подано уточнение к уведомлению с указанием стран-получателей, баннер перенастроен на Consent Mode v2, обновлена политика конфиденциальности. Проверка РКН, инициированная по жалобе пользователя, завершилась без штрафа — нарушения были устранены до завершения проверочных мероприятий.

Кейс 2. Маркетплейс товаров для дома (Сибирский ФО, начало 2026) получил предписание РКН по итогам плановой проверки: политика конфиденциальности не содержала сведений о cookies, баннер отсутствовал. Арбитражный суд региона рассматривал дело по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Компания устранила нарушения в ходе производства и представила доказательства: штраф назначен в минимальном размере с учётом первичности нарушения.

Какие нарушения по cookies встречаются на маркетплейсах?

На маркетплейсах действует разграничение ролей оператора. Платформа-агрегатор (Wildberries, Ozon) является самостоятельным оператором ПДн в отношении покупателей. Продавец-партнёр, если он получает доступ к данным покупателей через API или аналитику маркетплейса, также приобретает статус оператора или лица, осуществляющего обработку по поручению (п. 3 ст. 6 ФЗ-152).

Типичная ошибка продавца: разместить на собственном лендинге кнопку «Купить на Wildberries» с UTM-метками, пикселем VK Рекламы и GA4 — и при этом считать, что за обработку ПДн отвечает только маркетплейс. Это не так: UTM-параметры в связке с идентификатором браузера формируют профиль пользователя, который обрабатывает сам продавец.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка cookies, политики, ОРД и уведомления РКН по чек-листу из 38 пунктов
Комплект ОРД под ключ — полный пакет документов для интернет-магазина, включая согласия, регламент cookies, договоры-поручения
Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1.1

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie содержит устойчивый идентификатор пользователя (client_id, user_id, device_id), связанный с историей поведения на сайте. Такой идентификатор позволяет косвенно идентифицировать физическое лицо по смыслу ст. 3 ФЗ-152. Технические cookies (идентификатор сессии, токен авторизации без привязки к профилю) к ПДн, как правило, не относятся, но это зависит от конкретной реализации.

2. Можно ли использовать GA4 после ограничений?

GA4 можно использовать при выполнении двух условий: оператор подал уведомление о трансграничной передаче ПДн в РКН по ст. 12 ФЗ-152 (до начала передачи, не после), и на сайте настроен корректный баннер cookies с Consent Mode v2, который активирует GA4 только после согласия пользователя. Альтернатива без трансграничной передачи — переход на Server-Side Tagging с сервером в России или использование Яндекс.Метрики.

3. Кто оператор — маркетплейс или продавец?

Каждый из них является самостоятельным оператором ПДн в отношении данных, которые обрабатывает в своих целях. Маркетплейс — оператор данных покупателей на платформе. Продавец становится оператором, когда самостоятельно собирает ПДн через свой лендинг, трекеры, UTM-параметры или получает данные от маркетплейса по API. Если продавец обрабатывает ПДн по инструкции маркетплейса и только для его целей — возможна конструкция поручения по п. 3 ст. 6 ФЗ-152, но она требует письменного договора-поручения.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера при работающих аналитических и маркетинговых трекерах — это обработка ПДн без правового основания (без согласия), что квалифицируется по ч. 1 ст. 13.11 КоАП. Для юрлица штраф 150 000–300 000 ₽ при первичном нарушении, при повторном — 300 000–500 000 ₽ по ч. 1.1. Если одновременно отсутствует уведомление о трансграничной передаче — добавляется состав по ч. 10 той же статьи (100 000–300 000 ₽). Оба штрафа могут быть назначены по одному делу.

5. Как оформить отзыв подписки на рассылку?

Отзыв согласия на email-рассылку должен быть доступен тем же способом, которым согласие было получено, либо более простым — это требование ст. 9 ФЗ-152. На практике: в каждом письме должна быть ссылка «Отписаться», по нажатию которой обработка прекращается без дополнительных действий пользователя. Срок прекращения обработки после отзыва — разумный, на практике не более 5 рабочих дней. Факт отзыва и дату необходимо фиксировать в системе: это доказательство при проверке РКН.

6. Нужно ли переоформлять согласия, собранные до 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, собранные до 01.09.2025 по ранее действовавшим правилам, переоформлять не требуется, если они были получены в соответствии с нормами ФЗ-152, действовавшими на момент сбора. Новые согласия (после 01.09.2025) и повторные сборы — только в форме отдельного документа или отдельного действия. Рекомендуется провести ревизию форм подписки и форм регистрации, чтобы убедиться, что новые пользователи проходят через обновлённые механизмы согласия.

Итог

Аудит cookies — это шестишаговая процедура: инвентаризация файлов cookie, проверка правового основания, тестирование баннера, оценка трансграничной передачи, ревизия политики конфиденциальности, проверка ОРД и реестра РКН. Каждый шаг закрывает конкретный состав нарушения по ст. 13.11 КоАП с диапазоном штрафов от 30 000 до 500 000 ₽ за первичные нарушения.

Практика DATUM по e-commerce охватывает интернет-магазины, маркетплейсы и SaaS-продукты: от первичного аудита cookies до сопровождения проверок РКН. Консультации по трансграничной передаче через GA4 и Meta Pixel — в рамках аудита соответствия 152-ФЗ.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.