инструкция 14 марта 2027 По состоянию на 14 марта 2027

FingerPrinting: правовые риски

Браузерный fingerprint — это персональные данные по позиции Роскомнадзора. Обработка без согласия пользователя нарушает 152-ФЗ и влечёт штраф по ч. 1 или ч. 2 ст. 13.11 КоАП.

С 30.05.2025 штраф за обработку без надлежащего согласия достигает 700 000 ₽ за первичное нарушение и до 1 500 000 ₽ при повторном. Данные аналитики через GA4 дополнительно квалифицируются как трансграничная передача.

Если вы маркетолог и на сайте стоит пиксель, трекер или счётчик без баннера согласия — у вас есть основание для протокола РКН прямо сейчас. → Проверить и устранить за один аудит.

Fingerprinting — сбор параметров браузера, устройства и сети для идентификации пользователя без файлов cookie. Технически изощрённее cookies, но с точки зрения 152-ФЗ попадает в ту же категорию: если данные позволяют идентифицировать конкретного человека, они являются персональными данными. В 2025–2026 годах РКН последовательно расширяет перечень индикаторов риска: сайты без баннера согласия, трекеры Google и Meta, использование GA4 без уведомления о трансграничной передаче — всё это становится основанием для внеплановой проверки. Инструкция описывает пять практических шагов, которые маркетолог или директор по маркетингу должен пройти, чтобы привести сайт в соответствие с законом до того, как придёт запрос от регулятора.

Шаг 1. Определите, какие данные собирает ваш сайт и являются ли они персональными

Браузерный fingerprint формируется из десятков параметров: user-agent, разрешение экрана, список шрифтов, часовой пояс, WebGL-рендеринг, IP-адрес. Каждый параметр в отдельности не является персональными данными. Совокупность, позволяющая устойчиво идентифицировать пользователя, — уже является. РКН в своих методических разъяснениях квалифицирует cookies и аналогичные идентификаторы как персональные данные, если оператор способен соотнести их с конкретным человеком.

«Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Косвенная идентификация через fingerprint-хэш охватывается этим определением.»

Практический тест для маркетолога: если ваша платформа аналитики или CRM способна связать fingerprint с email, номером телефона или историей покупок — это персональные данные, требующие правового основания для обработки по ст. 6 ФЗ-152. Проверьте: Яндекс.Метрика, Google Analytics 4, Meta Pixel, Roistat, Calltouch — все эти инструменты собирают идентификаторы устройств. Составьте реестр обработчиков — это первое действие.

Шаг 2. Проверьте наличие правового основания — согласие, политика, баннер

Основание для обработки cookies и fingerprint-данных по ст. 6 ФЗ-152 — согласие субъекта (п. 1 ч. 1). Договорное основание (п. 5 ч. 1) применимо только к данным, необходимым для исполнения договора: покупки, доставки. Маркетинговые трекеры, аналитика поведения и ретаргетинг под договорное основание не подпадают.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 требует, чтобы согласие было оформлено отдельным документом — не включено в оферту, пользовательское соглашение или политику конфиденциальности. Требование действует с 01.09.2025.»

Баннер cookies — это форма получения такого согласия. Он должен: появляться до начала передачи данных (не после); содержать перечень категорий данных и цели; давать пользователю возможность отказаться отдельно от каждой категории; фиксировать факт согласия с меткой времени. Баннер с текстом «Мы используем cookies. Продолжая, вы соглашаетесь» без кнопки отказа не соответствует требованиям. Проверьте свой баннер по этому перечню.

Дополнительно: если сайт использует данные для email-рассылок, согласие на рассылку — отдельное от согласия на cookies. Смешение оснований — типовая ошибка, которую РКН фиксирует при проверке политики конфиденциальности интернет-магазина.

На сайте стоят трекеры, а баннер согласия отсутствует или формальный?

Каждый день без надлежащего баннера — это действующее нарушение ч. 1 ст. 13.11 КоАП. Штраф при первой проверке составит 150 000–300 000 ₽, при повторной — до 500 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, включая проверку трекеров, баннера и политики конфиденциальности сайта, и выдадут приоритизированный план устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте трансграничную передачу данных через GA4 и сторонние пиксели

Если на сайте установлен Google Analytics 4, Meta Pixel, LinkedIn Insight Tag или любой другой инструмент, сервер которого находится за рубежом, — данные пользователей передаются в иностранное государство. По ст. 12 ФЗ-152 это трансграничная передача, требующая уведомления РКН до её начала.

«Ст. 12 ФЗ-152: до передачи персональных данных в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить Роскомнадзор. США и большинство стран ЕС в перечень адекватной защиты не включены. Уведомление подаётся через pd.rkn.gov.ru с УКЭП или через ЕСИА.»

Практическая сложность: Google Analytics 4 работает через домен google-analytics.com, сервера которого расположены в США. Даже если IP-анонимизация включена, передача идентификатора устройства и сессии происходит до анонимизации на стороне Google. Это означает, что уведомление о трансграничной передаче обязательно. Проверьте: подано ли уведомление в реестр РКН через форму по Приказу РКН №180. Отсутствие уведомления — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Для маркетплейсов: если вы продавец на Wildberries, Ozon или Яндекс.Маркет, уточните в соглашении с маркетплейсом, кто является оператором ПДн покупателей. Как правило, маркетплейс — оператор по основному договору, а продавец получает данные по поручению. Это не снимает с продавца обязанность иметь политику конфиденциальности и обрабатывать переданные данные только в рамках согласованных целей.

Шаг 4. Обновите политику конфиденциальности и ОРД под fingerprinting и трекеры

Политика конфиденциальности должна описывать все виды обрабатываемых данных, включая cookies, fingerprint-идентификаторы, данные аналитики и сведения о поведении на сайте. Требования к содержанию политики установлены ч. 2 ст. 18.1 ФЗ-152. Отсутствие политики или её несоответствие реальной обработке — нарушение, за которое предусмотрен штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽.

В политике интернет-магазина, использующего fingerprinting, необходимо отразить: перечень обработчиков (Google, Яндекс, Meta и иные), цели передачи данных каждому, страны передачи с указанием правового основания, механизм отзыва согласия, срок хранения данных и порядок их удаления по запросу субъекта (ст. 20 ФЗ-152 — 10 рабочих дней на ответ).

Что подготовить для соответствия fingerprinting-требованиям

Реестр всех сторонних трекеров, пикселей и скриптов аналитики с указанием страны сервера
Актуальная политика конфиденциальности с разделом о cookies и идентификаторах устройств
Баннер согласия с раздельным управлением категориями данных и фиксацией отказа
Уведомление в реестре РКН о трансграничной передаче данных (если используется GA4, Meta Pixel или иной зарубежный сервис)
Отдельные согласия на email-рассылки, отделённые от согласий на cookies и аналитику

Организационно-распорядительная документация (ОРД) для e-commerce включает не только политику, но и приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152, инструкцию по обработке обращений пользователей и регламент удаления данных. Без этих документов проверка РКН фиксирует системное несоответствие, а не отдельные нарушения.

Если маркетолог использует GA4 без уведомления о трансграничной передаче — это действующее нарушение. Уведомление РКН подаётся до начала передачи, задним числом не исправить. Юристы DATUM соберут комплект ОРД под ключ и подготовят уведомление по форме Приказа РКН №180.

Собрать ОРД под ключ

Шаг 5. Настройте механизм отзыва согласия и реагирование на запросы субъектов

Согласие на обработку данных должно быть отзываемым в любой момент — это прямое требование ст. 9 ФЗ-152. Применительно к fingerprinting и трекерам это означает: пользователь должен иметь возможность отозвать согласие на аналитику и ретаргетинг через интерфейс сайта без обращения в службу поддержки.

Технически: кнопка «Управление cookies» или «Отозвать согласие» должна быть доступна в любой момент — не только при первом визите. После отзыва сайт обязан прекратить передачу данных соответствующим трекерам немедленно. Если ваша CMP (Consent Management Platform) не поддерживает такой сценарий — это нарушение ч. 2 ст. 9 ФЗ-152 и основание для жалобы субъекта в РКН.

Для программ лояльности: согласие на обработку данных в рамках бонусной программы и согласие на отслеживание поведения на сайте — разные правовые основания. Смешение приводит к тому, что при отзыве одного согласия оператор продолжает обработку по второму, не имея для этого надлежащего правового документа. Разделите согласия по целям в ОРД.

Типовые ситуации: как это работает на практике

Ситуация 1. Интернет-магазин с GA4 без уведомления о трансграничной передаче. Директор по маркетингу крупного ритейлера (Центральный ФО, весна 2026) получил запрос РКН в рамках мониторинга сайтов по индикаторам риска. GA4 работал без уведомления о трансграничной передаче, баннер cookies отсутствовал. Компания получила два протокола по ст. 13.11 КоАП — по ч. 1 (обработка без правового основания) и по ч. 10 (неуведомление РКН). Общая сумма штрафов составила несколько сотен тысяч рублей. Политика конфиденциальности была опубликована, но не описывала передачу данных Google — что зафиксировано как отдельное нарушение.

Ситуация 2. Маркетплейс и вопрос о роли оператора. Продавец на крупном маркетплейсе (Северо-Западный ФО, лето 2025) использовал выгрузку данных покупателей для собственных email-рассылок. Маркетплейс передавал данные по условиям соглашения — только для исполнения заказов. Использование для рассылок вышло за пределы согласованных целей. Роскомнадзор квалифицировал это как обработку несовместимую с целями сбора по ст. 5 ФЗ-152 и возбудил дело по ч. 1 ст. 13.11 КоАП. Стратегия защиты: разграничение ролей оператора и обработчика в договоре с маркетплейсом и раздельные согласия на маркетинговые цели.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка трекеров, баннера, политики и ОРД по 38 пунктам
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для e-commerce
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если оператор способен соотнести cookie-идентификатор с конкретным пользователем. Это возможно при наличии авторизации, программы лояльности или CRM-интеграции. Сам по себе технический cookie сессии может не являться ПДн, но аналитические и маркетинговые cookies, связанные с профилем пользователя, подпадают под ст. 3 ФЗ-152 как косвенно идентифицирующие данные. Обработка без согласия — нарушение ч. 1 ст. 13.11 КоАП со штрафом 150 000–300 000 ₽ для юрлица.

2. Можно ли использовать GA4 после ограничений?

Использовать можно, но с соблюдением двух условий. Первое — уведомление РКН о трансграничной передаче данных до начала передачи, поскольку Google Analytics 4 отправляет данные на серверы в США (страна без адекватной защиты по перечню РКН). Второе — баннер согласия с возможностью отказа от аналитических cookies. Нарушение первого условия — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11. Нарушение второго — штраф 150 000–700 000 ₽ по ч. 1 или ч. 2 ст. 13.11 в зависимости от того, требуется ли письменное согласие.

3. Кто оператор: маркетплейс или продавец?

Разграничение зависит от того, кто определяет цели и способы обработки. Маркетплейс — оператор в отношении данных покупателей, собранных при регистрации и оплате. Продавец — оператор в отношении данных, которые он собирает самостоятельно: через свои формы, рассылки, программы лояльности. Если продавец использует данные, переданные маркетплейсом, за пределами согласованных целей, он становится самостоятельным оператором без надлежащего правового основания — нарушение ст. 5 и ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера означает обработку данных без согласия субъекта. В зависимости от того, является ли требование к форме согласия письменным: ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽ при первичном нарушении, ч. 1.1 — 300 000–500 000 ₽ при повторном. Если через трекеры передаются данные, для которых закон требует письменного согласия, — ч. 2 ст. 13.11, штраф до 700 000 ₽. РКН выявляет отсутствие баннера автоматически в ходе мониторинга по индикаторам риска.

5. Как оформить отзыв подписки?

Отзыв согласия на рассылку должен быть технически доступен в любом письме (ссылка «Отписаться») и не требовать авторизации или объяснения причин. После отзыва оператор обязан прекратить рассылку — задержка не допускается. Если рассылка продолжается после отзыва, это нарушение ч. 2 ст. 9 ФЗ-152 и основание для жалобы в РКН по ч. 5 ст. 13.11 КоАП. Согласие на рассылку должно быть отделено от согласия на cookies и обработку данных для аналитики — это отдельные правовые документы по ФЗ-156 от 24.06.2025.

Итог

Fingerprinting, cookies и сторонние пиксели — это обработка персональных данных, требующая согласия, политики, уведомления РКН о трансграничной передаче и механизма отзыва. Пять шагов этой инструкции закрывают основные основания для протокола РКН по ст. 13.11 КоАП в редакции с 30.05.2025. С ужесточением санкций до 1 500 000 ₽ при повторном нарушении ч. 2 откладывать приведение сайта в соответствие становится дорогостоящим решением.

Юристы DATUM специализируются на цифровых продуктах и e-commerce: аудиты соответствия 152-ФЗ для интернет-магазинов, маркетплейсов и SaaS-платформ, разработка политик и согласий с учётом позиции РКН по cookies и трекерам, сопровождение при проверках.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.