Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

ID устройства как ПДн

ID устройства — cookie-идентификатор, device fingerprint, рекламный IDFA/GAID — относится к персональным данным, если позволяет прямо или косвенно идентифицировать физическое лицо.
Роскомнадзор квалифицирует cookies как ПДн. Интернет-магазин без баннера согласия рискует штрафом по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽, а использование GA4 с передачей данных на серверы Google — отдельным нарушением требований локализации и трансграничной передачи.
→ Если вы маркетолог и подключаете GA4, Meta Pixel или программу лояльности — проверьте, какие идентификаторы устройств вы собираете и есть ли правовое основание для этого.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: за нарушения в обработке ПДн — 18 частей и штрафы до 500 млн ₽ при повторной утечке. Маркетолог, который ставит пиксели аналитики и запускает рассылки, де-факто является участником цепочки обработки персональных данных. Эта инструкция показывает: какие идентификаторы устройств закон считает ПДн, что нужно сделать на сайте и в рекламном стеке, чтобы не получить протокол от РКН.

Шаг 1. Определите, какие идентификаторы устройств вы собираете

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Cookie-файл, содержащий уникальный идентификатор сессии или пользователя, позволяет отследить поведение конкретного человека на сайте. Роскомнадзор в своей правоприменительной практике квалифицирует такие идентификаторы как ПДн.

Проверьте следующие категории идентификаторов в вашей инфраструктуре:

  • HTTP-cookies — файлы, которые браузер хранит на устройстве пользователя. Функциональные cookies (хранение корзины) отличаются от аналитических (_ga, _fbp) и рекламных (третьесторонние cookies рекламных сетей).
  • Device fingerprint — набор параметров браузера и ОС (User-Agent, разрешение экрана, шрифты, часовой пояс), который в совокупности идентифицирует устройство без установки файлов.
  • Мобильные рекламные идентификаторы — IDFA (Apple) и GAID (Google), передаваемые при работе с мобильными приложениями.
  • Хешированные email-адреса — используются в программах лояльности и для связки аудитории в рекламных кабинетах (customer match).
  • UTM-параметры в сочетании с user ID — когда ссылка содержит идентификатор, связанный с аккаунтом конкретного пользователя.
«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Идентификатор устройства, устойчиво связанный с конкретным пользователем, подпадает под это определение.»

Практический тест: если идентификатор можно связать с email, телефоном или аккаунтом пользователя — это ПДн. Если cookies используются только для технической работы сессии (и не передаются третьим лицам) — правовое основание может быть шире. Но аналитические и рекламные cookies передаются третьим лицам по умолчанию, поэтому требуют согласия.

Используете GA4 или Meta Pixel на сайте магазина?

Подключение систем аналитики без баннера согласия на cookies — это уже основание для протокола по ч. 1 ст. 13.11 КоАП. Маркетолог, который настраивает пиксели, участвует в обработке ПДн. До 01.09.2025 согласие можно было встроить в политику конфиденциальности. После — требуется отдельный документ по ФЗ-156. Юристы DATUM проведут аудит рекламного стека и подготовят пакет документов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Проверьте правовые основания для каждой категории cookies

Обработка ПДн требует правового основания по ст. 6 ФЗ-152. Для cookies — это преимущественно согласие субъекта (п. 1 ч. 1 ст. 6). Технически необходимые cookies, без которых сайт не работает (сессионные, корзина, авторизация), могут опираться на основание исполнения договора (п. 5 ч. 1 ст. 6). Для аналитических и рекламных cookies такого основания нет — нужно согласие.

Разбивка по типам:

  • Необходимые (технические) cookies — основание: договор с пользователем или законный интерес. Согласие не требуется, но в политике конфиденциальности их нужно описать.
  • Аналитические cookies (GA4, Яндекс.Метрика, Hotjar) — основание: согласие. Сбор без согласия = нарушение ч. 1 ст. 13.11 КоАП.
  • Рекламные cookies (Meta Pixel, TikTok Pixel, ретаргетинг) — основание: согласие. Передача данных иностранному сервису = ещё и вопрос трансграничной передачи по ст. 12 ФЗ-152.
  • Персонализации (сохранение предпочтений, история просмотров) — основание: согласие или договор, зависит от реализации.
«Ст. 6 ФЗ-152: обработка ПДн допускается при наличии одного из 11 оснований. Для аналитических и рекламных cookies применимо только согласие субъекта (п. 1 ч. 1 ст. 6).»

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом — его нельзя объединять с договором оферты или политикой конфиденциальности. Баннер cookies должен собирать согласие как самостоятельное действие пользователя, а не как акцепт пользовательского соглашения.

Шаг 3. Настройте баннер согласия на cookies

Баннер согласия — это интерфейс, через который пользователь выражает добровольное, конкретное и информированное согласие на обработку его идентификаторов устройства. По ст. 9 ФЗ-152 согласие должно содержать обязательные реквизиты.

Требования к баннеру cookies после 01.09.2025:

  • Чёткое описание категорий cookies и целей их использования — аналитика, реклама, персонализация.
  • Возможность принять или отклонить каждую категорию отдельно (гранулярное согласие).
  • Кнопка «Принять всё» не должна быть визуально более заметной, чем «Отклонить» или «Настроить».
  • Информация о третьих лицах, которым передаются данные (Google, Meta, Яндекс).
  • Ссылка на политику конфиденциальности с полным описанием обработки.
  • Технический механизм: до получения согласия аналитические скрипты не должны загружаться.

Что подготовить для легального сбора cookies

  • Баннер cookies с гранулярным выбором и блокировкой скриптов до согласия.
  • Обновлённая политика конфиденциальности с разделом об идентификаторах устройств и трансграничной передаче.
  • Отдельное согласие на обработку ПДн по ФЗ-156 (не встроенное в оферту).
  • Уведомление РКН о намерении осуществлять трансграничную передачу (при использовании GA4, Meta Pixel).
  • Договор на обработку ПДн с каждым аналитическим / рекламным сервисом в качестве поручения.

Технические инструменты для реализации: Consent Management Platform (CMP) — Cookiebot, OneTrust, или самостоятельная реализация через Google Tag Manager с Custom Consent Mode. Важно: Consent Mode v2 от Google не освобождает от требований российского законодательства — он решает проблему для GDPR, но не для ФЗ-152.

Шаг 4. Урегулируйте передачу данных через GA4 и рекламные пиксели

GA4, Meta Pixel, TikTok Pixel передают идентификаторы устройств, IP-адреса и поведенческие данные на серверы, расположенные за пределами России. По ч. 5 ст. 18 ФЗ-152 первичный сбор, систематизация, накопление и хранение ПДн граждан РФ должны осуществляться в базах данных, расположенных в России. Передача данных за рубеж — трансграничная передача по ст. 12 ФЗ-152.

Порядок действий при использовании иностранных аналитических сервисов:

  • Определить страны, в которые передаются данные (серверная инфраструктура GA4 — США и ЕС, Meta — США).
  • Проверить, включена ли страна в перечень стран, обеспечивающих адекватную защиту ПДн, по актуальному приказу РКН.
  • Для стран вне перечня — подать уведомление о трансграничной передаче в РКН до начала передачи.
  • Получить письменное согласие субъекта с указанием факта трансграничной передачи и страны назначения.
  • Заключить договор с иностранным оператором с обязательством соблюдать требования ФЗ-152.
«Ч. 5 ст. 18 ФЗ-152: при сборе ПДн граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение данных с использованием баз данных, расположенных в России. Передача данных за рубеж регулируется ст. 12 ФЗ-152. Штраф за нарушение локализации — от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП, при повторении — от 6 до 18 млн ₽.»

Альтернатива для маркетолога: использовать серверную обработку (server-side tagging) с хостингом GTM-сервера в России. Данные первично фиксируются в российской базе, а в GA4 уходят агрегированные показатели. Это частично снимает проблему локализации, но не исключает необходимость баннера и уведомления РКН.

Если маркетолог уже запустил GA4 или Meta Pixel без уведомления РКН о трансграничной передаче — это длящееся нарушение. Штраф по ч. 8 ст. 13.11 КоАП за нарушение локализации составляет от 1 до 6 млн ₽. Юристы DATUM подготовят уведомление о трансграничной передаче и договор с зарубежным обработчиком.

Заказать аудит 152-ФЗ

Как правильно выстроить обработку данных в программах лояльности и рассылках?

Программы лояльности интернет-магазина — один из наиболее частых поводов для претензий РКН. При регистрации в программе пользователь передаёт email, телефон, дату рождения. Эти данные затем связываются с историей покупок и идентификаторами устройств — получается профиль, обработка которого требует строгого соблюдения ст. 5 ФЗ-152 о принципах.

Типовые нарушения в программах лояльности:

  • Объединение баз данных клиентов разных проектов (маркетплейс + собственный магазин) с несовместимыми целями — нарушение принципа разделения баз по ст. 5 ФЗ-152.
  • Передача данных партнёрам по программе лояльности без отдельного согласия на передачу третьим лицам.
  • Рассылки на основании согласия, встроенного в оферту — недействительны после 01.09.2025 по ФЗ-156.
  • Отсутствие механизма отзыва согласия на рассылку: по ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент.

Для email-рассылок применяется принцип double opt-in: первое действие — ввод email, второе — подтверждение по ссылке. Это создаёт доказательную базу того, что согласие получено от конкретного лица. Одного чекбокса в форме недостаточно — нужна запись с timestamp и IP-адресом момента согласия.

«Ст. 5 ФЗ-152: обработка ПДн должна осуществляться на законной основе, в конкретных целях, объём — не превышать необходимого для достижения цели. Объединение баз с несовместимыми целями не допускается.»

Как это применяется на практике

Кейс 1. Интернет-магазин одежды (Центральный ФО, весна 2025) использовал Meta Pixel и GA4 без баннера согласия. При плановой проверке РКН инспектор зафиксировал автоматическую передачу cookie-идентификаторов и IP-адресов на зарубежные серверы при первом визите пользователя на сайт. Компании выставили протокол по ч. 1 ст. 13.11 КоАП (отсутствие правового основания для обработки) и по ч. 8 ст. 13.11 КоАП (нарушение требований локализации). Сумма по двум составам — в диапазоне от 1 до 7 млн ₽. Компания подключила юристов на стадии оспаривания постановления.

Кейс 2. Маркетплейс товаров для дома (Северо-Западный ФО, конец 2024) получил жалобу от пользователя: сервис рассылки отправлял письма после отписки. Выяснилось, что согласие на рассылку было встроено в пользовательское соглашение, кнопка «Отписаться» работала с задержкой до 10 дней. РКН возбудил дело по ч. 4 ст. 13.11 КоАП (невыполнение обязанности по предоставлению информации субъекту) и по ч. 5 ст. 13.11 КоАП (неисполнение требования об уничтожении). Штраф — в диапазоне сотен тысяч рублей. После инцидента компания перешла на double opt-in и внедрила автоматическое подтверждение отписки.

Вопрос о маркетплейсах. Когда продавец торгует через маркетплейс, возникает вопрос: кто оператор ПДн покупателя? По позиции РКН, маркетплейс как владелец платформы является самостоятельным оператором. Продавец, которому маркетплейс передаёт контактные данные для доставки, также становится оператором в части этих данных. Если продавец использует эти данные для собственных рассылок — нужно отдельное согласие покупателя именно на коммуникацию с продавцом.

Что грозит за отсутствие баннера cookies и нарушения в рекламном стеке?

Три основных состава для маркетолога и оператора интернет-магазина:

  • Ч. 1 ст. 13.11 КоАП — обработка ПДн без правового основания или в несовместимых с заявленными целях: 150 000 — 300 000 ₽ для юрлица.
  • Ч. 8 ст. 13.11 КоАП — нарушение требований локализации: 1 000 000 — 6 000 000 ₽. При повторении (ч. 9) — 6 000 000 — 18 000 000 ₽.
  • Ч. 2 ст. 13.11 КоАП — обработка без письменного согласия или с нарушением требований к его составу: 300 000 — 700 000 ₽. При повторении (ч. 2.1) — 1 000 000 — 1 500 000 ₽.

Дополнительный риск — ч. 4 ст. 13.11 КоАП (невыполнение обязанности по предоставлению субъекту информации об обработке): 40 000 — 80 000 ₽. Этот состав возникает, если на сайте нет политики конфиденциальности или она не содержит сведений о cookies и третьих лицах.

Используя GA4, маркетолог также создаёт риск по ч. 11 ст. 13.11 КоАП: если данные из GA4 утекут (например, через взлом аккаунта), компания обязана уведомить РКН в течение 24 часов. Неуведомление — штраф 1 000 000 — 3 000 000 ₽.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

Да, если cookies позволяют прямо или косвенно идентифицировать физическое лицо. Аналитические cookies (_ga, _fbp) содержат уникальные идентификаторы, которые в сочетании с IP-адресом и историей поведения устойчиво связаны с конкретным пользователем. Роскомнадзор квалифицирует такие идентификаторы как ПДн на основании ст. 3 ФЗ-152. Технические cookies, работающие только в рамках сессии и не передаваемые третьим лицам, находятся в серой зоне, но безопаснее описать их в политике конфиденциальности.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено, но требует выполнения ряда условий: баннер согласия с блокировкой скрипта до получения согласия, уведомление РКН о трансграничной передаче ПДн (США не входят в перечень стран адекватной защиты по актуальному приказу РКН), первичный сбор данных в российской базе. Альтернатива — server-side tagging с российским хостингом GTM-контейнера. Без этих мер использование GA4 создаёт нарушения по ч. 1 и ч. 8 ст. 13.11 КоАП.

3. Кто оператор: маркетплейс или продавец?

Оба. Маркетплейс — оператор ПДн покупателей как владелец платформы. Продавец становится самостоятельным оператором в момент, когда получает персональные данные покупателя (контакты для доставки). Если продавец использует эти данные для собственного маркетинга или передаёт третьим лицам — ему нужны отдельные правовые основания и уведомление в реестре РКН по ст. 22 ФЗ-152. Отсутствие уведомления — штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера означает, что аналитические и рекламные cookies обрабатываются без правового основания. Это состав по ч. 1 ст. 13.11 КоАП: штраф для юрлица от 150 000 до 300 000 ₽. Если cookies передаются иностранному сервису — добавляется ч. 8 ст. 13.11 КоАП: ещё 1 000 000 — 6 000 000 ₽ за нарушение локализации. При повторном нарушении — ч. 1.1 ст. 13.11 КоАП (300 000 — 500 000 ₽) и ч. 9 ст. 13.11 КоАП (6 000 000 — 18 000 000 ₽).

5. Как оформить отзыв подписки?

По ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент. Для email-рассылок механизм отзыва: ссылка «отписаться» в каждом письме, обработка запроса не дольше срока, установленного внутренним регламентом (рекомендуется немедленно, но не позднее 10 рабочих дней по ст. 20 ФЗ-152). После отзыва — прекращение обработки ПДн в целях рассылки и уничтожение данных, если иное основание для хранения отсутствует. Факт отписки фиксируйте с timestamp — это доказательство при претензии субъекта.

Итог

ID устройства, cookie-идентификаторы, IDFA и GAID — персональные данные по ФЗ-152, когда они позволяют идентифицировать пользователя. Для их обработки нужны правовое основание, баннер согласия, политика конфиденциальности с описанием трансграничной передачи и уведомление РКН. После 01.09.2025 согласие — отдельный документ, не часть оферты.

Юристы DATUM сопровождают e-commerce в настройке рекламного стека под требования ФЗ-152: от аудита cookies до подготовки уведомлений РКН о трансграничной передаче и защиты в арбитраже при наличии протокола.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

Настраиваете рекламный стек и не уверены в соответствии 152-ФЗ?

Оценить риски по 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru