Кейс предписания РКН по cookies
Роскомнадзор в 2025–2026 годах методично проверяет сайты на предмет сбора cookies без согласия пользователей. Первые предписания уже получили интернет-магазины и маркетплейсы Центрального и Северо-Западного федеральных округов. Кейс ниже разбирает типовую ситуацию: что именно указывает РКН в предписании, какие нормы нарушены, в какой последовательности устранять нарушения и что проверить дополнительно, чтобы не получить повторный протокол.
Почему cookies — это персональные данные и чем это грозит маркетологу?
РКН придерживается позиции: cookie-идентификаторы в совокупности с IP-адресом, данными браузера и поведением пользователя позволяют его идентифицировать прямо или косвенно. Это соответствует определению персональных данных из ст. 3 ФЗ-152: любая информация, прямо или косвенно относящаяся к определённому физическому лицу.
Из этого вытекает обязанность маркетолога (точнее — оператора сайта, которым де-юре является юрлицо) получить согласие пользователя до записи аналитических и рекламных cookies. Отсутствие баннера согласия — нарушение ч. 1 ст. 6 ФЗ-152 в части правового основания обработки. Административная ответственность — ч. 6 ст. 13.11 КоАП: штраф для юрлица 50 000–100 000 рублей за первое нарушение.
Дополнительный риск: если cookies передаются в Google Analytics 4, Meta Pixel или аналогичные зарубежные сервисы — это трансграничная передача персональных данных по смыслу ст. 12 ФЗ-152. Без уведомления РКН о трансграничной передаче в страну без адекватной защиты возникает отдельное нарушение.
Получили предписание РКН по cookies или ожидаете проверку?
Если на сайте вашего интернет-магазина нет баннера cookies или согласие оформлено не в соответствии с требованиями ст. 9 ФЗ-152 — предписание РКН лишь вопрос времени. Срок исполнения предписания обычно составляет 30 дней. Каждый день промедления сужает возможности для смягчения при обжаловании.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как выглядит предписание РКН по cookies: разбор типового документа
Типовое предписание РКН по cookies содержит три блока: установленные нарушения, правовое основание и требование об устранении со сроком. Разберём каждый.
Блок 1. Установленные нарушения. РКН фиксирует: на сайте при первом посещении без каких-либо действий пользователя записываются cookie-файлы аналитических и рекламных сервисов. Согласие пользователя не запрашивается. Политика конфиденциальности не содержит раздела об используемых cookies и целях их обработки.
Блок 2. Правовое основание. Нарушены: ч. 1 ст. 6 ФЗ-152 (отсутствие правового основания для обработки ПДн), ст. 9 ФЗ-152 (обработка без согласия), ч. 2 ст. 18.1 ФЗ-152 (политика не содержит обязательных сведений). В предписаниях 2025–2026 годов регулятор также указывает на нарушение ст. 12 ФЗ-152, если зафиксирована передача данных в зарубежные сервисы без уведомления.
Блок 3. Требование. Устранить нарушения в течение 30 дней с даты получения предписания. Представить в РКН подтверждение: скриншоты баннера, обновлённую политику, уведомление о трансграничной передаче (при наличии).
Шаг 1. Проведите инвентаризацию cookies на сайте
До внесения изменений необходимо точно знать, какие cookies сайт устанавливает, в какой момент и куда передаёт данные. Без инвентаризации любые исправления будут неполными, а РКН при повторной проверке это выявит.
Инструменты: браузерная вкладка DevTools (Application → Cookies), автоматические сканеры (CookieBot, OneTrust Scanner или любой аналог с экспортом в CSV). Нужно зафиксировать: имя cookie, домен, срок жизни, тип (сессионный / постоянный), отправляемые данные.
Разделите cookies на категории: обязательные (без которых сайт не работает), аналитические (GA4, Яндекс.Метрика), рекламные (Meta Pixel, Google Ads), персонализационные (программы лояльности, рекомендательные системы). Обязательные cookies согласия не требуют. Все остальные — требуют.
Шаг 2. Разработайте и разместите баннер согласия на cookies
Баннер должен появляться при первом посещении сайта до записи любых cookies, кроме обязательных. Ключевые требования к содержанию баннера вытекают из ст. 9 ФЗ-152.
Обязательные элементы баннера: информация о том, что сайт использует cookies; перечень целей (аналитика, реклама, персонализация); две кнопки — «Принять все» и «Настроить» (или «Отклонить необязательные»); ссылка на политику обработки ПДн и раздел о cookies. Молчание пользователя не считается согласием — кнопка «Принять» должна требовать активного действия.
Технически: до нажатия «Принять» аналитические и рекламные скрипты не должны загружаться. Это реализуется через менеджер тегов (Google Tag Manager или аналог) с триггером на событие согласия. Проверить корректность можно через DevTools: при первом посещении без нажатия кнопки аналитические cookies не должны появляться.
Что подготовить для закрытия предписания РКН
- Реестр cookies с разбивкой по категориям (обязательные / аналитические / рекламные)
- Баннер cookies с активным согласием и кнопкой отказа от необязательных
- Обновлённая политика конфиденциальности с разделом о cookies, целях и сроках хранения
- Уведомление РКН о трансграничной передаче (если используется GA4, Meta Pixel и аналоги)
- Скриншоты и техническая документация для ответа на предписание
Шаг 3. Обновите политику конфиденциальности
Политика конфиденциальности интернет-магазина должна содержать отдельный раздел о cookies. Минимальный состав раздела: перечень используемых cookies с указанием их назначения, срок хранения каждого типа, наименования третьих лиц, которым данные передаются (Google LLC, Meta Platforms и т. д.), способ управления cookies (инструкция по отзыву через настройки браузера или через баннер).
Отдельно укажите, что отказ от необязательных cookies не влечёт ограничения доступа к функционалу сайта. Это требование вытекает из принципа добровольности согласия по ст. 9 ФЗ-152: согласие не может быть обусловлено предоставлением услуги, если обработка не нужна для исполнения договора.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом, а не встраивается в текст договора или оферты. Применительно к cookies это означает: ссылка на политику из баннера — это не замена согласию, а дополнение к нему. Факт нажатия кнопки «Принять» фиксируется как отдельное волеизъявление.
Шаг 4. Решите вопрос с GA4 и трансграничной передачей данных
Google Analytics 4 передаёт данные на серверы Google LLC в США. США не входит в перечень стран с адекватной защитой персональных данных по позиции РКН. Значит, использование GA4 — трансграничная передача, требующая уведомления РКН по ст. 12 ФЗ-152 до начала передачи.
Порядок действий: подать уведомление о трансграничной передаче через личный кабинет на pd.rkn.gov.ru, указав страну назначения (США), наименование получателя (Google LLC), цель (веб-аналитика) и категории передаваемых данных (идентификаторы устройств, IP-адреса, поведенческие данные). Уведомление подаётся до передачи или — если передача уже идёт — немедленно после выявления.
Альтернатива для минимизации риска: переключиться на российский инструмент аналитики (Яндекс.Метрика хранит данные на серверах в РФ) или настроить GA4 в режиме server-side с прокси-сервером на российском хостинге. Второй вариант технически сложнее, но снимает вопрос трансграничной передачи при корректной реализации.
Meta Pixel — аналогичная ситуация. Если Pixel используется для ретаргетинга, данные уходят в Meta Platforms (Ирландия / США). Уведомление обязательно. Если рекламный бюджет не оправдывает юридические риски — рассмотрите отключение Pixel до оформления документов.
Если вы маркетолог и GA4 или Meta Pixel уже работают без уведомления о трансграничной передаче — нарушение ст. 12 ФЗ-152 уже состоялось. Уведомление подаётся до начала передачи; задним числом оно не восстанавливает правомерность прошлых операций, но снижает риск при проверке.
Подготовиться к проверке РКНШаг 5. Урегулируйте cookies в программах лояльности и email-рассылках
Программы лояльности интернет-магазина, как правило, используют персонализационные cookies для связи анонимного посетителя с зарегистрированным участником. Такие cookies обрабатывают данные, прямо идентифицирующие субъекта (логин, email, номер карты лояльности). Это специфичная ситуация: помимо согласия на cookies, требуется отдельное согласие на обработку ПДн участника программы по ст. 9 ФЗ-152.
С 01.09.2025 это согласие — отдельный документ. Если в вашей программе лояльности согласие встроено в условия участия или в оферту — оно недействительно. Его нужно переоформить в виде отдельного документа с реквизитами, предусмотренными ст. 9: ФИО, контакты субъекта, наименование оператора, цель, перечень данных, срок, способ отзыва.
Email-рассылки: согласие на рассылку — самостоятельное правовое основание, отдельное от согласия на обработку ПДн. Отзыв подписки должен быть реализован через ссылку отписки в каждом письме. Срок прекращения рассылки после отзыва — незамедлительно, но не позднее 10 рабочих дней по ст. 20 ФЗ-152 (применимо к прекращению обработки по требованию субъекта). Форму отзыва — зафиксировать и хранить.
Типовые сценарии предписания РКН: как развивается ситуация
Сценарий 1. Предписание получено, срок 30 дней, нарушения устранены в срок. Компания выполняет предписание, направляет в РКН подтверждение с документами. РКН проводит контрольную проверку. Если нарушения устранены — дело закрывается без штрафа. Протокол по ст. 13.11 в этом случае, как правило, не составляется. Это стандартный исход при первичном нарушении и оперативной реакции.
Сценарий 2. Предписание проигнорировано или исполнено частично. РКН составляет протокол по ч. 6 ст. 13.11 КоАП. Штраф для юрлица — 50 000–100 000 рублей. Если одновременно зафиксировано нарушение ст. 9 ФЗ-152 (обработка без согласия) — дополнительный протокол по ч. 2 ст. 13.11: 300 000–700 000 рублей. При наличии трансграничной передачи без уведомления — ещё один состав. Итоговая сумма по трём составам — свыше 1 миллиона рублей.
Сценарий 3. Повторное нарушение после уже полученного постановления. При повторном нарушении по ч. 1 или ч. 2 ст. 13.11 применяются квалифицированные составы: ч. 1.1 (300 000–500 000 рублей) или ч. 2.1 (1 000 000–1 500 000 рублей). Для маркетплейса или крупного интернет-магазина это уже существенная сумма. Стратегия: полное документальное закрытие при первом предписании исключает повторность.
Кейсы из практики
Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, осень 2025) получил предписание РКН после плановой проверки. На сайте использовались GA4, Яндекс.Метрика и пиксель одной из рекламных платформ. Баннер cookies отсутствовал, политика конфиденциальности не содержала раздела о cookies. Компания обратилась к юристам, в течение 20 дней устранила нарушения: разработала баннер с активным согласием, обновила политику, подала уведомление о трансграничной передаче. Предписание закрыто без штрафа.
Кейс 2. Маркетплейс с программой лояльности (Северо-Западный ФО, начало 2026) получил предписание по двум нарушениям сразу: отсутствие баннера cookies и согласие на программу лояльности, встроенное в условия участия. После 01.09.2025 такое согласие недействительно по ФЗ-156. Компания переработала форму вступления в программу, добавила баннер и уведомила РКН. Протокол составлен только по факту исторической обработки без согласия (нарушение до 01.09.2025) — штраф в диапазоне десятков тысяч рублей по ч. 2 ст. 13.11 в старой редакции.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка сайта, cookies, политики и уведомлений по чек-листу
- Комплект ОРД под ключ — политика, согласия, баннер cookies, уведомления РКН
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookie-идентификатор в совокупности с иными данными (IP-адрес, поведение на сайте, данные браузера) позволяет идентифицировать конкретного пользователя. Это соответствует определению ст. 3 ФЗ-152: «любая информация, прямо или косвенно относящаяся к определённому физическому лицу». Технические cookies, необходимые для работы сайта, также могут подпадать под это определение, но их обработка допустима без согласия на основании ч. 5 ст. 6 ФЗ-152 (исполнение договора).
2. Можно ли использовать GA4 после ограничений РКН?
Использовать GA4 можно, но с соблюдением двух условий: наличие баннера cookies с получением согласия до загрузки аналитических скриптов и подача уведомления о трансграничной передаче в РКН по ст. 12 ФЗ-152, поскольку данные передаются в США — страну без адекватной защиты по реестру РКН. Без выполнения этих условий использование GA4 нарушает ФЗ-152 и создаёт основание для предписания и протокола.
3. Кто оператор: маркетплейс или продавец?
Вопрос решается исходя из того, кто определяет цели и способы обработки ПДн покупателя. Если маркетплейс принимает заказ, обрабатывает оплату и формирует клиентскую базу — он оператор. Продавец, которому маркетплейс передаёт данные покупателя для исполнения заказа, является лицом, осуществляющим обработку по поручению оператора, по смыслу п. 3 ст. 6 ФЗ-152. При этом между маркетплейсом и продавцом должен быть заключён договор поручения на обработку ПДн с обязательными условиями по ст. 6 ч. 3.
4. Что грозит за отсутствие баннера cookies?
За отсутствие баннера cookies при наличии аналитических и рекламных скриптов РКН квалифицирует нарушение по ч. 6 ст. 13.11 КоАП (несоблюдение условий обработки). Штраф для юрлица — 50 000–100 000 рублей. Если одновременно выявлено отсутствие правового основания для передачи данных в зарубежные сервисы — добавляется состав по ст. 12 ФЗ-152, что влечёт дополнительные санкции. При повторном нарушении штраф по ч. 5.1 ст. 13.11 — 300 000–500 000 рублей.
5. Как оформить отзыв подписки на email-рассылку?
Отзыв подписки реализуется через ссылку «Отписаться» в каждом письме, ведущую на страницу подтверждения отзыва или обрабатывающую запрос автоматически. Факт отзыва фиксируется в базе рассылки с датой и временем. Прекратить рассылку нужно незамедлительно после получения запроса об отзыве согласия. Хранить подтверждение отзыва следует не менее срока исковой давности по спорам с субъектами — 3 года. Если субъект потребовал уничтожения ПДн — срок ответа составляет 10 рабочих дней по ст. 20 ФЗ-152.
6. Нужно ли переделывать согласия в программе лояльности после 01.09.2025?
Согласия, оформленные до 01.09.2025 в составе договора или условий участия, не требуют немедленного переоформления в отношении уже существующих участников — ФЗ-156 обратной силы не имеет. Однако новые участники, вступающие в программу после 01.09.2025, должны подписывать отдельный документ согласия по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Если форма не обновлена — каждое новое вступление создаёт нарушение.
Итог
Предписание РКН по cookies — не разовый инцидент, а индикатор системного пробела в комплаенсе. Четыре ключевых действия закрывают большинство оснований для претензий: инвентаризация cookies, баннер с активным согласием, обновлённая политика с разделом о cookies и уведомление о трансграничной передаче при использовании зарубежных аналитических сервисов.
Практика DATUM по цифровым продуктам охватывает интернет-магазины, маркетплейсы и SaaS-сервисы. Юристы практики сопровождали устранение предписаний РКН в e-commerce сегменте начиная с 2022 года, когда регулятор активизировал проверки цифровых каналов.
14 февраля 2027 года