Перейти к содержанию
инструкция 4 июня 2028 По состоянию на 4 июня 2028

Очистка cookies при отзыве

Cookies с идентификаторами пользователя — персональные данные по позиции Роскомнадзора. Отзыв согласия на их обработку обязывает оператора прекратить использование и удалить привязанные данные.
За отсутствие баннера согласия и ненадлежащую очистку cookies интернет-магазину грозит штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за первичное нарушение. При повторном — до 1 500 000 ₽ по ч. 2.1.
→ Если маркетолог настраивает баннер cookies или получил запрос об отзыве — проверьте, закрывает ли ваш процесс все требования ст. 9 ФЗ-152 и позицию РКН по идентификаторам.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: штрафы за нарушения при сборе согласий выросли кратно, а понятие «обработка без согласия» теперь трактуется расширительно. Для интернет-магазина, работающего с GA4, программой лояльности и email-рассылками, cookies — это не технический вопрос, а зона правового риска. Эта инструкция описывает порядок очистки cookies при отзыве пользователем: шесть шагов от момента получения запроса до документального закрытия инцидента.

Считаются ли cookies персональными данными по российскому праву?

Роскомнадзор в методических разъяснениях прямо указывает: файлы cookies, содержащие идентификаторы, которые позволяют определить конкретного пользователя в связке с другими данными (IP, история сессий, поведенческие паттерны), подпадают под определение персональных данных по ст. 3 ФЗ-152. Сам по себе технический идентификатор сессии к ПДн не относится, но токен авторизации, привязанный к аккаунту, — уже да.

Для интернет-магазина это означает следующее. Аналитические cookies GA4, пиксели Meta и ретаргетинговые идентификаторы рекламных платформ собираются в рамках функциональности, которую оператор намеренно устанавливает. Следовательно, оператор — сам магазин, а не платформа. Обработка без отдельного информированного согласия нарушает ст. 6 и ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025) требует, чтобы согласие на обработку ПДн оформлялось отдельным документом и не включалось в текст договора, оферты или политики конфиденциальности.»

На маркетплейсах разграничение ролей усложняется. Продавец, подключённый к маркетплейсу, получает доступ к части идентификаторов покупателей через API. В большинстве случаев маркетплейс выступает оператором в части своих cookies, продавец — самостоятельным оператором в части своих пикселей и скриптов, размещённых на карточках товаров. Смешение ролей без соглашения о разграничении ответственности — отдельный риск при проверке РКН.

Используете GA4 или пиксели ретаргетинга без баннера согласия?

Баннер cookies — это не просто всплывающее окно. Это юридически значимый инструмент сбора согласия, который должен соответствовать требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025. Неправильная реализация создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Срок на приведение в соответствие не предусмотрен: нарушение фиксируется в момент проверки.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что должен делать оператор при получении отзыва согласия на cookies?

Отзыв согласия на обработку ПДн — право субъекта по ст. 9 ФЗ-152. После получения отзыва оператор обязан прекратить обработку и уничтожить данные, если иное основание для их хранения отсутствует. Применительно к cookies это порождает конкретную цепочку действий.

Что подготовить до запуска процедуры отзыва

  • Реестр установленных cookies с указанием назначения, срока жизни и третьих лиц, которым передаются данные
  • Форму отзыва согласия — отдельная страница или механизм в личном кабинете с фиксацией даты и IP
  • Инструкцию для разработчиков — порядок деактивации аналитических скриптов при флаге отзыва
  • Шаблон уведомления субъекту об исполнении отзыва (по ст. 9 ФЗ-152)
  • Журнал обращений субъектов с датой, содержанием запроса и датой исполнения

Шаг 1. Зафиксируйте факт отзыва и запустите таймер

При поступлении запроса об отзыве согласия зафиксируйте дату, время, канал обращения и идентификатор субъекта. Это первичная запись в журнал обращений. С этого момента у оператора есть 10 рабочих дней на исполнение отзыва по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). На практике для технических действий по очистке cookies достаточно 1–2 рабочих дней; юридическая сторона ответа требует корректной формулировки.

Запрос может поступить через форму на сайте, письмо на email оператора, через интерфейс «Управление cookies» или при личном обращении. Все каналы должны вести в единый журнал.

Шаг 2. Идентифицируйте все cookies, подпадающие под отзыв

Не все cookies подлежат удалению при отзыве маркетингового или аналитического согласия. Технически необходимые cookies (авторизация, корзина, защита от CSRF) не обрабатываются на основании согласия — они обрабатываются на основании исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152) или законного интереса оператора.

Разделите cookies на три группы: обязательные технические (не удаляются), аналитические и функциональные (удаляются при отзыве соответствующей категории согласия), маркетинговые и ретаргетинговые (удаляются при отзыве маркетингового согласия). Если баннер согласия не разграничивал категории — фактически согласие было одно, и отзыв распространяется на все нетехнические cookies.

Шаг 3. Деактивируйте скрипты и передачу данных третьим лицам

Очистка cookies на стороне браузера пользователя недостаточна. Необходимо также прекратить передачу идентификаторов в аналитические и рекламные платформы. Для GA4 это означает установку флага, блокирующего отправку событий для данного пользователя. Для Meta Pixel — деактивацию пользовательского идентификатора через Conversions API или удаление из пользовательских аудиторий.

GA4 как инструмент трансграничной передачи данных находится в зоне повышенного внимания РКН: серверы Google — за пределами РФ. При наличии согласия передача допустима при соблюдении требований ст. 12 ФЗ-152 о трансграничной передаче. При отзыве — передача прекращается немедленно.

«Ст. 12 ФЗ-152 — до передачи ПДн в страну, не входящую в перечень стран с адекватным уровнем защиты, оператор обязан уведомить РКН. После отзыва согласия основание для трансграничной передачи по п. 1 ч. 1 ст. 6 ФЗ-152 утрачивается.»

Шаг 4. Удалите или обезличьте накопленные данные

Данные, собранные на основании отозванного согласия и не имеющие иного основания для хранения, подлежат уничтожению. Если аналитические данные используются в агрегированном виде для внутренней статистики — допустимо обезличивание по методам Приказа РКН (5 методов: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение). После обезличивания данные выходят из-под регулирования ФЗ-152.

Для email-рассылок: отзыв согласия на cookies не означает автоматической отписки от рассылки, если подписка была оформлена на отдельном основании. Однако если рассылка отправлялась на основании поведенческого профиля, формировавшегося через cookies, — профиль подлежит удалению.

Шаг 5. Обновите состояние баннера cookies для пользователя

После исполнения отзыва пользователь при следующем визите должен видеть баннер cookies в состоянии «согласие не дано» — с возможностью повторно дать согласие. Хранение в localStorage или IndexedDB состояния «согласие дано» при отзыве подлежит сбросу.

Техническая реализация зависит от CMP (Consent Management Platform). Если баннер реализован самописно — убедитесь, что при установке флага отзыва в профиле пользователя фронтенд корректно считывает это состояние и не активирует аналитические теги автоматически.

Шаг 6. Уведомьте субъекта и закройте запрос в журнале

После выполнения всех технических действий направьте пользователю подтверждение: отзыв принят, обработка прекращена, данные уничтожены или обезличены. Укажите дату исполнения. Это не обязательное требование ФЗ-152, но стандарт, снижающий риск жалобы в РКН. Жалоба субъекта — основной триггер внеплановой проверки.

Закройте запрос в журнале: дата отзыва, дата исполнения, перечень деактивированных скриптов, дата уведомления субъекта, ответственный исполнитель. Журнал хранится как доказательная база на случай проверки или судебного спора.

Если маркетолог не уверен, что баннер cookies закрывает все нетехнические скрипты — это пробел в согласии. Штраф по ч. 2 ст. 13.11 КоАП назначается за каждый выявленный факт обработки без надлежащего согласия. Проверьте реестр cookies до проверки РКН, а не после.

Оценить риски по 152-ФЗ

Как это работает на практике: типовые ситуации

Ситуация 1. Интернет-магазин без разграничения категорий согласия. Магазин в Сибирском федеральном округе (осень 2025) использовал единый баннер cookies с кнопкой «Принять». Категории не разграничивались; аналитические и ретаргетинговые cookies активировались одновременно. Пользователь потребовал отзыва «согласия на маркетинговые cookies». Оператор не смог технически исполнить частичный отзыв — пришлось деактивировать все нетехнические скрипты для данного пользователя. Вывод: баннер с единым действием «Принять» создаёт риск при частичном отзыве — пересмотрите архитектуру CMP.

Ситуация 2. GA4 и трансграничная передача после отзыва. Компания e-commerce из Центрального федерального округа (начало 2026) получила запрос РКН в рамках плановой проверки: предоставьте документы о трансграничной передаче ПДн через GA4. Уведомление РКН о трансграничной передаче в адрес Google (США) не подавалось. GA4 продолжал отправлять идентификаторы после того, как часть пользователей отозвала согласие. Итог: протокол по ч. 1 ст. 13.11 КоАП и предписание об уведомлении по ст. 12 ФЗ-152. Штраф — в диапазоне ниже максимального ввиду первичности. Вывод: трансграничная передача через аналитику требует как уведомления РКН, так и механизма блокировки при отзыве.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookies содержат идентификаторы, позволяющие определить конкретного пользователя в связке с иными данными. Это следует из расширительного толкования ст. 3 ФЗ-152. Технические сессионные cookie без привязки к профилю пользователя под это определение не подпадают. Маркетинговые и аналитические cookie, используемые для таргетинга и построения поведенческого профиля, — подпадают.

2. Можно ли использовать GA4 после ограничений?

GA4 можно использовать при наличии надлежащего согласия на трансграничную передачу ПДн и уведомления РКН по ст. 12 ФЗ-152. При отсутствии согласия или после его отзыва — передача идентификаторов в GA4 прекращается. Полный запрет GA4 законодательством РФ не установлен, однако использование без уведомления РКН о трансграничной передаче создаёт риск по ч. 1 ст. 13.11 КоАП.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс — оператор в части собственных cookies и данных покупателей, которые он собирает самостоятельно. Продавец — самостоятельный оператор в части пикселей и скриптов, которые он размещает на своих карточках товаров через инструменты маркетплейса. При наличии соглашения о совместной обработке (ст. 6 ФЗ-152) ответственность разграничивается договором; при его отсутствии оба несут ответственность самостоятельно.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании аналитических и маркетинговых скриптов квалифицируется как обработка ПДн без согласия — нарушение ч. 2 ст. 13.11 КоАП. Для юридического лица штраф составляет 300 000 — 700 000 ₽ за первичное нарушение. При повторном — 1 000 000 — 1 500 000 ₽ по ч. 2.1. Дополнительно РКН выносит предписание об устранении нарушения.

5. Как оформить отзыв подписки?

Отзыв согласия на обработку ПДн (в том числе для целей email-рассылки) должен быть технически реализован так, чтобы субъект мог его осуществить самостоятельно — через личный кабинет, ссылку в письме или форму на сайте. Факт отзыва фиксируется в журнале обращений с датой и идентификатором субъекта. После отзыва оператор прекращает рассылку в срок не более 10 рабочих дней по ст. 20 ФЗ-152. Если рассылка продолжается — это самостоятельное нарушение ч. 5 ст. 13.11 КоАП (невыполнение требования об уничтожении/блокировании ПДн).

6. Нужно ли хранить подтверждение согласия и его отзыва?

Да. Оператор обязан доказать правомерность обработки по ст. 18.1 ФЗ-152. Согласие и его отзыв — часть доказательной базы. Хранить нужно: дату и способ получения согласия, содержание согласия, дату отзыва, дату исполнения. Минимальный срок хранения журнала обращений — 3 года (общий срок исковой давности), практика РКН рекомендует не менее 5 лет.

Итог

Очистка cookies при отзыве — не разовая техническая операция, а процесс из шести последовательных шагов: фиксация запроса, идентификация cookies по категориям, деактивация скриптов и прекращение трансграничной передачи, уничтожение или обезличивание данных, обновление состояния баннера, документальное закрытие запроса. Каждый незакрытый шаг — потенциальное основание для протокола по ст. 13.11 КоАП.

Юристы DATUM сопровождают интернет-магазины, маркетплейсы и e-commerce платформы в части ФЗ-152: аудит реестра cookies, подготовка ОРД для цифровых продуктов, уведомление РКН о трансграничной передаче через GA4 и Meta Pixel, защита в арбитраже при протоколах по ст. 13.11.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.