Отдельное согласие на маркетинговые cookies
Роскомнадзор квалифицирует идентификаторы файлов cookie, привязанные к конкретному пользователю, как персональные данные. Это означает: любой маркетинговый трекер на сайте требует отдельного, документально оформленного согласия субъекта до начала передачи данных. Ниже — шесть шагов, которые переводят сайт интернет-магазина или маркетплейса в соответствие с требованиями ФЗ-152 и снижают риск штрафа по ч. 2 ст. 13.11 КоАП.
Шаг 1. Установите, какие cookies считаются персональными данными
Не каждый файл cookie требует отдельного согласия по ФЗ-152. Технические cookies, обеспечивающие работу сайта (сессия, корзина, авторизация), обрабатываются на основании договора с пользователем — п. 5 ч. 1 ст. 6 ФЗ-152. Маркетинговые и аналитические cookies — иная ситуация.
Идентификатор cookie становится персональным данным, когда он прямо или косвенно позволяет идентифицировать физическое лицо. РКН признаёт таковыми: идентификаторы рекламных платформ (Google Ads, Яндекс.Директ, VK Ads), пиксели ретаргетинга, идентификаторы сессий аналитики с привязкой к профилю, идентификаторы A/B-тестов в связке с email или телефоном.
Практический критерий: если данные из cookie можно соотнести с конкретным покупателем — они требуют согласия по ст. 9 ФЗ-152. Проверьте это по каждому трекеру на сайте, включая встроенные виджеты чата, формы сбора лидов и пиксели социальных сетей.
Шаг 2. Проверьте, соответствует ли текущий баннер cookies требованиям ст. 9 ФЗ-152
Большинство интернет-магазинов используют уведомление о cookies в виде единой кнопки «Принять». Это не согласие по смыслу ст. 9 ФЗ-152 — это информирование. С 01.09.2025 ФЗ-156 закрепил требование об отдельном документе согласия: оно не может быть частью договора оферты, пользовательского соглашения или политики конфиденциальности.
Обязательные реквизиты согласия по ст. 9 ФЗ-152 применительно к cookies:
- наименование оператора (ваш интернет-магазин) и его контактные данные;
- цель обработки — маркетинговая аналитика, ретаргетинг, персонализация;
- перечень передаваемых данных — тип идентификатора, IP, поведенческие данные;
- перечень третьих лиц, которым передаются данные (GA4, Meta Pixel, Яндекс.Метрика и др.);
- срок обработки — до отзыва согласия или конкретный период;
- способ отзыва согласия — конкретная инструкция, доступная пользователю.
Если в баннере нет хотя бы одного из этих элементов — согласие юридически ненадлежащее. Штраф по ч. 2 ст. 13.11 КоАП: 300 000–700 000 ₽ для юридического лица.
Баннер cookies уже есть, но оформлен как кнопка «Принять всё»?
Единая кнопка без разграничения категорий не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025). Любая проверка РКН фиксирует это как нарушение с первого же скриншота. Юристы DATUM проверят актуальную конфигурацию вашего баннера и подготовят пакет ОРД, включая шаблон согласия на cookies с обязательными реквизитами.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Разграничьте категории cookies в интерфейсе согласия
Надлежащий баннер cookies — не информационная плашка, а интерактивный интерфейс с гранулярным выбором. Пользователь должен иметь возможность принять или отклонить каждую категорию независимо. Технически это реализуется через Consent Management Platform (CMP) или кастомное решение с сохранением выбора в localStorage/cookie согласия.
Минимальная структура категорий для интернет-магазина:
- Необходимые — технические, без согласия (основание: п. 5 ч. 1 ст. 6 ФЗ-152). Переключатель заблокирован.
- Аналитические — Яндекс.Метрика, GA4: отдельный переключатель, по умолчанию выключен.
- Маркетинговые — пиксели ретаргетинга, рекламные идентификаторы: отдельный переключатель, по умолчанию выключен.
- Персонализации — рекомендательные алгоритмы с профилированием: отдельный переключатель, по умолчанию выключен.
Принцип «молчания как согласия» не работает. Если пользователь закрыл баннер без явного выбора — маркетинговые cookies не активируются. Это требование прямо следует из ст. 9 ФЗ-152 и подтверждено позицией РКН по обработке ПДн в интернете.
Шаг 4. Оцените GA4 и сторонние аналитические сервисы как трансграничную передачу
GA4 (Google Analytics 4) — американский сервис. Передача пользовательских данных через него в серверы Google за пределами РФ квалифицируется как трансграничная передача ПДн по ст. 12 ФЗ-152. Аналогично — Meta Pixel (Facebook/Instagram), TikTok Pixel, Hotjar, Mixpanel с серверами за рубежом.
Что требует ФЗ-152 при трансграничной передаче в страну без адекватной защиты (США не входят в перечень):
- уведомление РКН о намерении осуществлять трансграничную передачу — до начала передачи;
- оценка соответствия иностранного получателя требованиям защиты ПДн;
- отражение факта трансграничной передачи в политике конфиденциальности и в тексте согласия на cookies.
Если GA4 активирован на сайте без уведомления РКН о трансграничной передаче — это самостоятельное нарушение ч. 8 ст. 13.11 КоАП (при нарушении локализации) или нарушение порядка трансграничной передачи. Для маркетолога это означает: включение GA4 без согласования с юристами создаёт риск для всей компании, а не только для маркетинговой функции.
Практический шаг: проверьте через инструмент «Проверка РКН» на vitveteam.ru, зарегистрирована ли ваша компания как оператор ПДн и отражена ли трансграничная передача в уведомлении.
Шаг 5. Настройте механизм отзыва согласия и хранение выбора пользователя
Субъект вправе отозвать согласие в любой момент — ст. 9 ч. 2 ФЗ-152. Для cookies это означает: на сайте должна существовать функция повторного вызова панели согласия. Ссылка на неё — в подвале сайта, в политике конфиденциальности и в личном кабинете (если он есть).
Технические требования к хранению выбора:
- выбор пользователя фиксируется в cookie согласия с датой и временем;
- при отзыве согласия маркетинговые скрипты деактивируются немедленно — без перезагрузки страницы;
- журнал согласий (дата, IP, выбор категорий) хранится на стороне оператора минимум 3 года — это доказательство при проверке РКН;
- при очистке cookies браузера баннер показывается повторно — нельзя считать ранее данное согласие бессрочным без повторного подтверждения.
Для программ лояльности отдельный вопрос: если участник программы даёт согласие на маркетинговые коммуникации при регистрации — это согласие на рассылки по ст. 9 ФЗ-152 и Закону о рекламе, но не согласие на маркетинговые cookies. Это два отдельных документа с разными целями и разными перечнями данных.
Если маркетолог использует GA4, пиксели соцсетей и программу лояльности — для каждого инструмента нужно отдельное согласие или разные основания обработки. Получите консультацию по конкретной конфигурации вашего сайта: разберём, что уже законно, что требует доработки.
Оценить риски по 152-ФЗШаг 6. Обновите политику конфиденциальности и ОРД под новые требования
Политика конфиденциальности интернет-магазина должна содержать раздел о cookies с указанием: категорий используемых файлов, целей обработки, сроков хранения, третьих лиц — получателей данных, порядка отзыва согласия. Это требование ч. 2 ст. 18.1 ФЗ-152.
Параллельно с обновлением политики актуализируйте организационно-распорядительную документацию. Для маркетингового трекинга в минимальный ОРД-пакет входят:
- политика обработки ПДн с разделом о cookies и трансграничной передаче;
- форма согласия на маркетинговые cookies (отдельный документ по ФЗ-156);
- соглашение об обработке данных с каждым SaaS-подрядчиком (Google, Яндекс, VK и др.) — поручение на обработку по п. 3 ст. 6 ФЗ-152;
- регламент реагирования на запросы субъектов (срок — 10 рабочих дней по ст. 20 ФЗ-152);
- уведомление РКН о намерении обрабатывать ПДн и о трансграничной передаче.
На маркетплейсах вопрос ОРД острее: если продавец размещает свои трекеры на странице маркетплейса — он самостоятельный оператор ПДн, даже если хостинг принадлежит площадке. Это означает: продавец обязан самостоятельно уведомить РКН и получить согласие пользователей на свои cookies.
Как это применяется на практике
Кейс 1. Интернет-магазин одежды (Центральный ФО, начало 2026) использовал GA4 и Meta Pixel без баннера категорий — только общая плашка «Мы используем cookies». РКН по результатам мониторинга сайта возбудил дело по ч. 2 ст. 13.11 КоАП. Компания привлекла юристов до вынесения постановления, оперативно внедрила гранулярный CMP-баннер и подала уведомление о трансграничной передаче. При рассмотрении дела суд учёл оперативное устранение нарушения и назначил штраф в нижней части диапазона — в сотни тысяч рублей.
Кейс 2. Маркетолог крупного продуктового маркетплейса (Северо-Западный ФО, осень 2025) обнаружил, что один из партнёров-продавцов разместил собственный пиксель ретаргетинга через GTM без уведомления площадки. Маркетплейс как оператор инфраструктуры оказался в зоне риска по принципу ответственности за подрядчика. После аудита площадка ввела обязательную проверку тегов продавцов и выделила отдельную категорию согласия для партнёрских трекеров.
Что подготовить для соответствия по cookies
- Гранулярный баннер cookies с раздельными переключателями по категориям (необходимые / аналитические / маркетинговые).
- Отдельная форма согласия с реквизитами по ст. 9 ФЗ-152, включая перечень третьих лиц и способ отзыва.
- Уведомление РКН о намерении обрабатывать ПДн и о трансграничной передаче (GA4, Meta Pixel, иные зарубежные сервисы).
- Соглашения об обработке данных (поручение) с каждым SaaS-провайдером, получающим пользовательские данные.
- Журнал согласий с хранением не менее 3 лет и функция повторного вызова панели согласия из подвала сайта.
Типовые ситуации: что грозит маркетологу
Ситуация 1. Сайт запущен с GTM-тегами GA4 и пикселем ВКонтакте, баннера cookies нет вообще. Доказательства: скриншот сайта, har-файл с запросами к google-analytics.com и vk.com/rtrg. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽; при наличии трансграничной передачи без уведомления РКН — дополнительный штраф по ч. 8 или ч. 10 ст. 13.11. Стратегия: немедленное отключение трекеров до устранения, параллельная подготовка баннера и уведомления РКН.
Ситуация 2. Баннер есть, но единственная кнопка — «Принять». Маркетинговые скрипты загружаются при любом закрытии баннера, включая крест. Доказательства: анализ сетевых запросов при закрытии без явного согласия. Вероятный исход: нарушение ч. 2 ст. 13.11 КоАП, возможно повторное — ч. 2.1 (до 1 500 000 ₽). Стратегия: переработка CMP с блокировкой скриптов до явного выбора.
Ситуация 3. Программа лояльности: при регистрации пользователь даёт одно согласие — на всё сразу (рассылки + cookies + трансграничка). После 01.09.2025 такое объединённое согласие не соответствует ФЗ-156. Доказательства: форма регистрации с единым чекбоксом. Вероятный исход: первичное нарушение по ч. 2 ст. 13.11, штраф 300 000–700 000 ₽. Стратегия: разделить согласия на три отдельных документа; ранее полученные согласия до 01.09.2025 переоформлять не требуется — обратной силы нет.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка cookies, согласий и трансграничной передачи по чек-листу.
- Комплект ОРД под ключ — политика конфиденциальности, форма согласия на cookies, поручения подрядчикам.
- Защита при штрафе в арбитраже — обжалование протокола по ч. 2 ст. 13.11 КоАП.
Частые вопросы
1. Считаются ли cookies персональными данными?
Да, в той мере, в которой идентификатор cookie позволяет прямо или косвенно идентифицировать физическое лицо. РКН квалифицирует cookie-идентификатор в связке с IP-адресом или профилем пользователя как персональные данные по ст. 3 ФЗ-152. Технические cookies (сессия, корзина) без привязки к личности под это определение не подпадают — они обрабатываются на основании договора.
2. Можно ли использовать GA4 после ограничений?
GA4 можно использовать при соблюдении двух условий: получено отдельное согласие пользователя на передачу данных в Google (трансграничная передача по ст. 12 ФЗ-152) и подано уведомление РКН о трансграничной передаче. Без этого передача данных через GA4 создаёт риск по ч. 8 ст. 13.11 КоАП (1 000 000–6 000 000 ₽) и по ч. 10 ст. 13.11 (100 000–300 000 ₽). Серверная сборка GA4 с обезличиванием IP снижает риски, но не исключает необходимость уведомления.
3. Кто оператор: маркетплейс или продавец?
Если продавец размещает собственные трекеры (пиксели, GTM-теги) на страницах маркетплейса, он самостоятельный оператор ПДн в отношении данных, собираемых этими трекерами. Маркетплейс является оператором в отношении своих собственных инструментов аналитики. Ответственность не переходит автоматически — каждый субъект, определяющий цели и способы обработки, несёт обязанности по ст. 18.1 и ст. 22 ФЗ-152 самостоятельно.
4. Что грозит за отсутствие баннера cookies?
Отсутствие механизма получения согласия на маркетинговые cookies квалифицируется как обработка ПДн без согласия субъекта по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — 300 000–700 000 ₽. При повторном нарушении — ч. 2.1 ст. 13.11, до 1 500 000 ₽. Если одновременно осуществляется трансграничная передача без уведомления РКН — добавляется самостоятельный состав по ч. 10 ст. 13.11 (100 000–300 000 ₽).
5. Как оформить отзыв подписки?
Отзыв согласия на cookies и отзыв согласия на email-рассылку — два разных действия, каждое из которых должно быть доступно пользователю самостоятельно. Для cookies: кнопка повторного вызова панели согласия в подвале сайта с немедленной деактивацией маркетинговых скриптов. Для рассылок: ссылка «Отписаться» в каждом письме и форма отписки в личном кабинете. Ст. 9 ч. 2 ФЗ-152 не устанавливает срок для исполнения отзыва — он должен быть исполнен немедленно.
Итог
Отдельное согласие на маркетинговые cookies — не опциональная рекомендация, а обязательное требование ст. 9 ФЗ-152 в редакции ФЗ-156 с 01.09.2025. Гранулярный баннер, уведомление РКН о трансграничной передаче и поручения подрядчикам — три минимальных элемента, без которых любой маркетинговый трекинг создаёт риск штрафа от 300 000 до 1 500 000 ₽.
DATUM сопровождает интернет-магазины, маркетплейсы и e-commerce платформы в настройке cookies-комплаенса: от аудита текущей конфигурации до подготовки полного пакета ОРД и уведомлений РКН.
16 февраля 2029 года