Отказ от cookies: техническая реализация
Роскомнадзор в 2024–2025 годах последовательно квалифицировал cookies как персональные данные в рамках проверок e-commerce и маркетплейсов. Это означает, что интернет-магазин, использующий GA4, Meta Pixel, рекламные пиксели или системы программ лояльности, обязан соблюдать ст. 6 и ст. 9 152-ФЗ: получить согласие субъекта до начала обработки, опубликовать политику конфиденциальности с разделом о cookies и обеспечить техническую возможность отказа. Инструкция структурирована по шагам: от правовой квалификации до технической реализации баннера, настройки GA4 и оформления отзыва подписки.
Шаг 1. Квалифицируйте cookies как персональные данные на вашем сайте
Не все cookies одинаковы по правовому режиму. Технически необходимые cookies (session id, корзина, авторизация) — обрабатываются на основании п. 5 ч. 1 ст. 6 152-ФЗ: исполнение договора с пользователем. Согласие на них не требуется. Аналитические, маркетинговые и трекинговые cookies — самостоятельное основание: они передают данные третьим лицам (Google, Meta, рекламным сетям) и могут использоваться для профилирования. Именно эта категория требует явного согласия субъекта до установки.
Проведите инвентаризацию: выгрузите список всех cookies, которые устанавливает ваш сайт, через браузерные DevTools или специализированный сканер. Разбейте по категориям: необходимые, аналитические, маркетинговые. Для каждой маркетинговой cookie зафиксируйте: кто получает данные (третье лицо), в какой стране расположены серверы, какова цель обработки. Это исходные данные для политики конфиденциальности и баннера.
Шаг 2. Настройте баннер согласия на cookies — что должно быть обязательно
Баннер согласия — техническая реализация требования ч. 1 ст. 9 152-ФЗ: согласие должно быть конкретным, информированным, свободным и однозначным. Это означает: баннер не может иметь единственную кнопку «Принять». Пользователь должен иметь возможность отказаться от необязательных категорий cookies без ущерба для доступа к сайту. Реализация «я продолжаю пользоваться сайтом — значит согласен» не соответствует требованиям 152-ФЗ: молчание не считается согласием.
Что должен содержать баннер cookies
- Кнопка «Принять все» и раздельный отказ по категориям (аналитика, маркетинг, персонализация)
- Ссылка на политику конфиденциальности с разделом о cookies
- Описание каждой категории cookies: цель, третьи лица, срок хранения
- Возможность изменить настройки в любой момент (через «Настройки cookies» в подвале)
- Блокировка маркетинговых и аналитических скриптов до получения согласия
Технически: до момента получения согласия теги GA4, Meta Pixel и прочие маркетинговые скрипты не должны загружаться. Это реализуется через Consent Mode v2 в Google Tag Manager (GTM): по умолчанию все нефункциональные параметры согласия устанавливаются в denied. Скрипт запускается только после явного accept пользователем соответствующей категории.
Баннер настроен, но GA4 всё равно передаёт данные?
Если маркетолог видит данные в GA4 до момента согласия пользователя — Consent Mode настроен некорректно. Это нарушение ч. 1 ст. 13.11 КоАП (обработка без правового основания) и самостоятельный риск по ч. 8 ст. 13.11 (трансграничная передача без уведомления РКН). Юристы DATUM проверят техническую конфигурацию и оформят пакет документов для соответствия требованиям 152-ФЗ.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Настройте GA4 и трансграничную передачу — как уведомить РКН
Google Analytics 4 передаёт данные на серверы Google LLC, расположенные в США. США не входят в перечень стран с адекватным уровнем защиты персональных данных по российскому законодательству. Это означает, что использование GA4 — самостоятельная трансграничная передача персональных данных, требующая уведомления Роскомнадзора по ст. 12 152-ФЗ до начала передачи.
Для GA4 в интернет-магазине минимально необходимы три действия. Первое: активировать Consent Mode v2 в GTM с параметрами analytics_storage и ad_storage по умолчанию denied. Второе: подать уведомление в РКН через личный кабинет на pd.rkn.gov.ru с указанием Google LLC как получателя и США как страны передачи, с описанием гарантий (Условия обработки данных Google, DPA). Третье: обновить политику конфиденциальности: добавить раздел о трансграничной передаче с указанием получателя, страны, цели и правового основания. Аналогичная логика применяется к Meta Pixel, TikTok Pixel и любым иным зарубежным сервисам.
Шаг 4. Оформите отзыв подписки и политику конфиденциальности для e-commerce
Политика конфиденциальности интернет-магазина — обязательный документ по ч. 2 ст. 18.1 152-ФЗ. Её отсутствие или неполнота — состав нарушения по ч. 3 ст. 13.11 КоАП: штраф 30 000–60 000 ₽. Для e-commerce политика должна содержать: перечень категорий cookies с описанием, сведения о трансграничной передаче, порядок отзыва согласия.
Отзыв согласия на cookies технически реализуется через центр управления cookie-настройками, доступный в любой момент. Пользователь должен иметь возможность отозвать согласие так же легко, как дал его — требование ч. 2 ст. 9 152-ФЗ. Технически: при отзыве немедленно прекращается загрузка маркетинговых скриптов, GTM переключает параметры в denied, новые cookie не устанавливаются. Уже установленные cookies с истёкшим сроком не восстанавливаются.
Для программ лояльности и рассылок применяется отдельная логика. Email-рассылка — самостоятельное основание обработки, требует отдельного согласия. Double opt-in (подтверждение по email) — подтверждённая отраслевая практика, снижающая риск жалобы субъекта. Ссылка «отписаться» в каждом письме — обязательное требование ст. 18 ФЗ «О рекламе». Отпиской пользователь отзывает согласие на рекламную рассылку; при этом согласие на обработку в рамках договора (заказы, доставка) сохраняется на основании п. 5 ч. 1 ст. 6 152-ФЗ.
Шаг 5. Разграничьте ответственность с маркетплейсом — кто оператор
Для продавца на маркетплейсе вопрос об операторе имеет практическое значение: к кому придёт РКН с протоколом при утечке данных покупателей. Маркетплейс — оператор в отношении данных покупателей, полученных на его платформе. Продавец — оператор в отношении данных, которые он самостоятельно собирает: через собственный сайт, CRM, рассылки, программу лояльности, виджеты обратного звонка.
Если продавец подключает сторонний сервис (CRM, email-платформу, аналитику) и передаёт в него данные покупателей из маркетплейса — это самостоятельная обработка со всеми вытекающими обязанностями: уведомление РКН, политика, согласие или иное основание. Передача данных подрядчику оформляется договором поручения по п. 3 ст. 6 152-ФЗ с закреплением обязанностей по конфиденциальности и безопасности.
Типовые ситуации: как применяются требования на практике
Ситуация 1. Интернет-магазин без баннера cookies и с активным GA4. Инспектор РКН в ходе профилактического визита фиксирует: аналитические скрипты загружаются до любого действия пользователя, баннера нет. Составляется протокол по ч. 1 ст. 13.11 КоАП (обработка без правового основания) и дополнительно по ч. 8 ст. 13.11 (трансграничная передача без уведомления РКН). Штрафы — в совокупности от 250 000 ₽ до 6 300 000 ₽ при первичном нарушении. Стратегия: при обнаружении — немедленно отключить маркетинговые скрипты, подать уведомление в РКН, обратиться за обжалованием протокола по ст. 4.1.1 КоАП (замена на предупреждение для первичного нарушения).
Ситуация 2. Маркетплейс-продавец подключил CRM с данными покупателей и не уведомил РКН. РКН получает жалобу покупателя на рекламную рассылку, которую тот не заказывал. Выясняется: продавец передал данные из маркетплейса в стороннюю email-платформу без отдельного согласия и без договора поручения. Нарушения: ч. 1 ст. 13.11 (обработка без основания) + ч. 10 ст. 13.11 (отсутствие уведомления РКН о намерении обрабатывать, 100 000–300 000 ₽). Исход: штраф + предписание об устранении. Стратегия: разграничить роли оператора и обработчика, оформить договор поручения, подать уведомление.
Ситуация 3. Программа лояльности с единым согласием в форме регистрации. Согласие на обработку ПДн, на рекламные рассылки и на cookies объединены в одном чекбоксе «Я согласен с политикой». С 01.09.2025 согласие по ФЗ-156 оформляется отдельным документом, не объединяется с договором или политикой. Проверка РКН по индикатору риска фиксирует нарушение ч. 2 ст. 13.11 (обработка без надлежащего согласия) — штраф 300 000–700 000 ₽. Стратегия: разделить согласие на три самостоятельных: на обработку ПДн, на рассылку, на cookies — с возможностью независимого отзыва каждого.
Если маркетолог обнаружил, что согласия объединены в одном чекбоксе или GA4 работает без Consent Mode — это основание для протокола по ч. 1–2 ст. 13.11 КоАП с 30.05.2025. До проверки РКН остаётся всё меньше времени: регулятор ведёт плановые мониторинги интернет-магазинов и маркетплейсов.
Заказать аудит 152-ФЗПрактика: как это работало в реальных делах
Кейс 1. Интернет-ретейлер (Центральный ФО, осень 2025) получил протокол по ч. 1 ст. 13.11 КоАП после жалобы пользователя: сайт устанавливал рекламные cookies до взаимодействия с баннером. Директор по маркетингу предоставил доказательства оперативного исправления — Consent Mode был включён в течение 72 часов после обнаружения нарушения. Арбитражный суд региона применил ст. 4.1.1 КоАП и заменил штраф на предупреждение, сославшись на первичность и отсутствие вреда субъектам. Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2. SaaS-платформа для программ лояльности (Сибирский ФО, начало 2026) передавала данные участников через интеграцию с зарубежным email-сервисом без уведомления РКН о трансграничной передаче. После аудита DATUM был подан пакет уведомлений, обновлена политика конфиденциальности, внедрена двухэтапная форма согласия. РКН ограничился предписанием без штрафа, поскольку уведомление поступило до начала проверки. Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка cookies, баннера, политики и уведомлений РКН
- Комплект ОРД под ключ — политика конфиденциальности, согласия, договоры поручения
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookies позволяют идентифицировать пользователя прямо или косвенно. Технически необходимые cookies (авторизация, корзина) обрабатываются на основании исполнения договора по п. 5 ч. 1 ст. 6 152-ФЗ и не требуют отдельного согласия. Аналитические и маркетинговые cookies — самостоятельная обработка персональных данных, требующая согласия субъекта до установки.
2. Можно ли использовать GA4 после ограничений?
Можно, при выполнении двух условий. Первое: активирован Google Consent Mode v2 через GTM, все нефункциональные параметры по умолчанию в состоянии denied. Второе: подано уведомление в РКН о трансграничной передаче в США по ст. 12 152-ФЗ с указанием Google LLC как получателя и описанием гарантий защиты. Без этих шагов использование GA4 — нарушение ч. 8 ст. 13.11 КоАП (штраф 1 000 000–6 000 000 ₽).
3. Кто оператор: маркетплейс или продавец?
Маркетплейс — оператор данных покупателей в рамках своей платформы. Продавец становится самостоятельным оператором, как только начинает обрабатывать эти данные в собственных целях: передавать в CRM, рассылать рекламу, использовать для аналитики. Для такой обработки требуется самостоятельное уведомление РКН, политика конфиденциальности и отдельное согласие или иное правовое основание по ст. 6 152-ФЗ.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера cookies при наличии аналитических или маркетинговых скриптов — нарушение ч. 1 ст. 13.11 КоАП: штраф для юрлица 150 000–300 000 ₽ (в редакции с 30.05.2025). Если одновременно отсутствует уведомление о трансграничной передаче (GA4, Meta Pixel) — добавляется нарушение ч. 8 ст. 13.11 КоАП: штраф 1 000 000–6 000 000 ₽. При первичном нарушении суд может заменить штраф предупреждением по ст. 4.1.1 КоАП для микропредприятий и МСП.
5. Как оформить отзыв подписки?
Технически: ссылка «отписаться» в каждом рекламном письме — обязательное требование ст. 18 ФЗ «О рекламе». Клик по ней отзывает согласие на рекламные рассылки по ч. 2 ст. 9 152-ФЗ. Для cookies — центр управления настройками в подвале сайта с возможностью изменить или отозвать согласие в любой момент. Оба механизма должны работать немедленно: загрузка маркетинговых скриптов прекращается в той же сессии.
Итог
Техническая реализация отказа от cookies — это не разовая настройка баннера, а связанная цепочка: инвентаризация скриптов, разделение категорий, Consent Mode v2, уведомление РКН о трансграничной передаче, обновление политики конфиденциальности и механизм отзыва. Каждое звено закрывает конкретный состав ст. 13.11 КоАП. Пропуск любого из них создаёт самостоятельное нарушение.
DATUM сопровождает интернет-магазины, SaaS-платформы и продавцов маркетплейсов в настройке соответствия 152-ФЗ по части cookies, трансграничной передачи и программ лояльности. Практика — с 2014 года в составе сети «Ветров и партнёры».