Перейти к содержанию
инструкция 4 февраля 2029 По состоянию на 4 февраля 2029

Отзыв согласия на cookies

Cookies — это персональные данные по позиции РКН. Сайт без работающего механизма отзыва согласия нарушает ч. 1 ст. 9 ФЗ-152 и создаёт основание для штрафа по ч. 6 ст. 13.11 КоАП.
С 30.05.2025 действует расширенная редакция ст. 13.11 КоАП (ФЗ-420): штраф за ненадлежащее согласие — до 700 000 ₽ по ч. 2, за повторность — до 1 500 000 ₽. Маркетолог отвечает за корректность баннера cookies первым, потому что именно он ставит счётчики.
→ Если на вашем сайте баннер cookies не предусматривает отзыв — читайте пошаговый порядок устранения.

Роскомнадзор квалифицирует cookies как персональные данные с 2021 года: идентификатор устройства позволяет выделить пользователя из общей массы, что достаточно для признания данных ПДн по ст. 3 ФЗ-152. Из этого следует: обработка cookies требует правового основания, а согласие должно быть отзываемым. Ниже — пошаговый порядок реализации отзыва согласия на cookies для интернет-магазина, маркетплейса или любого сайта, использующего счётчики GA4, Яндекс.Метрику, Meta Pixel или собственные аналитические системы.

Шаг 1. Проверьте: считаются ли ваши cookies персональными данными?

Не все файлы cookies одинаковы с точки зрения ФЗ-152. Технические cookies, которые обеспечивают работу корзины или сессии, не идентифицируют субъекта и к ПДн не относятся. Под регулирование 152-ФЗ попадают аналитические и маркетинговые cookies — те, которые присваивают уникальный идентификатор и отслеживают поведение конкретного браузера или устройства во времени.

«Ст. 3 ФЗ-152 — персональными данными признаётся любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Cookie-идентификатор в связке с IP, историей визитов или профилем позволяет косвенно определить субъекта — следовательно, является ПДн.»

GA4 передаёт данные на серверы Google LLC, расположенные за пределами России. Это трансграничная передача ПДн по ст. 12 ФЗ-152. Перед её осуществлением оператор обязан направить уведомление в РКН и убедиться, что страна назначения входит в перечень адекватной защиты или имеется иное основание. Meta Pixel работает аналогично. Яндекс.Метрика обрабатывает данные на российских серверах и под требование уведомления о трансграничной передаче не подпадает.

Проверочный список для шага 1:

Что проверить на старте

  • Выгрузите список всех cookies сайта (DevTools → Application → Cookies) и разделите на технические, аналитические, маркетинговые.
  • Для каждой нетехнической группы установите, куда передаются данные: Россия или зарубеж.
  • Проверьте наличие уведомления о трансграничной передаче в реестре РКН (pd.rkn.gov.ru) — если используете GA4 или Meta Pixel.
  • Убедитесь, что текущий баннер cookies содержит отдельный чекбокс или переключатель для каждой категории.

Шаг 2. Как реализовать механизм отзыва согласия на cookies?

Согласие на обработку ПДн по ст. 9 ФЗ-152 должно быть конкретным, информированным и сознательным. Субъект вправе отозвать его в любой момент. Из этого вытекают технические требования к баннеру cookies.

Минимальный состав баннера cookies для интернет-магазина или маркетплейса:

  • Разделение по категориям. Технические cookies — без согласия (они необходимы для функционирования сайта). Аналитические и маркетинговые — с отдельным переключателем (opt-in по умолчанию выключен).
  • Отказ без потери сервиса. Пользователь должен иметь возможность отклонить необязательные cookies и продолжить пользоваться сайтом. Отказ в доступе к контенту при непринятии необязательных cookies — нарушение ч. 3 ст. 9 ФЗ-152.
  • Кнопка «Отозвать согласие» или «Настройки cookies». Должна быть доступна с любой страницы сайта — обычно из подвала или через плавающую иконку.
  • Фиксация факта выбора. Хранить метку согласия/отказа в собственной базе оператора с датой и временем. Это доказательство при проверке РКН.
  • Исполнение отзыва. После отзыва согласия на маркетинговые cookies скрипты Google, Meta, рекламных сетей должны прекращать загрузку. Реализуется через Consent Mode v2 (GA4) или Tag Manager с условием запуска.

Баннер cookies настроен, но механизм отзыва не работает технически?

Это наиболее частая ситуация: визуально баннер есть, но после нажатия «Отклонить» GA4 продолжает собирать данные, потому что тег запущен безусловно. Разрыв между UI и фактической обработкой — прямое нарушение ч. 2 ст. 9 ФЗ-152. Юристы DATUM проведут аудит обработки ПДн на сайте: проверят cookies, уведомления в РКН, политику конфиденциальности и пакет ОРД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Синхронизируйте отзыв cookies с email-рассылками и программами лояльности

Маркетолог интернет-магазина или маркетплейса, как правило, работает с несколькими каналами одновременно: cookies на сайте, email-рассылки, программы лояльности, push-уведомления. Каждый канал требует отдельного правового основания, и отзыв согласия в одном из них не распространяется на остальные автоматически — если только оператор не настроил единый центр управления предпочтениями.

Типичная ошибка: пользователь отозвал согласие на маркетинговые cookies через баннер, но продолжает получать ретаргетинговые письма, потому что согласие на email-рассылку хранится отдельно в ESP-системе. С точки зрения ФЗ-152 это два разных согласия с разными целями обработки. Отзыв каждого — независимая процедура.

Для программ лояльности действует то же правило: согласие на начисление бонусов и согласие на использование данных о покупках в аналитических целях — это разные правовые основания. Их объединение в одну форму и невозможность отозвать частично создаёт нарушение ст. 5 ФЗ-152 (принцип совместимости целей) и ч. 2 ст. 9 (требования к составу согласия).

«Ст. 9 ч. 1 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом, не объединяется с договором, офертой или политикой конфиденциальности. Для каждой цели — отдельное волеизъявление.»

Шаг 4. Обновите политику конфиденциальности и уведомление в реестре РКН

Политика конфиденциальности интернет-магазина должна содержать раздел о cookies с описанием категорий, целей, сроков хранения и адресатов передачи данных. Если в политике написано «мы используем cookies для улучшения сервиса», а по факту данные уходят в Meta и Google — это несоответствие реальной обработки задекларированным целям, нарушение ст. 5 ФЗ-152.

Параллельно проверьте уведомление в реестре операторов ПДн на pd.rkn.gov.ru. Если вы добавили новый счётчик или рекламную сеть — в разделе «Третьи лица, которым передаются данные» должен быть отражён новый получатель. Невнесение изменений в реестр при изменении состава обработки — нарушение ст. 22 ФЗ-152, которое с 30.05.2025 квалифицируется по ч. 10 ст. 13.11 КоАП с штрафом для юрлица 100 000–300 000 ₽.

Если маркетолог подключил новый пиксель или сменил ESP — реестр РКН нужно обновить в течение 10 рабочих дней. Просрочка уведомления: штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (с 30.05.2025).

Оценить риски по 152-ФЗ

Что происходит на практике: три сценария для маркетолога

Сценарий 1. Сайт без баннера cookies или с баннером без функции отклонения. РКН проводит проверку по индикатору риска (мониторинг сайтов). Инспектор фиксирует отсутствие механизма отзыва согласия. Составляется протокол по ч. 6 ст. 13.11 КоАП (несоблюдение условий обработки, влекущее неправомерный доступ) или ч. 2 (обработка без надлежащего согласия). Для юрлица штраф — 300 000–700 000 ₽. Стратегия: внедрить Consent Management Platform (CMP) до проверки, зафиксировать изменения в политике и реестре.

Сценарий 2. GA4 работает без уведомления РКН о трансграничной передаче. Данные cookie-идентификаторов уходят на серверы Google в США. Оператор не направлял уведомление по ст. 12 ФЗ-152. При проверке или по жалобе субъекта: протокол по ч. 1 ст. 13.11 (обработка в случаях, не предусмотренных законом) — штраф 150 000–300 000 ₽. Повторность — ч. 1.1, до 500 000 ₽. Стратегия: направить уведомление о трансграничной передаче в РКН, настроить GA4 Consent Mode v2, обновить политику.

Сценарий 3. Маркетплейс: кто оператор — платформа или продавец? Если платформа собирает cookies от имени продавца в рамках партнёрской программы — возникает вопрос о разграничении ролей оператора и лица, осуществляющего обработку по поручению (ст. 6 п. 3 ФЗ-152). Без договора поручения на обработку ПДн платформа и продавец могут быть признаны совместными операторами, каждый из которых несёт самостоятельную ответственность по ст. 13.11. Стратегия: включить в оферту продавца раздел о разграничении ответственности за обработку ПДн покупателей.

Кейсы из практики

Кейс 1. Интернет-ритейлер (Сибирский ФО, осень 2025). Маркетолог подключил три рекламных пикселя через Google Tag Manager без обновления политики конфиденциальности и уведомления РКН. Жалоба пользователя. РКН провёл внеплановую проверку: выявлено отсутствие механизма отзыва согласия и несоответствие реестра. Штраф в несколько сотен тысяч рублей по совокупности нарушений ч. 1 и ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025). После устранения нарушений и обжалования часть санкций была снижена арбитражным судом с опорой на первичность нарушения.

Кейс 2. Платформа программы лояльности (Центральный ФО, начало 2026). Оператор объединял согласие на cookies, email-рассылку и обработку истории покупок в одну форму — без разделения целей. После проверки РКН по индикатору риска составлен протокол по ч. 2 ст. 13.11 (нарушение требований к составу согласия). С учётом ст. 4.1.1 КоАП и отсутствия предшествующих нарушений суд заменил штраф предупреждением — компания доработала CMP и ОРД в течение 30 дней. Конкретный номер дела и дата — менеджер уточняет при публикации.

Связанные услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie-идентификатор позволяет косвенно выделить конкретного пользователя. Это следует из определения ПДн в ст. 3 ФЗ-152: достаточно возможности косвенной идентификации. Технические cookies, обеспечивающие только работу сессии без уникального идентификатора, к ПДн не относятся. Аналитические и маркетинговые — как правило, относятся.

2. Можно ли использовать GA4 после ограничений?

Использовать GA4 можно, но с соблюдением двух условий. Первое: направить в РКН уведомление о трансграничной передаче ПДн по ст. 12 ФЗ-152, поскольку данные уходят на серверы Google за рубежом. Второе: настроить GA4 Consent Mode v2 так, чтобы при отзыве согласия пользователем сбор идентификационных данных прекращался. Без выполнения этих условий обработка через GA4 создаёт риск по ч. 1 ст. 13.11 КоАП.

3. Кто оператор: маркетплейс или продавец?

Зависит от того, чьи цели преследует обработка данных покупателей. Если платформа собирает cookies для собственной аналитики — она оператор. Если cookies собираются в интересах продавца — платформа может выступать лицом, осуществляющим обработку по поручению (ст. 6 п. 3 ФЗ-152), при наличии договора поручения. Без такого договора оба субъекта могут быть признаны операторами со всеми вытекающими последствиями по ст. 13.11.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера или баннер без реальной функции отзыва — это обработка ПДн без согласия субъекта либо без соблюдения требований к его составу. Квалификация: ч. 2 ст. 13.11 КоАП (штраф для юрлица 300 000–700 000 ₽) или ч. 6 (если нарушение повлекло неправомерный доступ, 50 000–100 000 ₽). При повторности по ч. 2 — ч. 2.1, до 1 500 000 ₽. Нормы действуют с 30.05.2025 в редакции ФЗ-420 от 30.11.2024.

5. Как оформить отзыв подписки на email-рассылку?

Отзыв согласия на email-рассылку — отдельная процедура, не связанная с отзывом cookies. Пользователь должен иметь возможность отписаться в один клик через ссылку в письме. Факт отписки фиксируется в ESP с датой и временем. Продолжение рассылки после отзыва согласия — нарушение ч. 5 ст. 9 ФЗ-152 (оператор обязан прекратить обработку после отзыва) и создаёт основание для жалобы в РКН.

6. Нужно ли переоформлять согласия на cookies после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы — ранее полученные согласия переоформлять не требуется. Однако новые согласия, полученные с 01.09.2025, должны быть оформлены в соответствии с обновлёнными требованиями ч. 1 ст. 9 ФЗ-152: отдельным документом, с указанием конкретных целей и перечня обрабатываемых данных. Если форма баннера cookies менялась после 01.09.2025 — она должна соответствовать новой редакции.

Итог

Отзыв согласия на cookies — это не UI-функция, а правовое требование ст. 9 ФЗ-152, обеспечиваемое связкой из четырёх элементов: категоризированный баннер с реальной функцией отказа, фиксация выбора пользователя, техническое прекращение загрузки скриптов при отзыве и актуальная политика конфиденциальности. Разрыв в любом из звеньев создаёт состав нарушения по ст. 13.11 КоАП.

DATUM сопровождает интернет-магазины, маркетплейсы и digital-продукты в приведении обработки cookies в соответствие с ФЗ-152: от аудита текущего состояния до формирования полного пакета ОРД и защиты в арбитраже при получении протокола РКН.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах, GA4 и Meta Pixel, программы лояльности, политики конфиденциальности для маркетплейсов.