Перейти к содержанию
инструкция 3 марта 2029 года По состоянию на 3 марта 2029 года

Политика и мобильная версия сайта

Политика конфиденциальности и баннер cookies на мобильной версии сайта — обязательные элементы для любого интернет-магазина, который собирает данные пользователей через браузер.
С 30.05.2025 за отсутствие баннера согласия на cookies маркетологу грозит штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Cookies квалифицируются как персональные данные по позиции Роскомнадзора.
Если вы маркетолог и сайт магазина работает через GA4 или Meta Pixel — проверьте политику и баннер до первой проверки РКН. →

Мобильный трафик составляет более половины визитов большинства российских интернет-магазинов. При этом политика конфиденциальности и баннер согласия на cookies часто адаптируются под десктоп, а мобильная версия остаётся вне зоны внимания. Это создаёт конкретный правовой риск: РКН фиксирует нарушение по факту сбора данных — независимо от устройства пользователя. В этой инструкции разобраны шаги по приведению мобильной версии сайта в соответствие с 152-ФЗ, требования к политике, баннеру cookies, сервисам аналитики и рассылкам.

Шаг 1. Определите, какие данные собирает мобильная версия сайта

Прежде чем размещать политику, установите полный перечень данных, которые сайт собирает на мобильном устройстве. Это не только формы обратной связи и личный кабинет. Мобильная версия нередко передаёт больше данных, чем десктоп: геолокацию, идентификаторы устройства, данные push-уведомлений.

Составьте реестр источников сбора:

  • Формы регистрации, оформления заказа, подписки — имя, email, телефон, адрес доставки.
  • Cookies и аналогичные технологии (LocalStorage, fingerprinting) — идентификаторы сессии, поведенческие данные.
  • Сервисы аналитики — GA4, Яндекс.Метрика, передают IP и User-Agent.
  • Пиксели ретаргетинга — Meta Pixel, VK Pixel — передают данные в зарубежные системы.
  • Программы лояльности — карты, бонусные счета, история покупок.
  • Push-уведомления — требуют отдельного согласия.
«Ст. 3 ФЗ-152 относит к персональным данным любую информацию, прямо или косвенно идентифицирующую физическое лицо. Роскомнадзор в своей правоприменительной практике последовательно квалифицирует cookies-идентификаторы как ПДн, поскольку они позволяют идентифицировать пользователя во времени.»

Отдельно проверьте, работает ли на мобильной версии сторонний виджет — онлайн-чат, форма обратного звонка, калькулятор. Каждый такой виджет обычно самостоятельно собирает данные и передаёт их оператору виджета. Это означает поручение обработки по п. 3 ст. 6 ФЗ-152 и необходимость договора с оператором виджета.

Шаг 2. Проверьте политику конфиденциальности на соответствие требованиям ч. 2 ст. 18.1 ФЗ-152

Политика конфиденциальности — публичный документ, который оператор обязан разместить на сайте. Требования к её содержанию установлены ч. 2 ст. 18.1 ФЗ-152. Отсутствие политики или её неполнота влечёт штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ для юрлица).

Проверьте, что политика содержит все обязательные разделы:

  • Полное наименование оператора и его контактные данные.
  • Цели обработки каждой категории данных — без размытых формулировок вроде «улучшение сервиса».
  • Правовые основания для каждой цели (согласие, договор, законная обязанность — ст. 6 ФЗ-152).
  • Перечень обрабатываемых данных с привязкой к цели.
  • Порядок и сроки хранения — отдельно по каждой категории.
  • Перечень третьих лиц, которым передаются данные: платёжные системы, службы доставки, маркетплейсы, сервисы аналитики.
  • Трансграничная передача — если GA4, Meta Pixel или иной сервис передаёт данные за рубеж, это должно быть отражено.
  • Права субъектов и порядок их реализации — срок ответа 10 рабочих дней (ст. 20 ФЗ-152).
  • Раздел о cookies — отдельный блок с описанием видов и целей.
«По ч. 2 ст. 18.1 ФЗ-152 оператор обязан опубликовать документ, определяющий политику в отношении обработки ПДн, и обеспечить неограниченный доступ к нему. Отсутствие раздела о трансграничной передаче при использовании зарубежных аналитических сервисов — типичное основание для протокола по итогам проверки.»

Для мобильной версии критично: ссылка на политику должна быть видима и кликабельна на экране с шириной 320–375 px. Если ссылка в футере обрезается или размещена 10-м шрифтом без отступа — это техническая недоступность документа, которую инспектор РКН может квалифицировать как нарушение ч. 3 ст. 13.11.

Политика есть, но баннер на мобильном не показывается?

Если маркетолог обнаружил, что баннер согласия на cookies не отображается на мобильных устройствах или ссылка на политику недоступна — это действующее нарушение. РКН фиксирует состояние сайта на момент проверки, а не намерения оператора. До устранения нарушения — риск штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Юристы DATUM проведут технический аудит мобильной версии и соберут комплект ОРД под ключ: политика, согласия, приказы, регламенты.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте баннер cookies на мобильной версии

Баннер согласия на cookies — не декоративный элемент. Он фиксирует волеизъявление субъекта до начала обработки его данных через cookies. Без баннера или при его неработоспособности на мобильных устройствах сбор cookies происходит без согласия — это нарушение ч. 1 ст. 6 и ст. 9 ФЗ-152.

Требования к баннеру на мобильной версии:

  • Отображается при первом визите до прокрутки страницы и до загрузки аналитических скриптов.
  • Текст читаем на экране 320 px без горизонтальной прокрутки.
  • Кнопки «Принять» и «Отклонить» (или «Настроить») одинаково доступны — кнопка отклонения не должна быть меньше или скрыта.
  • Содержит ссылку на раздел политики о cookies.
  • Выбор пользователя сохраняется в cookies или LocalStorage и не запрашивается повторно при следующем визите.
  • При отклонении — аналитические скрипты не загружаются. Это технически реализуется через Consent Mode v2 (GA4) или аналог.
«Ст. 9 ФЗ-152 устанавливает, что согласие должно быть конкретным, информированным и сознательным. Использование cookies до получения согласия нарушает это требование и образует состав ч. 2 ст. 13.11 КоАП — штраф для юрлица 300 000–700 000 ₽.»

Технически баннер реализуется через CMP (Consent Management Platform) — Cookiebot, OneTrust, отечественные аналоги — или через самостоятельно написанный скрипт. При использовании самописного решения проверьте, что оно действительно блокирует загрузку сторонних скриптов до согласия, а не просто показывает уведомление.

Как использовать GA4 и Meta Pixel без нарушения требований о трансграничной передаче?

GA4 (Google Analytics 4) и Meta Pixel передают данные на серверы в США и ЕС. По ст. 12 ФЗ-152 трансграничная передача ПДн в страны, не входящие в перечень стран с адекватной защитой, требует уведомления Роскомнадзора. Если уведомление не подано — нарушение ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽).

Практический порядок действий для маркетолога:

  • Проверьте, подано ли уведомление о трансграничной передаче в РКН через pd.rkn.gov.ru. Это обязанность юридической службы или DPO, но маркетолог — инициатор использования сервиса.
  • Настройте GA4 в режиме серверного тегирования (server-side tagging) с сервером в РФ — это снижает объём данных, уходящих за рубеж.
  • Активируйте Consent Mode v2: при отклонении cookies GA4 передаёт только агрегированные данные без идентификаторов пользователя.
  • Для Meta Pixel — рассмотрите Conversions API с сервером в РФ как альтернативу или дополнение к клиентскому пикселю.
  • Проверьте политику конфиденциальности: раздел о трансграничной передаче должен называть конкретные сервисы и страны-получатели.
«По ст. 12 ФЗ-152 оператор обязан убедиться, что иностранное государство обеспечивает адекватную защиту прав субъектов, либо получить письменное согласие субъекта на передачу с описанием рисков. Уведомление РКН подаётся до начала трансграничной передачи.»

Если маркетолог использует GA4 или Meta Pixel без уведомления РКН о трансграничной передаче — нарушение длится с момента первого запуска сервиса. Срок для подачи уведомления не восстанавливается задним числом. Юристы DATUM подготовят уведомление и актуализируют политику.

Оценить риски по 152-ФЗ

Шаг 5. Оформите согласия на email-рассылки и push-уведомления

Email-рассылки и push-уведомления требуют отдельного согласия субъекта — независимо от того, что пользователь уже дал согласие на обработку данных при регистрации. С 01.09.2025 по ФЗ-156 согласие на обработку ПДн должно быть оформлено отдельным документом, не объединённым с офертой, политикой или пользовательским соглашением.

Для мобильной версии это означает:

  • Форма подписки на рассылку — отдельный чекбокс с явной формулировкой цели («согласен получать маркетинговые рассылки»). Чекбокс не может быть предварительно отмечен.
  • Push-уведомления — запрос разрешения через браузерное API происходит после явного информирования пользователя о том, что он будет получать.
  • Программа лояльности — если вступление в программу сопровождается обработкой дополнительных категорий данных (история покупок, предпочтения), требуется отдельное согласие с перечнем этих данных.
  • Отзыв согласия на рассылку — ссылка «Отписаться» в каждом письме и в личном кабинете мобильной версии. Срок исполнения отзыва — 10 рабочих дней по ст. 20 ФЗ-152.
«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, действующей с 01.09.2025, требует, чтобы согласие субъекта было оформлено как самостоятельный документ. Объединение согласия с условиями оферты или пользовательского соглашения является основанием для штрафа по ч. 2 ст. 13.11 КоАП.»

Что подготовить для мобильной версии сайта

  • Политика конфиденциальности с разделом о cookies, трансграничной передаче и правах субъектов — ссылка в футере, доступна на экране 320 px.
  • Баннер согласия на cookies — работает до загрузки аналитических скриптов, кнопка «Отклонить» равнозначна кнопке «Принять».
  • Уведомление РКН о трансграничной передаче — если используете GA4, Meta Pixel, HubSpot или иные зарубежные сервисы.
  • Отдельные согласия на рассылку и push-уведомления — незаполненный чекбокс, конкретная цель, порядок отзыва.
  • Договор поручения обработки со всеми сторонними сервисами, которые обрабатывают данные ваших пользователей.

Типовые ситуации: как это выглядит на практике

Ситуация 1. Маркетолог подключил GA4 без баннера. Интернет-магазин (Приволжский ФО, весна 2026) запустил мобильную версию с GA4 в штатном режиме — без баннера cookies и без Consent Mode. По жалобе пользователя РКН провёл контрольную закупку: зафиксировал передачу идентификаторов сессии на серверы Google до получения согласия. Протокол составлен по ч. 2 ст. 13.11 КоАП. Штраф для юрлица составил сотни тысяч рублей. После подключения юристов DATUM удалось снизить размер штрафа в арбитраже, сославшись на оперативное устранение нарушения и подачу уведомления о трансграничной передаче.

Ситуация 2. Маркетплейс и продавец: кто оператор. Региональный продавец одежды (Сибирский ФО, осень 2025) разместил товары на маркетплейсе и решил, что ответственность за ПДн покупателей несёт площадка. РКН при проверке установил, что продавец самостоятельно обрабатывал данные покупателей через собственную CRM — передавал контакты службе доставки. Без уведомления в реестре операторов и без политики на собственном сайте магазин получил протоколы по ч. 1 и ч. 3 ст. 13.11 КоАП. Маркетплейс не несёт ответственности за обработку данных, которую продавец ведёт самостоятельно — это два независимых оператора.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да. Cookies-идентификаторы позволяют отслеживать поведение конкретного пользователя во времени и на разных страницах сайта, что соответствует определению персональных данных по ст. 3 ФЗ-152 (информация, косвенно идентифицирующая физическое лицо). Это означает, что сбор cookies требует правового основания — как правило, согласия по ст. 9 ФЗ-152, — и отражения в политике конфиденциальности.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено, но требует выполнения нескольких условий. Во-первых, необходимо подать уведомление РКН о трансграничной передаче ПДн в США (ст. 12 ФЗ-152). Во-вторых, настроить Consent Mode v2: при отклонении cookies пользователем GA4 не должен передавать идентифицирующие данные. В-третьих, отразить факт передачи данных в Google в политике конфиденциальности с указанием страны-получателя и цели передачи.

3. Кто оператор: маркетплейс или продавец?

Это зависит от того, кто и с какой целью обрабатывает данные. Маркетплейс является оператором в отношении данных, которые он собирает на своей платформе. Продавец становится самостоятельным оператором, как только начинает обрабатывать данные покупателей в собственных системах — CRM, 1С, службы доставки. В этом случае продавец обязан зарегистрироваться в реестре РКН по ст. 22 ФЗ-152 и опубликовать собственную политику конфиденциальности. Наличие политики маркетплейса не освобождает продавца от этой обязанности.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера означает сбор cookies без согласия субъекта. Это нарушение ст. 9 ФЗ-152 и образует состав ч. 2 ст. 13.11 КоАП — обработка ПДн без надлежащего согласия. Штраф для юрлица по этой части составляет 300 000–700 000 ₽ в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024). При повторном нарушении — ч. 2.1 ст. 13.11, штраф 1 000 000–1 500 000 ₽.

5. Как оформить отзыв подписки?

Субъект вправе в любой момент отозвать согласие на рассылку, и оператор обязан исполнить это требование в течение 10 рабочих дней (ст. 20 ФЗ-152). Технически отзыв реализуется через ссылку «Отписаться» в каждом письме и через личный кабинет на сайте. Важно: после отзыва согласия продолжение рассылки образует состав ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уничтожении или блокировании данных). Факт отзыва и дату его исполнения рекомендуется фиксировать в журнале обращений субъектов.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

По ФЗ-156 от 24.06.2025 обратной силы нет: согласия, оформленные до 01.09.2025, не требуют обязательного переоформления. Однако если согласие было включено в текст договора, оферты или пользовательского соглашения — это нарушение продолжается: при любом новом получении согласия после 01.09.2025 использовать такую форму нельзя. Для существующей базы рекомендуется провести аудит: выявить, какая доля согласий оформлена с нарушениями нового требования, и разработать план переоформления.

Итог

Политика конфиденциальности и баннер cookies на мобильной версии сайта — не формальность, а конкретные юридические обязательства с измеримыми санкциями. Штраф за отсутствие баннера или неработающее согласие составляет до 700 000 ₽ по ч. 2 ст. 13.11 КоАП, при повторном нарушении — до 1 500 000 ₽. Трансграничная передача через GA4 и Meta Pixel без уведомления РКН добавляет отдельный протокол на 100 000–300 000 ₽.

Практика DATUM по сопровождению интернет-магазинов и e-commerce платформ по 152-ФЗ охватывает аудит мобильных версий, подготовку ОРД и защиту в арбитражных спорах по ст. 13.11 КоАП.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), политики конфиденциальности для маркетплейсов.

3 марта 2029 года