инструкция 10 января 2027 По состоянию на 10 января 2027

Политика обработки cookies: формат и размещение

Cookies — персональные данные по позиции Роскомнадзора. Отсутствие политики обработки cookies или баннера согласия — самостоятельное нарушение ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽) и основание для проверки.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, штрафы от 30 000 до 500 млн ₽. Отдельное согласие с 01.09.2025 (ФЗ-156) требуется и для cookies-обработки.

Если вы юрист и готовите пакет ОРД — эта инструкция описывает формат политики cookies, обязательные разделы, порядок размещения и синхронизацию с уведомлением РКН. →

Роскомнадзор последовательно квалифицирует cookies как идентификаторы, позволяющие установить личность пользователя, то есть как персональные данные. Это означает, что любой сайт, использующий счётчики, трекеры или функциональные cookies, обязан иметь актуальную политику обработки ПДн с разделом о cookies, баннер согласия и корректную запись в реестре операторов. Ниже — пошаговый порядок подготовки этих документов.

Шаг 1. Проведите инвентаризацию cookies на сайте

До написания политики необходимо знать, какие именно cookies устанавливает сайт. Юрист, готовящий ОРД, запрашивает у технической команды или самостоятельно с помощью браузерных инструментов разработчика реестр cookies: название, домен-установщик, срок хранения, тип (сессионный или постоянный), цель.

Cookies делятся на три группы по правовому основанию обработки:

Строго необходимые — обеспечивают работу сайта (авторизация, корзина). Согласие не требуется; основание — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора) или законный интерес оператора.
Аналитические и функциональные — счётчики посещаемости, A/B-тесты. Требуют согласия по ст. 9 ФЗ-152.
Рекламные и трекинговые — Meta Pixel, Google Ads, ретаргетинг. Требуют отдельного согласия; если трекер передаёт данные за рубеж — дополнительно уведомление РКН по ст. 12 ФЗ-152.

Результат инвентаризации фиксируется во внутреннем реестре обработки (приложение к политике или отдельный документ ОРД). Без реестра невозможно корректно заполнить ни политику, ни уведомление в РКН по форме Приказа РКН №180 от 28.10.2022.

Шаг 2. Определите состав политики обработки cookies

Закон не вводит отдельного документа «политика cookies»: требования к политике обработки ПДн установлены ч. 2 ст. 18.1 ФЗ-152. Cookies могут быть выделены в самостоятельный раздел общей политики конфиденциальности или оформлены отдельным документом. Оба варианта допустимы; выбор зависит от объёма и сложности обработки.

Обязательные разделы политики, затрагивающей обработку cookies:

Оператор и контакты — полное наименование, адрес, email, телефон.
Ответственный за обработку ПДн — ФИО или должность, контакт для запросов субъектов (ст. 22.1 ФЗ-152).
Цели обработки — отдельно по каждой группе cookies: обеспечение работы сайта, аналитика, реклама.
Правовые основания — согласие (ст. 9), договор (п. 5 ч. 1 ст. 6), законный интерес (п. 7 ч. 1 ст. 6).
Состав обрабатываемых данных — идентификаторы cookie, IP-адрес, User-Agent, данные о действиях на сайте.
Сроки хранения — по каждому типу cookie.
Третьи лица и передача данных — перечень аналитических и рекламных платформ, которым передаются данные; страны передачи (актуально для GA4, Meta).
Трансграничная передача — если данные уходят в страны без адекватной защиты, указать основание (ст. 12 ФЗ-152) и факт уведомления РКН.
Права субъекта — отзыв согласия, запрос на удаление, порядок обращения.
Порядок отказа от cookies — настройки браузера, ссылка на управление предпочтениями через баннер.

«Ст. 18.1 ч. 2 ФЗ-152 обязывает оператора публиковать политику обработки ПДн. Политика должна определять цели, состав, сроки обработки и меры защиты. Отсутствие опубликованной политики — состав ч. 3 ст. 13.11 КоАП: штраф для юрлица 30 000–60 000 ₽.»

Объём документа: для среднего сайта с Google Analytics и одним рекламным трекером — 2–4 страницы. Избыточная детализация не нужна; важна полнота по существу, а не размер текста.

Готовите политику и не уверены, всё ли учтено?

Юристы DATUM проверяют пакет ОРД по чек-листу из 38 пунктов. Стандартная ошибка: политика есть, но не содержит раздела о трансграничной передаче — а значит, использование GA4 формально нарушает ст. 12 ФЗ-152. Срок подготовки замечаний — до 5 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Подготовьте баннер согласия и синхронизируйте его с политикой

Баннер — это форма получения согласия на обработку cookies, не являющихся строго необходимыми. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие по ст. 9 ФЗ-152 должно быть оформлено отдельным документом и не может быть встроено в договор, оферту или общую политику конфиденциальности. Для cookies это означает: пользователь должен прямо и отдельно подтвердить согласие на аналитические и рекламные cookies.

Требования к баннеру согласия:

Появляется при первом посещении — до установки нестрогих cookies.
Содержит цели каждой группы cookies с возможностью гранулярного выбора.
Кнопка «Принять всё» и кнопка «Отклонить» или «Настроить» — равнозначно доступны (паттерн dark UX запрещён).
Ссылка на полную политику обработки cookies.
Факт согласия фиксируется в логах с отметкой времени и IP (для доказательства при проверке).

Технически баннер реализуется через Consent Management Platform (CMP) или собственную разработку. Важно: если CMP передаёт данные о согласиях за рубеж — это самостоятельное основание для уведомления РКН по ст. 12 ФЗ-152.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта персональных данных должно быть дано в виде отдельного документа. Молчание, заранее проставленная галочка или продолжение использования сайта без выбора не являются согласием.»

Шаг 4. Разместите политику на сайте

Политика должна быть постоянно доступна любому пользователю — без авторизации, без скачивания. Типовые места размещения:

Подвал (footer) сайта — ссылка «Политика конфиденциальности» или «Политика обработки ПДн» на каждой странице.
Баннер cookies — прямая ссылка в тексте баннера на политику или её раздел о cookies.
Страница регистрации / оформления заказа — ссылка рядом с полем для ввода данных.

Документ размещается по постоянному URL (например, /privacy/ или /politika-konfidencialnosti/). При обновлении дата последней редакции фиксируется в тексте документа — инспектор РКН сверяет актуальность при проверке.

Если политика разделена на несколько документов (общая политика ПДн + отдельный документ о cookies), в подвале должны быть доступны оба. Между документами рекомендуются перекрёстные ссылки.

Шаг 5. Уведомите Роскомнадзор и назначьте ответственного

Обработка cookies в аналитических или рекламных целях — это обработка ПДн, требующая уведомления РКН по ст. 22 ФЗ-152. Уведомление подаётся через pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022 до начала обработки. Срок включения в реестр — 30 дней.

В уведомлении указываются:

цели обработки (аналитика, реклама, персонализация);
категории субъектов (пользователи сайта);
категории ПДн (идентификаторы, поведенческие данные);
наличие трансграничной передачи и страны-получатели;
меры защиты.

Параллельно издаётся приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152. Ответственный — конкретное должностное лицо (не отдел), с контактами для субъектов. Отсутствие назначенного ответственного — отдельное нарушение, фиксируемое при плановой проверке.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Неуведомление — ч. 10 ст. 13.11 КоАП: штраф для юрлица 100 000–300 000 ₽ (в редакции с 30.05.2025).»

Что подготовить для корректной работы с cookies

Реестр cookies сайта с указанием целей, сроков и третьих лиц по каждому типу.
Политика обработки ПДн с разделом о cookies (или отдельный документ) — опубликована по постоянному URL.
Баннер согласия с гранулярным выбором и фиксацией факта согласия в логах.
Уведомление в реестре РКН с актуальными сведениями об обработке (форма Приказа №180).
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с контактными данными.

Если вы юрист и проверяете ОРД компании: отсутствие уведомления в реестре РКН при работающих счётчиках — это протокол по ч. 10 ст. 13.11 КоАП (штраф до 300 000 ₽). Юристы DATUM соберут комплект документов и подадут уведомление под ключ.

Собрать ОРД под ключ

Какие типичные ошибки встречаются при оформлении политики cookies?

Практика проверок РКН и аудитов DATUM показывает несколько устойчивых паттернов нарушений.

Кейс 1. Компания e-commerce (Центральный ФО, начало 2026): политика конфиденциальности опубликована, но не содержит ни упоминания cookies, ни раздела о трансграничной передаче в Meta. При плановой проверке РКН зафиксировал два нарушения — ч. 3 ст. 13.11 (отсутствие полной политики) и ч. 1 ст. 13.11 (обработка ПДн в объёме, выходящем за рамки заявленных в уведомлении целей). Совокупный штраф составил несколько сотен тысяч рублей. После аудита компания обновила политику, подала изменения в уведомление РКН, внедрила CMP-баннер.

Кейс 2. SaaS-платформа (Северо-Западный ФО, весна 2026): согласие на cookies было встроено в пользовательское соглашение единым текстом — типичная схема до ФЗ-156. После 01.09.2025 такое согласие утратило правовую силу по ст. 9 ФЗ-152. Юрист компании зафиксировал риск при внутреннем аудите, инициировал переоформление баннера под требования отдельного документа согласия. Проверки удалось избежать, поскольку изменения внедрили до получения жалобы от субъекта.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, согласия, приказы, уведомление РКН в одном пакете.
Аудит соответствия 152-ФЗ — проверка сайта, cookies, уведомления и всего пакета документов.
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Какие документы должны быть у оператора ПДн, использующего cookies?

Минимальный комплект: политика обработки ПДн с разделом о cookies (ч. 2 ст. 18.1 ФЗ-152), баннер согласия с фиксацией выбора пользователя (ст. 9 ФЗ-152), уведомление в реестре операторов РКН по форме Приказа №180 и приказ о назначении ответственного по ст. 22.1. Если cookies передают данные за рубеж — дополнительно документы по ст. 12 ФЗ-152 о трансграничной передаче.

2. Как составить политику обработки ПДн для сайта с cookies?

Политика составляется на основании инвентаризации cookies: для каждого типа определяются цель, правовое основание (ст. 6 или ст. 9 ФЗ-152), срок хранения, третьи лица и страны передачи. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели, состав ПДн, сроки, права субъекта, меры защиты. Документ публикуется по постоянному URL и актуализируется при изменении состава cookies или сервисов.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1?

Ответственным назначается конкретное должностное лицо оператора — как правило, юрист, DPO или руководитель ИТ-подразделения. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. Назначение оформляется приказом; контакты ответственного указываются в политике обработки ПДн и уведомлении РКН. Функцию можно передать на аутсорсинг по договору поручения обработки (п. 3 ст. 6 ФЗ-152).

4. Можно ли использовать готовый шаблон политики конфиденциальности из интернета?

Шаблон допустим как основа, но требует адаптации под конкретный сайт: перечень cookies, третьи лица, страны трансграничной передачи, контакты ответственного. Типовые шаблоны из открытых источников, как правило, не учитывают редакцию ФЗ-156 от 24.06.2025 (отдельное согласие с 01.09.2025) и актуальные требования к уведомлению РКН по форме Приказа №180. Использование устаревшего шаблона без проверки создаёт риск нарушения ч. 3 ст. 13.11 КоАП.

5. Какие согласия нужно переоформить после 01.09.2025?

После 01.09.2025 согласие на обработку ПДн (включая cookies) должно быть отдельным документом — не встроенным в договор, оферту или политику (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152 в новой редакции). Ранее полученные согласия, соответствующие требованиям на момент их получения, утратой силы не обнуляются, но при их отзыве и повторном получении необходимо соблюдать новую форму. Для cookies это означает переход на отдельный баннер-согласие с гранулярным выбором и фиксацией в логах.

6. Что грозит за отсутствие баннера согласия на cookies?

РКН квалифицирует отсутствие согласия на аналитические и рекламные cookies как обработку ПДн без правового основания. При наличии у оператора политики, но отсутствии баннера — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025). При полном отсутствии документов и согласий возможна совокупность ч. 1 и ч. 3 ст. 13.11. Повторное нарушение по ч. 1.1 — штраф 300 000–500 000 ₽.

Итог

Политика обработки cookies — не самостоятельный документ, а часть системы ОРД оператора. Корректное оформление требует инвентаризации cookies, разграничения оснований обработки, отдельного баннера согласия по требованиям ФЗ-156, актуального уведомления в реестре РКН и назначенного ответственного по ст. 22.1 ФЗ-152. Отсутствие любого элемента — самостоятельный состав нарушения.

DATUM сопровождает операторов ПДн в подготовке и актуализации пакета ОРД, включая документы по cookies, баннеры согласия и уведомления РКН. Практика «Ветров и партнёры» по 152-ФЗ — с 2014 года.

Есть ситуация с РКН или пробел в документах?

Если у вас есть сайт с аналитикой или рекламными трекерами и нет актуального комплекта ОРД — риск протокола реален уже сейчас. Юристы DATUM проведут аудит по 38 пунктам, подготовят политику, баннер и уведомление под ключ. Ответим в течение рабочего дня.