Перейти к содержанию
инструкция 25 декабря 2026 По состоянию на 25 декабря 2026

Согласие на cookies: формат и хранение

Согласие на cookies — это правовое основание обработки персональных данных пользователя сайта, оформляемое оператором в соответствии со ст. 9 ФЗ-152 и ст. 18.1 ФЗ-152.
С 30.05.2025 несоблюдение требований к форме согласия влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторное нарушение — до 1 500 000 ₽ по ч. 2.1. РКН квалифицирует cookies как персональные данные при наличии идентификатора пользователя.
→ Если вы юрист и проверяете комплаенс сайта — пять шагов ниже помогут выстроить правильный формат согласия и порядок его хранения.

Cookies как инструмент отслеживания поведения пользователей давно вышли за рамки технической вспомогательной функции. Роскомнадзор в 2024–2025 годах последовательно квалифицирует идентификаторы сессий и пользовательские cookie-токены как персональные данные. Это означает: обработка cookies требует правового основания по ст. 6 ФЗ-152, а для маркетинговых и аналитических cookie — отдельного согласия субъекта. ФЗ-156 от 24.06.2025, вступивший в силу 01.09.2025, дополнительно ужесточил требования: согласие на обработку ПДн оформляется отдельным документом и не может быть встроено в текст пользовательского соглашения или политики конфиденциальности. Ниже — пять шагов, которые позволяют выстроить формат согласия и систему его хранения в соответствии с действующими требованиями.

Шаг 1. Классифицируйте cookies и определите правовое основание

Не все cookies требуют согласия. Различие принципиально: ошибка в классификации либо создаёт излишние барьеры для пользователя, либо оставляет оператора без правового основания для обработки.

Технические (функциональные) cookies — те, что обеспечивают работу сайта: авторизация, корзина, языковые настройки. Их обработка основана на законном интересе оператора по п. 7 ч. 1 ст. 6 ФЗ-152 либо на необходимости исполнения договора (п. 5). Согласие на такие cookies не требуется.

Аналитические и маркетинговые cookies — Google Analytics, Яндекс.Метрика, пиксели рекламных сетей, ретаргетинговые метки — обрабатывают данные, позволяющие идентифицировать или отслеживать конкретного пользователя. Для них правовым основанием служит согласие субъекта по п. 1 ч. 1 ст. 6 ФЗ-152. Это подтверждает позиция РКН: идентификатор устройства + поведенческий профиль = персональные данные.

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки персональных данных. Согласие субъекта (п. 1 ч. 1) — одно из них; для маркетинговых cookies оно обязательно, поскольку иные основания не применимы к профилированию в рекламных целях.»

Результат шага: составьте реестр cookies сайта с указанием типа, назначения и правового основания для каждой группы. Это база для последующих шагов и доказательство добросовестности при проверке РКН.

Шаг 2. Оформите баннер согласия с обязательными реквизитами

Согласие на cookies должно быть информированным, конкретным и однозначным. Баннер — основная форма его получения. После 01.09.2025 требования к форме согласия ужесточились: ФЗ-156 от 24.06.2025 требует, чтобы согласие оформлялось отдельным документом и не совмещалось с иными формами.

Обязательные реквизиты согласия на cookies

  • Наименование оператора и его контактные данные.
  • Цель обработки — конкретно: «аналитика поведения пользователей», «показ персонализированной рекламы» и т. д.
  • Перечень обрабатываемых данных — идентификаторы сессий, IP, пользовательские ID конкретных сервисов.
  • Перечень действий с данными — сбор, запись, передача третьим лицам (рекламным платформам, аналитическим сервисам).
  • Срок действия согласия и порядок его отзыва.

Молчание пользователя, прокрутка страницы или продолжение использования сайта не являются согласием. Требуется активное действие: нажатие кнопки «Принять» или аналогичного элемента. Согласие на разные категории cookies (аналитические, маркетинговые) должно быть получено раздельно — объединять их в одну кнопку «Принять все» без возможности разграничения недопустимо с точки зрения принципа конкретности цели (ст. 5 ФЗ-152).

Если сайт передаёт cookies в зарубежные сервисы — Google Analytics, Meta Pixel — это трансграничная передача персональных данных по смыслу ст. 12 ФЗ-152. Оператор обязан уведомить РКН о намерении осуществлять трансграничную передачу до её начала.

Ваш сайт использует Analytics или рекламные пиксели?

Если юрист проверяет сайт с аналитическими или маркетинговыми cookies без раздельного баннера согласия — каждый такой cookie обрабатывается без правового основания. С 30.05.2025 это нарушение ч. 2 ст. 13.11 КоАП: штраф до 700 000 ₽ за один эпизод. Юристы DATUM соберут комплект ОРД: баннер, политику конфиденциальности, внутренний реестр cookies — в соответствии с требованиями ФЗ-156 от 24.06.2025.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Встройте согласие на cookies в систему ОРД оператора

Согласие на cookies не существует в правовом вакууме. Оно часть общей системы организационно-распорядительной документации оператора, которую требует ст. 18.1 ФЗ-152. Без корректной обвязки баннер не даёт защиты при проверке.

Политика конфиденциальности (публичная, на сайте) должна содержать отдельный раздел об обработке cookies: категории, цели, третьи лица, сроки. Отсылка «мы используем cookies» без расшифровки нарушает требования ч. 2 ст. 18.1 ФЗ-152. Отсутствие или недоступность политики — штраф по ч. 3 ст. 13.11 КоАП (до 60 000 ₽).

Внутренний реестр категорий персональных данных должен включать cookies как отдельную строку: название cookies-сервиса, правовое основание, срок хранения, получатели данных. Это документальная база для взаимодействия с РКН при проверке.

Уведомление в реестре операторов (ст. 22 ФЗ-152) должно отражать фактически осуществляемую обработку — включая обработку через cookies аналитических сервисов. Несоответствие реестра реальной обработке — нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Неуведомление о намерении обрабатывать — отдельный состав по ч. 10 ст. 13.11 (штраф 100 000–300 000 ₽).

«Ст. 18.1 ФЗ-152 обязывает оператора принять локальные акты по вопросам обработки ПДн, обеспечить их доступность и ознакомить с ними работников. Политика конфиденциальности — публичный вариант такого акта, адресованный субъектам данных.»

Ответственный за обработку персональных данных по ст. 22.1 ФЗ-152 должен быть назначен приказом; именно он отвечает за актуальность политики и корректность реестра cookies. Отсутствие назначенного ответственного — самостоятельное основание для предписания РКН.

Как хранить согласие на cookies, чтобы доказать его при проверке?

Получить согласие — полдела. Доказать его получение при проверке РКН или в суде — задача не менее важная. Типичная ошибка: баннер стоит, кнопка работает, но лог согласий не ведётся.

Минимально необходимый состав записи о согласии: уникальный идентификатор сессии или пользователя (не имя, а техническая метка), временная метка (дата и время UTC с часовым поясом), версия баннера (текст должен совпадать с тем, что пользователь видел в момент нажатия), перечень категорий cookies, на которые дано согласие, и IP-адрес на момент взаимодействия. IP сам по себе — персональные данные, поэтому его хранение требует отдельного правового основания; оно есть — законный интерес оператора по доказыванию факта согласия.

Срок хранения лога согласий — не менее срока обработки данных на основании этого согласия плюс разумный период для урегулирования возможных требований субъекта (на практике — 3 года). Субъект вправе в любой момент отозвать согласие (ч. 1 ст. 9 ФЗ-152); отзыв должен фиксироваться в том же логе с временной меткой и последующим прекращением обработки.

Технически лог согласий хранится на стороне оператора (сервер в России — требование локализации по ч. 5 ст. 18 ФЗ-152), а не только в браузере пользователя. Cookie в браузере — не доказательство: пользователь может его удалить, изменить или оспорить факт нажатия.

Если юрист не нашёл лог согласий при аудите сайта — доказательная база отсутствует. РКН при проверке запросит подтверждение факта согласия; отсутствие лога квалифицируется как обработка без согласия по ч. 2 ст. 13.11 КоАП. Срок подготовки документации — до первого запроса регулятора, не после.

Заказать аудит 152-ФЗ

Шаг 5. Проверьте согласие с 01.09.2025: что изменилось по ФЗ-156?

ФЗ-156 от 24.06.2025 вступил в силу 01.09.2025 и изменил требования к форме согласия на обработку персональных данных. Для согласия на cookies это означает следующее.

Согласие теперь оформляется отдельным документом. Его нельзя включать в текст пользовательского соглашения, оферты, договора или политики конфиденциальности. Баннер, который предлагает пользователю «нажать ОК для принятия политики конфиденциальности», после 01.09.2025 не является надлежащим согласием на обработку ПДн через cookies.

Ранее полученные согласия, которые были встроены в иные документы, не требуют принудительного переоформления задним числом — закон обратной силы не имеет. Однако при любом обновлении сайта, изменении функциональности cookies или добавлении нового аналитического сервиса оператор обязан получить новое согласие в надлежащей форме.

«ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом. Совмещение с иными гражданско-правовыми документами не допускается.»

Практическое следствие: если сайт собирал согласия через чекбокс «Я принимаю политику конфиденциальности» или через текст «Продолжая использование сайта, вы соглашаетесь...» — такая форма нарушает требования с 01.09.2025. Необходимо отдельное всплывающее окно или баннер с явным действием пользователя, адресованный исключительно согласию на обработку персональных данных.

Типовые ситуации: как это работает на практике

Ситуация 1. Сайт с GA4 и Meta Pixel, баннер отсутствует. Оператор использует Google Analytics 4 и пиксель Meta для ретаргетинга. Баннера согласия нет, в политике конфиденциальности cookies упоминаются одной строкой. При плановой проверке или по жалобе пользователя РКН составляет протокол по ч. 2 ст. 13.11 КоАП — обработка без письменного согласия. Штраф для юридического лица: 300 000–700 000 ₽. Если оператор уже был привлечён ранее — ч. 2.1, штраф 1 000 000–1 500 000 ₽. Стратегия: немедленная установка раздельного баннера с логированием, обновление политики, уведомление РКН об изменении состава обработки.

Ситуация 2. Согласие встроено в пользовательское соглашение (до 01.09.2025). Компания получила тысячи согласий через чекбокс «Согласен с условиями» до 01.09.2025. После вступления в силу ФЗ-156 РКН проводит проверку в 2026 году. Форма согласия, действовавшая до 01.09.2025, закону не противоречила — обратной силы нет. Однако все новые согласия, полученные после 01.09.2025 по старой форме, являются ненадлежащими. Стратегия: разграничить старую и новую базу согласий, для новых пользователей использовать отдельный документ, для старых — зафиксировать дату получения согласия до точки обнуления.

Ситуация 3. Лог согласий ведётся в браузере (localStorage), не на сервере. При запросе РКН оператор не может подтвердить факт получения согласия конкретного пользователя — логи хранятся на стороне клиента и доступны для изменения. Это эквивалентно отсутствию доказательства согласия. Стратегия: серверное хранение логов с временными метками, версионирование текстов баннеров, доступность выгрузки записи о согласии по идентификатору пользователя.

Кейс 1. В e-commerce компании Центрального ФО (осень 2025) юридический отдел при аудите сайта обнаружил: на трёх поддоменах работают аналитические cookies без баннера согласия; в политике конфиденциальности упоминание cookies занимает одно предложение без перечня третьих лиц. Юристы DATUM в течение двух недель подготовили раздельный баннер, внутренний реестр cookies с правовыми основаниями, обновлённую политику конфиденциальности и серверный лог согласий. Проверка РКН, инициированная по жалобе пользователя, завершилась предписанием об устранении без штрафа — документальная база подтвердила оперативность реагирования.

Кейс 2. SaaS-платформа Северо-Западного ФО (начало 2026) получила запрос от субъекта данных об отзыве согласия на обработку cookies и уничтожении связанных данных. Оператор не вёл лог согласий; подтвердить факт первоначального согласия и зафиксировать его отзыв было невозможно. РКН квалифицировал ситуацию как нарушение ч. 4 ст. 13.11 КоАП — непредоставление информации субъекту — с штрафом в диапазоне до 80 000 ₽. Параллельно составлен протокол по ч. 5 (невыполнение требования об уничтожении ПДн) — штраф 50 000–90 000 ₽. Суммарно ущерб многократно превысил стоимость настройки серверного лога.

Услуги DATUM по теме

  • Комплект ОРД под ключ — политика конфиденциальности, баннер согласия, реестр cookies, внутренние регламенты.
  • Аудит соответствия 152-ФЗ — проверка сайта по чек-листу из 38 пунктов, включая cookies и трансграничную передачу.
  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов об отзыве согласия.

Частые вопросы

1. Какие документы должны быть у оператора ПДн, использующего cookies?

Минимальный комплект включает: политику конфиденциальности с разделом о cookies, опубликованную на сайте (ст. 18.1 ФЗ-152); баннер согласия как отдельный документ (ст. 9 ФЗ-152 в ред. ФЗ-156); внутренний реестр категорий обрабатываемых данных; уведомление в РКН по ст. 22 ФЗ-152 с корректным описанием обработки через cookies; приказ о назначении ответственного по ст. 22.1 ФЗ-152; серверный лог согласий с временными метками.

2. Как составить политику обработки ПДн с учётом cookies?

Политика должна содержать отдельный раздел о cookies: категории (технические, аналитические, маркетинговые), цели каждой категории, перечень третьих лиц, которым передаются данные (конкретные сервисы: Google Analytics, Яндекс.Метрика, Meta Pixel), срок хранения каждой категории, правовое основание и порядок отзыва согласия. Общие формулировки «мы используем файлы cookies» без расшифровки нарушают ч. 2 ст. 18.1 ФЗ-152 и создают основание для штрафа по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным за организацию обработки персональных данных может быть штатный работник (юрист, специалист по безопасности, DPO) или внешний исполнитель по договору аутсорсинга. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. Назначение оформляется приказом с указанием полномочий. Именно ответственный будет взаимодействовать с РКН при проверке и подписывать ответы на запросы субъектов в 10-рабочих-дневный срок по ст. 20 ФЗ-152.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Использование готового шаблона без адаптации под конкретный сайт создаёт риски. Шаблон не отражает фактический состав cookies оператора, реальных третьих лиц-получателей, правовые основания конкретных действий. РКН при проверке сопоставляет текст политики с фактической обработкой; несоответствие — нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Шаблон допустим как стартовая структура, но требует обязательной адаптации под реальную инфраструктуру сайта.

5. Какие согласия нужно переоформить после 01.09.2025 по ФЗ-156?

Переоформлять ранее полученные согласия в обязательном порядке не нужно — закон обратной силы не имеет. Однако с 01.09.2025 все новые согласия (включая повторные после отзыва, после обновления функциональности сайта или добавления новых аналитических сервисов) должны оформляться отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Согласие, встроенное в пользовательское соглашение или политику конфиденциальности и полученное после 01.09.2025, является ненадлежащим.

Итог

Согласие на cookies — юридически значимый документ, требующий конкретных реквизитов, отдельной формы с 01.09.2025 и серверного логирования. Отсутствие надлежащей формы или доказательства получения согласия создаёт прямой риск штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽) при первом нарушении и до 1 500 000 ₽ при повторном.

Практика DATUM по сопровождению операторов ПДн в сфере e-commerce, SaaS и цифровых продуктов показывает: большинство нарушений в части cookies устраняется комплектом из трёх документов (баннер, политика, лог) и занимает от двух до четырёх недель при наличии технической команды на стороне оператора.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности.

25 декабря 2026 года