Технические vs аналитические cookies
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 составов вместо прежних 7. Для маркетолога интернет-магазина это означает, что каждый трекинговый скрипт на сайте теперь несёт конкретный риск. В этой инструкции разобраны шесть шагов: от классификации cookies до оформления отзыва подписки на рассылку.
Шаг 1. Разделите cookies по правовому режиму
Технические cookies обеспечивают работу сайта: хранят сессию, корзину покупателя, языковые настройки. Они не идентифицируют конкретного пользователя за пределами текущей сессии и не передаются третьим лицам. РКН в своей позиции квалифицирует их как данные, необходимые для исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152): согласие на них не требуется.
Аналитические и маркетинговые cookies — принципиально другое. Они формируют профиль поведения конкретного пользователя, передают данные на серверы Google, Meta, Яндекс или иных третьих лиц, используются для таргетинга и ретаргетинга. Роскомнадзор последовательно признаёт такие идентификаторы персональными данными в понимании ст. 3 ФЗ-152.
Практическое разграничение: если cookie покидает ваш сервер и уходит на сторонний домен — она аналитическая или маркетинговая. Если остаётся в рамках вашего сайта — техническая. Это правило работает и для программ лояльности: идентификатор карты лояльности, передаваемый в CRM-облако, требует согласия.
Шаг 2. Определите, нужно ли согласие и в какой форме
Согласие на аналитические cookies — отдельный документ или однозначное действие пользователя (клик по кнопке «Принять» при наличии реальной альтернативы «Отклонить»). С 01.09.2025 ФЗ-156 от 24.06.2025 закрепил, что согласие на обработку ПДн не может быть встроено в текст договора, оферты или пользовательского соглашения — оно оформляется отдельно.
Для маркетплейсов вопрос осложнён двойственностью ролей. Платформа-маркетплейс — оператор ПДн покупателей. Продавец, размещающий свой трекинговый пиксель через интеграцию маркетплейса, — самостоятельный оператор в части данных, которые он получает. Ответственность за согласие лежит на том, чей скрипт собирает данные.
Используете GA4 или Meta Pixel на сайте магазина?
Если на сайте интернет-магазина установлены аналитические скрипты без баннера согласия и уведомления РКН — это нарушение ч. 6 ст. 13.11 КоАП и ч. 12 ст. 12 ФЗ-152. Срок подачи уведомления о трансграничной передаче не восстанавливается. Юристы DATUM проведут аудит cookie-стека сайта и подготовят пакет документов по ч. 2 ст. 18.1 ФЗ-152.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Настройте баннер cookies по требованиям 152-ФЗ
Баннер согласия на cookies — это не рекомендация, а правовой инструмент. Он должен: появляться до загрузки аналитических скриптов; содержать перечень категорий cookies с пояснением целей; предоставлять равнозначную кнопку «Отклонить» рядом с кнопкой «Принять»; сохранять выбор пользователя. Скрипты GA4 или Pixel загружаются только после нажатия «Принять».
Отдельного внимания заслуживает GA4 как инструмент трансграничной передачи данных. Данные пользователей из России передаются на серверы Google в США — страну, не включённую в перечень государств с адекватным уровнем защиты ПДн (ст. 12 ФЗ-152). До начала такой передачи оператор обязан уведомить РКН по форме Приказа РКН №180 от 28.10.2022.
Что подготовить маркетологу для cookies-комплаенса
- Реестр всех cookies сайта с разбивкой на технические и аналитические (включая сторонние скрипты рекламных сетей)
- Баннер согласия с кнопками «Принять» и «Отклонить» — скрипты загружаются только после «Принять»
- Раздел «Cookies» в политике конфиденциальности с перечнем категорий, целей и третьих лиц
- Уведомление в РКН о трансграничной передаче для GA4, Meta Pixel и аналогичных сервисов
- Механизм хранения и подтверждения согласия (лог с датой, версией баннера, действием пользователя)
Шаг 4. Обновите политику конфиденциальности интернет-магазина
Политика обработки ПДн — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Для интернет-магазина она должна отдельным разделом описывать: перечень используемых cookies по категориям, цели обработки по каждой категории, наименования третьих лиц — получателей данных (Google LLC, Meta Platforms и т. д.), основание для трансграничной передачи, порядок отзыва согласия.
Программы лояльности создают дополнительный пласт требований. Идентификаторы участника программы, история покупок, предпочтения — это ПДн с самостоятельными целями обработки, несовместимыми с целями аналитики трафика. По ст. 5 ФЗ-152 нельзя объединять базы с несовместимыми целями. Это означает разные согласия или разные правовые основания.
Если в политике конфиденциальности вашего магазина нет раздела о cookies и трансграничной передаче — это нарушение ч. 3 ст. 13.11 КоАП (штраф 30–60 тыс. ₽) и ч. 6 (50–100 тыс. ₽). Юристы DATUM соберут пакет ОРД под ключ за 14 рабочих дней.
Собрать ОРД под ключШаг 5. Настройте механизм отзыва согласия на рассылки
Email-рассылки — отдельная зона риска. Согласие на рассылку является самостоятельным основанием обработки ПДн и не связано с cookies. Для рассылки требуется: отдельное согласие (не встроенное в форму заказа), ссылка на отписку в каждом письме, фактическое прекращение рассылки после отписки в разумный срок. Срок ответа на требование субъекта об уничтожении данных — 7 рабочих дней по ст. 21 ФЗ-152.
Двойное подтверждение подписки (double opt-in) — лучшая доказательная практика. Первое письмо подтверждает намерение, второе — фиксирует согласие с IP-адресом и временной меткой. В случае жалобы субъекта в РКН именно этот лог подтверждает правомерность рассылки.
Шаг 6. Проверьте риски по типичным ситуациям маркетолога
Три сценария, с которыми сталкивается маркетолог интернет-магазина при работе с cookies и рассылками.
Сценарий 1. Сайт без баннера cookies, GA4 загружается при входе. Ситуация: скрипт GA4 встроен напрямую в тег `head`, данные уходят в Google до любого действия пользователя. Доказательства нарушения: скриншот сетевых запросов, отсутствие согласия в логах. Вероятный исход: протокол по ч. 6 ст. 13.11 КоАП (штраф 50–100 тыс. ₽ для юрлица) и отдельный протокол по ч. 10 ст. 13.11 за неуведомление о трансграничной передаче (штраф 100–300 тыс. ₽). Стратегия: остановить передачу, внедрить consent mode, подать уведомление в РКН, обратиться за ОРД.
Сценарий 2. Маркетплейс — продавец установил свой Pixel через API интеграции. Ситуация: покупатель оформляет заказ на маркетплейсе, данные о событии (просмотр, добавление в корзину) уходят на Facebook серверы продавца. Вопрос о согласии. Доказательства: логи API-вызовов. Вероятный исход: РКН предъявит претензии и маркетплейсу (за отсутствие контроля над интеграциями), и продавцу (за самостоятельную обработку без согласия). Стратегия: продавец оформляет собственное уведомление в РКН и отдельное согласие; маркетплейс закрепляет в договоре с продавцом запрет на несогласованные трекинговые интеграции.
Сценарий 3. Рассылка по базе после изменения согласий с 01.09.2025. Ситуация: согласие на рассылку было встроено в текст пользовательского соглашения до 01.09.2025. После вступления в силу ФЗ-156 новые согласия — отдельный документ. Доказательства: дата согласия, форма, в которой оно получено. Вероятный исход: если согласие получено до 01.09.2025 — обратной силы нет, оно действительно. Но при жалобе субъекта придётся доказать, что согласие было информированным. Стратегия: переход на double opt-in для новых подписчиков, аудит старой базы.
Как это применяется на практике
Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, осень 2025): маркетолог после смены подрядчика по SEO обнаружил, что новый подрядчик установил три аналитических скрипта без согласования. РКН зафиксировал передачу данных в рамках плановой проверки. Компания получила протокол по ч. 6 ст. 13.11 и предписание об устранении. Штраф в десятки тысяч рублей был обжалован — суд снизил размер, применив обстоятельства по ст. 4.1 КоАП, так как нарушение устранено до вынесения постановления.
Кейс 2. Региональный маркетплейс одежды (Приволжский ФО, начало 2026): продавец через партнёрский кабинет установил ретаргетинговый пиксель без ведома платформы. Жалоба покупателя привела к внеплановой проверке РКН. Платформа была привлечена к ответственности как оператор — штраф в диапазоне сотен тысяч рублей по ч. 6 ст. 13.11. После этого маркетплейс ввёл обязательную верификацию трекинговых интеграций. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка cookie-стека, политики и ОРД по чек-листу из 38 пунктов
- Комплект ОРД под ключ — политика, согласия, уведомление о трансграничке, раздел cookies
- Защита при штрафе в арбитраже — обжалование протокола по ч. 6 ст. 13.11, применение ст. 4.1.1 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookie позволяет косвенно идентифицировать конкретного пользователя. Это следует из определения ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Технические cookies, которые не идентифицируют пользователя за пределами текущей сессии и не передаются третьим лицам, под это определение, как правило, не подпадают.
2. Можно ли использовать GA4 после ограничений?
Можно, но только при соблюдении двух условий. Первое: получено отдельное согласие пользователя через корректно настроенный баннер (скрипт загружается после согласия, а не до). Второе: подано уведомление в РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152. Без этих условий передача данных в GA4 нарушает ч. 6 ст. 13.11 КоАП (штраф 50–100 тыс. ₽) и ст. 12 ФЗ-152.
3. Кто оператор: маркетплейс или продавец?
Оба могут быть самостоятельными операторами в части тех данных, которые каждый из них обрабатывает. Маркетплейс — оператор данных покупателей на платформе. Продавец, разместивший собственный трекинговый пиксель через интеграцию, становится отдельным оператором в части данных, которые его скрипт собирает. Распределение ответственности фиксируется в договоре между маркетплейсом и продавцом.
4. Что грозит за отсутствие баннера cookies?
Штраф по ч. 6 ст. 13.11 КоАП в редакции с 30.05.2025 — 50 000–100 000 ₽ для юридического лица. Если аналитические скрипты одновременно передают данные за рубеж без уведомления РКН — дополнительный протокол по ч. 10 ст. 13.11 (штраф 100 000–300 000 ₽). При повторном нарушении по ч. 5.1 ст. 13.11 — 300 000–500 000 ₽.
5. Как оформить отзыв подписки?
Отзыв подписки — реализация права субъекта по ст. 21 ФЗ-152. В каждом письме рассылки обязательна ссылка на отписку. После перехода по ней рассылка должна прекратиться, а данные — уничтожены или обезличены, если нет иного законного основания для их хранения. Срок исполнения требования об уничтожении ПДн — 7 рабочих дней. Лог согласий и отписок хранить для подтверждения правомерности.
6. Нужно ли отдельное согласие на cookies в мобильном приложении?
Да. Принцип тот же: если приложение использует аналитические SDK (Firebase, AppMetrica, Adjust), передающие данные третьим лицам, — нужно согласие пользователя до инициализации этих SDK. Технически это реализуется через экран онбординга с выбором категорий согласия до первого запуска аналитики.
Итог
Разграничение технических и аналитических cookies — не техническая, а правовая задача. Оно определяет, нужно ли согласие, нужно ли уведомление о трансграничной передаче и какой документ служит доказательством правомерности обработки в случае проверки РКН.
Юристы DATUM сопровождают интернет-магазины и маркетплейсы в части cookie-комплаенса: аудит скриптов, настройка баннера, уведомление РКН, обновление ОРД. Практика по цифровым продуктам — с 2014 года.
18 февраля 2028 года