инструкция 10 февраля 2029 По состоянию на 10 февраля 2029

TTL cookies: правовое значение

Срок жизни cookies (TTL) — это не только технический параметр. Роскомнадзор квалифицирует cookies как персональные данные, а период их хранения — как условие правомерности обработки.

Для интернет-магазина, маркетплейса или SaaS: если cookies хранятся дольше, чем указано в политике, или без надлежащего согласия субъекта, возникает состав по ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽ за первичное нарушение) и риск по ч. 2 при отсутствии или дефекте согласия (300–700 тыс. ₽).

Если вы маркетолог и на сайте стоит GA4, Meta Pixel или аналитика с cookies — проверьте TTL и наличие баннера согласия до проверки РКН.

С 30.05.2025 вступили в силу поправки ФЗ-420, которые расширили ст. 13.11 КоАП до 18 частей. Cookies, не охваченные согласием субъекта или хранящиеся дольше заявленного срока, создают риск по нескольким частям одновременно. Дополнительно — с 01.09.2025 согласие на обработку персональных данных оформляется как отдельный документ (ФЗ-156 от 24.06.2025). В этой инструкции — пошаговый порядок: от правовой квалификации TTL до оформления баннера и политики.

Шаг 1. Разберитесь, считаются ли cookies персональными данными

Позиция Роскомнадзора: cookies могут являться персональными данными, если позволяют идентифицировать пользователя прямо или косвенно. Это следует из определения персональных данных по ст. 3 ФЗ-152 — любая информация, относящаяся к определённому или определяемому физическому лицу.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Cookie-идентификатор, привязанный к аккаунту, email или IP-адресу, подпадает под это определение.»

На практике идентифицирующими считаются:

сессионные cookies аутентификации (session_id, auth_token);
cookies программы лояльности, связанные с номером телефона или email;
аналитические cookies GA4 / Yandex.Metrica при включённом User-ID или связи с CRM;
ретаргетинговые cookies Meta Pixel, передающие данные за пределы РФ (трансграничная передача по ст. 12 ФЗ-152).

Технические cookies без идентификации пользователя (например, выбор языка интерфейса) под определение ПДн, как правило, не подпадают — но это нужно подтверждать в технической документации.

TTL — Time To Live — определяет, сколько времени cookies хранится на устройстве пользователя. Правовое значение TTL состоит в следующем: срок хранения cookie как персональных данных должен соответствовать заявленному в политике конфиденциальности и не превышать срок, необходимый для достижения цели обработки (ст. 5 ФЗ-152, принцип «не дольше необходимого»).

Маркетолог: на вашем сайте cookies без согласия?

Если GA4 или Pixel установлены без баннера согласия — это нарушение ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽) и потенциально трансграничная передача без уведомления РКН (ч. 8 ст. 13.11 — до 6 млн ₽). Срок для устранения до проверки — не восстанавливается.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Определите TTL для каждого типа cookies

Не все cookies требуют согласия и имеют одинаковое правовое регулирование. Для корректного управления TTL разбейте cookies на категории.

Технически необходимые (strictly necessary). Обеспечивают работу сайта: авторизация, корзина, CSRF-токены. Правовое основание — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) или законный интерес. Согласие не требуется. TTL — минимально необходимый: сессионные удаляются при закрытии браузера; постоянные для «помни меня» — не более 30–90 дней с отражением в политике.

Аналитические. GA4, Yandex.Metrica, Amplitude. Если связываются с идентифицируемым пользователем — ПДн. Правовое основание — согласие (ст. 6, п. 1 ч. 1 ФЗ-152). TTL GA4 по умолчанию — 2 года (_ga cookie). Это значение должно быть указано в политике; иначе хранение дольше заявленного = нарушение ст. 5 ФЗ-152.

Маркетинговые и ретаргетинговые. Meta Pixel, Google Ads, ВКонтакте Pixel. Данные передаются за рубеж — потенциальная трансграничная передача по ст. 12 ФЗ-152. Требуется отдельное согласие и уведомление РКН при передаче в страны без адекватной защиты. TTL — до 180 дней; превышение без обновления согласия недопустимо.

Cookies программы лояльности. Привязка к номеру бонусной карты, email, телефону — безусловно ПДн. Согласие обязательно. TTL не должен превышать срок действия программы лояльности или срок хранения ПДн, указанный в согласии.

Что подготовить для правомерного TTL cookies

Реестр cookies сайта с типами, провайдерами, фактическими TTL и правовыми основаниями обработки.
Политика конфиденциальности с разделом «Cookies»: типы, TTL, цели, возможность отзыва.
Баннер согласия на cookies (cookie consent banner): раздельный выбор по категориям, ссылка на политику, фиксация факта согласия или отказа.
Отдельное согласие на обработку ПДн по ст. 9 ФЗ-152 (в редакции с 01.09.2025) для маркетинговых и аналитических cookies.
Уведомление РКН о трансграничной передаче (ст. 12 ФЗ-152), если cookies передают данные в страны без адекватной защиты.

Шаг 3. Как работает баннер cookies с точки зрения закона?

Баннер cookies — инструмент получения согласия субъекта перед установкой идентифицирующих cookies. С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом (ст. 9 ФЗ-152 в редакции ФЗ-156). Это меняет требования к баннеру.

Минимальные требования к баннеру после 01.09.2025:

чёткое описание категорий cookies и их целей;
указание TTL для каждой категории или ссылка на политику с этой информацией;
раздельные чекбоксы: согласие на аналитику, согласие на маркетинг — не «всё или ничего»;
кнопка «Отклонить всё» наравне с «Принять всё» — иначе согласие считается принуждённым;
фиксация факта согласия с меткой времени (для доказательства в случае спора с РКН).

Баннер «Продолжая использовать сайт, вы соглашаетесь» — недействителен по ст. 9 ФЗ-152. Такое согласие не имеет обязательных реквизитов (ФИО субъекта, перечень действий, срок). РКН расценивает это как отсутствие согласия.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие на обработку ПДн оформляется отдельным документом, не объединяется с договором, офертой или иным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Для интернет-магазинов и маркетплейсов это означает: баннер должен собирать не «галочку об ознакомлении», а полноценное согласие с реквизитами, либо cookies должны работать исключительно на технически необходимом основании до получения согласия.

Если маркетолог уже получил запрос от РКН или жалобу пользователя на cookies — 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152. Нарушение сроков — штраф по ч. 4 ст. 13.11 (до 80 тыс. ₽). Юристы DATUM подготовят ответ и проверят весь стек cookies за 2–3 рабочих дня.

Заказать аудит 152-ФЗ

Шаг 4. Уточните роль оператора: маркетплейс или продавец

На маркетплейсах вопрос об операторе персональных данных через cookies решается неочевидно. Платформа устанавливает собственные cookies (сессия, аналитика); продавец может дополнительно встраивать пиксели и ретаргетинговые теги через личный кабинет.

Правило ст. 3 и ст. 6 ФЗ-152: оператор — лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн. Если продавец устанавливает свой пиксель на страницу товара — он самостоятельный оператор в части данных, собранных этим пикселем, вне зависимости от договора с маркетплейсом.

Практические последствия для продавца на маркетплейсе:

обязанность подать уведомление в РКН (ст. 22 ФЗ-152) о намерении обрабатывать ПДн через cookies;
обязанность разместить собственную политику конфиденциальности на лендинге или карточке товара;
ответственность за трансграничную передачу через Meta Pixel или иные зарубежные пиксели — самостоятельно, не через маркетплейс.

Шаг 5. Настройте TTL в соответствии с политикой и проверьте GA4

После квалификации cookies и оформления согласий — синхронизируйте технические TTL с задокументированными значениями. Расхождение между фактическим TTL и заявленным в политике — нарушение принципа прозрачности (ст. 5 ФЗ-152) и самостоятельное основание для протокола.

GA4 и трансграничная передача. Google Analytics 4 передаёт данные на серверы Google за пределами РФ. США не включены в перечень стран с адекватной защитой (Приказ РКН о перечне стран). До передачи в такую страну требуется уведомление РКН по ст. 12 ФЗ-152. Отсутствие уведомления при активном GA4 — состав по ч. 8 ст. 13.11 КоАП: штраф от 1 до 6 млн ₽ за первичное нарушение локализации и ненадлежащую трансграничку.

Альтернативные решения для минимизации риска GA4:

server-side GTM с проксированием на российский сервер — данные не уходят в Google напрямую;
Яндекс.Метрика как основной инструмент аналитики (серверы в РФ);
анонимизация IP и отключение User-ID в GA4 — снижает идентифицируемость, но не устраняет риск полностью;
надлежащее уведомление РКН о трансграничной передаче с описанием мер защиты.

Email-рассылки и cookies. Если email-рассылка запускается через трекинговые пиксели в письме (open-tracking) — это отдельный вид обработки ПДн, не покрытый согласием на cookies сайта. Необходимо отдельное основание: согласие на получение коммерческих сообщений по ст. 18 ФЗ «О рекламе» и согласие на обработку ПДн через трекер.

Практические сценарии: что происходит при нарушениях TTL и cookies

Сценарий 1. Аналитические cookies без баннера. Интернет-магазин установил GA4 и Yandex.Metrica без баннера согласия. Пользователь подаёт жалобу в РКН. Инспектор фиксирует: cookies устанавливаются при первом визите до любого действия пользователя, политика отсутствует или не содержит раздела о cookies. Состав: ч. 2 ст. 13.11 КоАП (обработка без письменного согласия) — штраф 300–700 тыс. ₽. При наличии GA4 дополнительно — потенциально ч. 8 (локализация/трансграничка) 1–6 млн ₽. Стратегия: внедрить баннер до проверки, подать уведомление РКН о трансграничной передаче, оформить политику с разделом cookies и TTL.

Сценарий 2. TTL дольше заявленного. В политике конфиденциальности указано «cookies хранятся 30 дней». Фактический TTL маркетингового cookie — 365 дней (стандартное значение Meta Pixel). РКН при проверке сличает технические параметры с документами. Состав: ч. 1 ст. 13.11 КоАП (обработка несовместимая с целями или сверх заявленного срока) — 150–300 тыс. ₽. При повторном нарушении — ч. 1.1, 300–500 тыс. ₽. Стратегия: привести TTL в соответствие с политикой или обновить политику с корректными значениями и уведомить РКН.

Сценарий 3. Маркетолог установил пиксель на маркетплейсе без уведомления РКН. Продавец через личный кабинет маркетплейса внедрил Facebook Pixel для ретаргетинга. Уведомления в РКН о намерении обрабатывать ПДн нет. РКН инициирует проверку по индикатору риска (отсутствие в реестре операторов). Состав: ч. 10 ст. 13.11 КоАП — штраф 100–300 тыс. ₽ за неуведомление. Плюс ч. 8 за трансграничку без уведомления — 1–6 млн ₽. Стратегия: зарегистрироваться в реестре операторов, подать уведомление о трансграничной передаче, убрать сторонние пиксели до завершения процедуры.

Как это применяется на практике

Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, лето 2025) получил предписание РКН по итогам плановой проверки: баннер cookies присутствовал, но не содержал раздельного выбора по категориям и не фиксировал согласие с реквизитами. Дополнительно — TTL аналитических cookies (730 дней) превышал указанные в политике 90 дней. По итогам проверки составлен протокол по ч. 1 и ч. 2 ст. 13.11 КоАП. После устранения нарушений и подачи возражений штраф в сотни тысяч рублей был снижен арбитражным судом региона с применением ст. 4.1 КоАП.

Кейс 2. Директор по маркетингу SaaS-платформы (Северо-Западный ФО, осень 2025) проводил A/B-тесты через сторонний инструмент с cookies-трекингом. Инструмент хранил cookies 2 года, данные уходили на серверы в Нидерланды. Уведомления РКН о трансграничной передаче не было. После обращения в DATUM: составлено уведомление о трансграничной передаче, пересмотрены TTL (сокращены до 90 дней), баннер пересобран с раздельным согласием. Проверка РКН завершилась предписанием об устранении без штрафа в связи с добровольным принятием мер до составления протокола.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка cookies, политики и согласий по 38-пунктному чек-листу
Комплект ОРД под ключ — политика конфиденциальности с разделом cookies, формы согласий
Защита при штрафе в арбитраже — оспаривание протоколов по ч. 1–2, 8 ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

Cookies считаются персональными данными, если позволяют идентифицировать пользователя прямо или косвенно — например, через связь с email, номером телефона, аккаунтом или User-ID. Это следует из определения ст. 3 ФЗ-152. Технические cookies без идентификации (выбор языка, CSRF-токен) под это определение, как правило, не подпадают — но это требует документального подтверждения в реестре cookies.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 возможно, если соблюдены два условия: получено согласие субъекта на аналитические cookies, и в РКН подано уведомление о трансграничной передаче по ст. 12 ФЗ-152 (США не входят в перечень стран с адекватной защитой). Без этих условий — риск по ч. 2 и ч. 8 ст. 13.11 КоАП суммарно до 6,7 млн ₽. Альтернатива: server-side GTM с проксированием данных на российский сервер или переход на Яндекс.Метрику.

3. Кто оператор: маркетплейс или продавец?

Если продавец самостоятельно устанавливает пиксели или иные трекеры на страницы своих товаров — он является самостоятельным оператором в части данных, собранных этими инструментами (ст. 3 ФЗ-152). Маркетплейс при этом остаётся оператором в части своих собственных cookies. Договор с маркетплейсом не снимает с продавца обязанности по ст. 22 ФЗ-152 (уведомление РКН) и ст. 9 (согласие субъекта).

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании идентифицирующих cookies квалифицируется как обработка ПДн без согласия субъекта — ч. 2 ст. 13.11 КоАП: штраф для юрлица 300–700 тыс. ₽. При повторном нарушении — ч. 2.1: 1–1,5 млн ₽. Если cookies одновременно передаются за рубеж без уведомления РКН — дополнительно ч. 8 ст. 13.11: 1–6 млн ₽. Баннер типа «продолжая использовать сайт, вы соглашаетесь» не является надлежащим согласием по ст. 9 ФЗ-152.

5. Как оформить отзыв подписки?

Отзыв согласия на обработку ПДн через cookies должен быть таким же простым, как его предоставление, — это требование ст. 9 ФЗ-152. На практике: в настройках cookies пользователь должен иметь возможность снять согласие по каждой категории в любой момент. После отзыва — TTL соответствующих cookies обнуляется: файлы удаляются в разумный срок. Для email-рассылок отзыв согласия оформляется через ссылку «отписаться» в каждом письме; факт отзыва фиксируется в CRM с меткой времени.

Итог

TTL cookies — правовой параметр, а не только технический. Срок хранения, соответствие политике, наличие согласия и порядок трансграничной передачи образуют единый комплаенс-периметр для сайта интернет-магазина, маркетплейса или SaaS-продукта. После ФЗ-420 (30.05.2025) и ФЗ-156 (01.09.2025) риски по ст. 13.11 КоАП суммируются: несколько составов одновременно — обычная ситуация при некорректно настроенном стеке аналитики.

Практика DATUM включает аудит cookies-стека, подготовку политики с разделом о TTL, формирование согласий по новым требованиям ст. 9 ФЗ-152 и сопровождение уведомлений РКН о трансграничной передаче. Работаем с интернет-магазинами, маркетплейсами и SaaS-компаниями.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности.

10 февраля 2029 года