Cookies маркетинговые 152-ФЗ

Cookies маркетинговые 152-ФЗ — практическое руководство по нормам РФ 2026 года: сроки, суммы, процедура, ссылки на Персональные данные (расширение).

ФЗ-152ФЗ-149

Cookies маркетинговые 152-ФЗ

Маркетинговые куки — это программные идентификаторы, размещаемые на устройствах пользователей для сбора данных о поведении посетителей сайтов с целью персонализации рекламы и анализа эффективности маркетинговых активностей. Соблюдение законодательства при использовании «куков» критично для избежания крупных административных штрафов и репутационных рисков.

1. Понятие персональных данных в контексте куки

Согласно статье 3 ФЗ-152, персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. С точки зрения правоприменительной практики, если маркетинговые куки позволяют идентифицировать пользователя или связать его действия с конкретным человеком (например, по ID в CRM), такие cookie признаются персональными данными.

В этом случае оператор сайта обязан соблюдать требования ст. 22 ФЗ-152: получить согласие субъекта персональных данных до обработки; обеспечить прозрачность целей и способов сбора; вести реестр операций (ст. 22.1). Нарушение порядка получения согласия квалифицируется как обработка ПД без законного основания.

2. Требования к информированию и получению согласия

В соответствии с ч. 1 ст. 18 ФЗ-152, оператор обязан предоставить субъекту информацию о целях сбора ПД и их обработке. Для маркетинговых куков это реализуется через «баннер согласия» (cookie consent banner) — всплывающее окно, содержащее краткое описание cookies.

Согласие должно быть:
• явным;
• свободным;
• конкретным (указание целей);
• информированным (описание технологий);
• подтверждённым (отдельно от оферты или других условий использования сайта).

На практике большинство операторов используют модель «выбора» (opt-in): пользователь должен явно активировать каждый трекер, а не просто нажать кнопку «согласен со всеми». Это минимизирует риск оспаривания действий оператора по ст. 13.11 КоАП РФ.

3. Обработка спецкатегорий и трансграничная передача

Если маркетинговые куки позволяют выявлять принадлежность пользователя к одной из категорий, для обработки требуются дополнительные основания (ст. 10, 11 ФЗ-152). К ним относятся: сведения о расовой принадлежности, политических взглядах, религии, состоянии здоровья или интимной жизни.

В случае трансграничной передачи данных в третьи страны необходимо удостовериться, что государство-реципиент обеспечивает адекватную защиту (ч. 3 ст. 12 ФЗ-152). Для большинства маркетинговых подрядчиков из РФ и ЕАЭС это требование выполняется автоматически, но при работе с компаниями из США или ЕС — требуется наличие решения о соответствии требованиям защиты ПД по Решению Совета ЕЭК № 27.

4. Риски и штрафы (ФЗ-13.11 КоАП РФ)

За обработку персональных данных без согласия (или с нарушением порядка) предусмотрена административная ответственность: штраф по ст. 13.11 КоАП РФ составляет: • от 10 до 50 тыс. руб. за первое нарушение; • от 50 до 100 тыс. руб. при повторном нарушении в течение года.

За обработку сведений, составляющих специальную категорию ПД без необходимых условий (ст. 11 ФЗ-152), штраф по ч. 2 ст. 13.11 КоАП РФ составляет:
• от 50 до 100 тыс. руб.; • для должностных лиц — от 100 до 300 тыс. руб.

Расчёт штрафа производится как фиксированный размер, не зависящий от выручки или оборота компании; сумма является существенной для малого бизнеса и ИП.

5. Взаимодействие с ФЗ-149 (О защите информации)

ФЗ-149 «Об информации…» дополняет требования к маркетинговым cookie: оператор обязан обеспечить защиту ПД при их обработке, а сайт — раскрывать политику обработки в разделе «Политика конфиденциальности» (п. 2 ч. 1 ст. 5). К политике должны прилагаться схемы сбора и использования cookies, перечень подрядчиков, сроки хранения и порядок отзыва согласия.

Кроме того, ФЗ-149 требует соблюдать требования по защите информации при использовании средств автоматизации: применять сертифицированные средства защиты, вести журналы доступа (если ПД обрабатываются в автоматизированных системах).

Что важно запомнить

• Маркетинговые куки могут быть признаны персональными данными, если позволяют идентифицировать субъекта или связать его с профилем.

Для законной работы необходимо получить явное согласие пользователя на каждый тип cookie и отразить это в баннере согласия (opt-in), а не opt-out. Оператор обязан раскрывать цели обработки ПД и предоставлять субъекту право отозвать согласие, а также хранить реестр операций по ст. 22 ФЗ-152. Нарушение порядка получения согласия грозит штрафом до 100–300 тыс. руб. (ст. 13.11 КоАП РФ). Необходимо учитывать требования к трансграничной передаче и защите ПД в рамках ФЗ-149 (сертификация средств защиты, политика на сайте).

Похожие материалы

Информационный сервис, не юридическая консультация. Источник данных — pravo.gov.ru (ИПС «Законодательство России»). Для важных решений сверяйтесь с актуальной редакцией закона или обратитесь к юристу.