сайтскан.рф
Кабинет
Кейс152-ФЗ ст. 18.1

Cookies без согласия — практика штрафов 2024–2025

С 2025 года РКН требует явного предварительного согласия на аналитические и маркетинговые cookies. Штрафы выписывают даже за работающую «по умолчанию» Яндекс.Метрику. По новой редакции 420-ФЗ — от 150 тыс ₽ до оборотных штрафов в 1–3 % выручки.

Что случилось

С 1 сентября 2022 г. ужесточена ст. 9 152-ФЗ — согласие на обработку ПД должно быть конкретным, информированным и сознательным. С 2024–2025 гг. РКН распространяет это требование на cookies-идентификаторы: они приравнены к персональным данным, потому что позволяют идентифицировать устройство и поведение пользователя.

Принципиальные изменения 2024–2025:

  • сам факт работы Яндекс.Метрики / Google Analytics / VK-пикселя до клика на «Принять» считается обработкой ПД без согласия;
  • баннер в стиле «Продолжая использовать сайт, вы соглашаетесь» больше не работает — нужен явный клик;
  • отсутствие кнопки «Отклонить» — признак недействительности согласия.

Кого штрафуют

Под удар попадают все, у кого:

  • стоит счётчик Яндекс.Метрики / Google Analytics в <head> без cookie-баннера;
  • баннер есть, но с одной кнопкой «Принять» (без «Отклонить») — это «принуждение к согласию»;
  • баннер сделан как «Продолжая просмотр, вы соглашаетесь» (passive consent) — недействителен;
  • в политике сайта нет отдельного раздела про cookies с категориями и сроками хранения;
  • маркетинговые пиксели (VK, myTarget) загружаются до согласия.

Жалобы поступают от пользователей в РКН через форму pd.rkn.gov.ru/feedback — 5 минут от пользователя, и проверка запускается.

Размер штрафов

С 30 мая 2025 г. действует новая редакция ст. 13.11 КоАП РФ (введена 420-ФЗ от 30.11.2024). Штрафы для юрлиц:

Нарушение Статья Штраф (юрлицо)
Обработка ПД без согласия ч. 1 ст. 13.11 КоАП 150 000 – 300 000 ₽
Отсутствие уведомления о намерении обрабатывать ПД ч. 10 ст. 13.11 КоАП 100 000 – 300 000 ₽
Несообщение об утечке ПД в РКН ч. 12 ст. 13.11 КоАП 1 000 000 – 3 000 000 ₽
Утечка ПД 1–10 тыс субъектов ч. 13 ст. 13.11 КоАП 3 000 000 – 5 000 000 ₽
Повторное нарушение / обработка в непредусмотренных целях ст. 13.11 КоАП оборотный штраф 1–3 % выручки, минимум 25 млн ₽, максимум 500 млн ₽

В 2025 году впервые в КоАП появились оборотные штрафы за ПД — это означает, что для среднего и крупного бизнеса наказание привязано к выручке, а не к фиксированной сумме. До 30 мая 2025 верхней планкой было 700 000 ₽, теперь — десятки и сотни миллионов.

Типичные ошибки

1. «Молчаливое согласие»

<!-- НЕПРАВИЛЬНО — недействительное согласие -->
<div class="cookie-banner">
  Продолжая использовать сайт, вы соглашаетесь с использованием cookies.
  <button>OK</button>
</div>

С 2024 г. это не работает — нужен активный выбор.

2. Только «Принять», без «Отклонить»

<!-- НЕПРАВИЛЬНО — нет реального выбора -->
<div class="cookie-banner">
  Мы используем cookies. <button>Принять</button>
</div>

Согласие считается навязанным, потому что у пользователя нет альтернативы остаться на сайте без согласия.

3. Метрика работает до клика

<!-- НЕПРАВИЛЬНО — счётчик в head, работает до согласия -->
<head>
  <script>
    (function(m,e,t,r,i,k,a){...})(window, document, "script",
    "https://mc.yandex.ru/metrika/tag.js", "ym");
    ym(12345678, "init", { ... });
  </script>
</head>

Метрика читает cookies и собирает поведенческие данные до того, как пользователь дал согласие. Это нарушение даже при наличии корректного баннера.

Как закрыть нарушение

  1. Возьмите готовый шаблон: Cookie-баннер и политика 152-ФЗ.
  2. Уберите счётчик Яндекс.Метрики из <head>. Подключайте через событие cookie:consent после клика на «Принять».
  3. Опубликуйте отдельную политику cookies по адресу /legal/cookies — с описанием категорий (технические / аналитические / маркетинговые), целей и сроков хранения.
  4. Поставьте ссылку «Cookies» в подвал каждой страницы.
  5. Зафиксируйте версию политики в БД при сохранении согласия — policy_version: 1.0. Это доказательство для РКН в случае проверки.
  6. Перепроверьте сайт через СайтсканРФ — детектор cookies должен закрыть нарушение.

Сколько стоит правильно

Внедрение cookie-баннера занимает 30 минут — копируете готовый код, вставляете, переносите счётчик метрики. Никаких сторонних SaaS-сервисов (Cookiebot, OneTrust) для российского сайта не нужно — они сами не соответствуют 152-ФЗ.

⚠️ Дисклеймер: обзор публичной практики РКН и КоАП РФ на дату обновления. Конкретный штраф зависит от категории оператора, повторности и наличия других нарушений. Это не юридическая консультация.

Похожие материалы

Кейс152-ФЗ ч. 5 ст. 18

«Сервер за границей» — как штрафуют за нарушение локализации ПД

Кейс38-ФЗ ст. 18.1

Реклама без ERID — самая массовая статья 2024–2025

Материал носит информационно-справочный характер и не является юридическим заключением.