Google Analytics, Яндекс.Метрика и ПДн: как не нарушить в 2026 году
Я - Олег Петухов, руководитель юридической компании «ЛЕГАС». За 25 лет практики я помог десяткам сайтов избежать штрафов Роскомнадзора за нарушение 152 ФЗ при использовании Google Analytics и Яндекс.Метрики. В этой статье - только практика: что считается персональными данными в аналитике, как безопасно настроить сервисы и какие документы подготовить.
Что в аналитике считается ПДн?
По 152 ФЗ, персональными данными (ПДн) считается любая информация, позволяющая прямо или косвенно идентифицировать человека. В Google Analytics и Яндекс.Метрике это:
• IP адреса (особенно полные - могут указывать на конкретное устройство и пользователя);
• User ID (если вы передаёте идентификатор пользователя из CRM);
• параметры визитов, содержащие имена, email, телефоны (например, в UTM метках);
• данные из форм на сайте (если передаются в аналитику);
• поведенческие данные в связке с идентификаторами.
Важно: даже обезличенные данные могут стать ПДн, если их можно сопоставить с другими источниками для идентификации.
Какие риски?
Использование аналитики без учёта 152 ФЗ грозит:
• штрафами по ст. 13.11 КоАП РФ (до 100 000 руб. для юрлиц);
• предписанием Роскомнадзора о прекращении обработки;
• блокировкой сайта (в крайних случаях);
• репутационными потерями.
Как настроить Google Analytics безопасно?
1. Включите анонимизацию IP в настройках потока данных (GA4) или через код (Universal Analytics).
2. Не передавайте ПДн в параметрах событий (имена, email, номера телефонов).
3. Используйте агрегацию данных - избегайте отчётов с детализацией до пользователя.
4. Ограничьте срок хранения данных (в GA4: «Администрирование» → «Настройки потока» → «Срок хранения данных»).
5. Отключите сбор идентификаторов (User ID), если это не критично для бизнеса.
Как настроить Яндекс.Метрику безопасно?
1. Активируйте анонимизацию IP («Настройки» → вкладка «Счётчик» → опция «Анонимность посетителей»).
2. Не отправляйте ПДн через цели или параметры визитов.
3. Настройте фильтрацию трафика - исключите внутренние IP (чтобы не собирать данные сотрудников).
4. Используйте режим «Обезличенные данные» для отчётов.
5. Проверьте настройки интеграции с CRM и формами - убедитесь, что не передаются email/телефоны.
Какие документы нужны?
Чтобы законно использовать аналитику, разместите на сайте:
• Политику обработки персональных данных с разделом про аналитические сервисы:
какие данные собирает Google Analytics/Яндекс.Метрика;
цели сбора (анализ трафика, улучшение сайта);
меры защиты (анонимизация, ограничение доступа);
срок хранения данных.
• Уведомление для посетителей (баннер согласия):
сообщение о сборе данных через аналитику;
ссылка на политику ПДн;
кнопка «Принять» (или чекбокс, если требуется согласие на обработку).
• Согласие на обработку ПДн (если собираете расширенные данные через формы).
Частые ошибки
• Не анонимизируют IP - оставляют полные адреса в отчётах, что прямо нарушает 152 ФЗ.
• Передают email/телефоны в UTM метках - например, ?utm_email=user@mail.ru. Это явный сбор ПДн без согласия.
• Не обновляют политику ПДн при смене настроек аналитики.
• Не показывают баннер согласия на сайтах с аналитикой.
• Собирают User ID без необходимости и не указывают это в документах.
Мой комментарий: самая распространённая ошибка - считать, что «аналитика не собирает ПДн». Собирает. И если не настроить её правильно, штраф почти гарантирован.
Пошаговая инструкция: как привести сайт в соответствие с 152 ФЗ
Шаг 1. Аудит текущих настроек
• Проверьте, включена ли анонимизация IP в Google Analytics (GA4 или Universal Analytics) и Яндекс.Метрике.
• Проанализируйте передаваемые параметры: нет ли в них email, телефонов, имён.
• Убедитесь, что User ID используется только при необходимости.
Шаг 2. Настройка сервисов
• В Google Analytics (GA4):
включите анонимизацию IP через код или настройки потока;
установите срок хранения данных (рекомендуется 14 месяцев или меньше);
отключите сбор идентификаторов, если не используете User ID.
• В Яндекс.Метрике:
активируйте «Анонимность посетителей» в настройках счётчика;
настройте фильтрацию внутренних IP адресов;
проверьте интеграции с CRM.
Шаг 3. Подготовка документов
1. Политика обработки ПДн:
укажите, что сайт использует Google Analytics и Яндекс.Метрику;
опишите, какие данные собираются (IP адреса, User ID и т. д.);
объясните цели (анализ трафика, улучшение сайта);
перечислите меры защиты (анонимизация, ограничение доступа);
укажите срок хранения данных.
2. Баннер согласия:
текст: «Этот сайт использует Google Analytics и Яндекс.Метрику для сбора статистики. Продолжая использовать сайт, вы соглашаетесь с обработкой данных согласно Политике обработки ПДн»;
кнопка «Принять»;
ссылка на политику.
3. Согласие на обработку ПДн (если собираете расширенные данные через формы).
Шаг 4. Тестирование
• Проверьте работу баннера: появляется ли он у новых посетителей?
• Убедитесь, что в отчётах Google Analytics и Яндекс.Метрики нет полных IP адресов.
• Протестируйте отправку форм - не передаются ли ПДн в аналитику.
Пример из практики
В 2025 году РКН оштрафовал интернет магазин на 75 000 руб. за то, что:
• IP адреса не анонимизировались;
• в UTM метках передавались email клиентов;
• на сайте не было баннера согласия.
После исправления настроек и размещения документов штраф был признан обоснованным, но новых нарушений не выявлено.
Что делать, если РКН уже направил запрос?
1. Срочно проведите аудит - проверьте настройки аналитики и документы.
2. Устраните нарушения (включите анонимизацию, удалите ПДн из параметров).
3. Подготовьте ответы:
копию обновлённой политики ПДн;
скриншоты настроек Google Analytics/Яндекс.Метрики;
описание принятых мер.
4. Направьте ответ в РКН в установленный срок.
Важно: лучше предотвратить нарушение, чем устранять его после запроса РКН.
Заключение
Чтобы использовать Google Analytics и Яндекс.Метрику без нарушения 152 ФЗ:
1. Настройте анонимизацию данных в обоих сервисах.
2. Исключите передачу ПДн в параметрах событий, UTM метках, формах.
3. Подготовьте документы: политику ПДн, баннер согласия, согласие на обработку (при необходимости).
4. Регулярно проверяйте настройки - особенно после обновлений сайта или аналитики.
5. Обучите команду (маркетологов, веб мастеров) правилам работы с ПДн.
Команда «ЛЕГАС» поможет:
• провести юридический аудит сайта на соответствие 152 ФЗ;
• настроить Google Analytics и Яндекс.Метрику безопасно;
• подготовить пакет документов (политика, согласия, уведомления);
• сопроводить проверку РКН.
• Скачайте чек лист «Безопасное использование Google Analytics и Яндекс.Метрики». В нём - пошаговая инструкция по настройкам и шаблоны документов.
• Закажите аудит вашего сайта - проверим настройки аналитики и соответствие 152 ФЗ за 2 рабочих дня.
• Поделитесь статьёй с веб мастером или маркетологом - пусть проверит настройки.
• Подпишитесь на legascom.ru - будем разбирать сложные вопросы информационной безопасности просто и понятно.