Яндекс.Метрику использовать можно — это легально. Но при одном ключевом условии: счётчик должен загружаться только после согласия пользователя на обработку cookie. Именно это нарушают примерно 8 из 10 сайтов в рунете, и именно за это РКН выписывает штрафы. Разбираем по пунктам.

Это частный случай требований 152-ФЗ. Общий обзор — в чек-листе соответствия сайта законам РФ. Здесь — конкретно про веб-аналитику.

1. Метрика собирает персональные данные?

Да. Яндекс.Метрика собирает IP-адрес, идентификатор пользователя (ClientID), данные о поведении и устройстве. По позиции Роскомнадзора такая совокупность позволяет косвенно определить пользователя, а значит — это обработка персональных данных, подпадающая под 152-ФЗ.

«Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).»

2. Главное правило: согласие до загрузки

Скрипт счётчика не должен срабатывать при первом заходе на сайт до того, как пользователь нажал «Принять» в cookie-баннере. Если Метрика уже отправила данные о посетителе до его согласия — это обработка ПД без согласия по 152-ФЗ ст. 9.

«Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе.»

Технически правильно: до клика по баннеру скрипт Метрики не подключается. Только после согласия — подгружается счётчик. Подробнее про корректный баннер — в гайде по cookie-согласию.

3. Что должно быть на сайте

  1. Cookie-баннер, который показывается до загрузки Метрики и даёт выбор «принять / отклонить».
  2. Политика обработки ПД, в которой прямо упомянута веб-аналитика (Яндекс.Метрика) как инструмент обработки.
  3. Отложенная загрузка счётчика — скрипт подключается только после согласия.
  4. Уведомление оператора в РКН, если сайт собирает ПД (см. чек-лист проверки РКН).

4. Метрика vs Google Analytics: где безопаснее

Важное отличие: Яндекс хранит данные на серверах в России, что снимает вопрос локализации (152-ФЗ ст. 18 ч. 5) и трансграничной передачи. Google Analytics передаёт данные за рубеж — это отдельное нарушение (трансграничная передача без оснований, до 500 000 ₽). Поэтому с точки зрения 152-ФЗ Метрика — более безопасный выбор, но правило «согласие до загрузки» действует одинаково для обоих.

5. Настройки Метрики, снижающие риск

  • Хеширование/анонимизация IP в настройках счётчика — уменьшает объём ПД.
  • Отключение Вебвизора и записи форм, если они пишут вводимые пользователем данные.
  • Не передавать в Метрику email, телефон, ФИО в параметрах визита.

6. Какой штраф за нарушение

Загрузка Метрики до согласия = обработка ПД без согласия по ст. 13.11 ч. 1 КоАП: для юрлиц — до 100 000 ₽ за первое нарушение, до 300 000 ₽ при повторном. С 2024 года РКН активно работает по жалобам пользователей именно по этому пункту. Полная сводка — в статье «Штрафы РКН в 2026».

Как проверить свой сайт

Запустите бесплатную экспресс-проверку на главной странице — сервис покажет, грузятся ли трекеры до согласия, есть ли cookie-баннер и политика обработки ПД. Это самые частые нарушения, связанные с аналитикой. Полная проверка по всем 16 параметрам — в платном отчёте.

Источники