Яндекс.Метрика и 152‑ФЗ: настройки и юридические аспекты
Table of contents
- Введение: можно ли использовать Яндекс.Метрику по 152‑ФЗ
- Правовая база и роль Роскомнадзора
- Где в Метрике возникают персональные данные
- Юридическая модель: оператор — поручение обработчику (Яндексу)
- Безопасные настройки счётчика: технические шаги
- Cookie‑согласие и блокировка Метрики до выбора пользователя
- Локализация данных и Yandex Cloud
- Документы и внутренние процедуры оператора
- Типичные нарушения и риски на проверках
- Чек‑лист по настройке Метрики под 152‑ФЗ
- FAQ
- Вывод и следующий шаг
Введение: можно ли использовать Яндекс.Метрику по 152‑ФЗ
Да, «Яндекс.Метрика и 152‑ФЗ» совместимы при корректной юридической модели и настройках. Главные принципы: не отправляйте в Метрику персональные данные (ПДн), фиксируйте правовое основание (чаще — согласие), блокируйте загрузку счётчика до выбора пользователя на cookie‑баннере, оформите поручение Яндексу на обработку и опишите всё в вашей политике конфиденциальности.
![Схема потока данных: посетитель → сайт → Метрика (Яндекс) → отчёты для оператора]
Для общего контекста см. обзор закона и терминов: О законе 152‑ФЗ, Текст 152‑ФЗ, последняя редакция, Глоссарий.
Правовая база и роль Роскомнадзора
Персональные данные — закон ФЗ‑152, Роскомнадзор — надзорный орган. Ключевые нормы:
Полезно учитывать и грядущие поправки: Изменения 2025. Если вы сайт‑оператор, Роскомнадзор проверяет настройки аналитики, документы и фактическую передачу данных: Проверки Роскомнадзор.
Где в Метрике возникают персональные данные
ПДн появляются там, где вы (осознанно или случайно) связываете события аналитики с идентифицируемым человеком:
- Значения форм (имя, телефон, email), особенно при использовании Вебвизора и аналитики форм.
- Параметры страниц и события (ym(..., 'params', ...)) — нельзя передавать email, телефон, ФИО, адреса, ИНН и т.п.
- URL/реферер — утечки ПДн через query‑параметры (например, ?email=... или ?name=...).
- Интеграции с CRM/сквозной аналитикой — нельзя отправлять в Метрику необезличенные идентификаторы клиента.
Важно: некоторые технические идентификаторы (cookie, ClientID) сами по себе не всегда квалифицируются как ПДн, но при связывании с субъектом (например, с заказом, где есть ФИО) — уже ПДн. Поэтому подход «по умолчанию — обезличиваем, связываем только при наличии законного основания» — безопаснее.
Подробнее о видах данных: Обезличивание ПДн, Общедоступные ПДн, Специальные категории, Биометрические ПДн.
Юридическая модель: оператор — поручение обработчику (Яндексу)
В модели «сайт ↔ Метрика» вы — оператор ПДн, Яндекс — обработчик по поручению. Что нужно сделать:
Безопасные настройки счётчика: технические шаги
Рекомендации для «яндекс метрика 152 фз» в интерфейсе счётчика и коде:
- Не передавайте ПДн в событиях и параметрах
- Запрещены: email, телефон, ФИО, адрес, паспортные и иные персональные идентификаторы.
- Если требуется связать сессии с CRM, используйте псевдонимизацию: односторонний хэш с солью на стороне сервера. Пример параметра:
ym(COUNTER_ID, 'params', {
user_id_hash: '03f1c...'
});
- Вебвизор и аналитика форм
- В настройках счётчика отключите запись содержимого форм или включите режим скрытия конфиденциальных полей. Маскируйте все поля с ПДн.
- На уровне фронтенда исключайте чувствительные элементы из записи (скройте поля с ПДн в Вебвизоре/картах кликов, не давайте им попадать в DOM‑снимки).
- Фильтрация URL и реферера
- Уберите ПДн из URL. Строго запретите формирования ссылок вида /?email=... или /?phone=....
- Настройте middleware/redirect‑rules для очистки query‑параметров.
- Цели и ecommerce
- Не используйте цели «Событие/URL содержит» с ПДн.
- В ecommerce‑данных не передавайте ФИО и контакты — только товарные и транзакционные идентификаторы (безличные).
- HTTPS и безопасность транспорта
- CMS и конструкторы
Cookie‑согласие и блокировка Метрики до выбора пользователя
С точки зрения 152‑ФЗ и практики РКН безопасный подход — не загружать Метрику, пока пользователь не дал осознанное согласие на аналитику.
- Покажите баннер с понятными целями и отдельной категорией «Аналитика».
- До согласия — блокируйте загрузку yandex_metrika_tag.js и выполнение ym(...).
- Дайте возможность отозвать согласие так же просто, как его дать: Заявления и отзыв согласия.
См. руководства и шаблоны: Cookie и баннеры, Формы на сайте и согласие, Требования к сайту, Согласие на обработку ПДн.
Если вы используете формы Яндекса, учитывайте отдельные нюансы: Яндекс Формы и 152‑ФЗ.
Локализация данных и Yandex Cloud
Для «яндекс 152 фз» критично, чтобы первичный сбор ПДн граждан РФ происходил на территории России. Яндекс традиционно заявляет о размещении инфраструктуры Метрики в РФ (проверяйте актуальные условия в договоре). Если вы размещаете собственные компоненты в облаке, рассмотрите российскую инфраструктуру: Облака и Yandex Cloud под 152‑ФЗ, Серверы, хостинг, ЦОД.
При любой интеграции оценивайте трансграничную передачу: Трансграничная передача ПДн.
Документы и внутренние процедуры оператора
Для устойчивого соответствия потребуются:
Типичные нарушения и риски на проверках
- Утечки ПДн в URL (utm/GET‑параметры с email/телефоном).
- Запись Вебвизором содержимого форм с ПДн без согласия.
- Загрузка Метрики до согласия на аналитические cookies.
- Отсутствие ссылки на Метрику и cookie в политике конфиденциальности.
- Передача неанонимизированных идентификаторов клиента в ym('params').
- Отсутствие договора‑поручения с Яндексом (или его неучёт в реестре обработчиков).
О санкциях: Ответственность и штрафы, КоАП 13.11. О действиях при инциденте: Инциденты и утечки, Уведомление Роскомнадзор.
Чек‑лист по настройке Метрики под 152‑ФЗ
| Требование 152‑ФЗ |
Действие в Метрике/на сайте |
Ссылка/примечание |
| Есть правовое основание |
Получите cookie‑согласие на аналитику |
Cookie и баннеры |
| Не передавать ПДн |
Уберите ПДн из URL, params, целей, ecommerce |
Обезличивание ПДн |
| Минимизировать записи Вебвизора |
Отключите запись вводов/маскируйте поля |
«Вебвизор и формы» в настройках счётчика |
| Безопасный транспорт |
Включите HTTPS везде |
SSL/HTTPS и 152‑ФЗ |
| Договор с обработчиком |
Зафиксируйте поручение Яндексу |
Поручение |
| Документы на сайте |
Обновите Политику и уведомления |
Документы для сайта |
| Учёт хранения/удаления |
Настройте регламенты retention |
Сроки хранения |
| Проверка на утечки |
Регулярный аудит |
Аудит сайта 152‑ФЗ, Онлайн‑проверка |
FAQ
- Можно ли использовать Метрику без согласия? В ряде случаев допустима обработка без согласия, если данные не являются ПДн или есть иное основание по ст. 6. Но на практике безопаснее запрашивать согласие на аналитику и строго исключать ПДн из передачи. См. Обработка без согласия.
- Вебвизор законен? Да, если вы не пишете ПДн (маскируете поля/отключаете запись вводов) и включаете его только после согласия на аналитику.
- Где хранить логи/данные? Предпочтительна локализация в РФ. Для собственной инфраструктуры рассмотрите Облака Yandex Cloud и 152‑ФЗ.
- А как быть с Яндекс Формами? Настраивайте согласия и политику, не спрашивайте лишнее, проверьте передачу по интеграциям. См. Яндекс Формы и 152‑ФЗ.
Вывод и следующий шаг
«Яндекс.Метрика и 152‑ФЗ» совместимы при двух условиях: техническая гигиена (не собирать ПДн в аналитику, включать счётчик только после согласия, маскировать формы) и корректная юридическая рамка (поручение обработчику, политика, процедуры). Готовы привести аналитику к норме? Закажите экспресс‑аудит и комплект документов: Аудит сайта 152‑ФЗ, Онлайн‑проверка сайта, Консалтинг и документы под ключ, Генератор политики и согласий, Услуги в Москве.