Яндекс.Метрика и 152‑ФЗ: настройки и юридические аспекты

Яндекс.Метрика и 152‑ФЗ: настройки и юридические аспекты

---

Введение: можно ли использовать Яндекс.Метрику по 152‑ФЗ

Да, «Яндекс.Метрика и 152‑ФЗ» совместимы при корректной юридической модели и настройках. Главные принципы: не отправляйте в Метрику персональные данные (ПДн), фиксируйте правовое основание (чаще — согласие), блокируйте загрузку счётчика до выбора пользователя на cookie‑баннере, оформите поручение Яндексу на обработку и опишите всё в вашей политике конфиденциальности.

![Схема потока данных: посетитель → сайт → Метрика (Яндекс) → отчёты для оператора]

Для общего контекста см. обзор закона и терминов: О законе 152‑ФЗ, Текст 152‑ФЗ, последняя редакция, Глоссарий.

Правовая база и роль Роскомнадзора

Персональные данные — закон ФЗ‑152, Роскомнадзор — надзорный орган. Ключевые нормы:

• Цели и принципы обработки: Принципы и цели
• Правовые основания: Статья 6, в т.ч. согласие или иные основания; про исключения см. Обработка без согласия
• Поручение обработчику: Поручение обработки ПДн
• Трансграничная передача: Трансграничная передача ПДн
• Безопасность: Меры безопасности ПДн
• Уведомление о начале обработки (при необходимости): Уведомление Роскомнадзор

Полезно учитывать и грядущие поправки: Изменения 2025. Если вы сайт‑оператор, Роскомнадзор проверяет настройки аналитики, документы и фактическую передачу данных: Проверки Роскомнадзор.

Где в Метрике возникают персональные данные

ПДн появляются там, где вы (осознанно или случайно) связываете события аналитики с идентифицируемым человеком:

• Значения форм (имя, телефон, email), особенно при использовании Вебвизора и аналитики форм.
• Параметры страниц и события (ym(..., 'params', ...)) — нельзя передавать email, телефон, ФИО, адреса, ИНН и т.п.
• URL/реферер — утечки ПДн через query‑параметры (например, ?email=... или ?name=...).
• Интеграции с CRM/сквозной аналитикой — нельзя отправлять в Метрику необезличенные идентификаторы клиента.

Важно: некоторые технические идентификаторы (cookie, ClientID) сами по себе не всегда квалифицируются как ПДн, но при связывании с субъектом (например, с заказом, где есть ФИО) — уже ПДн. Поэтому подход «по умолчанию — обезличиваем, связываем только при наличии законного основания» — безопаснее.

Подробнее о видах данных: Обезличивание ПДн, Общедоступные ПДн, Специальные категории, Биометрические ПДн.

Юридическая модель: оператор — поручение обработчику (Яндексу)

В модели «сайт ↔ Метрика» вы — оператор ПДн, Яндекс — обработчик по поручению. Что нужно сделать:

• Зафиксировать поручение обработчику: включите условия Яндекса (оферта/договор) в реестр ваших контрагентов по ПДн, проверьте, что договор содержит требования ст. 6 и мер безопасности ст. 19. Подробнее: Поручение обработки ПДн.
• Обновить внутренние регистры и уведомление РКН (если обязаны уведомляться): Реестр операторов ПДн, Уведомление Роскомнадзор.
• Описать в Политике, что вы используете Метрику, с указанием целей и механики cookie: Политика обработки ПДн, Документы для сайта.

Безопасные настройки счётчика: технические шаги

Рекомендации для «яндекс метрика 152 фз» в интерфейсе счётчика и коде:

1. Не передавайте ПДн в событиях и параметрах

• Запрещены: email, телефон, ФИО, адрес, паспортные и иные персональные идентификаторы.
• Если требуется связать сессии с CRM, используйте псевдонимизацию: односторонний хэш с солью на стороне сервера. Пример параметра:

ym(COUNTER_ID, 'params', {
  user_id_hash: '03f1c...'
});

1. Вебвизор и аналитика форм

• В настройках счётчика отключите запись содержимого форм или включите режим скрытия конфиденциальных полей. Маскируйте все поля с ПДн.
• На уровне фронтенда исключайте чувствительные элементы из записи (скройте поля с ПДн в Вебвизоре/картах кликов, не давайте им попадать в DOM‑снимки).

1. Фильтрация URL и реферера

• Уберите ПДн из URL. Строго запретите формирования ссылок вида /?email=... или /?phone=....
• Настройте middleware/redirect‑rules для очистки query‑параметров.

1. Цели и ecommerce

• Не используйте цели «Событие/URL содержит» с ПДн.
• В ecommerce‑данных не передавайте ФИО и контакты — только товарные и транзакционные идентификаторы (безличные).

1. HTTPS и безопасность транспорта

• Обеспечьте HTTPS на всём сайте: SSL/HTTPS и 152‑ФЗ.

1. CMS и конструкторы

• Проверьте готовые интеграции cookie‑баннеров и Метрики: Tilda и 152‑ФЗ, WordPress и 152‑ФЗ, 1C‑Bitrix и 152‑ФЗ.

Cookie‑согласие и блокировка Метрики до выбора пользователя

С точки зрения 152‑ФЗ и практики РКН безопасный подход — не загружать Метрику, пока пользователь не дал осознанное согласие на аналитику.

• Покажите баннер с понятными целями и отдельной категорией «Аналитика».
• До согласия — блокируйте загрузку yandex_metrika_tag.js и выполнение ym(...).
• Дайте возможность отозвать согласие так же просто, как его дать: Заявления и отзыв согласия.

См. руководства и шаблоны: Cookie и баннеры, Формы на сайте и согласие, Требования к сайту, Согласие на обработку ПДн.

Если вы используете формы Яндекса, учитывайте отдельные нюансы: Яндекс Формы и 152‑ФЗ.

Локализация данных и Yandex Cloud

Для «яндекс 152 фз» критично, чтобы первичный сбор ПДн граждан РФ происходил на территории России. Яндекс традиционно заявляет о размещении инфраструктуры Метрики в РФ (проверяйте актуальные условия в договоре). Если вы размещаете собственные компоненты в облаке, рассмотрите российскую инфраструктуру: Облака и Yandex Cloud под 152‑ФЗ, Серверы, хостинг, ЦОД.

При любой интеграции оценивайте трансграничную передачу: Трансграничная передача ПДн.

Документы и внутренние процедуры оператора

Для устойчивого соответствия потребуются:

• Политика ПДн и политика конфиденциальности с описанием аналитики: Политика обработки ПДн, Политика конфиденциальности — шаблон.
• Поручение Яндексу и реестр обработчиков: Поручение обработки ПДн.
• Регламент хранения и удаления: Сроки хранения ПДн, Уничтожение и блокировка.
• Внутренний контроль и обучение: Внутренний контроль и обучение.
• Документы и чек‑листы для сайта: Документы для сайта, Пакет документов, Чек‑лист 152‑ФЗ.

Типичные нарушения и риски на проверках

• Утечки ПДн в URL (utm/GET‑параметры с email/телефоном).
• Запись Вебвизором содержимого форм с ПДн без согласия.
• Загрузка Метрики до согласия на аналитические cookies.
• Отсутствие ссылки на Метрику и cookie в политике конфиденциальности.
• Передача неанонимизированных идентификаторов клиента в ym('params').
• Отсутствие договора‑поручения с Яндексом (или его неучёт в реестре обработчиков).

О санкциях: Ответственность и штрафы, КоАП 13.11. О действиях при инциденте: Инциденты и утечки, Уведомление Роскомнадзор.

Чек‑лист по настройке Метрики под 152‑ФЗ

Требование 152‑ФЗ	Действие в Метрике/на сайте	Ссылка/примечание
Есть правовое основание	Получите cookie‑согласие на аналитику	Cookie и баннеры
Не передавать ПДн	Уберите ПДн из URL, params, целей, ecommerce	Обезличивание ПДн
Минимизировать записи Вебвизора	Отключите запись вводов/маскируйте поля	«Вебвизор и формы» в настройках счётчика
Безопасный транспорт	Включите HTTPS везде	SSL/HTTPS и 152‑ФЗ
Договор с обработчиком	Зафиксируйте поручение Яндексу	Поручение
Документы на сайте	Обновите Политику и уведомления	Документы для сайта
Учёт хранения/удаления	Настройте регламенты retention	Сроки хранения
Проверка на утечки	Регулярный аудит	Аудит сайта 152‑ФЗ, Онлайн‑проверка

FAQ

• Можно ли использовать Метрику без согласия? В ряде случаев допустима обработка без согласия, если данные не являются ПДн или есть иное основание по ст. 6. Но на практике безопаснее запрашивать согласие на аналитику и строго исключать ПДн из передачи. См. Обработка без согласия.
• Вебвизор законен? Да, если вы не пишете ПДн (маскируете поля/отключаете запись вводов) и включаете его только после согласия на аналитику.
• Где хранить логи/данные? Предпочтительна локализация в РФ. Для собственной инфраструктуры рассмотрите Облака Yandex Cloud и 152‑ФЗ.
• А как быть с Яндекс Формами? Настраивайте согласия и политику, не спрашивайте лишнее, проверьте передачу по интеграциям. См. Яндекс Формы и 152‑ФЗ.

Вывод и следующий шаг

«Яндекс.Метрика и 152‑ФЗ» совместимы при двух условиях: техническая гигиена (не собирать ПДн в аналитику, включать счётчик только после согласия, маскировать формы) и корректная юридическая рамка (поручение обработчику, политика, процедуры). Готовы привести аналитику к норме? Закажите экспресс‑аудит и комплект документов: Аудит сайта 152‑ФЗ, Онлайн‑проверка сайта, Консалтинг и документы под ключ, Генератор политики и согласий, Услуги в Москве.