РКН Аудит
Да, Яндекс.Метрика требует согласия пользователя по 152-ФЗ. Хотя серверы Метрики находятся в России и отдельное уведомление о трансграничной передаче не нужно, сами по себе cookie-идентификаторы и поведенческие данные — это персональные данные, обработка которых требует согласия.
Что Метрика собирает (и почему это ПДн)
Стандартный счётчик Яндекс.Метрики собирает:
- Cookie-идентификаторы — уникальный код пользователя, который сохраняется в браузере
- IP-адрес — используется для геолокации и подсчёта аудитории
- Fingerprint браузера — комбинация параметров (разрешение, шрифты, плагины), позволяющая идентифицировать устройство
- Поведенческие данные — клики, переходы, время на странице, скроллинг
- Вебвизор (если включён) — запись сессии пользователя: движения мыши, ввод в формы (с маскировкой полей пароля и платёжных данных)
По части 1 статьи 3 152-ФЗ персональными данными считается любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Все перечисленные данные позволяют косвенно идентифицировать конкретного человека (одного пользователя из другого), поэтому квалифицируются как ПДн.
Сравнение с Google Analytics
| Параметр | Яндекс.Метрика | Google Analytics |
|---|---|---|
| Серверы | РФ | США |
| Трансгран-передача | Нет | Да |
| Уведомление в РКН (отдельное) | Не требуется | Обязательно |
| Согласие пользователя на сайте | Требуется | Требуется |
| Упоминание в политике ПДн | Обязательно | Обязательно |
| Штраф за нарушение | До 700 тыс ₽ (без согласия) | До 300 тыс ₽ за неуведомление о трансгране; до 6 млн ₽ за нарушение локализации |
Подробнее про GA — в статье «Можно ли использовать Google Analytics в России».
Что нужно сделать на сайте с Яндекс.Метрикой
1. Cookie-баннер с opt-in согласием
Метрика не должна загружаться до получения согласия пользователя. Реализация:
// Загрузка Метрики только после согласия
function loadMetrika() {
(function(m,e,t,r,i,k,a){m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)};
m[i].l=1*new Date();k=e.createElement(t),a=e.getElementsByTagName(t)[0],
k.async=1,k.src=r,a.parentNode.insertBefore(k,a)})
(window, document, "script", "https://mc.yandex.ru/metrika/tag.js", "ym");
ym(XXXXXXX, "init", {clickmap:true, trackLinks:true});
}
// Вызывать только после нажатия «Принять» в cookie-баннере
if (localStorage.getItem('cookieConsent') === 'accepted') {
loadMetrika();
}
Полный готовый JS-сниппет — в нашем комплекте документов за 4 990 ₽. Разбор cookie-баннеров — «Cookie-баннер opt-in по 152-ФЗ».
2. Упоминание в политике обработки ПДн
В политике должны быть указаны:
- В разделе «Объём и категории ПДн» — cookie-идентификаторы, IP, поведенческие данные
- В разделе «Передача третьим лицам» — ООО «ЯНДЕКС» с указанием цели (веб-аналитика) и правового основания (согласие пользователя)
- Ссылка на политику Яндекса в части обработки данных пользователями сервисов
3. Чекбокс согласия в формах (общая мера)
Если на сайте есть формы — рядом с ними должен быть отдельный чекбокс согласия на обработку ПДн (без атрибута checked). См. «Предустановленная галочка».
Размер штрафа за нарушение
Использование Метрики без согласия пользователя квалифицируется по части 2 статьи 13.11 КоАП РФ (обработка ПДн без согласия):
- Юридические лица — 300 000–700 000 ₽ за первичное нарушение
- Повторное — до 1 500 000 ₽
Для Google Analytics к этому добавляются риски трансгран-передачи: неуведомление РКН — до 300 тыс ₽ (статья 19.7 / часть 10 статьи 13.11), а при хранении данных россиян только за рубежом — нарушение локализации (до 6 млн ₽ по части 8 статьи 13.11). Полная таблица — в «Штрафы РКН в 2026».
→ Проверить, правильно ли настроена Яндекс.Метрика на вашем сайте (бесплатно)
Норма закона: часть 1 статьи 3 152-ФЗ, часть 2 статьи 13.11 КоАП РФ.