Альтернативы GA4: Яндекс.Метрика, Top.Mail.Ru
Переход с GA4 на Яндекс.Метрику или Top.Mail.Ru — не только маркетинговое решение, но и способ снизить правовые риски по ФЗ-152 «О персональных данных». По данным РКН за 2024 год, число зафиксированных утечек и нарушений при трансграничной передаче данных превысило 135 случаев. Ниже — пошаговый порядок смены аналитики с учётом требований закона, требований к баннеру cookies и оформлению согласий.
Шаг 1. Определите, какие данные собирает текущая аналитика
Перед миграцией необходимо понять, что именно передаётся сторонним сервисам. Cookies с идентификаторами браузера, IP-адреса, данные о поведении пользователя — всё это квалифицируется РКН как персональные данные, поскольку позволяют идентифицировать или выделить субъекта среди других.
Проверьте, какие сторонние скрипты загружаются на сайте: GA4 (gtag.js, analytics.js), Meta Pixel, Hotjar, Roistat и другие. Каждый из них потенциально передаёт данные за рубеж. GA4 передаёт данные на серверы Google в США — это трансграничная передача по ст. 12 ФЗ-152.
Зафиксируйте список всех сторонних сервисов аналитики, рекламных пикселей и чат-ботов. Это станет основой технического задания для разработчиков на следующем шаге.
Шаг 2. Установите Яндекс.Метрику или Top.Mail.Ru
Яндекс.Метрика и Top.Mail.Ru — российские сервисы, хранящие данные на серверах в России. Использование этих инструментов устраняет риск нарушения требований локализации по ч. 5 ст. 18 ФЗ-152 применительно к аналитическим данным пользователей — граждан РФ.
Яндекс.Метрика: зарегистрируйте счётчик на metrika.yandex.ru, получите код счётчика, разместите его в блоке <head> всех страниц. Включите функции «Вебвизор» и «Карта кликов» только если они прямо необходимы: эти функции собирают расширенный объём данных и требуют отдельного упоминания в политике конфиденциальности.
Top.Mail.Ru: счётчик регистрируется на top.mail.ru. Данные хранятся в инфраструктуре VK Group на российских серверах. Функциональность скромнее GA4, но достаточна для базовой аналитики трафика, источников и конверсий.
После установки счётчика — удалите или отключите GA4 и Meta Pixel, если не готовы к полному оформлению трансграничной передачи. Параллельная работа нескольких счётчиков без прозрачного информирования пользователей нарушает принцип целевого ограничения обработки по ст. 5 ФЗ-152.
Используете GA4 вместе с российскими счётчиками без баннера согласия?
Если на сайте одновременно работают GA4 и Яндекс.Метрика, а баннер cookies отсутствует или не запрашивает согласие до загрузки скриптов — это нарушение ч. 2 ст. 13.11 КоАП. Штраф для юрлица с 30.05.2025 составляет 300 000 — 700 000 ₽. Юристы DATUM проведут аудит конфигурации сайта и подготовят документы по ст. 9 ФЗ-152 в редакции с 01.09.2025.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Обновите политику конфиденциальности и баннер cookies
Переход на новый инструмент требует обновления политики обработки персональных данных. В ней должны быть указаны: перечень используемых аналитических сервисов, цели сбора данных через cookies, срок хранения, способ отказа от передачи данных.
Баннер cookies должен соответствовать нескольким требованиям. Первое: он появляется до загрузки скриптов аналитики, а не после. Второе: пользователь получает реальный выбор — принять или отклонить. Третье: отказ не лишает пользователя доступа к основному контенту сайта.
Если сайт работает на интернет-магазинной платформе (Битрикс, OpenCart, Tilda), проверьте, есть ли в шаблоне встроенный CMP (Consent Management Platform). При его отсутствии — подключите сторонний модуль или закажите кастомную реализацию у разработчиков.
Для программ лояльности требования жёстче: согласие на рассылки и профилирование оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. С 01.09.2025 согласие не может быть встроено в текст договора оферты или пользовательского соглашения.
Шаг 4. Проверьте конфигурацию для маркетплейсов
Если вы продаёте через маркетплейс (Ozon, Wildberries, Яндекс Маркет), обработка персональных данных покупателей ведётся самим маркетплейсом. Маркетплейс в этой схеме — самостоятельный оператор ПДн, который заключает договор с покупателем напрямую.
Продавец на маркетплейсе получает ограниченный набор данных покупателя — как правило, только необходимый для исполнения заказа. Обрабатывать эти данные для собственных рекламных целей без отдельного согласия покупателя нельзя.
При подключении Яндекс.Метрики к рекламным кабинетам Яндекс.Директ и передаче аудиторий — убедитесь, что политика конфиденциальности вашего сайта прямо указывает на передачу данных Яндексу для таргетирования. Это отдельное основание обработки по п. 1 ч. 1 ст. 6 ФЗ-152 — согласие субъекта.
Что подготовить при переходе на российскую аналитику
- Аудит всех сторонних скриптов на сайте: список с указанием получателя данных и страны серверов
- Обновлённая политика конфиденциальности с разделом об аналитических cookies и перечнем сервисов
- Баннер cookies, блокирующий загрузку скриптов до получения согласия пользователя
- Отдельные согласия для рассылок и программ лояльности по ст. 9 ФЗ-152 (ред. ФЗ-156, с 01.09.2025)
- Уведомление РКН о трансграничной передаче, если GA4 остаётся в конфигурации
Шаг 5. Легализуйте GA4, если отказаться невозможно
Если бизнес-процессы требуют сохранить GA4 — например, для сквозной аналитики с Google Ads — переход на только российские инструменты невозможен. В этом случае необходимо оформить использование GA4 в соответствии с ФЗ-152.
Порядок легализации включает несколько элементов. Первый: уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152 через личный кабинет на pd.rkn.gov.ru. Второй: обновление политики с указанием Google LLC как получателя данных, страны (США) и цели передачи. Третий: настройка GA4 в режиме Consent Mode v2 — передача данных происходит только после получения явного согласия пользователя через баннер.
Важно: Consent Mode v2 не снимает обязанности по уведомлению РКН. Это технический инструмент Google, а не замена российской правовой процедуры. Отсутствие уведомления РКН при фактической передаче данных в США — самостоятельный состав нарушения.
Если маркетолог использует GA4 и рекламные пиксели без уведомления РКН о трансграничной передаче — штраф по ч. 2 ст. 13.11 КоАП с 30.05.2025 составляет до 700 000 ₽, при повторном нарушении — до 1 500 000 ₽ по ч. 2.1. Срок на оформление уведомления — не восстанавливается после начала проверки.
Оценить риски по 152-ФЗКак это применяется на практике
Кейс 1. Интернет-магазин одежды (Сибирский ФО, весна 2026). Директор по маркетингу подключил GA4 и Meta Pixel без баннера согласия и без уведомления РКН о трансграничной передаче. После жалобы пользователя РКН провёл внеплановую проверку. Компании предъявили протокол по ч. 1 ст. 13.11 КоАП и отдельно по основаниям трансграничной передачи. Суммарный штраф составил несколько сотен тысяч рублей. После подключения юристов удалось применить ст. 4.1.1 КоАП и заменить часть санкций предупреждением — компания являлась субъектом МСП и нарушение было первичным. При этом GA4 пришлось отключить до оформления уведомления РКН.
Кейс 2. Маркетплейс-агрегатор электроники (Центральный ФО, осень 2025). Оператор использовал Яндекс.Метрику с включённым Вебвизором и передавал аудитории в Яндекс.Директ без указания этого в политике конфиденциальности. В ходе плановой проверки РКН зафиксировал несоответствие фактической обработки задекларированным целям. Вынесено предписание об устранении. Компания обновила политику и перезапустила баннер cookies с корректным перечнем сервисов. Штраф не был назначен благодаря добровольному и оперативному устранению нарушения до составления протокола.
Типичные ситуации при переходе на российскую аналитику
Ситуация 1: GA4 работает, уведомления РКН нет, проверка не началась. Ситуация: сайт собирает данные пользователей через GA4 с момента запуска. Трансграничная передача не уведомлена. Доказательства: скрипт gtag.js в исходном коде, отсутствие уведомления в реестре операторов. Вероятный исход: при проверке — протокол по ч. 1 и ч. 2 ст. 13.11 КоАП. Стратегия: до начала проверки — уведомить РКН или отключить GA4, обновить политику, запустить баннер согласия.
Ситуация 2: Есть баннер cookies, но скрипты загружаются до клика. Ситуация: маркетолог добавил баннер как элемент дизайна, но технически скрипты GA4 и пиксели загружаются при открытии страницы — до любого взаимодействия пользователя. Доказательства: перехват сетевых запросов в DevTools показывает обращения к google-analytics.com при первой загрузке. Вероятный исход: нарушение ст. 6 ФЗ-152 — обработка без законного основания. Стратегия: перейти на тег-менеджер с условной загрузкой скриптов только после получения согласия.
Ситуация 3: Email-рассылка без возможности отписки. Ситуация: программа лояльности интернет-магазина собирает email при регистрации и отправляет рекламные письма. Форма отписки не работает или скрыта. Доказательства: жалоба субъекта в РКН с вложенными скриншотами. Вероятный исход: протокол по ч. 5 ст. 13.11 КоАП за неисполнение требования субъекта об уничтожении данных в установленный срок. Стратегия: обеспечить работающую форму отписки, журналировать обращения субъектов и сроки их исполнения.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка конфигурации сайта, баннера и политики
- Комплект ОРД под ключ — политика, согласия, баннер cookies по новым требованиям
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да. Cookies, содержащие уникальные идентификаторы браузера или устройства, позволяют выделить пользователя среди других субъектов. Этого достаточно для квалификации как персональные данные по ст. 3 ФЗ-152. Сбор таких cookies без правового основания по ст. 6 ФЗ-152 — нарушение, влекущее штраф по ч. 2 ст. 13.11 КоАП в размере 300 000 — 700 000 ₽ для юрлица.
2. Можно ли использовать GA4 после ограничений?
Можно, при соблюдении двух условий: уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152 и получение явного согласия пользователя через баннер до загрузки скриптов. Технически это реализуется через Google Consent Mode v2 в связке с CMP. Без этих условий использование GA4 создаёт основание для штрафа по ч. 1–2 ст. 13.11 КоАП.
3. Кто оператор: маркетплейс или продавец?
По общему правилу — маркетплейс, поскольку он заключает договор с покупателем и определяет цели обработки его данных. Продавец получает ограниченный набор сведений для исполнения заказа и в этой части выступает обработчиком по поручению маркетплейса согласно п. 3 ст. 6 ФЗ-152. Обрабатывать переданные данные для собственного маркетинга без согласия покупателя продавец не вправе.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера или его некорректная реализация (скрипты загружаются до согласия) создаёт состав нарушения по ч. 1 или ч. 2 ст. 13.11 КоАП — обработка ПДн без законного основания или без согласия. Штраф для юрлица: по ч. 1 — 150 000 — 300 000 ₽, по ч. 2 — 300 000 — 700 000 ₽. При повторном нарушении по ч. 2.1 — 1 000 000 — 1 500 000 ₽. Нормы действуют с 30.05.2025 в редакции ФЗ-420 от 30.11.2024.
5. Как оформить отзыв подписки?
Субъект вправе отозвать согласие на обработку ПДн в любой момент по ст. 9 ФЗ-152. Оператор обязан прекратить обработку в течение 30 дней после получения отзыва, а данные уничтожить. Для рассылок — обязательна работающая ссылка «Отписаться» в каждом письме и форма обращения на сайте. Отказ исполнить требование влечёт ответственность по ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽), при повторном нарушении по ч. 5.1 — 300 000 — 500 000 ₽.
Итог
Переход с GA4 на Яндекс.Метрику или Top.Mail.Ru устраняет риск нарушения требований локализации и трансграничной передачи, но не освобождает от обязанности корректно оформить баннер cookies, обновить политику конфиденциальности и соблюдать требования ст. 9 ФЗ-152 к согласиям — особенно в редакции ФЗ-156, действующей с 01.09.2025. Если GA4 остаётся в конфигурации — необходимо уведомление РКН и технически корректный Consent Mode.
Юристы DATUM сопровождают интернет-магазины, маркетплейсы и SaaS-платформы при переходе на российские аналитические инструменты: аудит конфигурации сайта, подготовка политики и согласий, уведомление РКН о трансграничной передаче при сохранении GA4.