инструкция 13 января 2029 По состоянию на 13 января 2029

AppMetrica vs Firebase: что выбрать

AppMetrica и Firebase — два инструмента мобильной аналитики, которые собирают персональные данные пользователей. Выбор между ними определяет не только функциональность, но и правовой профиль рисков по 152-ФЗ и ст. 13.11 КоАП.

Firebase (Google) передаёт данные за рубеж — это трансграничная передача, требующая уведомления РКН по ст. 12 ФЗ-152. AppMetrica (Яндекс) хранит данные в российской инфраструктуре, что снимает вопрос локализации по ч. 5 ст. 18 ФЗ-152. При этом оба инструмента собирают cookies и идентификаторы устройств, которые РКН квалифицирует как персональные данные.

Если вы маркетолог и ваш продукт работает в мобильном приложении — проверьте, какой SDK установлен и соответствует ли его конфигурация требованиям политики конфиденциальности вашего интернет-магазина. → Разбираем по шагам.

С 30.05.2025 за отсутствие баннера cookies или использование аналитики без надлежащего согласия грозит штраф по ч. 6 ст. 13.11 КоАП — до 100 000 ₽ за первичное нарушение. Если аналитика передаёт данные за рубеж без уведомления РКН, подключается ст. 12 ФЗ-152 и риск протокола по ч. 8 ст. 13.11 (1–6 млн ₽ за нарушение локализации). В этой инструкции разберём, как выбрать инструмент аналитики под требования 152-ФЗ и какие шаги нужно пройти независимо от выбора.

Шаг 1. Разберитесь, какие данные собирает каждый инструмент

Прежде чем сравнивать функциональность, маркетологу нужно понять правовой состав данных, которые SDK отправляет на серверы. Это определяет, какие обязанности возникают у оператора.

AppMetrica собирает: рекламный идентификатор устройства (GAID/IDFA), IP-адрес, данные об операционной системе и версии приложения, географию на уровне города, события in-app. Яндекс позиционирует хранение данных в российских дата-центрах, что соответствует требованию локализации по ч. 5 ст. 18 ФЗ-152 для операторов, обрабатывающих данные граждан РФ.

Firebase Analytics (Google) собирает аналогичный набор плюс данные об устройстве Google, идентификаторы сессии, события конверсий. Принципиально важно: данные передаются на серверы Google, расположенные преимущественно за пределами России. Это автоматически формирует обязанность уведомить РКН о трансграничной передаче до начала обработки — по ст. 12 ФЗ-152.

«Ст. 12 ФЗ-152 — до начала трансграничной передачи персональных данных в страну, не включённую в перечень стран с адекватной защитой, оператор обязан уведомить Роскомнадзор. США в этот перечень не включены.»

Рекламные идентификаторы (GAID, IDFA) и cookies — это персональные данные в понимании ст. 3 ФЗ-152: они позволяют идентифицировать пользователя в связке с другими данными. Позиция РКН закреплена в разъяснениях: cookies относятся к категории ПДн и требуют согласия субъекта до начала их сбора.

Шаг 2. Оцените риск трансграничной передачи для Firebase

Если в вашем мобильном приложении или на сайте интернет-магазина установлен Firebase SDK — у вас активна трансграничная передача ПДн в США. Это влечёт три последовательных обязанности.

Первая — уведомить РКН о трансграничной передаче до её начала. Форма подаётся через pd.rkn.gov.ru. Если передача уже идёт, а уведомление не подавалось — это длящееся нарушение.

Вторая — оценить, обеспечивает ли Google достаточный уровень защиты. Стандартные договорные оговорки (SCCs), которые Google предлагает в Data Processing Agreement, российское законодательство не признаёт автоматически достаточным основанием: ст. 12 ФЗ-152 устанавливает собственные требования.

Третья — обеспечить локализацию первичного сбора. С 01.07.2025 (ФЗ-233) требование ч. 5 ст. 18 ФЗ-152 ужесточено: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных на территории России. Firebase как инструмент первичного сбора потенциально нарушает это требование, если данные граждан РФ сначала записываются на серверы Google.

Используете Firebase в приложении для российских пользователей?

Если маркетолог подключил Firebase Analytics без уведомления РКН о трансграничной передаче — компания нарушает ч. 5 ст. 18 и ст. 12 ФЗ-152 одновременно. Штраф по ч. 8 ст. 13.11 КоАП составляет 1–6 млн ₽. Юристы DATUM проверят конфигурацию SDK, оценят риск и подготовят уведомление РКН в течение 5 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте требования к баннеру cookies и политике конфиденциальности

Независимо от выбранного инструмента аналитики — AppMetrica или Firebase — наличие баннера cookies и надлежащей политики обработки ПДн обязательно. Отсутствие баннера квалифицируется по ч. 6 ст. 13.11 КоАП как ненадлежащие условия хранения носителей при неавтоматизированной обработке (до 100 000 ₽). Для интернет-магазина и маркетплейса это стандартный пункт проверочного листа РКН.

Баннер cookies должен соответствовать нескольким требованиям. Он должен появляться до начала сбора данных, то есть до загрузки аналитических скриптов. Пользователь должен иметь возможность отказаться — кнопка «Отклонить» равнозначна по размеру кнопке «Принять». По умолчанию все необязательные категории cookies (аналитика, маркетинг) должны быть отключены.

Политика конфиденциальности интернет-магазина обязана содержать: перечень категорий ПДн, цели обработки, правовое основание по ст. 6 ФЗ-152, срок хранения, наименование и адрес оператора, информацию о трансграничной передаче (если есть), порядок отзыва согласия. Использование AppMetrica или Firebase должно быть явно указано как инструмент обработки с описанием передаваемых данных.

«Ст. 18.1 ч. 2 ФЗ-152 — политика обработки персональных данных должна быть опубликована оператором в открытом доступе. Отсутствие или неполнота политики — состав по ч. 3 ст. 13.11 КоАП, штраф для юрлица 30 000–60 000 ₽.»

Что подготовить маркетологу при выборе аналитики

Актуальная политика конфиденциальности с перечислением инструментов аналитики (AppMetrica или Firebase) и описанием передаваемых данных
Баннер cookies с раздельными категориями (необходимые / аналитика / маркетинг) и возможностью отказа до начала сбора
Уведомление РКН о трансграничной передаче (если используется Firebase или другой зарубежный SDK)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием роли в части цифровой аналитики
Журнал согласий пользователей с датой, версией политики и способом получения согласия

Шаг 4. Сравните AppMetrica и Firebase по критериям 152-ФЗ

Функциональный паритет между двумя инструментами высок: оба поддерживают отслеживание событий, воронки, ретаргетинг, A/B-тесты, push-уведомления. Правовые различия существеннее, чем функциональные.

Локализация данных. AppMetrica — хранение в России, требование ч. 5 ст. 18 ФЗ-152 выполнено. Firebase — хранение на серверах Google за рубежом, требует дополнительных шагов по уведомлению РКН и обоснованию трансграничной передачи.

Трансграничная передача. AppMetrica — не применимо для граждан РФ при стандартной конфигурации. Firebase — обязательное уведомление РКН по ст. 12 ФЗ-152 до начала сбора данных.

Правовое основание обработки. Оба инструмента требуют согласия пользователя на сбор аналитических данных (п. 1 ч. 1 ст. 6 ФЗ-152) или обоснования в рамках договорных отношений (п. 5 ч. 1 ст. 6). Для программ лояльности интернет-магазина сбор поведенческих данных через аналитику должен быть прямо указан в согласии.

Программы лояльности и маркетплейсы. Если ваш продукт — маркетплейс, важно разграничить роли: маркетплейс выступает оператором в части данных своих пользователей, продавец — в части данных своих клиентов. Аналитика, которую подключает маркетплейс, обрабатывает данные всех пользователей — это должно быть отражено в политике конфиденциальности и согласиях.

Email-рассылки. Если данные из аналитики используются для сегментации email-рассылок, нужно отдельное согласие на получение рекламных сообщений по ст. 18 ФЗ «О рекламе» в связке с согласием по ст. 9 ФЗ-152. Согласие на аналитику не является согласием на рассылку.

Если маркетолог использует Firebase и данные идут в email-сегментацию — это две отдельные цепочки обработки ПДн, каждая требует собственного правового основания. Одно согласие не покрывает оба процесса. Проверьте комплект документов до проверки РКН.

Заказать аудит 152-ФЗ

Как выглядят типичные нарушения на практике

Кейс 1. Интернет-магазин бытовой электроники (Центральный ФО, начало 2026) использовал Firebase Analytics и Firebase Crashlytics без уведомления РКН о трансграничной передаче. На плановой проверке инспектор РКН зафиксировал передачу рекламных идентификаторов и IP-адресов на серверы Google. Компании выставлен протокол по ч. 8 ст. 13.11 КоАП. Параллельно выявлено отсутствие баннера cookies — второй протокол по ч. 6. Общий диапазон санкций — от 1 млн ₽. Компания перешла на AppMetrica, подала уведомление об изменении сведений об обработке в РКН по форме Приказа РКН №180, обновила политику конфиденциальности — это учли при назначении наказания.

Кейс 2. Маркетплейс одежды (Приволжский ФО, осень 2025) использовал AppMetrica, однако политика конфиденциальности не содержала указания на передачу данных Яндексу как обработчику. Пользователь направил запрос об обработке его данных по ст. 14 ФЗ-152. Компания не смогла дать ответ в установленный срок — 10 рабочих дней — из-за отсутствия регламента. Протокол по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽). После аудита DATUM в компанию внедрили регламент обработки запросов субъектов и актуализировали политику с перечислением всех обработчиков.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка SDK, политики, баннера cookies, реестра РКН
Комплект ОРД под ключ — политика конфиденциальности, согласия, приказы для интернет-магазина
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да. Cookies и рекламные идентификаторы устройств (GAID, IDFA) позволяют идентифицировать пользователя в совокупности с другими данными, что соответствует определению персональных данных по ст. 3 ФЗ-152. Это означает: до установки аналитических cookies необходимо получить согласие пользователя. Баннер cookies — не опция дизайна, а правовое требование.

2. Можно ли использовать GA4 или Firebase после ужесточения требований 152-ФЗ?

Формально — можно, но с выполнением ряда условий. Необходимо уведомить РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152 до начала сбора данных. Нужно обосновать, что первичный сбор данных граждан РФ соответствует требованию локализации по ч. 5 ст. 18 ФЗ-152 с учётом ужесточений с 01.07.2025. Политика конфиденциальности должна содержать явное указание на передачу Google. На практике большинство средних компаний переходит на AppMetrica именно из-за упрощения правового профиля.

3. Кто является оператором ПДн: маркетплейс или продавец?

Зависит от архитектуры обработки. Маркетплейс — оператор в части данных всех пользователей платформы: покупателей, продавцов, курьеров. Продавец на маркетплейсе — самостоятельный оператор в части данных, которые он получает о своих клиентах через функционал платформы. Если маркетплейс устанавливает аналитику (AppMetrica или Firebase), она обрабатывает данные пользователей под ответственность маркетплейса. Это должно быть отражено в политике конфиденциальности и уведомлении в реестре РКН по ст. 22 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Штраф по ч. 6 ст. 13.11 КоАП (в редакции с 30.05.2025) — для юридического лица 50 000–100 000 ₽ за несоблюдение условий хранения носителей ПДн, повлёкшее доступ к данным. Если при этом данные передаются за рубеж без уведомления — добавляется ч. 8 ст. 13.11 (1–6 млн ₽). При повторном нарушении локализации — ч. 9 ст. 13.11 (6–18 млн ₽). Инспекторы РКН фиксируют отсутствие баннера автоматически через скрипты мониторинга сайтов.

5. Как оформить отзыв подписки на рассылку и связать его с согласием на аналитику?

Отзыв согласия на email-рассылку и отзыв согласия на аналитические cookies — два отдельных процесса. Согласие на рассылку отзывается через ссылку «Отписаться» в письме или через личный кабинет; согласие на cookies — через настройки баннера или отдельную страницу управления предпочтениями. По ст. 9 ФЗ-152 оператор обязан обработать отзыв и прекратить обработку данных в течение разумного срока. Журнал отзывов согласий — обязательный элемент ОРД для интернет-магазина.

6. Нужно ли заново подавать уведомление в РКН при смене с Firebase на AppMetrica?

Да. Смена инструмента аналитики — это изменение сведений об обработке ПДн: меняется состав обрабатываемых данных, наименование обработчика, страна хранения. По ст. 22 ФЗ-152 оператор обязан уведомить РКН об изменении сведений. Форма уведомления об изменении подаётся через pd.rkn.gov.ru по Приказу РКН №180. Одновременно нужно обновить политику конфиденциальности на сайте.

Итог

Выбор между AppMetrica и Firebase — это не только вопрос функциональности, но и правового профиля рисков. AppMetrica снимает проблему локализации и трансграничной передачи для российских пользователей. Firebase сохраняет преимущества экосистемы Google, но требует уведомления РКН, обоснования трансграничной передачи и дополнительного правового сопровождения. Независимо от выбора: баннер cookies, политика конфиденциальности с перечислением инструментов аналитики и журнал согласий — обязательны.

Практика DATUM включает аудит конфигурации SDK и цифровых инструментов сбора данных для интернет-магазинов и маркетплейсов, подготовку уведомлений РКН о трансграничной передаче, разработку баннеров cookies и политик конфиденциальности под требования 152-ФЗ в редакции 2025–2026 годов.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Firebase), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

13 января 2029 года