Server-Side Google Tag Manager
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, оборотный штраф при повторной утечке — до 500 млн ₽. Для маркетолога, управляющего тегами через Server-Side GTM, наиболее острые части — ч. 2 (согласие), ч. 1 (незаконная обработка) и ч. 10 (уведомление РКН). Эта инструкция разбирает четыре шага, которые приводят серверный контейнер в соответствие с 152-ФЗ: от проверки согласия до уведомления о трансграничной передаче.
Шаг 1. Определите, какие данные собирает серверный контейнер
Server-Side GTM принимает события из браузера (client-side data layer) и пересылает их в рекламные и аналитические системы. На этом пути возникают три категории данных, каждая из которых может быть персональными данными по ст. 3 ФЗ-152.
Первая категория — идентификаторы устройства и сессии: cookie-файлы _ga, _fbp, UID рекламных систем. Роскомнадзор в своей позиции квалифицирует cookies как персональные данные, если они позволяют идентифицировать пользователя прямо или в совокупности с другими данными. Для e-commerce это практически всегда выполняется: cookie привязан к аккаунту или корзине.
Вторая категория — поведенческие события: просмотр товара, добавление в корзину, завершение заказа. Они содержат IP-адрес, User-Agent, URL страницы — стандартный набор, достаточный для идентификации.
Третья категория — данные транзакций: email, телефон, имя покупателя, передаваемые в GA4 через enhanced conversions или в рекламные системы через server-to-server пиксели. Это уже безусловно персональные данные с явной идентификацией субъекта.
Для каждой категории данных зафиксируйте в реестре: какие данные, в какую систему, через какой тег, на каком сервере (страна). Этот реестр — основа для следующих шагов и обязательный документ при проверке РКН.
Что проверить на шаге 1
- Список всех тегов в серверном контейнере GTM с указанием получателя данных
- Страна размещения серверного контейнера (GCP, AWS, собственный ЦОД)
- Перечень данных, передаваемых в каждую внешнюю систему (GA4, Meta, Criteo, иные)
- Наличие enhanced conversions или server-to-server пикселей с ПДн покупателя
- Соответствие передаваемых данных целям, заявленным в политике конфиденциальности
Не уверены, что именно отправляет ваш серверный контейнер?
Маркетолог, как правило, видит теги — но не видит полный состав ПДн, уходящих в каждую систему. Юридическая квалификация передаваемых данных требует анализа в связке с политикой конфиденциальности и реестром операторов. Если аудит не проводился — риск штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) уже существует.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 2. Проверьте согласие пользователя и баннер cookies
Обработка персональных данных через Server-Side GTM требует правового основания по ст. 6 ФЗ-152. Для маркетинговых тегов — рекламных пикселей, систем аналитики, ретаргетинга — единственным применимым основанием является согласие субъекта по ст. 9 ФЗ-152.
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025): его нельзя включить в текст пользовательского соглашения, оферты или политики конфиденциальности. Для интернет-магазина на практике это означает: баннер cookies должен запрашивать согласие до активации тегов, а не одновременно с ними или после.
Для передачи данных в GA4 через серверный контейнер требования к согласию не отличаются от клиентских тегов: пользователь должен подтвердить согласие до отправки первого события. Технически это реализуется через Consent Mode v2 в сочетании с серверным контейнером: теги активируются только после получения сигнала granted от баннера.
Отдельного внимания требуют программы лояльности: при регистрации в бонусной программе интернет-магазина собираются email, телефон, история покупок. Эти данные нередко автоматически попадают в серверный контейнер и передаются в CRM-интеграции. Согласие на такую передачу должно быть явным и специфичным — общее согласие «на обработку ПДн» недостаточно, если цель (передача в рекламную систему) не указана отдельно.
Шаг 3. Урегулируйте трансграничную передачу данных через GA4
Серверный контейнер GTM физически может находиться в России, однако конечный получатель событий — серверы Google (GA4), Meta, Criteo, Pinterest — расположены за рубежом. Каждая такая передача является трансграничной по ст. 12 ФЗ-152.
Если страна-получатель не входит в перечень стран, обеспечивающих адекватную защиту персональных данных (перечень утверждён приказом РКН), — оператор обязан уведомить Роскомнадзор до начала передачи. США, где находятся серверы Google и Meta, в этот перечень не входят.
Практический вопрос для маркетолога: если серверный контейнер GTM развёрнут в российском облаке (например, Yandex Cloud или VK Cloud), но событие из него уходит в GA4 на серверы Google — передача всё равно считается трансграничной. Размещение контейнера в России не освобождает от обязанности уведомить РКН о передаче в Google LLC.
Для маркетплейсов ситуация усложняется: продавец на платформе нередко использует собственные пиксели через GTM маркетплейса, не зная, куда фактически уходят данные покупателей. По общему правилу судебной практики оператор отвечает за передачу данных через подрядчика так же, как за собственные действия. Для маркетплейса это означает, что платформа несёт ответственность за теги продавцов, если не имеет с ними надлежащего договора о поручении обработки по п. 3 ст. 6 ФЗ-152.
Если маркетолог использует GA4 через Server-Side GTM и не уведомил РКН о трансграничной передаче — компания уже нарушает ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽). Проверьте статус уведомления до прихода проверки.
Оценить риски по 152-ФЗШаг 4. Обновите политику конфиденциальности и реестр обработки
Политика конфиденциальности интернет-магазина должна отражать реальную картину обработки — включая передачу данных через серверный контейнер. Типовые нарушения, которые выявляет РКН при проверке сайтов e-commerce: в политике указан Google Analytics, а фактически данные уходят в десять систем через серверные теги; или указано «данные не передаются третьим лицам», хотя пиксель Meta получает события транзакций.
По ч. 2 ст. 18.1 ФЗ-152 политика обработки персональных данных должна содержать, в частности: перечень действий с ПДн, цели обработки, описание мер защиты, порядок обработки запросов субъектов. Для e-commerce с серверными тегами в этот перечень необходимо включить каждую систему, получающую данные, с указанием правового основания.
Штраф за отсутствие опубликованной политики — 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП. Это самая лёгкая часть, однако именно она чаще всего становится точкой входа для более глубокой проверки.
Параллельно с политикой обновите уведомление в реестре операторов РКН на pd.rkn.gov.ru. Если в уведомлении указаны одни цели обработки, а серверный контейнер фактически реализует другие (например, передача в рекламные сети не была указана) — это нарушение ст. 22 ФЗ-152 и основание для штрафа по ч. 10 ст. 13.11 (100–300 тыс. ₽).
Как это выглядит на практике
Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, осень 2025) развернул Server-Side GTM на российском сервере и перевёл на него все пиксели. Директор по маркетингу посчитал задачу выполненной. При проверке РКН выяснилось: уведомление в реестре содержало старый список систем, в политике не было упоминания Meta Pixel и Criteo, согласие в баннере cookies получалось после загрузки страницы — то есть после первой отправки событий. Компания получила протоколы по ч. 1, ч. 2 и ч. 3 ст. 13.11 КоАП. Общая сумма штрафов составила несколько сотен тысяч рублей; снизить удалось только по ч. 3 через применение ст. 4.1.1 КоАП (первичность и статус малого предприятия).
Кейс 2. Федеральный маркетплейс (Приволжский ФО, начало 2026) обнаружил, что продавцы через инструменты рекламного кабинета подключали собственные серверные пиксели, получая данные покупателей платформы. Договора поручения обработки с продавцами не было. Юридическая оценка показала: платформа выступает оператором ПДн покупателей, ответственность за передачу продавцам — на платформе. Подготовлен пакет договоров поручения обработки по п. 3 ст. 6 ФЗ-152 и обновлена политика конфиденциальности с перечнем сценариев передачи данных третьим лицам.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверим теги, политику и реестр по чек-листу из 38 пунктов
- Комплект ОРД под ключ — политика конфиденциальности, согласия, регламенты для e-commerce
- Защита при штрафе в арбитраже — оспорим протокол и применим ст. 4.1 / 4.1.1 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookie позволяет идентифицировать пользователя прямо или в совокупности с иными данными. Для интернет-магазина cookie _ga или _fbp, привязанный к аккаунту или корзине, однозначно является персональными данными по ст. 3 ФЗ-152. Следовательно, активация аналитических и рекламных тегов без согласия нарушает ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ для юрлица).
2. Можно ли использовать GA4 после ограничений?
GA4 можно использовать, однако передача данных на серверы Google (США) является трансграничной передачей по ст. 12 ФЗ-152. Это требует: уведомления РКН до начала передачи, надлежащего согласия пользователей, отражения передачи в политике конфиденциальности. Server-Side GTM на российском сервере сам по себе не снимает эту обязанность — он лишь перемещает точку отправки данных в Google с браузера на сервер.
3. Кто оператор: маркетплейс или продавец?
По общему правилу оператором является тот, кто определяет цели и способы обработки. Маркетплейс, собирающий данные покупателей для своей платформы, является оператором. Продавец, получающий эти данные для собственного маркетинга через серверные пиксели, — также оператор. Если маркетплейс передаёт данные продавцу, требуется договор поручения обработки по п. 3 ст. 6 ФЗ-152. Без него платформа несёт ответственность за действия продавца с этими данными.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера cookies или его неправильная реализация (теги активируются до нажатия «Принять») — нарушение требований к согласию по ст. 9 ФЗ-152. Квалифицируется по ч. 2 ст. 13.11 КоАП: штраф для юрлица 300 000–700 000 ₽ при первичном нарушении, 1 000 000–1 500 000 ₽ при повторном (ч. 2.1). Дополнительно — возможен штраф по ч. 1 за обработку без надлежащего основания (150 000–300 000 ₽).
5. Как оформить отзыв подписки на email-рассылку?
Отзыв согласия на получение рекламных рассылок должен быть таким же простым, как его дача, — это прямое требование ст. 9 ФЗ-152. На практике: в каждом письме рассылки обязательна ссылка «Отписаться», клик по которой фиксирует отзыв согласия без дополнительных подтверждений. После отзыва согласия маркетинговая обработка должна прекратиться; продолжение рассылки образует состав ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица).
6. Нужно ли переоформлять согласия, собранные до 01.09.2025?
Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 в соответствии с тогдашними требованиями, сохраняют юридическую силу. Требование оформлять согласие отдельным документом действует только для согласий, запрашиваемых начиная с 01.09.2025. При этом если форма согласия на сайте обновляется — новая версия уже должна соответствовать актуальным реквизитам ст. 9 ФЗ-152.
Итог
Server-Side GTM не устраняет правовые обязанности оператора — он переносит их на новый технический уровень. Четыре точки риска: состав передаваемых данных, согласие до активации тегов, уведомление РКН о трансграничной передаче в GA4 и соответствие политики конфиденциальности реальной картине обработки.
Юристы DATUM сопровождают e-commerce компании по 152-ФЗ: аудит обработки данных с учётом серверных тегов, подготовка ОРД, уведомления о трансграничной передаче, защита при штрафах по ст. 13.11 КоАП.