Яндекс.Метрика и ФЗ-152: правильная настройка анонимизации IP

Яндекс.Метрика и персональные данные: что именно собирается

Яндекс.Метрика является российским сервисом, данные которого хранятся на серверах Яндекса в России. Это делает её соответствующей требованию локализации статьи 18.1 ФЗ-152. Однако сам факт использования российского сервиса не означает автоматического соответствия всем требованиям закона. Метрика собирает данные, которые в понимании ФЗ-152 квалифицируются как персональные, и работа с ними требует правильной настройки счётчика и оформления документов.

Полный перечень данных, которые собирает Метрика

  • IP-адрес посетителя — по умолчанию передаётся в Метрику в полном виде; квалифицируется как персональные данные при возможности идентификации
  • Cookie-идентификатор (_ym_uid) — уникальный идентификатор посетителя, позволяет отслеживать пользователя между визитами
  • User Agent браузера — тип браузера, операционная система, устройство
  • Страницы визита — URL всех посещённых страниц за сессию
  • Источник перехода — откуда пришёл пользователь (поиск, реклама, прямой переход)
  • Записи Вебвизора — видеозапись действий пользователя на странице (клики, движения мыши, прокрутка)
  • Хэши email — если подключена функция передачи email пользователя в Метрику для построения сквозной аналитики
  • Данные о транзакциях — если настроена электронная коммерция

Роскомнадзор в своих методических рекомендациях указывает, что cookie-файлы, IP-адреса и иные идентификаторы, позволяющие отследить поведение конкретного пользователя в сети, могут быть отнесены к персональным данным. Оператор обязан информировать пользователей об их использовании и получать соответствующее согласие.

Настройка анонимизации IP-адресов в Яндекс.Метрике

IP-адрес является наиболее чувствительным из автоматически собираемых данных. Для снижения рисков рекомендуется настроить анонимизацию IP. В Яндекс.Метрике это реализуется через параметр trackHash в коде счётчика.

Метод анонимизации через параметры счётчика

Стандартный код счётчика Яндекс.Метрики можно дополнить параметром, который ограничивает точность IP-адреса до уровня подсети. Это делается в настройках счётчика в разделе "Фильтры" или через программный интерфейс. При включённой анонимизации последний октет IPv4-адреса заменяется нулём (например, 192.168.1.0 вместо 192.168.1.42), что делает прямую идентификацию конкретного пользователя невозможной.

Настройки Вебвизора для защиты данных

Вебвизор — мощный инструмент анализа поведения, но он потенциально может записывать персональные данные пользователей, если они вводятся на странице. Обязательные настройки Вебвизора:

  • Маскирование полей форм — все поля с персональными данными (имя, email, телефон, пароль) должны быть замаскированы. Добавьте атрибут class="ym-disable-keys" к полям форм или используйте настройку через интерфейс Метрики
  • Исключение страниц с ПДн — страницы личного кабинета, страницы заказов с отображёнными персональными данными следует исключить из записи Вебвизора
  • Ограничение доступа к записям — доступ к записям Вебвизора должен быть ограничен списком уполномоченных сотрудников

Настройка хэшей email: когда нужно и как отключить

Функция передачи email-адресов пользователей в Яндекс.Метрику (UserParams с параметром email) позволяет строить сквозную аналитику, связывая действия пользователя на сайте с его профилем в CRM. Однако передача даже хэша email является передачей персональных данных (хэш однозначно соответствует исходному адресу при наличии радужных таблиц).

Требования при использовании хэшей email

  • В согласии на обработку персональных данных должна быть явно указана цель: "передача хэшированного адреса электронной почты в Яндекс.Метрику для аналитики"
  • В политике конфиденциальности должно быть описано использование Яндекс.Метрики с указанием передачи идентификаторов пользователей
  • Пользователь должен иметь возможность отозвать согласие, что должно прекращать передачу его данных

Как отключить передачу email

Если функция не нужна или вы хотите снизить правовые риски, удалите из кода сайта все вызовы функции ym(COUNTER_ID, "setUserID", …) и ym(COUNTER_ID, "params", {UserID: …}) с передачей email или любых других прямых идентификаторов пользователя.

Что прописать в политике конфиденциальности

Использование Яндекс.Метрики должно быть отражено в политике конфиденциальности. Необходимые элементы:

Элемент политики Что написать
Наименование обработчика ООО "Яндекс", Яндекс.Метрика
Перечень данных IP-адрес, идентификатор cookie, сведения об используемом браузере и устройстве, страницы посещений, источники переходов
Цель обработки Статистика посещаемости сайта, анализ поведения пользователей, улучшение сервиса
Правовое основание Согласие пользователя (статья 9 ФЗ-152)
Срок хранения Определяется условиями хранения данных Яндекс.Метрики (до 90 дней для данных Вебвизора)
Передача третьим лицам Данные передаются Яндексу на основании договора поручения обработки ПДн
Отказ от обработки Пользователь может запретить сбор данных через настройки браузера (отключение cookie) или через opt-out на сайте Яндекса

Получение согласия пользователя на использование метрики

Яндекс.Метрика работает через cookie-файлы, размещаемые в браузере пользователя. Размещение cookies является обработкой персональных данных и требует согласия пользователя по статье 9 ФЗ-152. Согласие должно быть:

  • Информированным — пользователь понимает, что именно собирается и зачем
  • Добровольным — доступ к сайту не может быть поставлен в зависимость от согласия на аналитику (это сделает согласие недобровольным)
  • Конкретным — согласие на аналитические cookies отдельно от функциональных
  • Подтверждённым действием — нажатие кнопки или чекбокса, не просто продолжение просмотра сайта

Реализация Cookie-баннера

Для корректного получения согласия на cookies рекомендуется использовать Cookie-баннер, который появляется при первом посещении сайта. Яндекс.Метрику следует загружать только после того, как пользователь дал явное согласие на аналитические cookies. Это технически реализуется через отложенную загрузку кода счётчика: код Метрики помещается не в head страницы напрямую, а добавляется динамически через JavaScript после нажатия пользователем кнопки согласия.

Договор с Яндексом и его правовой статус

Яндекс предоставляет договор об обработке персональных данных (Data Processing Agreement) для пользователей Яндекс.Метрики. Этот договор квалифицирует Яндекс как обработчика персональных данных (поручителя) в терминах статьи 6 ФЗ-152. Для активации этого договора зайдите в настройки счётчика Яндекс.Метрики и примите условия обработки данных. Договор необходимо приложить к внутренней документации оператора по ФЗ-152 в качестве договора поручения обработки персональных данных.

Типичные ошибки при настройке Метрики

  • Вебвизор записывает содержимое полей с паролями, номерами карт или паспортными данными — обязательно маскируйте чувствительные поля
  • Метрика загружается до получения согласия пользователя на cookies — cookie-баннер должен блокировать загрузку Метрики
  • В политике конфиденциальности не упомянута Метрика — необходимо описать все используемые аналитические инструменты
  • Передача UserID или email в Метрику без отдельного пункта в согласии — каждая цель обработки должна быть прямо перечислена в согласии
  • Отсутствие возможности отказаться от Метрики — пользователь должен иметь opt-out

Чек-лист: правильная настройка Яндекс.Метрики для ФЗ-152

  1. Включена анонимизация IP-адреса в настройках счётчика
  2. Поля форм с персональными данными замаскированы для Вебвизора (класс ym-disable-keys)
  3. Страницы личного кабинета и заказов исключены из записи Вебвизора
  4. Передача хэшей email отключена (если не требуется) или получено явное согласие
  5. Принят договор об обработке данных в настройках Метрики
  6. Cookie-баннер блокирует загрузку Метрики до согласия пользователя
  7. Политика конфиденциальности описывает использование Метрики: данные, цель, срок, opt-out
  8. Доступ к счётчику ограничен уполномоченными сотрудниками
  9. Доступ к записям Вебвизора ограничен — не более чем нужно для работы
  10. В согласии на обработку ПДн указана цель: аналитика посещаемости с использованием Яндекс.Метрики

Правовое основание для обработки аналитических данных

Для законного использования Яндекс.Метрики необходимо правовое основание для обработки каждой категории данных, которые она собирает. Статья 6 ФЗ-152 устанавливает перечень допустимых оснований. Для аналитики наиболее применимы два основания: согласие субъекта персональных данных (статья 9 ФЗ-152) и законный интерес оператора. На практике Роскомнадзор настаивает на необходимости явного согласия для использования аналитических cookie, а не просто ссылки на законный интерес. Поэтому правовым основанием для большинства операторов является согласие.

Как оформить согласие технически

Технически корректное получение согласия на Яндекс.Метрику реализуется следующим образом. При первом посещении пользователю показывается cookie-баннер с двумя вариантами: принять все cookies (включая аналитические) или только необходимые (без Метрики). Код счётчика Яндекс.Метрики загружается только при выборе первого варианта. Выбор пользователя сохраняется в cookie на 12 месяцев. При изменении настроек политики cookie пользователю снова предлагается сделать выбор.

Что делать, если пользователь требует удаления своих данных из Метрики

Статья 21 ФЗ-152 обязывает оператора в течение 30 дней удалить персональные данные по требованию субъекта. Применительно к Яндекс.Метрике это создаёт техническую проблему: вы как оператор не имеете прямого доступа к данным конкретного пользователя в интерфейсе Метрики — данные агрегированы.

Порядок действий при получении запроса на удаление:

  1. Зафиксируйте факт получения запроса с датой и содержанием
  2. Направьте запрос в Яндекс через форму обратной связи Яндекс.Метрики с просьбой удалить данные конкретного пользователя (по cookie ID или иному идентификатору)
  3. Удалите на своей стороне все идентификаторы пользователя, если они хранятся в ваших системах и связаны с данными Метрики
  4. Направьте пользователю письменный ответ о принятых мерах в течение 30 дней

Интеграция Метрики с CRM и рекламными кабинетами

Яндекс.Метрика может быть интегрирована с Яндекс.Директом для передачи данных о конверсиях в рекламный кабинет. Эта интеграция осуществляется в рамках экосистемы Яндекса и не создаёт дополнительных рисков с точки зрения трансграничной передачи данных, поскольку Яндекс.Директ также является российским сервисом.

При интеграции Метрики с внешними CRM через API необходимо учитывать: передача UserID из CRM в Метрику для построения сквозной аналитики является дополнительной обработкой персональных данных, которая должна быть отражена в согласии пользователя. Если UserID можно сопоставить с конкретным лицом — это персональные данные, и нужно правовое основание для их передачи в Метрику.

Технические возможности Метрики для соблюдения принципа минимизации

Яндекс.Метрика предоставляет ряд возможностей, позволяющих снизить объём собираемых персональных данных без потери аналитической ценности:

  • Фильтрация роботов — автоматически исключает трафик ботов, снижая риск обработки данных автоматизированных систем
  • Исключение IP-адресов — можно исключить из статистики определённые IP-адреса (например, IP офиса), чтобы не обрабатывать данные сотрудников без их согласия
  • Сэмплирование данных — в отчётах с большим объёмом данных можно использовать выборочный анализ вместо обработки каждой сессии
  • Удаление данных по запросу — Яндекс предоставляет инструменты для удаления данных конкретного пользователя по его запросу

Сравнение вариантов аналитики с точки зрения ФЗ-152

Инструмент Локализация Нужен договор поручения Cookie-согласие Opt-out возможен
Яндекс.Метрика Да (РФ) Да (принять в интерфейсе) Да (обязательно) Да (настройки Яндекса)
Matomo self-hosted (сервер в РФ) Да (зависит от хостинга) Нет (вы сами оператор) Да (обязательно) Да (встроенный плагин OptOut)
Top.Mail.ru Да (РФ) Да (условия VK) Да (обязательно) Ограниченно
Google Analytics 4 Нет Да (DPA Google) Да (обязательно) Да (Google Opt-out)

Регулярный аудит настроек Метрики

Настройки Яндекс.Метрики могут измениться при обновлениях версий счётчика, при добавлении новых функций или при изменении конфигурации сайта (добавление новых форм, страниц, интеграций). Рекомендуется проводить аудит настроек Метрики не реже одного раза в год или при каждом существенном изменении сайта. Аудит должен проверить: актуальность списка исключённых полей в Вебвизоре, корректность фильтров, соответствие политики конфиденциальности текущей конфигурации счётчика, актуальность договора поручения с Яндексом.

Взаимодействие Яндекс.Метрики с рекламными системами

Яндекс.Метрика тесно интегрирована с Яндекс.Директом для передачи данных о конверсиях. Эта интеграция работает в рамках единой российской экосистемы и не создаёт проблем с трансграничной передачей данных. При настройке интеграции Метрики и Директа убедитесь, что в согласии пользователей указана передача данных о действиях на сайте в Яндекс.Директ для оптимизации рекламы — если вы используете функции автостратегий или аудитории.

Аудитории в Яндекс.Аудиториях

Яндекс.Аудитории позволяют загружать собственные базы клиентов для создания рекламных аудиторий — аналог Custom Audiences в Meta. При загрузке базы клиентов в Яндекс.Аудитории передаются хэшированные email-адреса и номера телефонов. Это является обработкой персональных данных: передача данных третьему лицу (Яндексу) в рекламных целях. Правовое основание: согласие субъекта на использование его данных для таргетированной рекламы. Это согласие должно быть получено отдельно от общего согласия на обработку данных для исполнения заказа.

Использование Метрики для A/B-тестирования

Яндекс.Метрика поддерживает функцию сплит-тестирования через механизм экспериментов. При проведении A/B-теста данные о принадлежности пользователя к группе эксперимента сохраняются в cookie. С точки зрения ФЗ-152 это является дополнительной обработкой данных, которая должна быть отражена в политике конфиденциальности в разделе об аналитике. Формулировка в политике может быть обобщённой: "для улучшения сайта мы можем проводить тестирование функционала, результаты которого обрабатываются Яндекс.Метрикой".

Метрика для мобильных приложений и ФЗ-152

Если помимо сайта у компании есть мобильное приложение, Яндекс.AppMetrica является российской альтернативой Firebase Analytics (Google). AppMetrica собирает данные об использовании приложения и хранит их на российских серверах. Требования ФЗ-152 к мобильным приложениям аналогичны требованиям к сайтам: локализация данных, согласие пользователя, политика конфиденциальности в приложении, возможность удаления данных. Яндекс.AppMetrica предоставляет DPA аналогично Яндекс.Метрике.

Как проверить, что счётчик не собирает лишние данные

Для самостоятельной проверки конфигурации счётчика рекомендуется:

  • Откройте DevTools браузера (F12), вкладку Network, отфильтруйте запросы к mc.yandex.ru — в параметрах запроса будут видны все данные, передаваемые в Метрику
  • Убедитесь, что поля форм с персональными данными не попадают в параметры запросов к Метрике в открытом виде
  • Проверьте, что Вебвизор не записывает содержимое форм: включите запись Вебвизора в тестовом режиме, заполните форму с тестовыми данными, просмотрите запись в интерфейсе Метрики — поля должны быть замаскированы
  • Используйте Яндекс.Метрика Браузер (расширение) для проверки корректности срабатывания целей и корректности передаваемых параметров

Итоговые рекомендации по настройке Яндекс.Метрики

Яндекс.Метрика является допустимым инструментом аналитики с точки зрения ФЗ-152, однако её использование требует корректной настройки и документирования. Ключевые шаги: включить анонимизацию IP, защитить поля форм от Вебвизора, принять договор об обработке данных, настроить cookie-баннер с блокировкой Метрики до согласия, обновить политику конфиденциальности. При соблюдении этих требований использование Яндекс.Метрики не создаёт правовых рисков и обеспечивает оператора полноценным инструментом аналитики посещаемости в рамках российского законодательства о персональных данных.

Совместимость с GDPR и другими регуляторными требованиями

Если ваш сайт одновременно работает с российской и европейской аудиторией, потребуется учитывать требования как ФЗ-152, так и европейского GDPR. Яндекс.Метрика с хранением данных в России не будет соответствовать GDPR для европейских пользователей, поскольку Россия не признана ЕС страной с адекватным уровнем защиты персональных данных. В такой ситуации Matomo self-hosted на сервере в России или ЕС (в зависимости от сегментации аудитории) может быть более подходящим решением. Сегментация: для российской аудитории — Метрика, для европейской — Matomo или другое GDPR-совместимое решение с серверами в ЕС. Однако такая архитектура значительно сложнее и требует отдельной проработки.