Ретаргетинг и look-alike аудитории: можно ли передавать ПДн рекламным сетям

Ретаргетинг и look-alike: почему это больше не «просто пиксель»

Ретаргетинг – показ рекламы пользователям, которые уже взаимодействовали с вашим сайтом (просматривали товары, добавляли в корзину, но не купили). Look-alike (похожая аудитория) – поиск новых пользователей, чьи признаки и поведение похожи на существующих клиентов. Оба инструмента – основа современной цифровой рекламы, и оба прямо связаны с обработкой персональных данных.

Несколько лет назад отрасль оперировала позицией: «Мы передаём в рекламную сеть только cookie-идентификаторы и email-хеши, это не ПДн». После поправок в ФЗ-152 в 2022-2024 годах и разъяснений Роскомнадзора эта позиция перестала работать. Сегодня идентификаторы устройств, cookie-значения, хешированные email-адреса признаются персональными данными, если позволяют или потенциально могут позволить идентификацию субъекта.

В 2024 году РКН опубликовал разъяснение: передача идентификаторов устройств в рекламную сеть, даже если оператор их не сопоставляет с ФИО, представляет собой обработку и передачу персональных данных. Критерий – потенциальная возможность идентификации на стороне получателя.

Как работает ретаргетинг технически

Классический ретаргетинг основан на связке:

  1. Пиксель рекламной сети на сайте (JavaScript-код, загружаемый при посещении)
  2. Пиксель устанавливает cookie / получает идентификатор устройства
  3. Идентификатор отправляется в рекламную сеть с информацией о действии пользователя (посмотрел товар, положил в корзину)
  4. Рекламная сеть сохраняет связь идентификатор → сайт → действие
  5. При посещении других сайтов сети пользователь видит рекламу продукта этого сайта

Технологии ретаргетинга в 2026

Технология Описание Статус по ФЗ-152
Пиксель 3rd-party cookie Cookie от домена рекламной сети Требует согласия на cookies
Пиксель 1st-party cookie Cookie от домена сайта, передаётся в сеть Требует согласия на передачу
Server-side tagging Передача данных на сервер сайта, затем в сеть Требует договора поручения и согласия
Customer Match / Audience Upload Выгрузка списка email/телефонов в сеть Требует согласия на передачу третьим лицам
CRM-интеграция Автоматическая выгрузка из CRM в рекламный кабинет Требует полного оформления как передача ПДн

Передача ПДн рекламным сетям: правовые основания

Передача идентификаторов устройств или списков email/телефонов в рекламную сеть по статье 7 ФЗ-152 – передача третьим лицам, требующая правового основания. Практически единственное применимое основание – согласие субъекта.

Какое согласие нужно

  1. Согласие на обработку cookies и идентификаторов устройств – при первом посещении сайта, через cookie-banner
  2. Согласие на передачу данных в конкретные рекламные сети – с перечнем сетей
  3. Отдельное согласие на формирование look-alike аудиторий на основе поведения
  4. Согласие на ретаргетинг на основе покупок и просмотров

Общее «согласие с условиями» не покрывает передачу ПДн в рекламные сети. Это отдельная цель обработки, требующая отдельного информирования и согласия.

Cookie-banner правильной конструкции для ретаргетинга

Cookie-banner при первом посещении сайта – ключевая точка сбора согласий на все cookie-основанные операции. Обязательные элементы:

  1. Разделение cookies на категории: обязательные (работа сайта), аналитические (статистика), маркетинговые (ретаргетинг, профилирование)
  2. Для категорий аналитики и маркетинга – отдельные чекбоксы, по умолчанию сняты
  3. Кнопка «Принять все», «Отклонить все», «Настроить»
  4. Невозможность продолжить использование сайта только при принятии всех cookie – допустима только отказ от маркетинговых и аналитических (т.е. сайт должен работать без ретаргетинга)
  5. Подробное описание каждой категории с перечислением партнёров (Яндекс.Метрика, VK Реклама, MyTarget, Google Analytics – если ещё используется)
  6. Возможность в любой момент изменить настройки cookies – через ссылку в подвале
  7. До подтверждения в cookie-banner – скрипты аналитики и маркетинга не загружаются

В 2024 году РКН проверил 200 крупных российских сайтов на корректность cookie-banners. 140 сайтов не соответствовали требованиям – главная ошибка – загрузка маркетинговых скриптов (Метрика, ВК Реклама) до согласия пользователя. Суммарный объём предписаний – более 18 млн рублей.

Look-alike аудитории: правовой статус

Look-alike – это технология, при которой рекламная сеть на основе образца (seed audience – ваши клиенты) находит похожих пользователей среди своей базы. С точки зрения ФЗ-152 происходит следующее:

  1. Рекламодатель выгружает в сеть список ваших клиентов (email, телефоны)
  2. Сеть сопоставляет этот список со своей базой (matching)
  3. На основе профилей совпавших пользователей сеть формирует модель «типичного клиента»
  4. Сеть находит других пользователей с похожими признаками и показывает им рекламу

Правовые проблемы look-alike

  • Выгрузка списка клиентов в сеть – передача ПДн третьему лицу
  • Матчинг в сети – это сопоставление ваших клиентов с её пользователями, т.е. сеть узнаёт, что ваш клиент является её пользователем
  • Использование профилей совпавших пользователей для построения модели – вторичная обработка ПДн
  • Показ рекламы похожим пользователям – без их ведома они стали «похожими на ваших клиентов»

Для корректной работы look-alike необходимо: согласие ваших клиентов на передачу их данных в рекламную сеть с целью формирования похожих аудиторий, чёткое информирование в политике, возможность отзыва.

Сегментированная реклама на основе поведения

Современные рекламные кабинеты позволяют:

  • Показывать разную рекламу разным сегментам аудитории
  • Использовать динамические баннеры с товарами, которые пользователь смотрел
  • Формировать персонализированные офферы на основе истории покупок
  • Показывать «брошенную корзину» в формате рекламы в поисковых сетях

Каждый из этих сценариев – автоматизированное принятие решения (статья 16 ФЗ-152), которое может существенно влиять на права субъекта (решение о показе определённой цены, рекламы дорогого или дешёвого товара). Формально это требует отдельного согласия и возможности оспорить решение.

Запрещённые сети и рекламные платформы

Компании, работающие на российский рынок, должны учитывать ограничения:

Платформа Доступность в РФ Рекомендация
Яндекс.Директ, Яндекс.Реклама Полностью доступна, российская инфраструктура Предпочтительная
VK Реклама Полностью доступна, российская инфраструктура Предпочтительная
MyTarget Доступна, часть VK Предпочтительная
Google Ads С 2022 года не принимает платежи из РФ, инфраструктура за рубежом Не рекомендуется
Meta (Facebook/Instagram реклама) Meta признана экстремистской в РФ, запрещена Запрещена
TikTok Ads Инфраструктура за рубежом Серый статус
LinkedIn Ads Заблокирован в РФ Недоступна

Основной маркетинговый арсенал в 2026 году – Яндекс.Директ + VK/MyTarget. Их инфраструктура в РФ делает соответствие ФЗ-152 проще.

Договорные отношения с рекламной сетью

С точки зрения ФЗ-152 рекламная сеть – это третье лицо, которому оператор передаёт ПДн. Для корректной передачи необходим договор о поручении обработки (или условия в пользовательском соглашении, выступающие как договор).

Что обычно обсуждается в договоре с сетью

  • Цели обработки передаваемых данных
  • Категории передаваемых данных (идентификаторы, email, телефон)
  • Срок хранения данных в сети
  • Обязательства по защите
  • Порядок уведомления об инцидентах
  • Порядок удаления данных при прекращении отношений
  • Ответственность сторон

Яндекс и VK публикуют свои соглашения о защите ПДн на сайтах для рекламодателей. Их стоит изучить и при необходимости запросить дополнительные гарантии.

Customer Match и хеширование данных

Customer Match – функция, при которой вы выгружаете список email/телефонов в сеть, а сеть показывает рекламу этим конкретным людям. Хеширование данных (обычно SHA-256) перед выгрузкой – защитная мера, но не полное решение:

  • Хеш email – это тот же идентификатор, если сеть имеет свою базу с такими же хешами и может сопоставить
  • Хеширование без соли (salt) детерминировано: один и тот же email всегда даёт один и тот же хеш
  • Сеть и рекламодатель работают по одному и тому же алгоритму – значит сопоставление идёт

Вывод: хеширование не превращает ПДн в не-ПДн. Customer Match требует тех же согласий, что и передача открытых данных.

Server-side tagging: новый стандарт

Server-side tagging (SST) – передача аналитических и маркетинговых данных через ваш собственный сервер, а не напрямую из браузера пользователя в рекламную сеть. Преимущества:

  • Контроль над тем, какие данные передаются в сеть
  • Возможность очистки чувствительных данных на вашей стороне
  • Устойчивость к блокировщикам (AdBlock)
  • Соответствие локализации – данные сначала попадают на ваш российский сервер

С точки зрения ФЗ-152 SST не отменяет обязательств: вы всё равно оператор, который передаёт данные в рекламную сеть. Но SST делает процесс более прозрачным и контролируемым.

Удаление пользователя из ретаргетинга

Каждый пользователь имеет право потребовать:

  1. Прекратить использование его ПДн для ретаргетинга
  2. Удалить его идентификаторы из рекламных сетей
  3. Исключить его из баз look-alike

Как реализовать

  • Страница «Настройки рекламы» в личном кабинете – пользователь может отключить разные категории
  • При отключении – отправка сигнала в рекламные сети о удалении записи
  • Для незарегистрированных пользователей – cookie-banner с возможностью изменить согласия в любой момент
  • Ответ на запрос «удалите мои данные» – в 10 рабочих дней, с подтверждением удаления из всех рекламных сетей

Анонимная аналитика как альтернатива

Если риски ретаргетинга и look-alike слишком велики для вашей модели, рассмотрите анонимную аналитику:

  • Cloudflare Web Analytics, Simple Analytics – без cookies, без идентификации
  • Яндекс.Метрика с анонимизацией IP, без ClientID
  • Plausible, Umami – open source аналитика без персональных данных

Такой подход лишает вас ретаргетинга, но полностью снимает риски по ФЗ-152 в части маркетинговой аналитики. Для многих B2B и нишевых проектов – достаточный вариант.

Чек-лист соответствия ретаргетинга и look-alike

  1. Cookie-banner корректный: разделение категорий, опциональные чекбоксы, блокировка скриптов до согласия
  2. Перечень рекламных сетей указан в политике и в cookie-banner
  3. Отдельное согласие на формирование look-alike
  4. Отдельное согласие на передачу данных в рекламные сети
  5. Customer Match выполняется только при явном согласии пользователей на использование их email/телефонов
  6. Используются только российские сети (Яндекс, VK, MyTarget)
  7. Заключены соглашения о поручении обработки с сетями (или приняты их оферты)
  8. Настроен server-side tagging для контроля передаваемых данных
  9. Хеширование данных перед передачей – дополнительная мера, не замена согласия
  10. Возможность пользователю отключить ретаргетинг в личном кабинете
  11. Автоматическое удаление пользователя из look-alike при отзыве согласия
  12. Политика обновлена, отражает все цели маркетинговой обработки
  13. Уведомление в РКН содержит соответствующие цели обработки
  14. Запросы на удаление исполняются в 10 рабочих дней
  15. Аудит настроек раз в квартал (сети, пиксели, cookies)

Реалистичная стратегия для маркетолога в 2026

  1. Минимизируйте число рекламных пикселей на сайте – оставьте только действительно работающие
  2. Настройте cookie-banner правильно – с разделением и блокировкой
  3. Добавьте в политику чёткий раздел о маркетинговой обработке
  4. Разработайте формы согласий на ретаргетинг/look-alike, отдельные от общих
  5. Переведите рекламу на российские платформы (Яндекс, VK)
  6. Внедрите server-side tagging если объёмы оправдывают
  7. Ведите журнал передач данных в рекламные сети для аудита
  8. Раз в квартал проверяйте, что настройки и политика соответствуют реальной практике

Ретаргетинг в 2026 году – по-прежнему мощный инструмент, но требующий от маркетолога понимания правовых нюансов. Компании, пренебрегающие cookie-banner и согласиями, сталкиваются с предписаниями РКН и штрафами, размер которых может превышать годовой рекламный бюджет. Инвестиция в правильную настройку окупается.