Согласие на cookie и Яндекс.Метрику в 2026: что менять маркетологу

11 мин
cookieяндекс метрикасогласиеаналитика152-фзмаркетинг
Согласие на cookie и Яндекс.Метрику 2026, обложка статьи sitelaw

Яндекс.Метрика стоит почти на каждом коммерческом сайте. Ставят её обычно первым делом: вставили код в шапку, и счётчик считает с первой секунды визита. В 2026 году этот привычный порядок ломается о позицию Роскомнадзора. Счётчик начинает собирать данные ещё до того, как посетитель хоть что-то разрешил. Ниже разберём, почему аналитику теперь грузят после согласия, чем это грозит и что именно поменять маркетологу, чтобы не потерять ни данные, ни соответствие закону.

Почему счётчик Метрики собирает персональные данные через cookie

Маркетолог привык считать Метрику безобидной статистикой: источники трафика, поведение, конверсии. С точки зрения закона всё иначе. Как только скрипт Метрики или VK Pixel загрузился в браузере посетителя, он пишет cookie, читает идентификатор устройства, фиксирует IP и связку «человек плюс его действия на сайте».

Роскомнадзор и судебная практика 2025-2026 годов рассматривают такие сетевые идентификаторы как персональные данные. Логика простая: cookie и ClientID позволяют узнавать и отслеживать конкретного человека между визитами, а это и есть обработка данных, относящихся к определяемому лицу. Значит, к работе счётчика применяется тот же 152-ФЗ, что и к форме заявки с именем и телефоном.

Отсюда вытекает требование к основанию. Любая обработка персональных данных в России должна опираться на одно из законных оснований из части 1 статьи 6 закона о персональных данных. Для аналитики и ремаркетинга таким основанием выступает согласие посетителя. Нет согласия, нет основания, есть нарушение.

Здесь стоит развести два режима, которые маркетолог часто путает. Когда посетитель оформляет заказ или оставляет заявку, основанием обработки его имени и телефона выступает договор. Отдельная галочка согласия в этом случае не обязательна. А вот аналитика и реклама для исполнения договора не нужны, это самостоятельные цели в интересах бизнеса. Договор тут основанием не работает, остаётся согласие. Поэтому счётчик и пиксель регулятор привязывает к согласию строже, чем форму заказа.

Что изменилось: согласие до загрузки, а не после

Главный сдвиг последних лет: согласие нужно получить до того, как счётчик начнёт собирать данные. Получить его одновременно со сбором или задним числом уже недостаточно: данные к этому моменту собраны без основания.

По позиции Роскомнадзора и сложившейся практике аналитические скрипты не должны загружаться, пока посетитель не дал согласие через баннер. Это не отдельная статья закона с прямым текстом «грузи Метрику после согласия», а трактовка общих норм об основании обработки применительно к cookie. Поэтому правильнее говорить так: регулятор и практика требуют, чтобы счётчик стартовал после согласия, опираясь на статьи 6 и 9 закона о персональных данных.

С 1 сентября 2025 года к самому согласию добавились требования к форме. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. На языке баннера это означает несколько практических следствий:

  • галочка согласия не может стоять заранее проставленной, посетитель ставит её сам;
  • молчание или простое продолжение прокрутки страницы не считается согласием;
  • баннер должен показываться сразу при заходе, а не прятаться внизу;
  • у человека должна быть реальная возможность отказаться, а не только кнопка «принять».

Самая частая ошибка маркетолога звучит так: «у нас же есть баннер про cookie, значит всё в порядке». Баннер-то есть, а Метрика всё равно грузится в момент открытия страницы, до клика по кнопке. И в такой схеме баннер не делает ровным счётом ничего: данные уже собраны до согласия.

Что грозит маркетологу и бизнесу

Последствия для маркетолога делятся на два слоя: риск для компании по закону и риск для самих данных.

Юридический риск опирается на статью 13.11 КоАП. Когда счётчик собирает данные без законного основания, это может квалифицироваться по части 1 статьи 13.11 как обработка в случаях, не предусмотренных законодательством. Для юридических лиц предусмотрен штраф от 150 000 до 300 000 рублей. Если же ситуация трактуется как обработка без согласия там, где оно требовалось, применяется часть 2 той же статьи, и вилка для юридических лиц составляет от 300 000 до 700 000 рублей.

Это вилка по КоАП, а не юридическое заключение. Конкретную часть статьи и размер штрафа определяет орган с учётом обстоятельств: состава собираемых данных, целей, повторности. Цель этого раздела не напугать, а показать порядок цифр, ради которых стоит потратить полдня на настройку баннера.

Что нарушеноЧасть статьи 13.11 КоАПШтраф для юридического лица
Обработка без законного основания (счётчик до согласия)часть 1от 150 000 до 300 000 ₽
Обработка без согласия, где оно требовалосьчасть 2от 300 000 до 700 000 ₽

Второй слой риска маркетинг чувствует напрямую. Если счётчик грузится только после согласия, часть посетителей нажмёт «отклонить», и эти визиты выпадут из Метрики. Данные станут неполными, и к этому надо готовиться заранее. Ремаркетинг и рекламные сегменты тоже завязаны на согласие: показывать персонализированную рекламу по тем, кто от обработки отказался, оснований нет. Так что ожидания по полноте данных и по объёму ремаркетинговой аудитории лучше перестроить заранее. Иначе просадка вскроется постфактум, уже на отчётах, и объяснять её придётся задним числом.

На практике просадка выглядит так. После перехода на загрузку счётчика по согласию доля учтённых визитов снижается на ту часть аудитории, которая нажимает «отклонить». Сколько именно отказывается, зависит от формулировок баннера и доверия к сайту, но какой-то процент уходит всегда. Прикинуть масштаб можно на пальцах: если из 1000 визитов в день 25 процентов отказались от cookie, в Метрику попадёт уже не 1000, а около 750 сессий. Просадка бьёт точечно по сквозной аналитике и атрибуции: цепочка от рекламного клика до заказа становится короче, потому что часть промежуточных точек в ней пропадает. У части заказов источник теперь будет помечен как прямой заход или «не определён», хотя на деле человек пришёл с рекламы. Правильная реакция здесь, зафиксировать новую базовую линию метрик и сравнивать кампании уже внутри неё. Сравнение с прежним периодом будет вводить в заблуждение: меняется ведь не эффективность рекламы, а полнота учёта.

Отдельный вопрос: как не превратить требование закона в потерю всей статистики. Внятный баннер, который понятно объясняет, зачем нужны cookie, и даёт удобную кнопку согласия, удерживает большую часть аудитории добровольно. Агрессивный или невнятный баннер, наоборот, провоцирует массовые отказы. Получается, формулировка согласия это уже и юридическая, и маркетинговая задача разом: от неё прямо зависит, сколько данных вы сохраните легально.

Как проверить, правильно ли настроены баннер и счётчики

Проверка занимает несколько минут и доступа к коду не требует. Откройте свой сайт в режиме инкогнито, чтобы не мешали старые cookie, и пройдите по шагам:

  1. Откройте инструменты разработчика в браузере, вкладку «Сеть» (Network), и обновите страницу, не нажимая ничего в баннере.
  2. Поищите в списке запросов обращения к mc.yandex.ru (Метрика), vk.com или top-fwz1.mail.ru (VK Pixel и счётчики), google-analytics.com.
  3. Если эти запросы уходят до того, как вы дали согласие в баннере, счётчик грузится раньше времени. Это и есть проблема.
  4. Проверьте сам баннер: появляется ли он сразу, нет ли заранее проставленных галочек, есть ли кнопка отказа наравне с кнопкой согласия.
  5. Нажмите «отклонить» и снова посмотрите «Сеть»: после отказа аналитические запросы уходить не должны.

Пройти такую проверку по одной странице руками реально. Но сайт это десятки страниц, лендингов и поддоменов, и счётчик может стоять не везде одинаково. Всю картину разом проще увидеть автоматически. На странице проверки cookie-баннера и согласия сканер находит счётчики и внешние сервисы на сайте и показывает, где аналитика грузится без согласия и где баннер не отвечает требованиям. Индивидуальную юридическую оценку это не заменит, но подскажет, с какой страницы начинать разбор.

Как привести аналитику в порядок

Когда проблема найдена, у маркетолога две задачи: технически отложить загрузку счётчиков и навести порядок в самом согласии.

По технике порядок такой:

  1. Уберите код Метрики и других счётчиков из прямой загрузки в шапке сайта.
  2. Подключите управление согласием: баннер, который при заходе ничего не грузит, кроме самого себя.
  3. Привяжите запуск счётчиков к событию согласия. Счётчик инициализируется только после клика по кнопке «принять», и отдельно по категориям, если делите cookie на обязательные и аналитические.
  4. Для отказа предусмотрите, что аналитические и рекламные скрипты не запускаются вовсе.
  5. Если используете Яндекс.Метрику через диспетчер тегов (Google Tag Manager, Яндекс Тег Менеджер или похожий механизм), перенесите триггер запуска тегов на согласие там же.

Про диспетчер тегов стоит сказать отдельно: он часто даёт ложное чувство безопасности. Логика обычно такая: раз счётчик подключён через GTM, а не вшит в шапку, то с таймингом всё в порядке. Увы, нет. Сам контейнер GTM, как правило, грузится при заходе и может запускать теги счётчиков сразу, до согласия. Правильная схема такая: на старте контейнер держит аналитические и рекламные теги выключенными и ждёт сигнала о согласии. Технически это делается так: баннер при клике «принять» передаёт в уровень данных (dataLayer) событие согласия, а у тегов Метрики и пикселей в триггере стоит условие, что они срабатывают только по этому событию. По категориям cookie настраиваются отдельные события, чтобы аналитика и реклама включались независимо. После настройки проверьте поведение во вкладке «Сеть» так же, как описано выше: до клика по баннеру запросов к счётчикам быть не должно.

По юридической части проверьте, что согласие отвечает требованиям с 1 сентября 2025 года: оно отдельное, понятно сформулировано, у человека есть выбор. Рядом с баннером и в подвале сайта должна быть ссылка на политику обработки персональных данных, где описано, какие cookie и для чего вы собираете. Как должен быть устроен сам баннер по российским требованиям, подробно разобрано в статье о правильном cookie-баннере. Если вы только разбираетесь, когда вообще нужно отдельное согласие, а когда хватает другого основания, поможет материал об обработке персональных данных без согласия.

Отдельно про Google Analytics. С загрузкой после согласия проблема GA не исчерпывается: при работе GA данные уходят на зарубежные серверы, а это уже вопросы трансграничной передачи и локализации первичного сбора в России. Если у вас стоит GA, отложенная загрузка решает только половину задачи, и стоит отдельно оценить целесообразность зарубежной аналитики.

Частые вопросы

Считается ли Яндекс.Метрика сбором персональных данных, если я не вижу имён и телефонов? Да. Метрика пишет cookie и идентификаторы устройства, которые позволяют узнавать конкретного посетителя между визитами. По позиции Роскомнадзора такие сетевые идентификаторы относятся к персональным данным, даже если в отчётах вы видите обезличенную статистику.

У нас уже есть баннер про cookie, этого достаточно? Не всегда. Важно не само наличие баннера, а то, что счётчик не грузится до согласия. Если Метрика стартует при открытии страницы, а баннер просто висит сверху, данные собираются до согласия и баннер своей функции не выполняет. Проверьте порядок загрузки во вкладке «Сеть».

Что грозит за Яндекс.Метрику без согласия? Обработка без законного основания может квалифицироваться по статье 13.11 КоАП. В зависимости от обстоятельств это часть 1 (для юридических лиц от 150 000 до 300 000 рублей) или часть 2 (от 300 000 до 700 000 рублей). Это вилка по КоАП, конкретный размер определяет орган.

Сильно ли упадёт точность статистики, если грузить счётчик после согласия? Часть посетителей откажется, их визиты не попадут в Метрику, и данные станут неполными. Это нормальная плата за соответствие требованиям. Просадку лучше заложить в план заранее, а не объяснять постфактум на отчётах.

Нужно ли согласие, если я использую счётчик только для статистики, без ремаркетинга? По позиции регулятора согласие нужно в обоих случаях. Даже если вы не настраиваете ремаркетинг и смотрите только обезличенные отчёты, счётчик всё равно пишет cookie и идентификаторы устройства в браузере посетителя, а это сбор персональных данных, которому нужно основание. Отсутствие рекламных целей снижает риск, но требование о согласии на сам сбор не убирает. Для статистики проще обосновать минимальный набор данных и короткие сроки хранения, но получать согласие до загрузки счётчика всё равно придётся.

Можно ли вести ремаркетинг по тем, кто отказался от cookie? Нет. Персонализированная реклама опирается на обработку данных посетителя, а если он отказался, основания для этой обработки нет. Ремаркетинг строится только по аудитории, давшей согласие.

Коротко

Счётчики аналитики собирают cookie и идентификаторы, а это персональные данные, поэтому их работе нужно законное основание, и для аналитики это согласие посетителя. По позиции Роскомнадзора и практике 2025-2026 годов счётчик должен грузиться после согласия, а не с первой секунды визита. Само согласие с 1 сентября 2025 года должно быть отдельным, понятным и без заранее проставленных галочек. За обработку без основания предусмотрены штрафы по статье 13.11 КоАП, для юридических лиц вилка от 150 000 до 700 000 рублей в зависимости от части статьи. Маркетологу стоит отложить загрузку счётчиков до согласия, заранее принять неполноту данных как норму и проверить, не уходят ли запросы Метрики до клика по баннеру; сделать это по всему сайту разом можно вручную через вкладку «Сеть» или автоматической проверкой.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 6, обработка персональных данных допускается при наличии согласия субъекта либо иного законного основания из перечня этой статьи.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 9 (в редакции от 24.06.2025), согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным, однозначным и оформляться отдельно от иных документов; норма в этой редакции действует с 1 сентября 2025 года.
  • Позиция Роскомнадзора и сложившаяся правоприменительная практика 2025-2026: cookie и иные сетевые идентификаторы рассматриваются как персональные данные, аналитические скрипты не должны загружаться до получения согласия, а баннер согласия должен показываться сразу и без заранее проставленных галочек. Это позиция регулятора и практика, а не дословная отдельная норма закона.
  • КоАП РФ, часть 1 статьи 13.11, обработка персональных данных в случаях, не предусмотренных законодательством, либо несовместимая с целями сбора; влечёт административный штраф (для юридических лиц от 150 000 до 300 000 рублей).
  • КоАП РФ, часть 2 статьи 13.11, обработка персональных данных без согласия в письменной форме там, где такое согласие требуется, либо с нарушением требований к составу согласия; влечёт административный штраф (для юридических лиц от 300 000 до 700 000 рублей).

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также