Персональные данные, cookies и аналитика: что должен учитывать сайт в 2026 году

Как соблюдать 152-ФЗ на сайте и не сломать аналитику

Сайт можно привести в соответствие с законом — и при этом незаметно сломать аналитику. Обычно это не видно сразу: формы работают, заявки приходят, всё выглядит нормально. Проблемы появляются позже, когда цифры перестают совпадать с реальностью.

Чаще всего это не ошибка настройки, а следствие того, как именно реализованы требования по персональным данным.

Что в России считается персональными данными

На практике под персональные данные попадает не только имя или телефон.

Это также:

— IP-адрес— cookies— поведение на сайте— данные аналитики

То есть почти любой сайт уже работает с персональными данными, даже если на нём нет регистрации.

Требования к этому регулирует Федеральный закон №152-ФЗ. Игнорировать их не получится, особенно если проект работает на российском рынке.

Распространённая ошибка — считать, что «у нас нет персональных данных», хотя на сайте стоит аналитика.

Что именно нужно сделать на сайте, чтобы соответствовать требованиям

Если убрать юридические формулировки, всё сводится к конкретным действиям на сайте. Ниже — минимальный набор, который реально проверяют.

Галочка в формах

Любая форма, где пользователь оставляет данные, должна содержать:

• чекбокс согласия
• текст согласия на обработку персональных данных
• ссылка на политику конфиденциальности— ссылка на согласие на обработку персональных данных

Важно:

• чекбокс не должен быть отмечен по умолчанию
• без него форма не отправляется

Политика конфиденциальности

На сайте должна быть отдельная страница, где указано:

• какие данные собираются
• зачем
• как используются
• кому передаются

Ссылка на неё должна быть:

• в футере
• рядом с формами

Cookie-баннер

Нужно:

• уведомление о сборе данных
• возможность принять или отклонить
• понятное описание

Но важнее не сам баннер, а его поведение:

• что происходит без согласия
• какие скрипты блокируются
• как это влияет на сайт

Аналитика

Если используется аналитика вроде Яндекс.Метрика:

• это должно быть указано в политике
• пользователь должен быть уведомлён

Хранение данных

Базовые требования:

• данные не должны храниться в открытом доступе
• доступ ограничен
• передача через нормальные сервисы

Информация о компании

На сайте должны быть:

• название компании (в том числе на русском)
• ИНН / ОГРН
• контакты

На уровне списка всё выглядит просто. Проблемы начинаются в реализации.

Где обычно всё ломается

Типовой сценарий:

• ставится cookie-баннер
• до согласия блокируется аналитика
• сайт становится «правильным»

Именно в этот момент появляются искажения.

С точки зрения закона всё корректно. С точки зрения данных — уже нет.

На практике такие ситуации часто вскрываются уже после запуска — когда приходится разбирать, почему цифры «просели» или не сходятся с реальностью. В проектах, с которыми мы работаем в https://aliensource.org, это одна из самых частых причин искажённой аналитики.

Как cookie-баннер влияет на аналитику

Когда пользователь не даёт согласие:

• аналитика не запускается
• визит не фиксируется
• пользователь не попадает в данные

На промо-проектах это особенно заметно: значительная часть пользователей просто закрывает страницу, не взаимодействуя с баннером.

В результате:

• фактический трафик выше
• в аналитике он ниже

Иногда разница кратная. Например, до корректной настройки может фиксироваться 1–2 тысячи визитов, после — 10 тысяч и больше.

Важно: это не рост аудитории. Это возврат пользователей, которые раньше не учитывались.

То есть часть трафика просто “исчезает” из данных.

Как не терять аналитику из-за cookie-баннера

Полное отключение аналитики до согласия — формально корректный, но слабый вариант. В этом случае часть пользователей просто не попадает в данные, и аналитика перестаёт отражать реальную картину.

Более рабочий подход — не отключать сбор полностью, а ограничивать его до получения согласия.

Минимальная аналитика без cookies

До согласия можно фиксировать базовые события без идентификации пользователя. Речь про агрегированные данные:

• факт визита
• просмотры страниц
• базовые действия

При этом не используются cookies и не ведётся отслеживание между сессиями. Пользователь не идентифицируется, но общая активность остаётся в данных.

Ограниченный режим аналитики

Более системный вариант — работа аналитики в двух режимах.

До согласия:

• данные собираются в упрощённом виде
• без точной привязки к пользователю
• без использования cookies

После согласия:

• включается полный сбор
• появляется точная атрибуция
• работают рекламные инструменты

В результате данные не обнуляются полностью, а делятся на два слоя: приблизительная картина до согласия и точная — после.

Что это меняет на практике

Если аналитика полностью отключена до согласия:

• часть пользователей не фиксируется
• трафик выглядит ниже реального
• показатели искажаются

Если используется ограниченный режим:

• базовые данные сохраняются
• потери снижаются
• аналитика остаётся пригодной для работы

Подобные настройки обычно требуют не просто установки баннера, а нормальной проработки логики сбора данных. В том числе поэтому в проектах https://aliensource.org/ это рассматривается как отдельная задача, а не “галочка по чек-листу”.

Итог

Требования по персональным данным — это не просто юридическая формальность. Они напрямую влияют на продукт и аналитику.

Cookie-баннер — это точка, где пересекаются:

• закон
• интерфейс
• данные
• маркетинг

Если реализовать его без учёта последствий, можно получить корректный с юридической точки зрения сайт и при этом потерять значительную часть данных.

Задача — не просто соблюсти требования, а сделать это так, чтобы аналитика продолжала отражать реальную картину.