GDPR і веб-аналітика: що треба знати

GDPR і веб-аналітика — тема, де технічні та юридичні вимоги перетинаються безпосередньо. Якщо ви використовуєте Google Analytics або будь-який інший аналітичний інструмент на сайті, що доступний з ЄС, — ця стаття про те, що потрібно зробити, щоб не мати проблем з регуляторами.

Коротка відповідь: стандартний GA4 без додаткового налаштування не є GDPR-compliant. Але є конкретні кроки, які це виправляють, або альтернативи, де проблема відсутня.

Що таке GDPR і кого він стосується

GDPR (General Data Protection Regulation, Регламент ЄС 2016/679) набрав чинності 25 травня 2018 року. Регулює обробку персональних даних громадян і резидентів ЄС і ЄЕЗ.

Ключовий момент для аналітики: GDPR поширюється не тільки на компанії, що зареєстровані в ЄС. Якщо ваш сайт отримує трафік з ЄС і ви збираєте дані про цих користувачів — GDPR застосовується, незалежно від того, де зареєстрований ваш бізнес.

Персональні дані в контексті аналітики — це:

• IP-адреса (вважається персональними даними за позицією EDPB та більшості DPA)
• Cookie-ідентифікатори (наприклад, _ga у Google Analytics)
• User ID, Client ID
• Fingerprint пристрою
• Поведінкові дані, прив’язані до ідентифікатора

Агреговані дані без прив’язки до особи (кількість відвідувань всього сайту) — не персональні дані.

Законна підстава для збору аналітичних даних

Стаття 6 GDPR вимагає однієї з шести законних підстав для обробки персональних даних. Для веб-аналітики реально застосовуються дві:

Важливо: законний інтерес для GA4 або Hotjar у більшості юрисдикцій ЄС не пройде — ці інструменти збирають поведінкові дані і передають їх третім сторонам (Google, Hotjar Inc.). Більшість DPA вважають, що при такому сценарії інтереси оператора не переважають над правами суб’єктів даних.

Згода за GDPR має бути:

• Вільною — не можна обумовлювати доступ до сайту наданням згоди
• Конкретною — окремо для аналітики, окремо для реклами
• Поінформованою — пояснити, що збирається і навіщо
• Однозначною — активна дія (галочка), не pre-ticked checkbox
• Відкликуваною — простий механізм відмови

CJEU у рішенні C-673/17 (Planet49, жовтень 2019) підтвердив: попередньо встановлені галочки або “OK” без явного опису — не дійсна згода.

Чому GA4 під питанням в ЄС: рішення DPA

Рішення DSB Австрії (грудень 2021)

Австрійський DPA (DSB) прийняв перше в ЄС рішення проти Universal Analytics. Конкретний кейс: австрійський сайт використовував GA без відповідних заходів. DSB констатував:

1. Передача Client ID і IP-адреси (навіть після анонімізації) на сервери Google у США — без адекватного рівня захисту (EU-US Privacy Shield був скасований у 2020 році, Schrems II)
2. Standard Contractual Clauses (SCC) самі по собі недостатні без додаткових технічних заходів
3. Порушення статей 44-46 GDPR (передача до третіх країн)

Рішення CNIL Франції (лютий 2022)

CNIL підтримала позицію DSB і видала ухвали кільком французьким операторам, що використовували Google Analytics. Ключові аргументи ті самі: передача ідентифікуючих даних до США без адекватного захисту.

CNIL дала операторам 1 місяць на усунення порушень або перехід до альтернатив.

Поточний стан GA4

Google відреагував і впровадив кілька змін:

• EU Data Boundary (2022) — зберігання і обробка даних ЄС у Європі
• IP-анонімізація за замовчуванням — у GA4 не можна вимкнути
• Consent Mode v2 (обов’язковий для EEA з березня 2024)
• Режими без cookie — конфігурації без збору Client ID

Офіційного рішення EDPB або будь-якого національного DPA про повну відповідність GA4 GDPR не було. Це означає юридичну сіру зону. Google прагне відповідності, але юридична відповідальність залишається на операторі (власнику сайту).

Безпечна конфігурація GA4 для ЄС — нижче у чеклисті.

Consent Mode v2: що це і як впровадити

З березня 2024 Google зробив Consent Mode v2 обов’язковим для рекламних продуктів у ЄС (EEA, UK, Швейцарія). Без нього ремаркетингові аудиторії перестають оновлюватися, конверсії моделюються неточно.

Consent Mode v2 додає два нових параметри:

gtag('consent', 'update', {
  'ad_storage': 'granted',        // збереження рекламних cookie
  'analytics_storage': 'granted', // збереження аналітичних cookie
  'ad_user_data': 'granted',      // передача даних для реклами (нове)
  'ad_personalization': 'granted' // персоналізація оголошень (нове)
});

Два режими:

• Basic Mode — блокує всі Google-теги до надання згоди. Простіший технічно, менш точна атрибуція.
• Advanced Mode — надсилає «безкукові» пінги Google навіть до згоди (без ідентифікаторів). Google моделює конверсії на основі агрегованих даних. Складніший, точніший.

Як впровадити через GTM:

1. Встановити CMP (Consent Management Platform): Cookiebot, Usercentrics, OneTrust, Piwik PRO Consent Manager
2. Більшість сертифікованих CMP мають готову інтеграцію з GTM через «Consent Initialization» trigger
3. Або вручну:

// Дефолт перед завантаженням тегів
gtag('consent', 'default', {
  'ad_storage': 'denied',
  'analytics_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 2000
});

Докладніше про налаштування GTM — у розділі Google Tag Manager.

IP-анонімізація: як працює і чи достатньо

У GA4 IP-адреса анонімізується до логування — Google не зберігає повну IP. Механізм:

• IPv4: 192.168.1.123 → 192.168.1.0 (останній октет = 0)
• IPv6: обрізається до /64

Це відбувається на серверах Google після надходження запиту — тобто повна IP все одно потрапляє в Google, хоча і не зберігається.

Позиція DSB Австрії: навіть анонімізований IP у поєднанні з _ga Client ID і User Agent дозволяє реідентифікацію з достатньою ймовірністю — IP-masking не знімає проблему повністю.

Практично: IP-анонімізація — мінімально необхідний крок, але не єдиний. Потрібен комплекс: consent, EU Data Boundary, мінімальний Data Retention.

EU Data Boundary: як увімкнути

EU Data Boundary у GA4 забезпечує, що дані користувачів з ЄС зберігаються і обробляються у ЦОД Google на території ЄС (Бельгія, Нідерланди, Фінляндія).

Увімкнути:

1. Google Analytics → Admin
2. Property Settings → Data collection and modification
3. EU Data Boundary → увімкнути

Обмеження, які Google сам документує:

• Певні продукти (наприклад, підтримка) все одно мають доступ з США
• Рекламні продукти Google Ads можуть обробляти частину даних за межами ЄС

EU Data Boundary суттєво покращує позицію, але не є абсолютною гарантією. Більшість юридичних консультантів рекомендують поєднувати з SCC і DPIA.

Privacy-first альтернативи GA4

Якщо GDPR-відповідність GA4 — занадто складна або ризикована, є інструменти, де питання закрите за дизайном.

Plausible Analytics

Plausible — хмарна і self-hostable аналітика без cookie.

• Що збирає: URL сторінки, реферер, пристрій, країна — агреговано, без ідентифікаторів
• Що НЕ збирає: cookie, IP (не зберігається), User ID, кросдоменне відстеження
• Сервери: Hetzner у Франції і Німеччині (дані ЄС залишаються в ЄС)
• GDPR: не потребує consent banner для аналітики
• Ціна: від $9/міс (хмара, до 10k переглядів) або self-hosted безкоштовно
• Обмеження: відсутні конверсійні воронки і аудиторії в рекламі, набагато простіша аналітика ніж GA4

Matomo

Matomo — open-source аналітика, аналог GA у функціональності.

• Self-hosted: дані зберігаються на вашому сервері — повний контроль, GDPR-compliant за замовчуванням
• Хмарна версія: сервери в ЄС (Канада та ЄС), від €19/міс
• Cookie: використовує за замовчуванням, але є cookieless-режим
• Функціональність: воронки, теплові карти (платно), A/B-тести, рекламна атрибуція
• GDPR: при self-hosted — повна відповідність, при хмарній — DPA підписано

Fathom Analytics

• Без cookie, без персональних даних
• Сервери в ЄС або Канаді
• Від $15/міс
• Простіша аналітика (без подій, воронок)

Порівняння

Типові помилки при впровадженні GDPR в аналітиці

1. Consent banner є, але не блокує GA4 до згоди. Найпоширеніша помилка — banner з’являється, але тег GA вже спрацьовує при завантаженні сторінки. Перевірте через DevTools → Network: якщо collect?v=2 з’являється до кліку “Прийняти” — тег не заблокований.

2. Pre-ticked checkbox або “Відмовитись” запрятаний. Згода має бути рівноцінно простою і для “так”, і для “ні”. Кнопка “Відмовитись” 8px шрифтом на сірому фоні — не рівноцінний вибір.

3. Одна кнопка “Прийняти всі” без поділу на категорії. Потрібна гранульованість: аналітика окремо від реклами.

4. Не впроваджений Consent Mode v2. Якщо ви запускаєте рекламу в Google Ads для ЄС після березня 2024 — аудиторії не оновлюються.

5. EU Data Boundary не увімкнений. Простий чекбокс в налаштуваннях, але часто забувають.

6. Data Retention не налаштований. За замовчуванням GA4 зберігає user-level дані 14 місяців. Мінімізуйте до 2 місяців для GDPR-мінімізації або вимкніть user-level retention.

7. Privacy Policy не описує аналітику. Потрібно вказати: які інструменти, які дані, правова підстава, контакти DPO (якщо є).

8. Відсутній DPA (Data Processing Agreement) з Google. GA4 Terms of Service включають DPA автоматично, але переконайтеся, що ви прийняли актуальну версію в налаштуваннях GA4 (Admin → Account Settings → Data Processing Amendment).

Чеклист відповідності GDPR для аналітики

Якщо використовуєте GA4

• Consent Mode v2 впроваджений (Basic або Advanced Mode)
• GA4 не завантажується до consent (перевірте DevTools → Network)
• IP-анонімізація (у GA4 за замовчуванням — перевірте що не перевизначається)
• EU Data Boundary увімкнений (Admin → Property Settings)
• Data Retention → 2 або 14 місяців (Admin → Data collection → Data Retention)
• DPA з Google підписаний (Admin → Account Settings → Data Processing Amendment)
• DPIA проведена, якщо обробляєте дані у великому масштабі

Загальний чеклист

• Privacy Policy оновлена: інструменти, дані, підстава, права суб’єктів
• Consent механізм: гранульований (аналітика / реклама / функціональні)
• Opt-in, не opt-out: активна дія, не pre-checked
• Рівноцінна відмова: “Відмовитись” так само доступна як “Прийняти”
• Передача до третіх країн: SCC або Adequacy Decision (EU-US DPF з 2023)
• Реєстр обробки (Article 30): перераховані всі аналітичні субпроцесори
• Строк зберігання: мінімізовано, документально зафіксовано

Якщо переходите на cookieless-аналітику

• Plausible або Matomo self-hosted — consent banner для аналітики не обов’язковий
• Оновити Privacy Policy: пояснити cookieless-підхід
• Перевірити інші cookie: якщо є рекламні інструменти — banner все одно потрібен

Пов’язані ресурси

Огляди інструментів:

• Огляд Plausible Analytics
• Огляд Matomo
• Альтернативи Google Analytics: огляд ринку

Часті запитання про GDPR і аналітику

Чи є Google Analytics 4 законним у ЄС?

Стан станом на червень 2026: юридична сіра зона. GA4 з повним налаштуванням (Consent Mode v2 + EU Data Boundary + IP-анонімізація) суттєво краще, ніж Universal Analytics. Але офіційного «чистого» рішення EDPB немає. Для 100% упевненості — або розширена конфігурація з юридичною консультацією, або перехід на Plausible / Matomo self-hosted.

Чи потрібен consent banner, якщо немає рекламних cookie?

Для аналітики без cookie (Plausible, Fathom) — технічно ні. Але якщо є будь-які інші cookie на сайті (сесійні, функціональні) — banner потрібен, і в ньому потрібно перерахувати всі категорії. Для простоти: більшість юристів рекомендують мати banner завжди, якщо сайт бачать користувачі з ЄС.

Що таке Consent Mode v2 і чи обов’язковий він?

Consent Mode v2 обов’язковий з березня 2024 для рекламних продуктів Google в ЄС. Без нього ремаркетинг і конверсії в Google Ads для ЄС не працюють повністю. Впроваджується через GTM або вбудоване CMP-рішення.