GDPR и веб-аналитика: что нужно знать

GDPR и веб-аналитика — тема, где технические и юридические требования пересекаются напрямую. Если вы используете Google Analytics или любой другой аналитический инструмент на сайте, доступном из ЕС, — эта статья о том, что нужно сделать, чтобы не иметь проблем с регуляторами.

Короткий ответ: стандартный GA4 без дополнительной настройки не является GDPR-compliant. Но есть конкретные шаги, которые это исправляют, или альтернативы, где проблема отсутствует по дизайну.

Что такое GDPR и кого он касается

GDPR (General Data Protection Regulation, Регламент ЕС 2016/679) вступил в силу 25 мая 2018 года. Регулирует обработку персональных данных граждан и резидентов ЕС и ЕЭЗ.

Ключевой момент для аналитики: GDPR распространяется не только на компании, зарегистрированные в ЕС. Если ваш сайт получает трафик из ЕС и вы собираете данные об этих пользователях — GDPR применяется, независимо от того, где зарегистрирован ваш бизнес.

Персональные данные в контексте аналитики — это:

• IP-адрес (считается персональными данными по позиции EDPB и большинства DPA)
• Cookie-идентификаторы (например, _ga в Google Analytics)
• User ID, Client ID
• Fingerprint устройства
• Поведенческие данные, привязанные к идентификатору

Агрегированные данные без привязки к личности (количество посещений всего сайта) — не персональные данные.

Законное основание для сбора аналитических данных

Статья 6 GDPR требует одного из шести законных оснований для обработки персональных данных. Для веб-аналитики реально применяются два:

Важно: законный интерес для GA4 или Hotjar в большинстве юрисдикций ЕС не пройдёт — эти инструменты собирают поведенческие данные и передают их третьим сторонам (Google, Hotjar Inc.). Большинство DPA считают, что при таком сценарии интересы оператора не перевешивают права субъектов данных.

Согласие по GDPR должно быть:

• Свободным — нельзя обусловливать доступ к сайту предоставлением согласия
• Конкретным — отдельно для аналитики, отдельно для рекламы
• Информированным — объяснить, что собирается и зачем
• Однозначным — активное действие (галочка), не pre-ticked checkbox
• Отзываемым — простой механизм отказа

CJEU в решении C-673/17 (Planet49, октябрь 2019) подтвердил: предустановленные галочки или “OK” без явного описания — недействительное согласие.

Почему GA4 под вопросом в ЕС: решения DPA

Решение DSB Австрии (декабрь 2021)

Австрийский DPA (DSB) принял первое в ЕС решение против Universal Analytics. Конкретный кейс: австрийский сайт использовал GA без надлежащих мер. DSB констатировал:

1. Передача Client ID и IP-адреса (даже после анонимизации) на серверы Google в США — без надлежащего уровня защиты (EU-US Privacy Shield был отменён в 2020 году, Schrems II)
2. Standard Contractual Clauses (SCC) сами по себе недостаточны без дополнительных технических мер
3. Нарушение статей 44-46 GDPR (передача в третьи страны)

Решение CNIL Франции (февраль 2022)

CNIL поддержала позицию DSB и вынесла предписания нескольким французским операторам, использовавшим Google Analytics. Ключевые аргументы те же: передача идентифицирующих данных в США без надлежащей защиты.

CNIL дала операторам 1 месяц на устранение нарушений или переход к альтернативам.

Текущее состояние GA4

Google отреагировал и внедрил несколько изменений:

• EU Data Boundary (2022) — хранение и обработка данных ЕС в Европе
• IP-анонимизация по умолчанию — в GA4 нельзя отключить
• Consent Mode v2 (обязательный для EEA с марта 2024)
• Режимы без cookie — конфигурации без сбора Client ID

Официального решения EDPB или какого-либо национального DPA о полном соответствии GA4 GDPR не было. Это означает юридическую серую зону. Google стремится к соответствию, но юридическая ответственность остаётся на операторе (владельце сайта).

Безопасная конфигурация GA4 для ЕС — ниже в чеклисте.

Consent Mode v2: что это и как внедрить

С марта 2024 Google сделал Consent Mode v2 обязательным для рекламных продуктов в ЕС (EEA, UK, Швейцария). Без него ремаркетинговые аудитории перестают обновляться, конверсии моделируются неточно.

Consent Mode v2 добавляет два новых параметра:

gtag('consent', 'update', {
  'ad_storage': 'granted',        // хранение рекламных cookie
  'analytics_storage': 'granted', // хранение аналитических cookie
  'ad_user_data': 'granted',      // передача данных для рекламы (новое)
  'ad_personalization': 'granted' // персонализация объявлений (новое)
});

Два режима:

• Basic Mode — блокирует все Google-теги до предоставления согласия. Проще технически, менее точная атрибуция.
• Advanced Mode — отправляет «бескуковые» пинги Google даже до согласия (без идентификаторов). Google моделирует конверсии на основе агрегированных данных. Сложнее, точнее.

Как внедрить через GTM:

1. Установить CMP (Consent Management Platform): Cookiebot, Usercentrics, OneTrust, Piwik PRO Consent Manager
2. Большинство сертифицированных CMP имеют готовую интеграцию с GTM через триггер «Consent Initialization»
3. Или вручную:

// Дефолт до загрузки тегов
gtag('consent', 'default', {
  'ad_storage': 'denied',
  'analytics_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 2000
});

Подробнее о настройке GTM — в разделе Google Tag Manager.

IP-анонимизация: как работает и достаточно ли её

В GA4 IP-адрес анонимизируется до логирования — Google не хранит полный IP. Механизм:

• IPv4: 192.168.1.123 → 192.168.1.0 (последний октет = 0)
• IPv6: обрезается до /64

Это происходит на серверах Google после получения запроса — то есть полный IP всё равно поступает в Google, хотя и не сохраняется.

Позиция DSB Австрии: даже анонимизированный IP в сочетании с _ga Client ID и User Agent допускает реидентификацию с достаточной вероятностью — IP-masking не снимает проблему полностью.

Практически: IP-анонимизация — минимально необходимый шаг, но не единственный. Нужен комплекс: consent, EU Data Boundary, минимальный Data Retention.

EU Data Boundary: как включить

EU Data Boundary в GA4 обеспечивает, что данные пользователей из ЕС хранятся и обрабатываются в ЦОД Google на территории ЕС (Бельгия, Нидерланды, Финляндия).

Включить:

1. Google Analytics → Admin
2. Property Settings → Data collection and modification
3. EU Data Boundary → включить

Ограничения, которые Google сам документирует:

• Некоторые продукты (например, поддержка) всё равно имеют доступ из США
• Рекламные продукты Google Ads могут обрабатывать часть данных за пределами ЕС

EU Data Boundary существенно улучшает позицию, но не является абсолютной гарантией. Большинство юридических консультантов рекомендуют сочетать с SCC и DPIA.

Privacy-first альтернативы GA4

Если GDPR-соответствие GA4 — слишком сложно или рискованно, есть инструменты, где вопрос закрыт по дизайну.

Plausible Analytics

Plausible — облачная и self-hostable аналитика без cookie.

• Что собирает: URL страницы, реферер, устройство, страна — агрегированно, без идентификаторов
• Что НЕ собирает: cookie, IP (не хранится), User ID, кроссдоменное отслеживание
• Серверы: Hetzner во Франции и Германии (данные ЕС остаются в ЕС)
• GDPR: не требует consent banner для аналитики
• Цена: от $9/мес (облако, до 10k просмотров) или self-hosted бесплатно
• Ограничения: нет конверсионных воронок и аудиторий в рекламе, значительно более простая аналитика чем GA4

Matomo

Matomo — open-source аналитика, аналог GA по функциональности.

• Self-hosted: данные хранятся на вашем сервере — полный контроль, GDPR-compliant по умолчанию
• Облачная версия: серверы в ЕС и Канаде, от €19/мес
• Cookie: использует по умолчанию, но есть cookieless-режим
• Функциональность: воронки, тепловые карты (платно), A/B-тесты, рекламная атрибуция
• GDPR: при self-hosted — полное соответствие, при облачной — DPA подписан

Fathom Analytics

• Без cookie, без персональных данных
• Серверы в ЕС или Канаде
• От $15/мес
• Более простая аналитика (без событий, воронок)

Сравнение

Типичные ошибки при внедрении GDPR в аналитике

1. Consent banner есть, но не блокирует GA4 до согласия. Самая частая ошибка — banner появляется, но тег GA уже срабатывает при загрузке страницы. Проверьте через DevTools → Network: если collect?v=2 появляется до клика “Принять” — тег не заблокирован.

2. Pre-ticked checkbox или “Отказаться” спрятан. Согласие должно быть равнодоступным — и для “да”, и для “нет”. Кнопка “Отказаться” шрифтом 8px на сером фоне — не равноценный выбор.

3. Одна кнопка “Принять всё” без разделения на категории. Нужна гранулярность: аналитика отдельно от рекламы.

4. Не внедрён Consent Mode v2. Если вы запускаете рекламу в Google Ads для ЕС после марта 2024 — аудитории не обновляются.

5. EU Data Boundary не включён. Простой чекбокс в настройках, но часто забывают.

6. Data Retention не настроен. По умолчанию GA4 хранит user-level данные 14 месяцев. Минимизируйте до 2 месяцев для GDPR-минимизации или отключите user-level retention.

7. Privacy Policy не описывает аналитику. Нужно указать: какие инструменты, какие данные, правовое основание, контакты DPO (если есть).

8. Отсутствует DPA (Data Processing Agreement) с Google. GA4 Terms of Service включают DPA автоматически, но убедитесь, что вы приняли актуальную версию в настройках GA4 (Admin → Account Settings → Data Processing Amendment).

Чеклист соответствия GDPR для аналитики

Если используете GA4

• Consent Mode v2 внедрён (Basic или Advanced Mode)
• GA4 не загружается до consent (проверьте DevTools → Network)
• IP-анонимизация (в GA4 по умолчанию — убедитесь что не переопределяется)
• EU Data Boundary включён (Admin → Property Settings)
• Data Retention → 2 или 14 месяцев (Admin → Data collection → Data Retention)
• DPA с Google подписан (Admin → Account Settings → Data Processing Amendment)
• DPIA проведена, если обрабатываете данные в большом масштабе

Общий чеклист

• Privacy Policy обновлена: инструменты, данные, основание, права субъектов
• Consent механизм: гранулярный (аналитика / реклама / функциональные)
• Opt-in, не opt-out: активное действие, не pre-checked
• Равноценный отказ: “Отказаться” так же доступен как “Принять”
• Передача в третьи страны: SCC или Adequacy Decision (EU-US DPF с 2023)
• Реестр обработки (Article 30): перечислены все аналитические субпроцессоры
• Срок хранения: минимизирован, документально зафиксирован

Если переходите на cookieless-аналитику

• Plausible или Matomo self-hosted — consent banner для аналитики не обязателен
• Обновить Privacy Policy: объяснить cookieless-подход
• Проверить другие cookie: если есть рекламные инструменты — banner всё равно нужен

Связанные ресурсы

Обзоры инструментов:

• Обзор Plausible Analytics
• Обзор Matomo
• Альтернативы Google Analytics: обзор рынка

Часто задаваемые вопросы про GDPR и аналитику

Является ли Google Analytics 4 законным в ЕС?

Состояние на июнь 2026: юридическая серая зона. GA4 с полной настройкой (Consent Mode v2 + EU Data Boundary + IP-анонимизация) существенно лучше, чем Universal Analytics. Но официального «чистого» решения EDPB нет. Для 100% уверенности — или расширенная конфигурация с юридической консультацией, или переход на Plausible / Matomo self-hosted.

Нужен ли consent banner, если нет рекламных cookie?

Для аналитики без cookie (Plausible, Fathom) — технически нет. Но если есть любые другие cookie на сайте (сессионные, функциональные) — banner нужен, и в нём нужно перечислить все категории. Для простоты: большинство юристов рекомендуют иметь banner всегда, если сайт видят пользователи из ЕС.

Что такое Consent Mode v2 и обязателен ли он?

Consent Mode v2 обязателен с марта 2024 для рекламных продуктов Google в ЕС. Без него ремаркетинг и конверсии в Google Ads для ЕС не работают в полной мере. Внедряется через GTM или встроенное CMP-решение.