Cookie-баннер и Метрика в 2026: три пути, между которыми выбирает каждый сайт (и почему четвёртого нет)
В конце июня 2026 мы включили на pdaudit.ru честный opt-in баннер: Метрика грузится только после клика «Принять». Через восемь дней замерили.
- Визиты в Метрике — с 30-40 в сутки до 3-8. Потеря 76-94%.
- Вебмастер за тот же период показывает рост показов и стабильные клики. Реальный трафик никуда не делся.
- Метрика видит только тех, кто явно нажал «Принять». Все остальные — молчуны, отказавшие, боты, «слишком быстро закрыл» — для Метрики не существуют.
Первый рефлекс — «неправильно настроили баннер, надо починить». Мы полезли чинить и упёрлись в стену: у Метрики нет режима, который бы легально грузился до согласия и при этом видел визиты. Ни в справке, ни в API счётчика.
Это статья про то, что мы там узнали и какой из этого честный вывод. Спойлер: волшебной кнопки нет. Есть три пути и выбор профиля риска.
Разбираем мифы: почему «просто что-то включить» не сработает
Пока разбирались, наткнулись на набор популярных мифов. Разбираем каждый.
Миф 1. «Есть Ограниченный режим Метрики — он работает без cookies и без согласия»
Самая распространённая ошибка. Мы сами так думали в первый день.
Как есть на самом деле — прямо из справки Яндекса:
- Ограниченный режим использует first-party cookies, включая идентификатор
_ym_uid - Дублирует их в
localStorage - Отключается только передача данных в рекламную экосистему: Директ, демография, кросс-девайс, Вебвизор
То есть режим полезен, но не про cookies. Он про то, что счётчик перестаёт быть источником данных для рекламной оптимизации и профилирования. Cookies при этом ставятся, а значит согласие пользователя всё равно нужно.
Первоисточники:
_ym_uidМиф 2. «Есть параметр в коде счётчика, отключающий cookies»
Иногда упоминают загадочные withoutCookies: true, cookieless: true, «no-cookie mode» и другие варианты в вызове ym('init', {...}).
Такого параметра в документированном API Метрики нет. Если где-то в чужом коде вы такое видели — это либо экспериментальный неподдерживаемый флаг, либо просто выдумка. Полагаться на него нельзя: сегодня работает, завтра сломается без предупреждения, юридической защиты не даёт.
Миф 3. «Соберём статистику сами и загрузим в Метрику»
У Метрики нет протокола импорта визитов. Есть Measurement Protocol у Google Analytics 4, у Метрики — нет. Отправлять запрос напрямую на mc.yandex.ru/watch/* можно, но это тот же вызов счётчика, cookies всё равно ставятся.
Миф 4. «Запишем Метрику в “технически необходимые” cookies — за это не штрафуют»
Штрафуют. Более того, именно за это самая частая практика применения штрафов по ч.2 ст.13.11 КоАП — до 700 000 ₽ для юрлица.
Аналитические cookies по позиции РКН не являются техническими необходимыми: без них сайт работает. Значит согласие обязательно.
Миф 5. «Я сделал баннер с “Принять”, и данные всё равно есть — значит всё ок»
Скорее всего, в вашем баннере счётчик грузится до клика по «Принять». Это самая частая ошибка: баннер сделали «для галочки», код Метрики стоит в <head> и стартует на каждой загрузке страницы. Данные летят к Яндексу до того, как пользователь что-либо решил.
Автоматическая проверка ловит это за секунды — заходит на сайт, смотрит трафик из браузера, находит запрос к mc.yandex.ru/metrika/tag.js без выставленного согласия. Дальше — предписание.
Правовая рамка: за пять абзацев
Cookie = персональные данные — это позиция РКН, а не буква закона. Формально в 152-ФЗ слова «cookie» нет. Но регулятор с 2023 года трактует так: если cookie позволяют идентифицировать устройство и связать активность с конкретным человеком — это персональные данные по определению ст.3 152-ФЗ. С 30.05.2025 (ФЗ-420) эта трактовка стала законодательной нормой — согласие на cookies обязательно.
Штрафы двухуровневые: предупреждение или 60 000 ₽ за первое нарушение, до 700 000 ₽ по ч.2 ст.13.11 КоАП — если аналитические cookies собирались без согласия. Текст статьи КоАП.
Есть бот РКН, который сканирует сайты. Ходит по адресам операторов из реестра, смотрит cookies в браузере до баннера, сравнивает с политикой, генерирует предписания. Массовые волны предписаний были в 2024 и в 2025. Первое действие обычно не штраф, а требование устранить — но срок короткий, 10-30 дней.
Крупные могут себе позволить спор с регулятором, малый бизнес — нет. Сам Яндекс живёт по модели информирования: в его cookie-политике прямо написано «не требует обязательного согласия пользователя». Ozon — баннер с одной кнопкой «ОК», счётчики стартуют сразу. Формально это серая зона, но у Яндекса и Ozon есть юротделы и ресурсы на разбирательство. У маленького салона красоты — нет.
Что это значит на практике: выбирать надо не «соблюдать закон или нет», а какой профиль риска берёте. И понимать, во что каждый профиль обходится по данным. Об этом — следующий блок.
Что закон требует от cookie-баннера: минимальный чек-лист
Это не рекомендации и не best practices. Это обязательные требования — без любого из пунктов баннер уязвим к предписанию РКН и штрафу по ч.2 ст.13.11 КоАП.
- Явное «Принять» и равнозначное «Отклонить». Согласие по ст.9 ч.4 152-ФЗ должно быть свободным — если у пользователя нет реальной альтернативы, это не согласие. Практически: две кнопки одного размера, одного визуального веса, никакого «Отклонить — маленькая серая ссылка внизу».
- До клика — cookies не ставятся, счётчики не грузятся. Самая частая ошибка: код Метрики в
<head>стартует до баннера. Автопроверка ловит это за секунды и это уже нарушение, даже если баннер потом покажется. - Отказ = сайт продолжает работать. Нельзя блокировать контент за отказ от аналитики. Технические cookies (сессия, корзина, авторизация) — исключение, но их нельзя расширять до аналитических.
- Возможность отозвать согласие в любой момент. Ссылка «Настройки cookies» в футере или отдельная страница, где пользователь может изменить решение так же легко, как принял. Ст.9 ч.2 152-ФЗ — «согласие может быть отозвано субъектом».
- Хранение подтверждения согласия. По ст.9 ч.5 152-ФЗ оператор обязан иметь доказательства, что пользователь согласился. Для cookies это лог с timestamp, IP (обезличенно), user-agent, версия баннера и что выбрано. Без лога согласие юридически спорно — при проверке РКН нечего предъявить.
- Понятный текст баннера. «Принять всё» без объяснения что именно принимаете — не считается «информированным согласием» по ст.9 ч.4. Минимум: одна строка что собираете, ссылка на политику для деталей.
Что из этого чаще всего забывают: пункты 2 (счётчик грузится до клика), 4 (кнопка отзыва) и 5 (лог согласий). Первые три — очевидны, последние три — «додумаем потом» → и не додумывают, пока не приходит предписание.
Три пути, между которыми выбирает каждый сайт
Ниже — все существующие сегодня варианты. Комбинации возможны только из этих трёх. Четвёртого пути нет.
Путь 1. Строгий opt-in
Как выглядит. Заходит человек — счётчиков нет вообще. Показывается баннер: «Принять» / «Отклонить», равнозначные кнопки. Только после «Принять» грузится Метрика.
Что с данными. Видите только согласившихся. По практике команд с CMP-виджетами — 30-60% при аккуратно сделанном баннере, 10-25% при плохом. Отказавшие и молчуны для аналитики не существуют.
Что с риском. По букве закона всё чисто. Претензий не будет ни от РКН, ни при аудите.
Кому подходит. Медицина, финансы, сайты для несовершеннолетних, компании уже получившие предписание. Всем, для кого «спокойствие» ценнее «увидеть всех посетителей».
Что нужно понять до старта. Ваша Метрика будет показывать 30-60% реального трафика. Все выводы — источники, конверсии, отказы — считаются по этой выборке. Это нормально, если помнить о поправке. Ненормально — считать выборку полным охватом.
Путь 2. Информирование (модель Ozon и Яндекса)
Как выглядит. Баннер вида «Продолжая пользоваться сайтом, вы соглашаетесь с использованием cookies». Одна кнопка «Понятно/ОК». Счётчики грузятся сразу с открытием страницы.
Что с данными. 100%. Видно всех.
Что с риском. Серая зона. Юридически согласие «продолжая пользоваться» слабее явного opt-in. Типовая претензия РКН — «баннер не даёт реального выбора». Крупные компании эту модель отстаивают, у маленьких обычно предписание с 10-30 дневным сроком «переделайте на opt-in».
Кому подходит. Кто готов быстро переключиться на opt-in при первом же предписании и понимает, что переключение может отрезать 40-70% данных за ночь. Кто ценит скорость сбора данных выше юридической чистоты.
Что нужно понять до старта. Каждый день на модели информирования — это данные, которые не откатить, если завтра пришло предписание. Полезно параллельно готовить архитектуру для быстрого перехода на строгий opt-in — не как «когда-нибудь потом», а как «одна кнопка».
Путь 3. Cookieless-слой
Как выглядит. На сайт ставится свой лёгкий пиксель без cookies — 1-2 килобайта JavaScript, который отправляет визит на бэкенд по факту загрузки страницы. Никаких идентификаторов не пишется в браузер. Учитывается: URL, реферер, время, страна по IP (обезличенно), устройство (desktop/mobile). Уникальность пользователя — по хэшу дня, а не устройства.
Альтернатива для тех, кто не хочет писать свой пиксель — российский сервис metrikus.ru (cookieless-аналитика, серверы в РФ) или self-hosted opensource-решения на вашем сервере (Umami, GoatCounter — раз хостите сами, данные не покидают вашу инфраструктуру). Зарубежные SaaS-аналитики (Plausible.io, Fathom и т.п.) для российского сайта — плохой выбор: данные уходят за границу, попадаете под 242-ФЗ (локализация ПДн) даже при cookieless-подходе, поскольку IP всё равно передаётся.
Что с данными. 100% базовых показателей: визиты, источники, страницы входа/выхода, время на сайте, конверсии по URL, географию до города. Чего нет: Вебвизора, демографии, связки с Директом на уровне конкретного пользователя, кросс-девайсной идентификации, точной уникальности за месяц.
Что с риском. Ноль. Нечему давать согласие — на устройство ничего не пишется. Согласие требуется только для того, что оставляет след.
Кому подходит. Всем, кто хочет видеть полный трафик легально. Не как замена Метрики, а как фундамент: базовая аналитика работает всегда, Метрика (или её отсутствие) — уже сверху.
Что нужно понять до старта. Cookieless-слой — это отдельная система, данные в Метрику не подгружаются. Придётся смотреть в двух окнах: свой пиксель для полной картины, Метрика для согласившихся.
Итог блока: зрелая архитектура
Реалистичный сценарий для 2026 года выглядит так:
- Cookieless-пиксель как фундамент — видите весь трафик всегда
- Метрика через Путь 1 или Путь 2 сверху — по риск-аппетиту. Строгий opt-in для чувствительных сегментов, информирование для остальных
- Инфраструктура быстрого переключения — если пришло предписание, за минуту перешли на строгий opt-in без правки кода
- Consent-log — храните версии баннера и решения пользователей: пригодится при проверке
Как решили сделать мы
Roadmap. Ничего из перечисленного пока не выкатано, все формулировки — будущее время.
Профили риска прямо в кабинете pdaudit. Появятся два: «Строгий» (opt-in по букве закона) и «Информирование» (модель Ozon с одной кнопкой). Владелец сайта выбирает профиль сам, честно видит последствия каждого — сколько данных теряется, какой риск претензии. Переключение — один клик. Пришло предписание в понедельник, во вторник вы уже на строгом профиле, никакого «ждите разработчика».
Consent-log с версионированием — готовая реализация обязательного требования ст.9 ч.5 152-ФЗ. Хранение согласий обязан вести любой оператор — но обычно это забывают либо оставляют «сделаем сами когда-нибудь». Наш виджет пишет лог сразу: каждый выбор с датой, версией баннера, IP (обезличенно), user-agent и что именно выбрано. Плюс — какая версия политики была активна на момент клика. При проверке РКН есть что показать: «пользователь такого-то числа согласился на такое, вот протокол».
Автоматическая таблица cookies в вашей политике конфиденциальности. pdaudit будет сам находить все cookies, которые ставит ваш сайт (свои и партнёрских сервисов), классифицировать их и обновлять список в политике. Не «обновили один раз в 2024 году и забыли», а живой документ.
Собственный cookieless-пиксель — в разработке. MVP на n8n + Postgres + скрипт меньше 1 килобайта. Задача — дать Путь 3 сразу из коробки, без «идите поставьте Plausible». Как только пиксель заработает, «Строгий» профиль становится безболезненным: полный охват — на пикселе, поведенческие данные — по согласившимся в Метрике.
Что pdaudit делает уже сейчас (не roadmap): проверяет сайт на 152-ФЗ и ФЗ-420, находит грузятся ли Метрика/Ads до согласия, генерирует под ваши реквизиты пакет документов (политика, согласия, cookie-баннер, инструкции по установке для 7 CMS).
Пять правок баннера, которые обычно поднимают долю «Принять» в 2-3 раза
Работают в обе стороны — и для Пути 1, и для гибрида. Взяли из практики CMP-платформ и своей аналитики баннеров клиентов.
- «Отклонить» → «Только необходимые». Формально то же самое, психологически звучит менее «против меня». Доля «Принять» растёт на 15-25%.
- Убрать фразы, мотивирующие отказ. Классика антирекламы своего же баннера: «при отказе сайт будет работать так же». Прочитал — отказался. Пишите нейтрально: «Мы используем cookies для аналитики и работы сервисов. Настроить или узнать подробнее».
- «Настроить» → в ссылку, а не в кнопку. Три равнозначные кнопки «Принять / Настроить / Отклонить» — часть трафика идёт в «Настроить» из любопытства и там теряется. Оставьте бинарный выбор, «настроить» — маленькой ссылкой.
- Повторный показ молчунам через 3-5 дней. Кто закрыл вкладку не решив, при следующем визите баннер показывается ещё раз. Не каждый визит — это раздражает. Раз в неделю — нормально. Часть молчунов на второй раз соглашается.
- Помните выбор 12 месяцев. Не 30 дней и не сессия. Юзер один раз решил — год живёт с этим решением. Меньше показов баннера = выше доверие и лучше поведенческие показатели сайта.
Где граница тёмных паттернов. Кнопка «Отклонить» не должна быть бледнее «Принять» до нечитаемости. Не должна быть спрятана в подменю. Формулировка «Принять» не должна быть капслоком, а «Отклонить» — мелким серым. Это ловится и по букве закона (ст.9 152-ФЗ — согласие должно быть «конкретное, информированное»), и здравым смыслом при проверке.
Проверьте свой сайт — покажем, где вы сейчас
Мы собрали чек-проверок специально под 152-ФЗ и ФЗ-420. Пять минут и увидите:
- Грузится ли ваша Метрика до согласия (типичная ошибка — по нашей статистике встречается на 60-70% проверенных сайтов)
- Кнопка «Отклонить» есть, но она бесполезна (частая история с шаблонными баннерами Tilda и WordPress)
- Полный список сторонних сервисов, которые пишут cookies с вашего сайта — с российскими и зарубежными адресами хранения
- Какой пакет документов нужен именно вашему сайту под ваши реквизиты (политика, согласие, cookie-баннер, уведомление в РКН)
Регистрация не нужна, займёт полминуты. Когда мы выкатим профили риска и cookieless-пиксель — вы первыми узнаете.
Частые вопросы
Работает ли Яндекс Метрика без cookies?
Нет. Ограниченный режим Метрики использует first-party cookies, включая идентификатор _ym_uid. В API счётчика нет параметра, полностью отключающего cookies. Единственный способ иметь аналитику без cookies — использовать отдельный cookieless-пиксель или self-hosted решение, но это не Метрика.
Нужно ли согласие пользователя на Яндекс Метрику в 2026 году?
Да, по позиции РКН. Аналитические cookies — это персональные данные, значит требуется явное согласие пользователя (кнопка «Принять»). Модель «продолжая пользоваться, соглашаетесь» — серая зона, регулятор на неё смотрит критически, к малому бизнесу приходит с предписанием.
Что такое Ограниченный режим Метрики на самом деле?
Это режим, в котором Метрика собирает базовую статистику (визиты, источники, страницы), но не передаёт данные в рекламную экосистему Яндекса (Директ, демография, кросс-девайс). Cookies при этом остаются, идентификатор _ym_uid тоже. Согласие пользователя всё равно требуется.
Можно ли сделать cookie-баннер как у Ozon?
Технически — да. Модель «одна кнопка ОК, счётчики грузятся сразу» юридически спорна, но большие компании такое отстаивают. Малому бизнесу обычно приходит предписание с требованием переделать на строгий opt-in за 10-30 дней. Взвешивайте, готовы ли к такому сроку и есть ли у вас архитектура быстрого переключения.
Какой штраф за cookie-баннер без согласия?
Предупреждение или до 60 000 ₽ по ч.1 ст.13.11 КоАП — за отсутствие политики / некорректное информирование. До 700 000 ₽ по ч.2 ст.13.11 — если аналитические cookies собирались без явного согласия. Для повторных нарушений — выше.