Google Tag Manager, пиксели и счётчики: как управлять тегами «по согласию» и не утекать

Практическое руководство для маркетологов, разработчиков и DPO в условиях российского и международного регулирования

Почему «просто поставить баннер» больше не работает

Ещё несколько лет назад стандартной практикой было: поставить на сайт Google Analytics, Facebook Pixel и пару счётчиков, добавить шаблонный баннер cookie и считать вопрос закрытым. В 2025 году такой подход гарантированно приводит к нарушениям — причём сразу в нескольких измерениях: юридическом, техническом и этическом.

Для российского бизнеса ситуация особенно острая. С 1 июля 2025 года вступил в силу запрет на первичный сбор персональных данных граждан РФ в иностранных базах данных. Это означает, что использование Google Analytics, Google Tag Manager и пикселей зарубежных соцсетей без предварительной локализации и уведомления Роскомнадзора — прямое нарушение закона [1][2]. Роскомнадзор рассылал соответствующие уведомления ещё с начала 2025 года [10].

При этом европейская практика показывает путь, по которому идёт и Россия: регуляторы фиксируют не просто факт наличия баннера, а то, как именно он реализован. Французский CNIL оштрафовал Google на €150 млн и Meta на €60 млн именно за тёмные паттерны в баннерах — то есть за то, что кнопка «Принять» была заметнее кнопки «Отклонить» [6]. Совокупный объём штрафов GDPR к марту 2025 года превысил €5,65 млрд по 2 245 делам [11].

Эта статья — практическое руководство о том, как выстроить управление тегами «по согласию» (consent-based tag management): что такое Consent Mode, как правильно настроить GTM, чем заменить зарубежные инструменты в РФ и какие ошибки обходятся дороже всего.

Раздел 1. Что такое тег, пиксель и счётчик — и почему они собирают данные

Прежде чем говорить о согласии, нужно понять, что именно мы контролируем.

Тег

Тег в контексте веб-аналитики — это фрагмент JavaScript-кода, который встраивается на страницу сайта и выполняет определённые действия: отправляет данные о поведении пользователя во внешние системы, устанавливает cookie, записывает конверсию. Типичные примеры: код Google Analytics 4, тег Google Ads Conversion Tracking, скрипт Яндекс.Метрики.

Пиксель

Пиксель (tracking pixel) — разновидность тега, исторически реализованная как изображение 1×1 пиксель или незаметный JavaScript-скрипт. При загрузке страницы браузер «запрашивает» этот пиксель с сервера рекламной системы, передавая HTTP-заголовки: IP-адрес, User-Agent, Referer, идентификаторы cookie. Примеры: Meta Pixel (ранее Facebook Pixel), пиксель VK Рекламы, TikTok Pixel.

Счётчик

Счётчик — более широкое понятие, включающее полноценный скрипт аналитики, который непрерывно собирает данные о сессии: URL страниц, время на сайте, клики, прокрутку, заполнение форм, устройство, геолокацию (по IP). Яндекс.Метрика, Google Analytics 4 — типичные счётчики.

Почему это персональные данные

Ключевой вопрос: являются ли cookie-идентификаторы и IP-адреса персональными данными? В европейской практике GDPR относит онлайн-идентификаторы к персональным данным — это прямо закреплено в статье 4 регламента. Роскомнадзор в своих разъяснениях квалифицирует работу счётчика Google Analytics как трансграничную передачу персональных данных [10]. Яндекс в пользовательском соглашении Метрики прямо указывает, что все данные, собираемые сервисом, рассматриваются как персональные данные и конфиденциальная информация пользователя [12].

Когда пользователь заходит на сайт с установленным Google Analytics, ещё до того как он нажал хоть какую-то кнопку, его браузер уже отправил запрос на серверы Google с IP-адресом, идентификатором cookie и данными о браузере. Именно поэтому «просто поставить баннер» уже недостаточно — нужно управлять тем, когда именно теги загружаются и срабатывают.

Раздел 2. Google Tag Manager: контейнер как точка контроля

Google Tag Manager (GTM) — система управления тегами, которая централизует развёртывание и контроль всех скриптов на сайте. Вместо того чтобы вставлять каждый тег напрямую в код, разработчики устанавливают один контейнер GTM, а маркетологи управляют остальным через интерфейс.

Архитектура GTM

Контейнер GTM состоит из трёх элементов:

Теги (Tags) — действия, которые выполняются (отправить хит в GA4, зафиксировать конверсию в Google Ads, активировать пиксель).

Триггеры (Triggers) — условия, при которых тег должен сработать (загрузка страницы, клик, отправка формы, кастомное событие).

Переменные (Variables) — динамические значения, которые используются тегами и триггерами (URL страницы, текст кнопки, значение поля формы).

Проблема клиентского GTM

Стандартный (клиентский) GTM загружает контейнер gtm.js напрямую в браузер пользователя. При этом сам факт загрузки gtm.js уже отправляет запрос на серверы Google с IP-адресом и заголовками браузера пользователя. Этот запрос происходит до того, как пользователь взаимодействовал с баннером согласия.

Именно это стало предметом судебного решения Административного суда Ганновера в 2025 году: суд признал, что GTM требует согласия пользователя до его загрузки, поскольку сам факт обращения к серверам Google является передачей персональных данных [5]. Аналогичная логика применима и к российскому законодательству.

Серверный GTM (sGTM) как решение

Серверный GTM переносит обработку данных с браузера пользователя на сервер, который контролирует сама компания. Вместо того чтобы браузер напрямую отправлял данные в Google/Meta/Яндекс, он отправляет данные на корпоративный сервер, а тот уже решает, что и куда передавать [13][14].

Преимущества серверного GTM: данные пользователя не передаются напрямую третьим лицам; можно фильтровать персональные данные до отправки; IP-адрес пользователя заменяется на IP сервера; лучший контроль над тем, какие данные уходят во внешние системы.

Важно: серверный GTM не отменяет необходимость согласия. Если пользователь не дал согласие на аналитику, серверный контейнер не должен передавать данные в GA4 [14]. Согласие всё равно должно быть получено и передано в виде consent-сигналов.

Раздел 3. Google Consent Mode v2: шесть параметров, два режима

Google Consent Mode — это API, позволяющий передавать Google-тегам информацию о том, какое согласие дал (или не дал) пользователь. Впервые появился в 2020 году, обязательная версия v2 действует с марта 2024 года [3].

Шесть параметров согласия

Consent Mode v2 оперирует шестью типами хранилища данных [3][15]:

ad_storage — хранение данных для рекламных целей (рекламные cookie).

analytics_storage — хранение данных для аналитики.

ad_user_data — сбор и передача данных пользователя для рекламных целей Google (новый в v2).

ad_personalization — персонализация рекламы и ремаркетинг (новый в v2).

functionality_storage — хранение данных для функциональности сайта.

personalization_storage — персонализация контента (не реклама).

security_storage — хранение данных для безопасности (CAPTCHA, защита от фрода).

Последние три типа изначально предназначены для сторонних тегов. Теги Google (Analytics, Ads, Floodlight) реагируют в первую очередь на ad_storage, analytics_storage, ad_user_data и ad_personalization.

Basic vs. Advanced Consent Mode

Consent Mode предлагается в двух реализациях [4][15]:

Basic Consent Mode: теги не загружаются и не отправляют никакие данные до получения согласия. После отказа — тишина, данных нет вообще. Это наиболее строгий вариант, соответствующий принципу privacy by default.

Advanced Consent Mode: теги загружаются сразу, но до получения согласия отправляют только «cookieless pings» — анонимные запросы без cookie, позволяющие Google строить статистические модели. После получения согласия начинается полноценная передача данных.

Именно Advanced Mode вызывает споры у специалистов по защите данных: понятие «анонимный пинг» является довольно условным, поскольку HTTP-заголовки всё равно содержат IP-адрес и данные браузера [3]. Компании с высокими требованиями к privacy всё чаще выбирают Basic Mode.

Как правильно инициализировать Consent Mode в GTM

Технически правильная реализация выглядит так: сначала на страницу добавляется скрипт, устанавливающий состояние согласия по умолчанию (все параметры — denied), затем загружается контейнер GTM, затем срабатывает CMP-тег на специальном триггере Consent Initialization [15]. После взаимодействия пользователя с баннером состояние обновляется командой gtag('consent', 'update', {...}).

<script>
 window.dataLayer = window.dataLayer || [];
 function gtag(){dataLayer.push(arguments);}
 gtag('consent', 'default', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'denied'
 });
</script>
<!-- Затем — код GTM -->

Это требование зафиксировано в официальной документации Google Tag Platform [15].

Раздел 4. Российская специфика: 152-ФЗ и новые запреты

Что изменилось в 2024–2025 годах

Законодательство РФ о персональных данных претерпело крупнейшие изменения за десятилетие. Ключевые события:

Федеральный закон №420-ФЗ от 30.11.2024 кратно увеличил штрафы за нарушения в области ПДн. За утечку более 100 тыс. записей юридическому лицу грозит до 15 млн руб., за повторное нарушение — от 1% до 3% от годового оборота, но не менее 20 и не более 500 млн руб. [9][16].

Федеральный закон №421-ФЗ от 30.11.2024 внёс изменения в Уголовный кодекс, введя статью 272.1 об уголовной ответственности за незаконные действия с ПДн [16].

С 1 июля 2025 года вступил в силу запрет на первичное хранение ПДн граждан РФ в иностранных базах данных. Все данные должны сначала поступать на сервер, физически расположенный в России [1][2][17].

С 30 мая 2025 года регистрация в реестре операторов персональных данных стала обязательной для всех, кто обрабатывает ПДн. Штраф за отсутствие регистрации — до 300 тыс. руб. [18][16].

С 1 сентября 2025 года согласие на обработку ПДн должно быть оформлено отдельно от других документов (оферты, договора), а не встроено в общую форму [16][19].

GTM и зарубежные пиксели: правовой статус

Роскомнадзор ещё в 2022 году зафиксировал позицию: использование Google Analytics квалифицируется как трансграничная передача персональных данных [10]. По аналогии под эту квалификацию подпадают и GTM, и пиксели иностранных соцсетей (Meta Pixel, TikTok Pixel).

С 1 июля 2025 года ситуация изменилась принципиально: новый принцип «сначала локально — потом за рубеж» делает невозможным легальное использование Google Analytics и схожих сервисов в их стандартной конфигурации [17]. Под фактический запрет попали Google Tag Manager, формы Google, reCAPTCHA и пиксели зарубежных соцсетей [2][17].

Если компания продолжает использовать Google Analytics, ей необходимо либо перейти на локальную аналитику, либо настроить сервер-посредник в России, собирающий данные первично. Роскомнадзор ещё в начале 2025 года начал массово рассылать уведомления с требованием удалить счётчики Google Analytics [17].

Размеры штрафов за конкретные нарушения при использовании GTM [2]:

• до 300 тыс. руб. — за трансграничную передачу без уведомления РКН;
• до 6 млн руб. — за отсутствие локализации персональных данных;
• до 50 млн руб. — если Google не удалит данные по запросу;
• до 15 млн руб. — за утечку при посещаемости от 100 тыс. пользователей.

Яндекс.Метрика: тоже под вопросом?

Интересно, что Яндекс.Метрика также оказалась в зоне регуляторного внимания. Роскомнадзор считает, что использование Яндекс.Метрики для сбора веб-аналитики требует получения согласия посетителей на передачу их ПДн Яндексу. При этом в пользовательском соглашении Метрики прямо указано, что все собираемые данные являются персональными [12]. Яндекс предупреждает операторов: нельзя передавать в Метрику идентификационную информацию (паспортные данные, ИНН, GPS-координаты, медицинскую информацию) [20].

Раздел 5. CMP и IAB TCF: управление платформами согласия

Что такое CMP

CMP (Consent Management Platform) — платформа управления согласием. Это технический слой между пользователем и тегами: CMP показывает баннер, собирает выбор пользователя, сохраняет его в cookie, транслирует в GTM и все подключённые сервисы.

Google требует использования «сертифицированных» CMP для сайтов, работающих с Google Analytics 4 и Google Ads. Список сертифицированных партнёров Google доступен в документации Tag Platform [3].

IAB Transparency & Consent Framework (TCF)

TCF v2.0 — отраслевой стандарт IAB Europe для передачи согласия в рекламной экосистеме. Google Ads и Google Analytics поддерживают TCF: если на сайте включена поддержка TCF, теги Google уважают настройки TCF [21]. Стандарт актуален прежде всего для сайтов с программатик-рекламой.

Как CMP интегрируется с GTM

В GTM каждый тег имеет настройки согласия (Consent Settings). Можно выбрать режим «Требуется дополнительное согласие» и указать, какие типы согласия должны быть получены, прежде чем тег сработает [21]. Consent Initialization — специальный тип триггера в GTM, который срабатывает первым из всех, до любых других триггеров. На него вешается CMP-тег, который устанавливает дефолтные состояния согласия [22].

Для серверного GTM схема немного сложнее: consent-сигналы, собранные в браузере, должны быть переданы в серверный контейнер через переменные события, после чего серверные теги проверяют состояние согласия перед отправкой данных во внешние системы [13].

Раздел 6. Тёмные паттерны: когда согласие юридически ничтожно

Один из самых распространённых способов «оптимизировать» acceptance rate баннера — использовать тёмные паттерны (dark patterns). Регуляторы по всему миру за последние два года резко усилили правоприменение именно в этой области.

Типичные тёмные паттерны в баннерах согласия

Асимметрия кнопок: кнопка «Принять всё» крупная и яркая, кнопка «Отклонить» — мелкая, бледная или спрятана за ссылкой «Настройки» [6][7][23].

Лишние клики для отказа: один клик для принятия, три клика (баннер → настройки → сохранить) для отказа. GDPR требует, чтобы отказ был не сложнее согласия [6][7].

Предустановленные галочки: чекбоксы для аналитических и рекламных cookie заранее отмечены. Это прямо запрещено Recital 32 GDPR [23].

Запутанные формулировки: «Я не против, чтобы данные не использовались» или «Я отказываюсь от персонализации» — пользователь не понимает, что именно он выбирает.

Consent wall: доступ к контенту условен принятием всех cookie. Это ставит под сомнение добровольность согласия.

Последствия использования тёмных паттернов

CNIL (Франция) в декабре 2024 года выдал предписания нескольким издателям с требованием привести баннеры в соответствие за один месяц. Ранее Google был оштрафован на €150 млн и Meta на €60 млн именно за усложнённый отказ от cookie [6][7].

Ключевой правовой момент: согласие, полученное через тёмный паттерн, юридически недействительно. Это означает, что все данные, собранные на основании такого согласия, обрабатывались без надлежащего правового основания. Последствия — штрафы не только за дизайн баннера, но и за нарушение принципа законности обработки данных в целом [23].

Аналогичный принцип применим в российском праве: согласие должно быть конкретным, информированным, сознательным и однозначным. Форма согласия, которая вводит пользователя в заблуждение, не может считаться надлежащим правовым основанием для обработки ПДн.

Раздел 7. Российские альтернативы: Яндекс Тег Менеджер и не только

Яндекс Тег Менеджер (ЯТМ)

10 июня 2025 года Яндекс представил Яндекс Тег Менеджер — встроенный в Яндекс.Метрику инструмент управления тегами [8]. ЯТМ позволяет добавлять и настраивать теги, события и рекламные пиксели без участия разработчиков.

Ключевые особенности ЯТМ:

Встроен в Яндекс.Метрику — активируется в несколько кликов из настроек счётчика. Никаких дополнительных регистраций или подключений [8].

Работает на российских серверах — не подпадает под ограничения 152-ФЗ о трансграничной передаче данных [24].

Поддерживает готовые шаблоны (Яндекс Ретаргетинг, Метрика, VK Реклама) и пользовательский HTML для кастомных скриптов [8][25].

Бесплатен — входит в функциональность Яндекс.Метрики.

Ограничения ЯТМ по сравнению с GTM: упрощённый режим предварительного просмотра (вывод в консоль разработчика, а не полноценный интерфейс), нет поддержки нескольких рабочих пространств для совместной работы, меньший выбор шаблонов сторонних сервисов [24][25].

Другие альтернативы

Matomo Tag Manager — часть open-source платформы Matomo с возможностью self-hosting. Данные остаются на вашем сервере [25].

Прямая вставка тегов — возврат к «ручной» установке кода на каждую страницу. Сложно масштабировать, но технически законно при правильной конфигурации.

Серверный GTM с российским хостингом — технически позволяет сохранить экосистему Google Workspace, разместив tagging server в российском облаке. Юридический статус этой конфигурации остаётся неоднозначным.

Раздел 8. Практический чек-лист: управление тегами по согласию

Шаг 1. Инвентаризация

Составьте полный реестр всех тегов, пикселей и счётчиков на всех ваших сайтах и приложениях. Включите: название инструмента, поставщик (российский/иностранный), тип данных, которые он собирает, серверы, на которые отправляются данные, правовое основание обработки.

Для российских компаний отдельно отметьте все инструменты с серверами за рубежом — это потенциальные нарушения с июля 2025 года.

Шаг 2. Классификация по категориям согласия

Разделите теги по категориям, которые вы будете предлагать пользователям:

Необходимые (всегда активны) — сессионные cookie, защита от CSRF, корзина покупок.

Аналитические — Яндекс.Метрика, счётчики посещаемости.

Маркетинговые — пиксели ретаргетинга, рекламные теги.

Функциональные — чаты поддержки, персонализация контента.

Шаг 3. Технологическая реализация

Для сайтов с GTM:

1. Устанавливайте дефолт согласия (denied для всего) до загрузки GTM-контейнера.
2. Тег CMP вешайте на триггер Consent Initialization.
3. Для каждого тега настройте требования к согласию в разделе Consent Settings.
4. Используйте Consent Overview в GTM для аудита: какие теги настроены, а какие — нет.

Для российских компаний с 1 июля 2025:

1. Переходите на Яндекс.Метрику и ЯТМ как основную связку.
2. Если хотите сохранить GA4 — настраивайте server-side с российским сервером-посредником + уведомление РКН о трансграничной передаче.
3. Уберите прямые пиксели иностранных соцсетей или замените серверными интеграциями.

Шаг 4. Проектирование баннера

Следуйте требованиям регуляторов:

• Кнопки «Принять» и «Отклонить» должны быть одинаково заметны — одинаковый размер, цвет и расположение.
• Отказ от cookie должен быть не сложнее принятия — один клик.
• Никаких предустановленных галочек для необязательных категорий.
• Ясный язык: что именно собирается и зачем.
• Возможность изменить согласие в любое время (ссылка на настройки в футере).

Шаг 5. Документирование и уведомления

Зафиксируйте в политике конфиденциальности: полный список используемых инструментов аналитики и рекламы, цели обработки данных, третьи стороны, которым передаются данные, сроки хранения.

Подайте уведомление в Роскомнадзор о намерении обрабатывать ПДн (если ещё не сделали) и отдельное — о трансграничной передаче (если используете зарубежные сервисы) [18].

Шаг 6. Регулярный аудит

Технологический стек сайта меняется постоянно: новые интеграции, новые подрядчики, новые плагины. Каждое из этих изменений может незаметно добавить новую точку передачи данных. Регулярный (минимум раз в квартал) технический аудит — не рекомендация, а требование разумной осмотрительности.

Раздел 9. Типичные ошибки и как их избежать

Ошибка 1. Загрузка GTM до баннера согласия

Самая распространённая техническая ошибка. Многие сайты устроены так: сначала загружается gtm.js, потом баннер спрашивает разрешение. Проблема: загрузка gtm.js уже отправила данные на серверы Google. Решение: устанавливайте дефолт denied строго до кода GTM в тексте страницы [15].

Ошибка 2. Нет Consent Initialization — CMP тег висит на Page View

Если CMP-тег висит на триггере «All Pages» (Page View), а не на «Consent Initialization», между загрузкой страницы и загрузкой CMP есть временной промежуток, в течение которого другие теги могут успеть сработать. Consent Initialization гарантированно срабатывает первым [22].

Ошибка 3. Разные состояния согласия в браузере и серверном GTM

При серверном GTM consent-сигнал из браузера нужно явно передавать в серверный контейнер через переменные события. Если этого не сделать, серверные теги будут вести себя как будто согласие не требуется — или как будто всё разрешено [13].

Ошибка 4. Игнорирование подрядчиков и плагинов

CRM-система подрядчика, плагин онлайн-чата, форма обратной связи от внешнего сервиса — всё это потенциальные «дыры», через которые данные уходят без согласия. При работе с подрядчиками необходим договор поручения обработки ПДн [18].

Ошибка 5. UTM-метки с персональными данными

Бывает, что в UTM-метки случайно попадают персональные данные — email-адрес клиента из CRM, имя пользователя, номер заказа. Эти данные попадают в URL, который передаётся в Яндекс.Метрику или GA4. Яндекс прямо запрещает включать персональные данные в параметры UTM [20].

Ошибка 6. Согласие встроено в общую форму

До 1 сентября 2025 года согласие нередко было «спрятано» в общей форме заказа — галочка рядом с принятием оферты. С 1 сентября 2025 года это прямо запрещено: согласие на обработку ПДн должно быть оформлено отдельно [16][19].

Раздел 10. Тренды и будущее

Конец сторонних cookie в Chrome: частичный поворот

В апреле 2025 года Google объявил, что не будет полностью отказываться от сторонних cookie в Chrome — частично отступив от ранее озвученных сроков. Privacy Sandbox переориентируется на «улучшение приватности», а не замену cookie [11]. Это не отменяет необходимость согласия — GDPR и требования Роскомнадзора действуют независимо от политики Google в отношении Chrome.

Серверный трекинг как мейнстрим

По мере ужесточения регулирования серверное отслеживание становится стандартной практикой. Оно позволяет избежать проблем с блокировщиками рекламы, сохранить точность данных и одновременно минимизировать передачу ПДн третьим лицам [13][14].

Модели данных без идентификаторов

Технологии Privacy-Enhancing (PETs) — дифференциальная приватность, федеративное обучение, агрегатные отчёты — всё чаще используются в рекламных системах как способ получать аналитические инсайты без обработки сырых ПДн. Google Attribution Reporting API, Topics API — примеры этого направления.

Россия: движение к цифровому суверенитету

Среди планируемых изменений 152-ФЗ — повышение технологической независимости операторов ПДн, усиление цифрового суверенитета РФ и снижение зависимости от иностранных технологий [26]. Это означает, что курс на ограничение иностранных инструментов аналитики и рекламы будет продолжен.

Раздел 11. «Пятый фактор»: автоматический контроль там, где баннеры бессильны

Управление баннером согласия решает только видимую часть проблемы. За ним скрывается более фундаментальный вопрос: а знаете ли вы вообще, где в ваших системах — CRM, базах данных, API, 1С, почте — хранятся персональные данные? Особенно в сложных корпоративных ИТ-ландшафтах, где новые поля в БД появляются каждую неделю, а интеграций с подрядчиками — десятки.

Именно эту задачу решает Пятый фактор — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Платформа работает с метаданными, структурой и агрегатами — не передаёт и не хранит «сырые» ПДн, что соответствует принципу privacy by design и требованиям 152-ФЗ.

Для компаний, управляющих тегами «по согласию», Пятый фактор решает смежную, но критическую задачу: даёт живую «карту ПДн» — где и какие данные хранятся, кто их владелец, что изменилось с прошлой проверки. Когда маркетолог подключает новый рекламный пиксель или интеграцию с новым подрядчиком, платформа замечает новые поля и источники данных прежде, чем они превращаются в инцидент или предмет проверки.

В условиях, когда аудит ПДн традиционно занимает недели, а штрафы за утечки достигают 3% от годового оборота, автоматическая инвентаризация — не роскошь, а инфраструктурный минимум для любой компании, работающей с данными российских пользователей.

Заключение: что делать прямо сейчас

Управление тегами «по согласию» — это не разовая настройка, а непрерывный процесс. Несколько конкретных шагов:

1. Проведите технический аудит сайта: какие теги, пиксели и скрипты реально загружаются, куда они отправляют данные.
2. Проверьте порядок загрузки: consent default должен быть установлен до контейнера GTM.
3. Для российских сайтов — оцените статус каждого иностранного инструмента с точки зрения новых требований 152-ФЗ.
4. Проверьте баннер: одинаково ли заметны кнопки «Принять» и «Отклонить»? Один ли клик нужен для отказа?
5. Обновите политику конфиденциальности и, при необходимости, уведомление в Роскомнадзор.
6. Выстройте процесс регулярного пересмотра: ИТ-ландшафт меняется быстрее, чем документы.

Технологии трекинга продолжат развиваться, регулирование — ужесточаться, а пользователи — становиться внимательнее к своим данным. Выигрывают те, кто воспринимает privacy не как чекбокс в compliance-листе, а как архитектурный принцип.

Источники

[1] Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (с изменениями) — https://base.garant.ru/12148567/

[2] Анdata.ru. С 1 июля 2025 года использование Google Tag Manager — прямая угроза вашему бизнесу — https://andata.ru/blog/news/zapret-na-ispolzovanie-google-tag-manager

[3] Google for Developers. Set up consent mode on websites — https://developers.google.com/tag-platform/security/guides/consent

[4] CookieYes. What is Google Consent Mode V2? How to Implement It? — https://www.cookieyes.com/blog/google-consent-mode-v2/

[5] Didomi. Does Google Tag Manager (GTM) require user consent? Breaking down the 2025 decision from Germany — https://www.didomi.io/blog/google-tag-manager-gtm-consent-2025-germany

[6] CNIL. Dark Patterns in Cookie Banners: CNIL issues formal notice to website publishers — https://www.cnil.fr/en/dark-patterns-cookie-banners-cnil-issues-formal-notice-website-publishers

[7] CookieYes. Dark Patterns in Cookie Consent: How to Avoid Them — https://www.cookieyes.com/blog/dark-patterns-in-cookie-consent/

[8] Workspace.ru. Яндекс представил Яндекс Тег Менеджер — https://workspace.ru/blog/kogda-nelzya-google-tag-manager-no-ochen-hochetsya-yandeks-predstavil-svoy-teg-menedzher/

[9] Business.ru. 152-ФЗ о персональных данных в 2025–2026 годах — https://www.business.ru/article/5705-152-fz-o-personalnyh-dannyh-gg

[10] Cybermarketing. Передача персональных данных за рубеж: разрешён ли Google Analytics — https://blog.cybermarketing.ru/peredacha-personalnyх-dannyx-za-rubezh/

[11] SecurePrivacy.ai. Cookie Consent Explained: GDPR Compliance & Best Practices — https://secureprivacy.ai/blog/what-is-cookie-consent

[12] Яндекс. Условия использования сервиса Яндекс Метрика и AppMetrica — https://yandex.ru/legal/metrica_termsofuse/ru/

[13] Usercentrics. Strategies for handling consent in Server-side Google Tag Manager — https://usercentrics.com/magazine/articles/strategies-for-handling-consent-in-sgtm/

[14] Google for Developers. Implement consent mode with server-side Tag Manager — https://developers.google.com/tag-platform/tag-manager/server-side/consent-mode

[15] Google Support. Tag Manager consent mode support — https://support.google.com/tagmanager/answer/10718549

[16] Izybrand.ru. Изменения в 152-ФЗ в 2025 году — https://ezybrand.ru/blog/izmeneniya-v-152-fz-v-2025-godu/

[17] vc.ru. Запрет на передачу персональных данных за пределы РФ: запрещён ли Google Analytics — https://vc.ru/marketing/2153541-zapret-na-google-analytics-v-rossii

[18] vc.ru. Как уведомить Роскомнадзор об обработке персональных данных — https://vc.ru/life/2019058-uvedomlenie-roskomnadzora-ob-obrabotke-personalnyh-dannyh

[19] Robokassa. Изменения 152-ФЗ с 1 сентября 2025: чек-лист подготовки — https://robokassa.com/blog/articles/izmeneniya-v-152-fz-s-1-sentyabrya/

[20] Яндекс. Конфиденциальность персональных данных. Метрика. Справка — https://yandex.ru/support/metrica/general/confidential-data.html

[21] Google Support. Updates to consent mode for traffic in European Economic Area — https://support.google.com/tagmanager/answer/13695607

[22] Simo Ahava. Consent Settings In Google Tag Manager — https://www.simoahava.com/analytics/consent-settings-google-tag-manager/

[23] SecurePrivacy.ai. Avoiding Dark Patterns in Cookie Consent — https://secureprivacy.ai/blog/avoiding-dark-patterns-cookie-consent

[24] Molinos.ru. Гайд по Яндекс Тег Менеджеру: пошаговая настройка — https://molinos.ru/about/blog/gayd-po-yandeks-teg-menedzheru-kak-nastroit-i-nachat-polzovatsya

[25] SEONews. Что такое Google Tag Manager и почему в 2025 г. от него придётся отказаться — https://m.seonews.ru/analytics/chto-takoe-google-tag-manager-i-pochemu-v-2025-g-ot-nego-pridetsya-otkazatsya/

[26] ussc.ru. Планируемые изменения Федерального закона №152-ФЗ — https://sec.ussc.ru/152fz-changes