В последние месяцы в сети появились сообщения о запрете на использование Google Analytics (GA) — о том, что Роскомнадзор требует убрать счетчик с сайтов. Некоторые компании действительно получили соответствующие предписания. Эксперты click.ru разъясняют, существует ли официальный запрет, можно ли продолжать пользоваться сервисом и что нужно учитывать.
Запрещен ли Google Analytics
Прямого запрета на GA пока нет — как и на Google Tag Manager, Google Формы, Таблицы, reCaptcha и пиксели иностранных соцсетей. Но ситуация неоднозначная. Из писем Роскомнадзора (в одном из них можно убедиться лично) следует, что работа счетчика Google Analytics квалифицируется как трансграничная передача персональных данных.
А значит, при использовании GA и других зарубежных инструментов нужно:
- уведомить пользователя о сборе и обработке его персональных данных с помощью этих сервисов;
- получить согласие на такую обработку;
- подать в Роскомнадзор уведомление о намерении передавать персональные данные за границу.
Все требования регулирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон 152-ФЗ»).
Как подать уведомление
Это нужно сделать до установки инструмента на сайт по официальной инструкции. Подача может быть осуществлена:
- в электронном виде через портал Госуслуг (ЕИСА);
- посредством уведомления в бумажном виде.
Как происходит согласование трансграничной передачи данных?
- Оператор (владелец или администратор сайта) направляет в Роскомнадзор уведомление о планируемой трансграничной передаче персональных данных.
- Роскомнадзор рассматривает документ в течение 10 рабочих дней.
- Если в уведомлении есть ошибки или чего-то не хватает, ведомство приостанавливает рассмотрение и запрашивает уточнения. Недостающие сведения нужно предоставить в течение 5 дней, а общее время рассмотрения продлевается максимум на 10 рабочих дней.
- Дополнительно Роскомнадзор вправе запросить сведения, предусмотренные частью 5 статьи 12 закона 152-ФЗ. Их также нужно предоставить в течение 10 рабочих дней либо запросить продление.
По результатам рассмотрения Роскомнадзор может:
- запретить или ограничить передачу данных за рубеж;
- не вынести никакого решения. Вариант считается «молчаливым согласием».
Таким образом, если по истечении всех сроков запрета нет, GA и другие инструменты можно использовать — трансграничная передача считается согласованной. Однако и здесь есть важный нюанс.
Что изменится с 1 июля 2025 года
С 1 июля 2025 года вступают в силу важные поправки к закону 152-ФЗ «О персональных данных». Согласно новым требованиям, при сборе персональных данных граждан РФ запрещено использовать базы данных, расположенные за пределами России, для следующих операций: записи, систематизации, накопления, хранения, обновления, изменения и извлечения информации.
Ключевая деталь: речь идет именно о первичном сборе данных. Если информация сразу уходит на иностранный сервер, минуя территорию России, — это нарушение. И использовать такие инструменты, как Google Analytics или Google Tag Manager, запрещено.
Ранее закон требовал локализации, то есть хранения копий данных в РФ, но не исключал их дальнейшую обработку за границей. Поправки затрагивают именно процесс начального сбора данных. Дальнейшая трансграничная передача допустима при соблюдении всех указанных выше условий: уведомления Роскомнадзора, размещения актуальных документов на сайте.
С 1 июля 2025 г. нельзя собирать персональные данные напрямую в зарубежные базы. То есть компании, которые работают с пользователями из РФ, должны фиксировать данные на этапе сбора только в базах, которые размещены на территории РФ.
Почему Google Analytics будет запрещен? Причина в архитектуре сервиса: GA обрабатывает данные сразу на серверах, находящихся за рубежом — в частности, в США. Это означает, что с 1 июля 2025 года его использование будет напрямую противоречить обновленному законодательству, поскольку первичное хранение данных не происходит в России. Как указано выше, все данные от российских пользователей должны сначала фиксироваться на серверах, размещенных в РФ.
Что делать, если Google Analytics уже установлен
Если вы получили уведомление от Роскомнадзора, нужно действовать по его указаниям — например, удалить счетчик с сайта. Если использование Google Analytics необходимо, счетчик можно временно удалить, подать уведомление о трансграничной передаче данных по инструкции, а затем, при отсутствии запрета, установить заново. Но только до 1 июля 2025 года. После этой даты работать с GA станет запрещено в любом случае.
На этом требования не заканчиваются. Если вы планируете пользоваться GA до июля, необходимо внести правки в документы на сайте, регулирующие обработку персональных данных. Информация о том, что сбор данных осуществляется с помощью Google Analytics, Яндекс Метрики и других инструментов (все используемые сервисы должны быть перечислены), должна быть указана:
- в политике конфиденциальности;
- в согласии на использование cookie;
- в формах согласия на обработку ПД, где пользователь вводит свои данные.
Что грозит за продолжение работы с GA без соблюдения требований
Если продолжить использовать Google Analytics без выполнения требований по трансграничной передаче данных, уже с мая 2025 года можно попасть под штрафы за нарушение правил обращения с персональными данными.
С 30 мая 2025 года вступают в силу поправки в КоАП РФ (Федеральный закон от 31.11.2024 № 420-ФЗ), которые вводят ответственность за любую неправомерную передачу ПД. Под утечкой теперь понимается не только взлом или кража, но и любое несанкционированное предоставление доступа: передача, публикация, открытие третьим лицам.
Размер штрафов будет зависеть от характера нарушения и категории нарушителя:
- для физлиц — от 100 до 400 тыс. рублей;
- должностных лиц — от 200 до 600 тыс. рублей;
- юрлиц и ИП — от 3 до 15 млн рублей.
Также с 30 мая 2025 года усиливаются санкции за несвоевременное уведомление Роскомнадзора о начале обработки персональных данных. Уведомлять обязаны все, кто работает с ПД — от компаний до самозанятых. За нарушение предусмотрены штрафы:
- для физлиц — от 5 до 10 тыс. рублей;
- должностных лиц — от 30 до 50 тыс. рублей;
- организаций и ИП — от 100 до 300 тыс. рублей.
Заключение
Уже сейчас понятно: игнорирование новых требований по локализации персональных данных может привести к серьезным последствиям для бизнеса. Чтобы снизить риски, стоит провести внутреннюю проверку — убедиться, что сбор и хранение персональных данных происходят внутри РФ. Проверьте, где размещен ваш хостинг, что прописано в договорах с подрядчиками, соответствуют ли действующему законодательству документы по обработке ПД — политика, формы согласия и другие.
Также важно изучить все нормативные акты, упомянутые в этой статье, и разобраться в порядке уведомления Роскомнадзора. Приведите процессы в соответствие с требованиями закона — это поможет избежать значительных штрафов.
