Передача персональных данных за рубеж: разрешен ли Google Analytics и как работать по правилам

В последние месяцы в сети появились сообщения о запрете на использование Google Analytics (GA) – о том, что Роскомнадзор требует убрать счетчик с сайтов. Некоторые компании действительно получили соответствующие предписания. Эксперты click.ru разъясняют, существует ли официальный запрет, можно ли продолжать пользоваться сервисом и что нужно учитывать.

Запрещен ли Google Analytics

Прямого запрета на GA пока нет – как и на Google Tag Manager, Google Формы, Таблицы, reCaptcha и пиксели иностранных соцсетей. Но ситуация неоднозначная. Из писем Роскомнадзора (в одном из них можно убедиться лично) следует, что работа счетчика Google Analytics квалифицируется как трансграничная передача персональных данных.

А значит, при использовании GA и других зарубежных инструментов нужно:

• уведомить пользователя о сборе и обработке его персональных данных с помощью этих сервисов;

• получить согласие на такую обработку;

• подать в Роскомнадзор уведомление о намерении передавать персональные данные за границу.

Все требования регулирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон 152-ФЗ»).

Пример письма от Роскомнадзора

Как подать уведомление

Это нужно сделать до установки инструмента на сайт по официальной инструкции. Подача может быть осуществлена:

• в электронном виде через портал Госуслуг (ЕИСА);

• посредством уведомления в бумажном виде.

Как происходит согласование трансграничной передачи данных?

• Оператор (владелец или администратор сайта) направляет в Роскомнадзор уведомление о планируемой трансграничной передаче персональных данных.

• Роскомнадзор рассматривает документ в течение 10 рабочих дней.

• Если в уведомлении есть ошибки или чего-то не хватает, ведомство приостанавливает рассмотрение и запрашивает уточнения. Недостающие сведения нужно предоставить в течение 5 дней, а общее время рассмотрения продлевается максимум на 10 рабочих дней.

• Дополнительно Роскомнадзор вправе запросить сведения, предусмотренные частью 5 статьи 12 закона 152-ФЗ. Их также нужно предоставить в течение 10 рабочих дней либо запросить продление.

По результатам рассмотрения Роскомнадзор может:

• запретить или ограничить передачу данных за рубеж;

• не вынести никакого решения. Вариант считается «молчаливым согласием».

Таким образом, если по истечении всех сроков запрета нет, GA и другие инструменты можно использовать – трансграничная передача считается согласованной. Однако и здесь есть важный нюанс.

Что изменится с 1 июля 2025 года

С 1 июля 2025 года вступают в силу важные поправки к закону 152-ФЗ «О персональных данных». Согласно новым требованиям, при сборе персональных данных граждан РФ запрещено использовать базы данных, расположенные за пределами России, для следующих операций: записи, систематизации, накопления, хранения, обновления, изменения и извлечения информации.

Ключевая деталь: речь идет именно о первичном сборе данных. Если информация сразу уходит на иностранный сервер, минуя территорию России, – это нарушение. И использовать такие инструменты, как Google Analytics или Google Tag Manager, запрещено.

Ранее закон требовал локализации, то есть хранения копий данных в РФ, но не исключал их дальнейшую обработку за границей. Поправки затрагивают именно процесс начального сбора данных. Дальнейшая трансграничная передача допустима при соблюдении всех указанных выше условий: уведомления Роскомнадзора, размещения актуальных документов на сайте.

С 1 июля 2025 г. нельзя собирать персональные данные напрямую в зарубежные базы. То есть компании, которые работают с пользователями из РФ, должны фиксировать данные на этапе сбора только в базах, которые размещены на территории РФ.

Почему Google Analytics будет запрещен? Причина в архитектуре сервиса: GA обрабатывает данные сразу на серверах, находящихся за рубежом – в частности, в США. Это означает, что с 1 июля 2025 года его использование будет напрямую противоречить обновленному законодательству, поскольку первичное хранение данных не происходит в России. Как указано выше, все данные от российских пользователей должны сначала фиксироваться на серверах, размещенных в РФ.

Что делать, если Google Analytics уже установлен

Если вы получили уведомление от Роскомнадзора, нужно действовать по его указаниям – например, удалить счетчик с сайта. Если использование Google Analytics необходимо, счетчик можно временно удалить, подать уведомление о трансграничной передаче данных по инструкции, а затем, при отсутствии запрета, установить заново. Но только до 1 июля 2025 года. После этой даты работать с GA станет запрещено в любом случае.

На этом требования не заканчиваются. Если вы планируете пользоваться GA до июля, необходимо внести правки в документы на сайте, регулирующие обработку персональных данных. Информация о том, что сбор данных осуществляется с помощью Google Analytics, Яндекс Метрики и других инструментов (все используемые сервисы должны быть перечислены), должна быть указана:

• в политике конфиденциальности;

• в согласии на использование cookie;

• в формах согласия на обработку ПД, где пользователь вводит свои данные.

Что грозит за продолжение работы с GA без соблюдения требований

Если продолжить использовать Google Analytics без выполнения требований по трансграничной передаче данных, уже с мая 2025 года можно попасть под штрафы за нарушение правил обращения с персональными данными.

С 30 мая 2025 года вступают в силу поправки в КоАП РФ (Федеральный закон от 31.11.2024 № 420-ФЗ), которые вводят ответственность за любую неправомерную передачу ПД. Под утечкой теперь понимается не только взлом или кража, но и любое несанкционированное предоставление доступа: передача, публикация, открытие третьим лицам.

Размер штрафов будет зависеть от характера нарушения и категории нарушителя:

• для физлиц – от 100 до 400 тыс. рублей;

• должностных лиц – от 200 до 600 тыс. рублей;

• юрлиц и ИП – от 3 до 15 млн рублей.

Также с 30 мая 2025 года усиливаются санкции за несвоевременное уведомление Роскомнадзора о начале обработки персональных данных. Уведомлять обязаны все, кто работает с ПД – от компаний до самозанятых. За нарушение предусмотрены штрафы:

• для физлиц – от 5 до 10 тыс. рублей;

• должностных лиц – от 30 до 50 тыс. рублей;

• организаций и ИП – от 100 до 300 тыс. рублей.

Заключение

Уже сейчас понятно: игнорирование новых требований по локализации персональных данных может привести к серьезным последствиям для бизнеса. Чтобы снизить риски, стоит провести внутреннюю проверку – убедиться, что сбор и хранение персональных данных происходят внутри РФ. Проверьте, где размещен ваш хостинг, что прописано в договорах с подрядчиками, соответствуют ли действующему законодательству документы по обработке ПД – политика, формы согласия и другие.

Также важно изучить все нормативные акты, упомянутые в этой статье, и разобраться в порядке уведомления Роскомнадзора. Приведите процессы в соответствие с требованиями закона – это поможет избежать значительных штрафов.