В последние месяцы в интернете стали появляться сообщения о запрете на использование Google Analytics (GA) — о том, что Роскомнадзор требует удалить этот инструмент с веб-сайтов. Некоторые компании действительно получили подобные предписания. Специалисты click.ru объясняют, существует ли официальное ограничение, можно ли продолжать пользоваться сервисом и что необходимо учитывать.
Запрещен ли Google Analytics
На данный момент прямого запрета на GA нет — как и на Google Tag Manager, Google Формы, Таблицы, reCaptcha и пиксели иностранных социальных сетей. Однако ситуация остается неоднозначной. Из писем Роскомнадзора (в одном из них можно убедиться самостоятельно) становится ясно, что функционирование счетчика Google Analytics рассматривается как трансграничная передача персональных данных.
Это подразумевает, что при использовании GA и других иностранных инструментов необходимо:
- уведомить пользователя о сборе и обработке его персональных данных с помощью этих сервисов;
- получить согласие на такую обработку;
- подать в Роскомнадзор уведомление о намерении передавать персональные данные за границу.
Все требования регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон 152-ФЗ»).
Как подать уведомление
Это необходимо сделать перед тем, как установить инструмент на сайт в соответствии с официальной инструкцией. Уведомление может быть подано:
- в электронном формате через портал Госуслуг (ЕИСА);
- посредством уведомления в бумажном виде.
Как происходит согласование трансграничной передачи данных?
- Оператор (владелец или администратор сайта) направляет в Роскомнадзор уведомление о планируемой трансграничной передаче персональных данных.
- Роскомнадзор рассматривает документ в течение 10 рабочих дней.
- Если в уведомлении есть ошибки или чего-то недостает, ведомство приостанавливает рассмотрение и запрашивает уточнения. Недостающие данные нужно предоставить в течение 5 дней, а общее время рассмотрения может быть продлено максимум на 10 рабочих дней.
- Кроме того, Роскомнадзор вправе запросить информацию, предусмотренную частью 5 статьи 12 закона 152-ФЗ. Эти данные также нужно предоставить в течение 10 рабочих дней или запросить продление.
По итогам рассмотрения Роскомнадзор может:
- запретить или ограничить передачу данных за рубеж;
- не вынести никакого решения. Этот вариант считается «молчаливым согласием».
Таким образом, если по истечении всех сроков запрета не последовало, GA и другие инструменты могут быть использованы — трансграничная передача считается согласованной. Однако и здесь есть важный нюанс.
Что изменится с 1 июля 2025 года
С 1 июля 2025 года вступят в силу важные поправки к закону 152-ФЗ «О персональных данных». Согласно новым требованиям, при сборе персональных данных граждан РФ запрещается использовать базы данных, расположенные за пределами России, для операций: записи, систематизации, накопления, хранения, обновления, изменения и извлечения информации.
Ключевой момент: речь идет именно о первичном сборе данных. Если информация сразу направляется на иностранный сервер, минуя территорию России, это считается нарушением. И использование таких инструментов, как Google Analytics или Google Tag Manager, будет запрещено.
Ранее закон требовал локализации, то есть хранения копий данных в России, но не исключал их дальнейшую обработку за границей. Поправки касаются именно процесса начального сбора данных. Дальнейшая трансграничная передача допустима при соблюдении всех вышеуказанных условий: уведомления Роскомнадзора и размещения актуальных документов на сайте.
С 1 июля 2025 года нельзя собирать персональные данные напрямую в иностранные базы. То есть компании, работающие с пользователями из РФ, должны фиксировать данные на этапе сбора только в базах, которые находятся на территории России.
Почему Google Analytics будет запрещен? Причина кроется в архитектуре сервиса: GA обрабатывает данные на серверах, расположенных за границей — в частности, в США. Это означает, что с 1 июля 2025 года его использование будет прямо противоречить обновленному законодательству, поскольку первичное хранение данных не происходит в России. Как упоминалось ранее, все данные от пользователей из России должны сначала фиксироваться на серверах, расположенных в РФ.
Что делать, если Google Analytics уже установлен
Если вы получили уведомление от Роскомнадзора, необходимо следовать его указаниям — например, удалить счетчик с сайта. Если использование Google Analytics необходимо, счетчик можно временно удалить, подать уведомление о трансграничной передаче данных согласно инструкции, а затем, при отсутствии запрета, установить заново. Но только до 1 июля 2025 года. После этой даты работать с GA станет запрещено в любом случае.
На этом требования не заканчиваются. Если вы планируете пользоваться GA до июля, необходимо внести изменения в документы на сайте, касающиеся обработки персональных данных. Информация о том, что сбор данных осуществляется с помощью Google Analytics, Яндекс Метрики и других инструментов (все используемые сервисы должны быть перечислены), должна быть указана:
- в политике конфиденциальности;
- в согласии на использование cookie;
- в формах согласия на обработку персональных данных, где пользователь вводит свои данные.
Что грозит за продолжение работы с GA без соблюдения требований
Если продолжить использовать Google Analytics, не выполняя условия по трансграничной передаче данных, уже с мая 2025 года можно столкнуться с штрафами за нарушение правил обращения с персональными данными.
С 30 мая 2025 года вступят в силу поправки в КоАП РФ (Федеральный закон от 31.11.2024 № 420-ФЗ), которые вводят ответственность за любое неправомерное предоставление персональных данных. Под утечкой теперь понимается не только взлом или кража, но и любое несанкционированное предоставление доступа: передача, публикация, открытие третьим лицам.
Размер штрафов будет зависеть от характера нарушения и категории нарушителя:
- для физических лиц — от 100 до 400 тыс. рублей;
- должностных лиц — от 200 до 600 тыс. рублей;
- юридических лиц и индивидуальных предпринимателей — от 3 до 15 млн рублей.
Также с 30 мая 2025 года усиливаются санкции за несвоевременное уведомление Роскомнадзора о начале обработки персональных данных. Уведомлять обязаны все, кто работает с персональными данными — от компаний до самозанятых. За нарушение предусмотрены штрафы:
- для физических лиц — от 5 до 10 тыс. рублей;
- должностных лиц — от 30 до 50 тыс. рублей;
- организаций и индивидуальных предпринимателей — от 100 до 300 тыс. рублей.
Заключение
Уже сейчас очевидно: игнорирование новых требований по локализации персональных данных может привести к серьезным последствиям для бизнеса. Чтобы снизить риски, стоит провести внутреннюю проверку — убедиться, что сбор и хранение персональных данных происходят на территории России. Проверьте, где размещен ваш хостинг, что прописано в договорах с подрядчиками, соответствуют ли действующему законодательству документы по обработке персональных данных — политика, формы согласия и другие.
Также важно ознакомиться со всеми нормативными актами, упомянутыми в этой статье, и разобраться в порядке уведомления Роскомнадзора. Приведите процессы в соответствие с требованиями закона — это поможет избежать значительных штрафов.
