Привет, герой бизнеса!
Ещё феврале 2025 года Роскомнадзор начал рассылку писем владельцам сайтов, использующим Google Analytics (GA), с требованием либо уведомить ведомство о трансграничной передаче данных, либо прекратить использование сервиса.
В ответ на многочисленные запросы от клиентов и партнёров мы провели углублённый анализ ситуации, так как вопросы по поводу использования Google Analytics, трансграничной передачи данных и рисков штрафов продолжают поступать. Особенно на фоне вступающих в силу поправок к закону №152-ФЗ — они делают тему персональных данных ещё более чувствительной и требуют от бизнеса повышенного внимания.
Разбираемся подробнее, что делать компаниям в текущей ситуации. Нужно ли срочно удалять GA? Грозят ли штрафы? Какие есть альтернативы, соответствующие требованиям законодательства РФ?
Ещё феврале 2025 года Роскомнадзор начал рассылку писем владельцам сайтов, использующим Google Analytics (GA), с требованием либо уведомить ведомство о трансграничной передаче данных, либо прекратить использование сервиса.
В ответ на многочисленные запросы от клиентов и партнёров мы провели углублённый анализ ситуации, так как вопросы по поводу использования Google Analytics, трансграничной передачи данных и рисков штрафов продолжают поступать. Особенно на фоне вступающих в силу поправок к закону №152-ФЗ — они делают тему персональных данных ещё более чувствительной и требуют от бизнеса повышенного внимания.
Разбираемся подробнее, что делать компаниям в текущей ситуации. Нужно ли срочно удалять GA? Грозят ли штрафы? Какие есть альтернативы, соответствующие требованиям законодательства РФ?
Почему Google Analytics — потенциальное нарушение 152-ФЗ
Согласно ч. 3 ст. 12 ФЗ-152 «О персональных данных», использование сервисов веб-аналитики, передающих данные за рубеж, считается трансграничной передачей персональных данных. Google Analytics передает данные напрямую на серверы в США.
Это:
Важно: с 1 марта 2023 года действуют обновленные требования — уведомление должно быть подано до начала передачи данных.
Это:
- нарушает требования к локализации персональных данных;
- может осуществляться только после уведомления Роскомнадзора и получения "молчаливого согласия (если в течение 10 рабочих дней ведомство не выдало запрет).
Важно: с 1 марта 2023 года действуют обновленные требования — уведомление должно быть подано до начала передачи данных.
Почему GA — "маячок" для Роскомнадзора
Google Analytics является одним из наиболее распространённых аналитических инструментов, чьи скрипты и политики легко обнаружить при техническом анализе сайта. Это делает GA удобной "мишенью" для выборочных проверок РКН.
Особенно под пристальным вниманием:
Особенно под пристальным вниманием:
- сайты СМИ, маркетплейсы и интернет-магазины,
- онлайн-сервисы с регистрацией и обработкой email/телефона,
- государственные и квазигосударственные учреждения,
- образовательные и медицинские платформы.
Что делать, если у компании есть второй офис в другой стране?
Если у компании есть представительство за пределами РФ это никак не отменяет требования локализации персональных данных граждан РФ.
Если данные собираются на сайте и передаются за границу, необходимо:
Если данные собираются на сайте и передаются за границу, необходимо:
- уведомить Роскомнадзор,
- отразить это в политике обработки персональных данных, размещённой на сайте,
- получить согласие пользователей.
Обязательство уведомления
Согласно части 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", оператор персональных данных до начала обработки обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
Исключения из обязательства
Часть 2 статьи 22 того же закона перечисляет случаи, когда уведомление не требуется.
К ним относятся:
Если ваша деятельность не подпадает под эти исключения, уведомление Роскомнадзора обязательно.
Порядок уведомления
Уведомление можно подать:
Исключения из обязательства
Часть 2 статьи 22 того же закона перечисляет случаи, когда уведомление не требуется.
К ним относятся:
- Обработка персональных данных осуществляется исключительно без использования средств автоматизации.
- Обработка осуществляется в целях обеспечения безопасности государства и общественного порядка.
- Обработка осуществляется в соответствии с законодательством РФ о транспортной безопасности.
Если ваша деятельность не подпадает под эти исключения, уведомление Роскомнадзора обязательно.
Порядок уведомления
Уведомление можно подать:
- В бумажном виде в территориальный орган Роскомнадзора
- В электронном виде с использованием усиленной квалифицированной электронной подписи
- Через систему аутентификации ЕСИА
Что делать прямо сейчас?
Если GA уже установлен:
Как отключить Google Analytics корректно:
- Удалите код GA со всех страниц сайта.
- Подготовьте и отправьте уведомление в Роскомнадзор.
- Убедитесь, что ваша политика обработки ПДн содержит упоминание трансграничной передачи данных.
- Реализуйте отдельную форму согласия для пользователей на передачу данных в GA (если решите оставить сервис после уведомления).
Как отключить Google Analytics корректно:
- Удалите весь код GA (включая gtag.js и analytics.js) из HTML, GTM, CMS.
- Очистите Cookie-файлы, связанные с GA (например, _ga, _gid, _gat).
- Перепроверьте настройки Google Tag Manager — многие оставляют код там.
Альтернативы Google Analytics, соответствующие ФЗ-152
1. Яндекс.Метрика
2. Roistat
3. K50, Alytics, Segmento
4. Самостоятельно хостируемые решения (on-premise или self-hosted) — рекомендуемый путь для соблюдения ФЗ-152:
- Российская разработка, соответствует требованиям локализации.
- Минус: возможны ограничения по аналитике событий, интерфейс менее удобен по сравнению с GA.
2. Roistat
- Сервис сквозной аналитики, заявляет соответствие ФЗ-152.
- Хранит данные в России.
- Возможность отключения передачи в GA.
3. K50, Alytics, Segmento
- Подходят для рекламной и маркетинговой аналитики.
- Не всегда дают глубокий анализ поведенческих сценариев, как GA.
4. Самостоятельно хостируемые решения (on-premise или self-hosted) — рекомендуемый путь для соблюдения ФЗ-152:
- Matomo (бывший Piwik) — популярная open-source альтернатива GA, можно развернуть на российских серверах.
- OWA (Open Web Analytics) — простая альтернатива, пригодная для базовой аналитики.
- GoAccess, Plausible (с поддержкой self-hosted).
Какие компании в зоне риска?
Наиболее подвержены проверкам и требованиям Роскомнадзора:
Все эти сервисы — потенциальные каналы трансграничной передачи данных.
- Интернет-магазины и маркетплейсы, особенно крупные
- Медицинские и образовательные порталы, обрабатывающие чувствительные ПДн
- Финансовые компании, включая МФО и страховые платформы
- B2B-сервисы с регистрацией (CRM, SaaS, техподдержка)
- Сайты, использующие Google Forms, reCaptcha, YouTube-видео, Firebase
Все эти сервисы — потенциальные каналы трансграничной передачи данных.
Что будет, если проигнорировать
Штрафы за нарушение законодательства о персональных данных:
- от 60 000 до 100 000 рублей за первое нарушение (ст. 13.11 КоАП);
- от 100 000 до 300 000 рублей за повторное нарушение;
- предписание прекратить трансграничную передачу данных;
- блокировка ресурса (в теории, в особо тяжёлых случаях).
Чек-лист по защите персональных данных (с учётом требований ФЗ-152 и позиции Роскомнадзора)
✅ Удалили код Google Analytics?
Проверьте, что на всех страницах сайта больше не используется код GA, включая старые версии (например, Universal Analytics и GA4). Даже неактивный, но присутствующий код может считаться нарушением.
✅ Политика обработки персональных данных обновлена и размещена на сайте?
Документ должен содержать сведения о целях обработки, составе передаваемых данных, правовых основаниях, а также отражать актуальные изменения в законодательстве, включая трансграничную передачу.
Разместите ссылку на политику на всех страницах сайта, желательно в подвале (footer).
✅ Отправили уведомление в Роскомнадзор?
Если продолжаете использовать иностранные сервисы (например, для аналитики или маркетинга), требуется официально уведомить Роскомнадзор о трансграничной передаче данных, указав страну, оператора и юридические основания. Отсутствие уведомления — риск штрафа.
✅ Есть форма отдельного согласия на передачу данных за рубеж?
Такое согласие должно быть отдельным и добровольным, с возможностью отказа. Пользователь должен понимать, что его данные передаются за пределы РФ, и кому именно. Пример — отдельный чекбокс перед отправкой формы или настройкой cookies.
✅ Выбрана альтернатива Google Analytics с хостингом в РФ или self-hosted?
Рассмотрите российские или self-hosted решения, которые не передают данные за границу: Яндекс.Метрика (с ограничениями), Open Web Analytics, Matomo (на собственном сервере) и др.
Важно убедиться, что данные хранятся и обрабатываются в соответствии с требованиями закона.
Проверьте, что на всех страницах сайта больше не используется код GA, включая старые версии (например, Universal Analytics и GA4). Даже неактивный, но присутствующий код может считаться нарушением.
✅ Политика обработки персональных данных обновлена и размещена на сайте?
Документ должен содержать сведения о целях обработки, составе передаваемых данных, правовых основаниях, а также отражать актуальные изменения в законодательстве, включая трансграничную передачу.
Разместите ссылку на политику на всех страницах сайта, желательно в подвале (footer).
✅ Отправили уведомление в Роскомнадзор?
Если продолжаете использовать иностранные сервисы (например, для аналитики или маркетинга), требуется официально уведомить Роскомнадзор о трансграничной передаче данных, указав страну, оператора и юридические основания. Отсутствие уведомления — риск штрафа.
✅ Есть форма отдельного согласия на передачу данных за рубеж?
Такое согласие должно быть отдельным и добровольным, с возможностью отказа. Пользователь должен понимать, что его данные передаются за пределы РФ, и кому именно. Пример — отдельный чекбокс перед отправкой формы или настройкой cookies.
✅ Выбрана альтернатива Google Analytics с хостингом в РФ или self-hosted?
Рассмотрите российские или self-hosted решения, которые не передают данные за границу: Яндекс.Метрика (с ограничениями), Open Web Analytics, Matomo (на собственном сервере) и др.
Важно убедиться, что данные хранятся и обрабатываются в соответствии с требованиями закона.
Заключение
Использовать Google Analytics в России можно, если строго соблюдать процедуру уведомления и сбора согласий. Однако риски юридических последствий высоки, особенно в условиях текущего регулирования. Более того, GA не отвечает требованиям локализации персональных данных.
Рекомендуемый путь — полный отказ от GA и переход на российские или самостоятельно хостируемые альтернативы. Это снижает юридические риски, ускоряет проверку РКН и укрепляет доверие пользователей.
Следите за обновлениями законодательства, корректируйте внутреннюю документацию и обучайте сотрудников работе с персональными данными — это инвестиция в цифровую безопасность вашего бизнеса.
Рекомендуемый путь — полный отказ от GA и переход на российские или самостоятельно хостируемые альтернативы. Это снижает юридические риски, ускоряет проверку РКН и укрепляет доверие пользователей.
Следите за обновлениями законодательства, корректируйте внутреннюю документацию и обучайте сотрудников работе с персональными данными — это инвестиция в цифровую безопасность вашего бизнеса.
Успехов в делах!
Другие полезные материалы на тему
Поможем привести ваш сайт в соответствие с ФЗ-152
Напишите нам — проконсультируем, проведём аудит и всё настроим правильно. Быстро, понятно, по закону.