Блог

Нужно ли удалять Google Analytics с сайта? Требования Роскомнадзора и безопасные альтернативы

Привет, герой бизнеса!

Ещё феврале 2025 года Роскомнадзор начал рассылку писем владельцам сайтов, использующим Google Analytics (GA), с требованием либо уведомить ведомство о трансграничной передаче данных, либо прекратить использование сервиса.

В ответ на многочисленные запросы от клиентов и партнёров мы провели углублённый анализ ситуации, так как вопросы по поводу использования Google Analytics, трансграничной передачи данных и рисков штрафов продолжают поступать. Особенно на фоне вступающих в силу поправок к закону №152-ФЗ — они делают тему персональных данных ещё более чувствительной и требуют от бизнеса повышенного внимания.

Разбираемся подробнее, что делать компаниям в текущей ситуации. Нужно ли срочно удалять GA? Грозят ли штрафы? Какие есть альтернативы, соответствующие требованиям законодательства РФ?

Почему Google Analytics — потенциальное нарушение 152-ФЗ

Согласно ч. 3 ст. 12 ФЗ-152 «О персональных данных», использование сервисов веб-аналитики, передающих данные за рубеж, считается трансграничной передачей персональных данных. Google Analytics передает данные напрямую на серверы в США.

Это:

  • нарушает требования к локализации персональных данных;
  • может осуществляться только после уведомления Роскомнадзора и получения "молчаливого согласия (если в течение 10 рабочих дней ведомство не выдало запрет).

Важно: с 1 марта 2023 года действуют обновленные требования — уведомление должно быть подано до начала передачи данных.

Почему GA — "маячок" для Роскомнадзора

Google Analytics является одним из наиболее распространённых аналитических инструментов, чьи скрипты и политики легко обнаружить при техническом анализе сайта. Это делает GA удобной "мишенью" для выборочных проверок РКН.

Особенно под пристальным вниманием:

  • сайты СМИ, маркетплейсы и интернет-магазины,
  • онлайн-сервисы с регистрацией и обработкой email/телефона,
  • государственные и квазигосударственные учреждения,
  • образовательные и медицинские платформы.

Что делать, если у компании есть второй офис в другой стране?

Если у компании есть представительство за пределами РФ это никак не отменяет требования локализации персональных данных граждан РФ.

Если данные собираются на сайте и передаются за границу, необходимо:

  • уведомить Роскомнадзор,
  • отразить это в политике обработки персональных данных, размещённой на сайте,
  • получить согласие пользователей.

Обязательство уведомления

Согласно части 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", оператор персональных данных до начала обработки обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключения из обязательства

Часть 2 статьи 22 того же закона перечисляет случаи, когда уведомление не требуется.

К ним относятся:

  • Обработка персональных данных осуществляется исключительно без использования средств автоматизации.

  • Обработка осуществляется в целях обеспечения безопасности государства и общественного порядка.

  • Обработка осуществляется в соответствии с законодательством РФ о транспортной безопасности.

Если ваша деятельность не подпадает под эти исключения, уведомление Роскомнадзора обязательно.

Порядок уведомления

Уведомление можно подать:

  • В бумажном виде в территориальный орган Роскомнадзора
  • В электронном виде с использованием усиленной квалифицированной электронной подписи
  • Через систему аутентификации ЕСИА

Что делать прямо сейчас?

Если GA уже установлен:

  1. Удалите код GA со всех страниц сайта.
  2. Подготовьте и отправьте уведомление в Роскомнадзор.
  3. Убедитесь, что ваша политика обработки ПДн содержит упоминание трансграничной передачи данных.
  4. Реализуйте отдельную форму согласия для пользователей на передачу данных в GA (если решите оставить сервис после уведомления).

Как отключить Google Analytics корректно:

  • Удалите весь код GA (включая gtag.js и analytics.js) из HTML, GTM, CMS.
  • Очистите Cookie-файлы, связанные с GA (например, _ga, _gid, _gat).
  • Перепроверьте настройки Google Tag Manager — многие оставляют код там.

Альтернативы Google Analytics, соответствующие ФЗ-152

1. Яндекс.Метрика

  • Российская разработка, соответствует требованиям локализации.
  • Минус: возможны ограничения по аналитике событий, интерфейс менее удобен по сравнению с GA.

2. Roistat

  • Сервис сквозной аналитики, заявляет соответствие ФЗ-152.
  • Хранит данные в России.
  • Возможность отключения передачи в GA.

3. K50, Alytics, Segmento

  • Подходят для рекламной и маркетинговой аналитики.
  • Не всегда дают глубокий анализ поведенческих сценариев, как GA.

4. Самостоятельно хостируемые решения (on-premise или self-hosted) — рекомендуемый путь для соблюдения ФЗ-152:

  • Matomo (бывший Piwik) — популярная open-source альтернатива GA, можно развернуть на российских серверах.
  • OWA (Open Web Analytics) — простая альтернатива, пригодная для базовой аналитики.
  • GoAccess, Plausible (с поддержкой self-hosted).

Какие компании в зоне риска?

Наиболее подвержены проверкам и требованиям Роскомнадзора:

  • Интернет-магазины и маркетплейсы, особенно крупные
  • Медицинские и образовательные порталы, обрабатывающие чувствительные ПДн
  • Финансовые компании, включая МФО и страховые платформы
  • B2B-сервисы с регистрацией (CRM, SaaS, техподдержка)
  • Сайты, использующие Google Forms, reCaptcha, YouTube-видео, Firebase

Все эти сервисы — потенциальные каналы трансграничной передачи данных.

Что будет, если проигнорировать

Штрафы за нарушение законодательства о персональных данных:

  • от 60 000 до 100 000 рублей за первое нарушение (ст. 13.11 КоАП);
  • от 100 000 до 300 000 рублей за повторное нарушение;
  • предписание прекратить трансграничную передачу данных;
  • блокировка ресурса (в теории, в особо тяжёлых случаях).

Чек-лист по защите персональных данных (с учётом требований ФЗ-152 и позиции Роскомнадзора)

Удалили код Google Analytics?

Проверьте, что на всех страницах сайта больше не используется код GA, включая старые версии (например, Universal Analytics и GA4). Даже неактивный, но присутствующий код может считаться нарушением.

Политика обработки персональных данных обновлена и размещена на сайте?

Документ должен содержать сведения о целях обработки, составе передаваемых данных, правовых основаниях, а также отражать актуальные изменения в законодательстве, включая трансграничную передачу.

Разместите ссылку на политику на всех страницах сайта, желательно в подвале (footer).

Отправили уведомление в Роскомнадзор?

Если продолжаете использовать иностранные сервисы (например, для аналитики или маркетинга), требуется официально уведомить Роскомнадзор о трансграничной передаче данных, указав страну, оператора и юридические основания. Отсутствие уведомления — риск штрафа.

Есть форма отдельного согласия на передачу данных за рубеж?

Такое согласие должно быть отдельным и добровольным, с возможностью отказа. Пользователь должен понимать, что его данные передаются за пределы РФ, и кому именно. Пример — отдельный чекбокс перед отправкой формы или настройкой cookies.

Выбрана альтернатива Google Analytics с хостингом в РФ или self-hosted?

Рассмотрите российские или self-hosted решения, которые не передают данные за границу: Яндекс.Метрика (с ограничениями), Open Web Analytics, Matomo (на собственном сервере) и др.

Важно убедиться, что данные хранятся и обрабатываются в соответствии с требованиями закона.

Заключение

Использовать Google Analytics в России можно, если строго соблюдать процедуру уведомления и сбора согласий. Однако риски юридических последствий высоки, особенно в условиях текущего регулирования. Более того, GA не отвечает требованиям локализации персональных данных.

Рекомендуемый путь — полный отказ от GA и переход на российские или самостоятельно хостируемые альтернативы. Это снижает юридические риски, ускоряет проверку РКН и укрепляет доверие пользователей.

Следите за обновлениями законодательства, корректируйте внутреннюю документацию и обучайте сотрудников работе с персональными данными — это инвестиция в цифровую безопасность вашего бизнеса.
Успехов в делах!

Другие полезные материалы на тему

Поможем привести ваш сайт в соответствие с ФЗ-152

Напишите нам — проконсультируем, проведём аудит и всё настроим правильно. Быстро, понятно, по закону.
2025-05-25 21:11 Статьи