Запрет на передачу персональных данных за пределы РФ: запрещен ли Google Analytics и что с ним делать
В последние месяцы в сети можно встретить информацию о том, что Роскомнадзор запретил использовать Google Analytics (GA). Некоторые компании получили предписания удалить этот сервис с веб-ресурсов. Эксперты click.ru рассказали, есть ли такой запрет, можно ли пользоваться Google Analytics и чего ожидать в будущем.
Что делать тем, у кого уже установлен Google Analytics
Что будет, если продолжать использовать GA
Запрещен ли Google Analytics
GA, как и Google Tag Manager (GTM), Google Формы, Google Таблицы, reCaptcha, пиксели зарубежных соцсетей, пока прямо не запрещены. Однако все не так просто. Основываясь на письмах Роскомнадзора (фрагмент одного из таких писем прикладываем), которые недавно появились в сети, можно сделать однозначный вывод, что счетчик Google Analytics — это трансграничная передача персональных данных. Таким образом, при использовании GА (как и при использовании других инструментов, которые локализованы вне территории РФ) необходимо не просто проинформировать пользователя сайта о сборе его персональных данных с помощью таких инструментов, получить согласие на сбор и последующую обработку, но и подать в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных (далее по тексту также «ПД»). Порядок обработки персональных данных и особенности трансграничной передачи персональных данных регулируются Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее по тексту — «Закон 152-ФЗ»).
Подавать уведомление следует до установки инструмента на сайт по данной официальной инструкции. Подача может быть осуществлена в электронном виде через Госуслуги (ЕИСА) либо посредством отправки уведомления на бумажном носителе.
Пошагово процесс выглядит так:
- Оператор (владелец/управляющий сайтом) направляет уведомление о намерении осуществить трансграничную передачу;
- Роскомнадзор рассматривает его в течение 10 рабочих дней;
- Если уведомление неполное/некорректное, Роскомнадзор запросит уточнение и приостановит рассмотрение уведомления до 10 дней. Недостающие сведения нужно передать в Роскомнадзор в течение 5 дней;
- Роскомнадзор может запросить дополнительные сведения, предусмотренные ч. 5 ст. 12 Закона 152-ФЗ, которые нужно будет представить в течение 10 рабочих дней или попросить о продлении срока;
- Роскомнадзор принимает решение (одно из двух): запретить или ограничить трансграничную передачу;
- ИЛИ не принимает ничего. Это означает «молчаливое согласие».
Таким образом, если после истечения срока рассмотрения уведомления от Роскомнадзора не пришло решение о запрете или ограничении трансграничной передачи, можно спокойно использовать GA (и иные) = осуществлять трансграничную передачу. Но и здесь есть нюанс!
С 1 июля 2025 года в силу вступят значимые изменения в Закон 152-ФЗ . Внесенные поправки запрещают запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, при сборе персональных данных. Это ключевой момент. Речь идет о ситуациях, когда данные сразу отправляются на зарубежные серверы, минуя территорию России. В таком случае использование таких решений, как GA и GTM, станет незаконным.
Ранее Закон 152-ФЗ ограничивался требованием, чтобы операторы обеспечивали локализацию данных в РФ, но не исключал возможности их обработки за рубежом.
Поправки затрагивают исключительно процесс начального сбора данных. То есть дальнейшая трансграничная передача возможна при соблюдении вышеупомянутых в статье условий (соблюдение процедуры уведомления Роскомнадзора, актуализация документов на сайте).
Что касается хранения, с 1 июля 2025 г. запрещено собирать персональные данные непосредственно в зарубежные базы. То есть компаниям, работающим с пользователями из РФ, необходимо осуществлять фиксацию данных на этапе сбора исключительно в базах, размещенных на территории РФ.
Почему именно Google Analytics попадает под запрет? Все просто: сервис обрабатывает пользовательские данные на серверах, расположенных за пределами РФ (США). С учетом новых требований, с 1 июля 2025 года его использование будет нарушением законодательства, потому что первичное хранение данных будет осуществляться за рубежом.
Что делать тем, у кого уже установлен Google Analytics
Если вам пришло письмо от Роскомнадзора нужно следовать его предписаниям. Например, удалить счетчик с сайта. Если же использование Google Analytics вам необходимо, вы можете удалить счетчик и затем подать уведомление, как мы описали выше. Есть вероятность, что сервис потом можно будет установить снова. Однако только до 1 июля, после этого придется удалить в любом случае.
Но это еще не все. Если вы продолжите использовать GA до 1 июля, нужно будет внести необходимые корректировки в документы на сайте, касающиеся обработки персональных данных, а именно:
- упомянуть в политике, что сбор осуществляется с применением Яндекс Метрики и Google Analytics (наряду со всеми сервисами и счетчиками — это все должно быть отражено в политике);
- упомянуть в согласии на сбор cookie-файлов ту же информацию;
- в формах согласий на обработку ПД, где человек вводит любые ПД, разместить то же упоминание.
Что будет, если продолжать использовать GA
Если игнорировать требования Роскомнадзора о трансграничной передаче данных, с мая 2025 года можно будет получить штрафы за утечку персональных данных и несоблюдение правил уведомления.
С 30 мая 2025 года вступают в силу поправки в Кодексе РФ об административных правонарушениях (внесенные Федеральным законом от 31.11.2024 № 420-ФЗ), которые вводят штрафы за неправомерное обращение с ПД. Под утечкой теперь будут понимать любые случаи, когда данные попадают в руки третьих лиц без законного основания, будь то передача, публикация или открытие доступа.
Размер штрафа будет зависеть от масштаба нарушения и статуса нарушителя:
- физические лица — от 100 до 400 тыс. рублей;
- должностные лица — от 200 до 600 тыс. рублей;
- организации и ИП — от 3 до 15 млн рублей.
Кроме того, с 30 мая 2025 года ужесточается ответственность за несоблюдение правил уведомления Роскомнадзора. Уведомлять о начале работы с персональными данными обязаны все: компании, ИП, самозанятые. И если это сделать не вовремя, придется заплатить штраф:
- для физлиц — от 5 до 10 тыс. рублей;
- для должностных лиц — от 30 до 50 тыс. рублей;
- для организаций и ИП — от 100 до 300 тыс. рублей.
Заключение
Сейчас уже очевидно, что несоблюдение новых требований по локализации персональных данных может обернуться весьма большими проблемами для бизнеса. Для минимизации рисков рекомендуем провести внутренний аудит и убедиться, что сбор и хранение персональных данных осуществляется не за пределами РФ. То есть нужно проверить местоположение хостинга сайта, условия договоров с поставщиками и соответствие текущему законодательству документов, регулирующих обработку персональных данных (политика, формы согласий).
Изучите все упомянутые в этой статье нормативные акты, а также порядок/процедуру уведомления Роскомнадзора, и приведите процессы в соответствие с законодательством, чтобы избежать крупных штрафов.
