С 1 марта 2023 года в России действует обновленная редакция статьи 12 Федерального закона № 152-ФЗ «О персональных данных», которая регулирует правила трансграничной передачи персональной информации граждан. В этом году тема снова оказалась в центре внимания: с 30 мая 2025 года в статью 13.11 КоАП РФ официально вносятся изменения, значительно ужесточающие ответственность за нарушения в области обработки персональных данных (ПДн).
Теперь суммы административных штрафов увеличены не только в абсолютном выражении, но и введены «оборотные» штрафы — они рассчитываются в процентах от выручки нарушителя за предшествующий календарный год. Это нововведение делает соблюдение законодательства о персональных данных критически важным для бизнеса любого масштаба — от малых компаний до крупнейших онлайн-площадок.
Почему проблема трансграничной передачи персональных данных стала особенно острой
Тема нарушений при обработке персональной информации охватывает широкий спектр вопросов — от неправильной формулировки политики конфиденциальности до несоблюдения требований при передаче данных за пределы России.
Одна из наименее очевидных зон риска — это работа официальных сайтов компаний. Сегодня практически каждый сайт имеет страницу с Политикой конфиденциальности или Пользовательским соглашением, где пользователи подтверждают своё согласие на обработку данных — например, оставляя отметку в специальной форме или продолжая пользоваться сайтом.
Но часто владельцы ресурсов упускают из виду важный момент: фактическая трансграничная передача персональных данных может происходить автоматически — без явного информирования пользователя. Особенно это характерно при использовании сервисов веб-аналитики, таких как Google Analytics.
Когда пользователь заходит на сайт, его действия фиксируются, а данные (IP-адрес, устройство, поведение на страницах) отправляются на иностранные серверы. Это и считается трансграничной передачей ПДн, требующей отдельного уведомления Роскомнадзора.
Что изменилось в 2025 году: требования и первые сигналы
В январе 2025 года стало известно, что Роскомнадзор начал активно отправлять письма владельцам сайтов, использующим Google Analytics, с требованием проинформировать о факте трансграничной передачи персональных данных. Первые запросы получили крупные интернет-магазины, СМИ и популярные онлайн-платформы.
Важно: Роскомнадзор не запрещает использование Google Analytics, но требует соблюдения установленной процедуры:
До начала использования сервиса оператор обязан подать уведомление о планируемой трансграничной передаче персональных данных через сайт Роскомнадзора.
Запрещено передавать данные до получения ответа от ведомства.
Рассмотрение уведомления занимает в среднем до 10 рабочих дней, после чего возможно либо согласование, либо отказ.
Кроме того, компании обязаны:
Явно информировать пользователей сайта об использовании Google Analytics и Яндекс Метрики.
Внести соответствующие изменения в Политику обработки персональных данных.
Разместить на сайте форму получения согласия посетителей на обработку ПДн при использовании этих сервисов.
Пошаговый алгоритм для владельцев сайтов
Если вы используете Google Analytics или другие иностранные сервисы, вам следует:
Удалить код Google Analytics с сайта до подачи уведомления в Роскомнадзор.
Заполнить уведомление о трансграничной передаче ПДн на официальном портале Роскомнадзора.
Дождаться решения регулятора (в течение 10 рабочих дней).
При положительном ответе — повторно интегрировать аналитический код на сайт с обязательным соблюдением всех требований к защите персональных данных.
Обновить Политику конфиденциальности и Пользовательское соглашение на сайте, указав информацию об использовании сторонних сервисов веб-аналитики.
Обеспечить получение явного согласия пользователей на обработку их данных.
Альтернативы Google Analytics: стоит ли переходить на локальные решения?
В условиях роста контроля за трансграничной передачей данных многие российские компании рассматривают переход на локальные системы аналитики — такие как Яндекс Метрика, Piwik PRO, Matomo (в режиме self-hosted) и другие.
Использование сервисов, работающих на российских серверах или размещённых на собственных мощностях, позволяет сократить регуляторные риски, избежать дополнительных процедур согласования и повысить уровень защиты пользовательской информации.
Тем не менее, переход на локальные решения требует:
Дополнительных затрат на настройку и техническую поддержку.
Проверки функциональности систем — некоторые из них могут уступать Google Analytics по возможностям сегментации данных и глубине анализа.
Ужесточение законодательства в сфере персональных данных в России делает вопрос соблюдения всех требований не только юридической необходимостью, но и важным элементом репутационной защиты бизнеса. Компании, которые игнорируют новые правила, рискуют столкнуться не только с серьёзными штрафами, но и с потерей доверия со стороны клиентов.
Своевременный аудит работы сайта, корректное уведомление Роскомнадзора о трансграничной передаче ПДн и прозрачная коммуникация с пользователями помогут минимизировать риски и сохранить устойчивость бизнеса в новых условиях.
Считаете ли вы, что в условиях ужесточения законодательства стоит полностью отказаться от использования зарубежных сервисов веб-аналитики в пользу локальных решений?
Комментарии
1Спасибо, полезная информация. сохранила в закладки.