Трансграничная передача персональных данных: новые правила и ужесточение ответственности в 2025 году
С 1 марта 2023 года в России действует обновленная редакция статьи 12 Федерального закона № 152-ФЗ «О персональных данных», которая регулирует правила трансграничной передачи персональной информации граждан. В этом году тема снова оказалась в центре внимания: с 30 мая 2025 года в статью 13.11 КоАП РФ официально вносятся изменения, значительно ужесточающие ответственность за нарушения в области обработки персональных данных (ПДн).
Теперь суммы административных штрафов увеличены не только в абсолютном выражении, но и введены «оборотные» штрафы — они рассчитываются в процентах от выручки нарушителя за предшествующий календарный год. Это нововведение делает соблюдение законодательства о персональных данных критически важным для бизнеса любого масштаба — от малых компаний до крупнейших онлайн-площадок.
Почему проблема трансграничной передачи персональных данных стала особенно острой
Тема нарушений при обработке персональной информации охватывает широкий спектр вопросов — от неправильной формулировки политики конфиденциальности до несоблюдения требований при передаче данных за пределы России.
Одна из наименее очевидных зон риска — это работа официальных сайтов компаний. Сегодня практически каждый сайт имеет страницу с Политикой конфиденциальности или Пользовательским соглашением, где пользователи подтверждают своё согласие на обработку данных — например, оставляя отметку в специальной форме или продолжая пользоваться сайтом.
Но часто владельцы ресурсов упускают из виду важный момент: фактическая трансграничная передача персональных данных может происходить автоматически — без явного информирования пользователя. Особенно это характерно при использовании сервисов веб-аналитики, таких как Google Analytics.
Когда пользователь заходит на сайт, его действия фиксируются, а данные (IP-адрес, устройство, поведение на страницах) отправляются на иностранные серверы. Это и считается трансграничной передачей ПДн, требующей отдельного уведомления Роскомнадзора.
Что изменилось в 2025 году: требования и первые сигналы
В январе 2025 года стало известно, что Роскомнадзор начал активно отправлять письма владельцам сайтов, использующим Google Analytics, с требованием проинформировать о факте трансграничной передачи персональных данных. Первые запросы получили крупные интернет-магазины, СМИ и популярные онлайн-платформы.
Важно: Роскомнадзор не запрещает использование Google Analytics, но требует соблюдения установленной процедуры:
До начала использования сервиса оператор обязан подать уведомление о планируемой трансграничной передаче персональных данных через сайт Роскомнадзора.
Запрещено передавать данные до получения ответа от ведомства.
Рассмотрение уведомления занимает в среднем до 10 рабочих дней, после чего возможно либо согласование, либо отказ.
Кроме того, компании обязаны:
Явно информировать пользователей сайта об использовании Google Analytics и Яндекс Метрики.
Внести соответствующие изменения в Политику обработки персональных данных.
Разместить на сайте форму получения согласия посетителей на обработку ПДн при использовании этих сервисов.
«Девять новых ФСБУ» ― экспертный курс Клерка, помогающий разобраться со всеми требованиями, которые надо применять в 2026 году.
Обучение очень удобное: понятные видео лекции, тесты, примеры в 1С, онлайн-встречи с преподавателями,
ответы на все ваши вопросы в закрытом чате. Сейчас на курс выгодная
стоимость 25400 8900 руб.
Пошаговый алгоритм для владельцев сайтов
Если вы используете Google Analytics или другие иностранные сервисы, вам следует:
Удалить код Google Analytics с сайта до подачи уведомления в Роскомнадзор.
Заполнить уведомление о трансграничной передаче ПДн на официальном портале Роскомнадзора.
Дождаться решения регулятора (в течение 10 рабочих дней).
При положительном ответе — повторно интегрировать аналитический код на сайт с обязательным соблюдением всех требований к защите персональных данных.
Обновить Политику конфиденциальности и Пользовательское соглашение на сайте, указав информацию об использовании сторонних сервисов веб-аналитики.
Обеспечить получение явного согласия пользователей на обработку их данных.
Альтернативы Google Analytics: стоит ли переходить на локальные решения?
В условиях роста контроля за трансграничной передачей данных многие российские компании рассматривают переход на локальные системы аналитики — такие как Яндекс Метрика, Piwik PRO, Matomo (в режиме self-hosted) и другие.
Использование сервисов, работающих на российских серверах или размещённых на собственных мощностях, позволяет сократить регуляторные риски, избежать дополнительных процедур согласования и повысить уровень защиты пользовательской информации.
Тем не менее, переход на локальные решения требует:
Дополнительных затрат на настройку и техническую поддержку.
Проверки функциональности систем — некоторые из них могут уступать Google Analytics по возможностям сегментации данных и глубине анализа.
Ужесточение законодательства в сфере персональных данных в России делает вопрос соблюдения всех требований не только юридической необходимостью, но и важным элементом репутационной защиты бизнеса. Компании, которые игнорируют новые правила, рискуют столкнуться не только с серьёзными штрафами, но и с потерей доверия со стороны клиентов.
Своевременный аудит работы сайта, корректное уведомление Роскомнадзора о трансграничной передаче ПДн и прозрачная коммуникация с пользователями помогут минимизировать риски и сохранить устойчивость бизнеса в новых условиях.
Считаете ли вы, что в условиях ужесточения законодательства стоит полностью отказаться от использования зарубежных сервисов веб-аналитики в пользу локальных решений?
Информации об авторе
Этот пост написан блогером Трибуны. Вы тоже можете начать писать: сделать это можно .
Описанные проблемы называются "бардак" - отсутствие графика документооборота, отсутствие четких должностных обязанностей у сотрудников, отсутствие системы согласования платежей, отсутствие ответственности за предоставление и подписание документов, от