Роскомнадзор будет наказывать владельцев сайтов за Google Analytics и Google Forms

С 2023 года в России действует требование уведомлять Роскомнадзор о трансграничной передаче персональных данных, согласно требованиям 152-ФЗ. Однако с 2025 года правила стали еще строже. Ограничения касаются не только крупных интернет-магазинов и маркетплейсов, но и владельцев любых сайтов, собирающих пользовательские данные. ...308863.0491349054

Под удар санкций и штрафов могут попасть даже небольшие блоги, если они используют Google Analytics или Google Forms. Разберем, какие изменения в законе могут затронуть владельцев сайтов, за что грозят штрафы и как избежать проблем с Роскомнадзором. 

• Изменения, касающиеся персональных данных 
• Риски для владельцев сайтов — веб-мастеров и арбитражников 
• Как избежать штрафов 
• Какие инструменты использовать для сбора маркетинговых данных об аудитории и что можно собирать 

Изменения, касающиеся персональных данных

С 30.05.2025 начнет работать новый 420-ФЗ. Он ужесточает требования к обработке персональных данных в России. Цель нововведения — защита личной информации пользователей и контроль хранения таких сведений на зарубежных серверах. 

Google и другие иностранные сервисы, зарегистрированные за рубежом, собирают и обрабатывают информацию, которая может идентифицировать человека. Поскольку эти личные сведения хранятся за пределами РФ, они вне юрисдикции российских регуляторов. Роскомнадзор стремится исключить такие случаи и обеспечить, чтобы данные российских граждан хранились внутри страны, а их передача в другие страны контролировалась и была согласована.

В начале 2025 года некоторые онлайн-магазины, СМИ и онлайн-платформы в России получили от РКН требование сообщить об использовании сервисов по сбору личных данных или удалить их с сайта. Хотя массовых проверок всех владельцев сайтов пока нет, это может измениться в любой момент. В зоне риска:

1. Владельцы коммерческих сайтов и интернет-магазинов.
2. Владельцы блогов и небольших ресурсов, использующие Google Analytics.
3. Арбитражники, продвигающие партнерские офферы на своих сайтах.

Любой инструмент, собирающий данные о поведении пользователей, приравнивается к сбору персональных данных. Это влечет обязательства для владельцев сайтов и санкции за нарушение нормативных актов.

К таковым личным данным относятся не только ФИО, контакты и платежная информация, но и:

• данные о поведении пользователей на сайте — клики, посещенные страницы, время пребывания; 
• информация о предпочтениях; 
• технические данные — IP-адрес, устройство, браузер; 
• любые другие сведения, позволяющие идентифицировать человека.

Веб-мастера, использующие Google Analytics, Google Forms, Sheets, reCaptcha, Tag Manager, пиксели соцсетей и другие аналогичные сервисы, обязаны уведомить Роскомнадзор о трансграничной передаче. В противном случае предусмотрены штрафы за:

• несанкционированный сбор данных;
• незаконную передачу за рубеж;
• распространение личных сведений граждан сторонним лицам.

Если владелец веб-ресурса планирует использовать сервисы для сбора данных, он обязан поставить в известность РКН. Только после получения разрешения их использование становится законным.

На любом веб-ресурсе или блоге, использующем Google Analytics, Яндекс Метрику или другие системы сбора пользовательских данных, должно быть отображено всплывающее уведомление о сборе cookies. Пользователь должен иметь возможность принять или отклонить обработку своих данных.

Уведомление о сборе кукис

Риски для владельцев сайтов — веб-мастеров и арбитражников

Санкции зависят от масштаба нарушения и статуса владельца сайта. За использование Google Analytics и других инструментов сбора данных без уведомления РКН грозят штрафы от 100 000 до 15 000 000 ₽ в зависимости от статуса. 

За отсутствие уведомления пользователей о том, что их данные собираются, штрафы от 30 000 до 6 000 000 ₽, в зависимости от статуса: физлицо/самозанятый, ИП или компания. Если нарушение будет выявлено повторно, штрафы увеличиваются до 18 000 000 рублей.

За уведомление РКН не вовремя предусмотрены штрафы от 5 000 до 300 000 ₽, в зависимости от правового статуса нарушителя. 

Как избежать штрафов

Требование уведомлять Роскомнадзор и запрашивать разрешение на использование Google Analytics появилось недавно. Однако многие сайты устанавливали счетчики Google в то время, когда это не было запрещено. В таких случаях веб-мастера могут столкнуться с санкциями за несвоевременное уведомление, даже если они действовали в рамках закона до 2025 года. Как избежать этой ситуации: 

1. Удалить код иностранных аналитических сервисов с сайта, чтобы избежать наказания за несвоевременное уведомление.
2. Отправить заявку через официальный портал Роскомнадзора. За 10 рабочих дней ведомство примет решение: разрешить или запретить использование. Если ответа нет, по умолчанию считается, что использование разрешено, но юристы советуют уточнять решение дополнительно.
3. Если решение будет положительным, можно повторно установить соответствующие сервисы на свой веб-ресурс.
4. Проинформировать посетителей о сборе данных. На веб-страницах, где они собираются, должна быть форма согласия на обработку. Без согласия использование сервисов сбора данных является нарушением.
5. Опубликовать политику конфиденциальности и политику сбора и обработки персональных данных на своем личном или корпоративном сайте. В документе следует указать, какие данные собираются, как обрабатываются, какие сервисы используются.

Если Роскомнадзор уже зафиксировал трансграничную передачу и прислал уведомление или предписание, необходимо:

• Удалить счетчики сервисов.
• Направить уведомление в Роскомнадзор о том, что информация о людях больше не собирается. 

Форму уведомления необходимо заполнить на сайте РКН

Закон касается и Яндекс Метрики. О ее наличии тоже важно уведомлять пользователей. Этот аспект регулируется частью 1 статьи 9 ФЗ-152 и п.18 Условий использования Яндекс Метрики. Точно так же, как и при использовании сервисов Гугла, на веб-ресурсе нужно разместить форму согласия на обработку или уведомление о том, что собираются куки. 

Если веб-мастеру поступает требование об устранении нарушений, его необходимо выполнить в течение 10 рабочих дней. Если этого не сделать, ведомство инициирует составление протокола и наложит штраф. Если нарушение устранено в срок, а РКН уведомлен и получил доказательства исправлений, можно избежать санкций.

Какие инструменты использовать для сбора маркетинговых данных об аудитории и что можно собирать

Роскомнадзор не запрещает использование Google Analytics и Яндекс Метрики, но устанавливает требования: уведомлять посетителей сайта и уведомлять РКН. Если необходимо собирать маркетинговые данные, подойдут российские сервисы, соответствующие требованиям законодательства. Пример: Яндекс Формы — альтернатива Google Форм для опросов.

Если планируется использовать Яндекс Формы, обязательно нужно уведомлять об этом посетителей сайта

Для соответствия законодательству юрлицу или организации необходимо:

1. Назначить ответственного сотрудника, который будет заниматься обработкой данных.
2. Подписать приказ о его назначении.
3. Разработать должностную инструкцию для этого ответственного лица.
4. Ограничить доступ к данным исключительно для ответственного лица.
5. Разработать положение о работе с персональными данными, положение о неразглашении, форму согласия на обработку.
6. Хранить персональную информацию только на российских серверах. Серверы должны соответствовать стандартам кибербезопасности. Важно использовать Data Loss Prevention для предотвращения утечек.
7. Уведомить Роскомнадзор. Важно отслеживать ответ органа и оперативно реагировать на предписания.

Если владелец сайта — физлицо или самозанятый либо ИП без сотрудников, он должен обязательно настроить форму уведомления о сборе куки, кнопку согласия для пользователей, разместить в футере или на видном месте на главной странице сайта политику о сборе и обработке данных, политику конфиденциальности. 

Правила обработки данных могут изменяться. Для снижения рисков нужно следить за обновлениями законодательства, читать официальные новости Роскомнадзора, при необходимости консультироваться с юристами. 

Заключение

Владельцам сайтов и арбитражникам необходимо быть внимательными к требованиям Роскомнадзора. Использование Google Analytics и других сервисов сбора данных теперь требует строгого соблюдения норм — от уведомления пользователей до подачи заявлений в РКН. Желательно подавать уведомления уже сейчас, не дожидаться мая, поскольку с мая закон вступит в силу, и могут уже применяться более строгие проверки и санкции. Несоблюдение этих правил может привести к крупным штрафам, даже если сервисы были установлены задолго до введения новых требований.

Чтобы избежать санкций, важно отслеживать изменения, корректно оформлять документы и при необходимости переходить на альтернативные решения — российские аналоги. Арбитраж трафика должен быть легальным, а работа с данными — прозрачной.