В недавнее время в сети возникли сведения о запрете на внедрение Гугл Analytics (GA) — про то, что Роскомнадзор просит убрать счетчик с веб-сайтов. Некоторые компании вправду получили надлежащие распоряжения. Специалисты click.ru объясняют, имеется ли официальный запрет, можно ли продолжать воспользоваться обслуживанием и что необходимо учесть.
Запрещен ли Гугл Analytics
Прямого запрета на GA пока нет — как и на Гугл Tag Manager, Гугл Формы, Таблицы, reCaptcha и пиксели зарубежных социальных сетей. Однако положение дел разноплановая. Из писем Федеральной службы по надзору в сфере связи (в одном из них можно удостовериться лично) получается, что работа счетчика Гугл Analytics квалифицируется как международная передача личных сведений.
А означает, при использовании GA и остальных заграничных инструментов необходимо:
- уведомить пользователя о сборе и обработке его личных сведений при помощи этих сервисов;
- получить согласие на подобную обработку;
- подать в Федеральную службу по надзору в сфере связи извещение о желании передавать личные сведения зарубеж.
Все требования регулирует Общегосударственный закон от 27.07.2006 № 152-ФЗ «О личных сведений» (дальше — «Закон 152-ФЗ»).
Пример письма от Федеральной службы по надзору в сфере связи
Как подать извещение
Это необходимо сделать до установки инструмента на веб-сайт по официальной аннотации. Подача быть может осуществлена:
- в электронном виде через портал Государственных услуг (ЕИСА);
- средством извещения в картонном виде.
Как случается согласование международной передачи данных?
- Оператор (собственник либо админ веб-сайта) направляет в Федеральную службу по надзору в сфере связи извещение о планируемой международной передаче личных сведений.
- Роскомнадзор изучает документ в течение 10 рабочих дней.
- Если в извещении есть ошибки либо чего-то не хватает, учреждение приостанавливает рассмотрение и запрашивает дополнения. Недостающие сведения необходимо предоставить в течение 5 дней, а общее время изучения продлевается максимум на 10 рабочих дней.
- Добавочно Роскомнадзор вправе запросить сведения, которые были предусмотрены частью 5 статьи 12 закона 152-ФЗ. Их также необходимо предоставить в течение 10 рабочих дней или запросить продление.
По итогам изучения Роскомнадзор может:
- запретить либо ограничить передачу сведений за предел;
- не вынести никакого решения. Вариант считается «неразговорчивым согласием».
В итоге, если по истечении всех сроков запрета нет, GA и иные инструменты можно применять — международная передача считается утвержденной. Но и тут есть принципиальный аспект.
Что поменяется с 1 июля 2025 года
С 1 июля 2025 года начинают действовать принципиальные корректировки к закону 152-ФЗ «О личных сведений». В соответствии с новым требованиям, при сборе личных сведений россиян запрещено применять информационные базы, которые находятся за границами Рф, для последующих операций: записи, классификации, скопления, хранения, обновления, изменения и извлечения инфы.
Главная деталь: идет речь конкретно о первичном сборе данных. Если информация сходу уходит на зарубежный сервер, минуя территорию Рф, — это нарушение. И применять подобные инструменты, как Гугл Analytics либо Гугл Tag Manager, запрещено.
До этого закон добивался локализации, другими словами хранения копий данных в России, но допускал их последующую обработку за рубежом. Корректировки затрагивают конкретно процесс исходного сбора данных. Предстоящая международная передача приемлима при соблюдении всех обозначенных выше критерий: извещения Федеральной службы по надзору в сфере связи, расположения животрепещущих документов на интернет-ресурсе.
С 1 июля 2025 г. нельзя собирать личные сведения впрямую в заграничные базы. Другими словами компании, работающ?? с пользователями из России, должны фиксировать данные на шаге сбора только в базах, которые расположены на территории Российской Федерации.
Почему Гугл Analytics будет запрещен? Причина в архитектуре сервиса: GA обрабатывает данные сходу на серверах, которые находится за границей — в частности, в США. Это значит, что с 1 июля 2025 года его внедрение будет впрямую противоречить освеженному законодательству, так как первоначальное хранение данных не случается в Российской Федерации. Как обозначено выше, все сведения от российских пользователей должны поначалу фиксироваться на серверах, которые были размещены в России.
Что делать, если Гугл Analytics уже установлен
Если вы получили извещение от Федеральной службы по надзору в сфере связи, необходимо действовать согласно его распоряжениям — к примеру, удалить счетчик с веб-сайта. Если внедрение Гугл Analytics нужно, счетчик можно временно удалить, подать извещение о международной передаче данных по аннотации, а потом, при отсутствии запрета, установить поновой. Однако только до 1 июля 2025 года. После этой даты работать с GA станет запрещено при любом варианте.
На данном требования не завершаются. Если вы планируете воспользоваться GA до июля, нужно внести корректировки в документы на интернет-ресурсе, которые регулируют обработку личных сведений. Сведения про то, что сбор данных производится при помощи Гугл Analytics, Yandex Метрики и остальных инструментов (все применяемые сервисы должны быть перечислены), обязана быть указана:
- в политике конфиденциальности;
- в согласии на внедрение cookie;
- в формах согласия на обработку ПД, где пользователь вводит свои данные.
Что угрожает за продолжение работы с GA без выполнения условий
Если продолжить применять Гугл Analytics без реализации условий по международной передаче данных, уже с мая 2025 года можно попасть под штрафные санкции за несоблюдение правил обращения с личными сведениями.
С 30 мая 2025 года начинают действовать корректировки в КоАП Россия (Общегосударственный закон от 31.11.2024 № 420-ФЗ), которые вводят вину за всякую неправомерную передачу ПД. Под утечкой сейчас понимается не только взлом либо хищение, да и хоть какое несогласованное предоставление доступа: передача, публикация, открытие третьим лицам.
Размер штрафов будет зависеть от характера нарушения и категории нарушителя:
- для физических лиц — от 100 до 400 тысяч рублей;
- руководящих лиц — от 200 до 600 тысяч рублей;
- организаций и ИП — от 3 до 15 миллионов рублей.
Кроме того, с 30 мая 2025 года усиливаются санкционные меры за несвоевременное извещение Федеральной службы по надзору в сфере связи о начале обработки личных сведений. Информировать должны все, кто работает с ПД — от компаний до лиц, получающих самостоятельный профессиональный доход. За нарушение установлены штрафные санкции:
- для физических лиц — от 5 до 10 тысяч рублей;
- руководящих лиц — от 30 до 50 тысяч рублей;
- компаний и ИП — от 100 до 300 тысяч рублей.
Заключение
Уже на данный момент ясно: игнорирование новых условий по локализации личных сведений может привести к суровым результатам для коммерции. Чтоб понизить опасности, стоит провести внутреннюю проверку — удостовериться, что сбор и хранение личных сведений происходят снутри Россия. Проверьте, где расположен ваш хостинг, что указано в договорах с подрядными организациями, соответствуют ли действующему законодательству документы по обработке ПД — политика, формы согласия и иные.
Кроме того, принципиально провести изучение все законодательные акты, названные в данной статье, и разобраться в порядке извещения Федеральной службы по надзору в сфере связи. Приведите процессы в соответствие с требованиями закона — это поможет недопустить значимых штрафов.