Отказываться ли от Google-Forms, Google-Analytics и Google Tag Manager в связи с новыми правилами обработки персональных данных (вступили в силу 1 июля 2025 года)?

Спойлер: прямого запрета нет, но есть нюансы

1 июля 2025 года вступил в силу новый закон , который запретил первичное хранение персональных данных (ПДн) россиян за рубежом.

То есть, если мы храним ПДн наших клиентов или работников, то они обязательно должны быть размещены на российских серверах.

Важно заметить, что в законе перечислены не все способы обработки ПД. Так, не указаны следующие действия:
- использование,
- передача (распространения, предоставления, доступа),
- обезличивание,
- блокирование,
- удаление
- уничтожение.

По сути, требования не изменились. Что в старой редакции, что в новой есть запрет на первичное хранение ПДн в иностранных базах. Раньше просто была обязанность хранить эти данные на российских базах данных. Теперь же ТОЛЬКО на российских базах данных.

Как мы знаем, в законе также отражено такое действие, как трансграничная передача ПДн. Важное слово (действие) – передача.

В таком случае возникает вопрос. Если в новом законе не отражено такое действие, как передача, то получается, что трансграничная передача ПДн разрешена?

Если в результате передачи ПДн не происходит запись, систематизация, накопление, хранение ПДн на зарубежных базах данных, то это правомерные действия при наличии следующих условий:

- наличие корректной политики в области обработки ПДн;

- наличие корректного согласия пользователя на трансграничную передачу ПДн;

- наличие уведомления РКН о трансграничной передаче ПДн.

Если у вас есть сложности с реализацией всех этих пунктов – можете обращаться к нам. Наши специалисты «собаку съели» в этом вопросе.

По сути, новые правила – это ужесточение и уточнение действующих норм. Главное изменение в том, что требование распространяется не только на операторов (тех, кто собирает перс данные), но и на всех, кто обеспечивает дальнейшую обработку этих данных (субподрядчики операторов).

● Иностранные CRM-системы с серверами за рубежом;
● Облачные хранилища (например, Google Drive)
● Онлайн-сервисы (такие как Google Forms);
● Иностранные почтовые сервисы или мессенджеры, которые используются для сбора ПДн (WhatsApp, Telegram и тп).

Поэтому, если вы используете перечисленные сервисы для общения с клиентами, то мы рекомендуем не запрашивать через них ФИО своих клиентов, так как сведения о телефоне + эл. почте не являются ПДн (решение Арбитражного суда города Москвы по делу № А40-139096/2022).

В сентябре 2022 года РКН по Приволжскому федеральному округу проведены мероприятия государственного контроля за обработкой ПДн, где выявлены нарушения и упомянут Google:

23 января 2024 года Управление РКН подвело итоги контрольной деятельности в сфере ПДн за 2023 год, одно из выявленных нарушений также было связано с использованием Google:

“использование captcha (Google) под формами обратной связи, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта;

В Google ПДн передаются трансгранично. А как нам известно, трансграничная передача законом разрешена, но только после уведомления Роскомнадзора и указания на это в Политике обработки ПДн и согласии на обработку ПДн.

Совсем недавно медиаюрист и автор канала «МедиаПраво» Михаил Хохолков получил ответ от РКН, в котором указано, что использование на сайте российской организации счетчика Google Analytics возможно при соблюдении двух условий:

● получено согласие субъекта на трансграничную передачу;
● оператор подал уведомление о намерении осуществлять трансграничную передачу и не получил запрета.

Что же касается Google Tag Manager, то он сам по себе не собирает и не хранит данные, но он может технически отправлять системные данные на серверы Google, что может быть квалифицировано РКН как трансграничная передача данных.

Поэтому мы рекомендуем при подготовке документов на сайт заранее проверить наличие указанного ПО и при необходимости скорректировать документы в соответствии с нормами закона. С этим мы кстати тоже помогаем.

Только за апрель-май 2025 года мы подготовили документы для более чем 30 организаций и 60 индивидуальных предпринимателей. Если вам требуется помощь в этом вопросе, можете написать нам.

В законе прямого запрета нет, но:
1. с января 2025 года компаниям стали поступать вот такие требования от РКН об удалении с сайтов сервисов Google, смотрят даже код сайта:

2. Требование о локализации ПДн на территории РФ не может быть выполнено в полном объеме, поскольку технические процессы обработки предусматривают автоматическую передачу данных за пределы России, что создает риски блокировки и крупных штрафов.

Google Analytics, Google Tag Manager и все другие сервисы Google с сайтов стоит удалить, либо ждать предписаний от РКН. Нарушения в этой сфере далеко не всегда влекут мгновенные санкции. На практике Роскомнадзор часто действует достаточно гибко — у оператора обычно есть 10 дней на исправление недочетов или подачу обоснованных возражений.

А как дальше быть с иностранными мессенджерами, ведь большинство пользуется WhatsApp и Telegram, которые зарегистрированы за рубежом. Многие предприниматели используют боты и общаются с клиентами в переписке, собирая их персональные данные.

Подписывайтесь, чтобы не пропустить.