Запрет на передачу персональных данных за пределы РФ: запрещён ли Google Analytics и что с ним делать?

В последние месяцы по сети активно распространяются слухи: якобы Роскомнадзор запретил использование Google Analytics (GA) и массово требует удалить этот сервис с сайтов. Действительно, некоторые компании уже получили предписания убрать код GA со своих веб-ресурсов. Так ли это на самом деле и можно ли теперь пользоваться Google Analytics? Давайте разберёмся: есть ли официальный запрет, что делать тем, кто привык работать с GA, и чего ожидать бизнесу в ближайшем будущем.

Короткий ответ: напрямую Google Analytics не внесён в какие-либо “чёрные списки” и не блокируется технически, однако его использование теперь фактически несовместимо с российским законодательством о персональных данных. Проще говоря, да – с 1 июля 2025 года применять Google Analytics на российских сайтах незаконно.

Почему? Сервис GA собирает и обрабатывает данные пользователей (IP-адрес, информацию о браузере, устройстве, cookie и т.п.) на серверах за пределами России – в США. То есть происходит трансграничная передача персональных данных. Ещё в 2022 году Роскомнадзор выпустил разъяснение, что рассматривает Google Analytics как инструмент трансграничной передачи данных. Соответственно, до недавнего времени пользоваться GA формально было можно лишь при соблюдении требований Федерального закона № 152-ФЗ «О персональных данных»: необходимо предупредить пользователя и получить его согласие, а также подать уведомление в Роскомнадзор о намерении передавать данные за рубеж. Без этих процедур применение иностранного сервиса считалось нарушением.

Однако с 1 июля 2025 года вступили в силу поправки к закону № 152-ФЗ, существенно ужесточающие правила. Теперь при сборе персональных данных граждан РФ запрещено использовать базы данных за пределами территории России для их первичного хранения. Проще говоря, все сведения о пользователях должны сначала поступать на сервер, физически находящийся в РФ, и только потом (при наличии согласия человека и разрешения Роскомнадзора) могут отправляться за границу. Этот новый принцип «сначала локально – потом за рубеж» делает невозможным легальное использование Google Analytics и аналогичных сервисов. В примерах к поправкам прямо указано: счётчики Google Analytics, Google Tag Manager и другие скрипты, отправляющие данные сразу за границу, запрещены с 1 июля 2025.

Раньше, подав уведомление, компания-оператор могла получить от регулятора молчаливое согласие и какое-то время пользоваться Google Analytics. Теперь этот путь закрыт: требование локализации первичного сбора данных исключает саму возможность применять инструменты, сразу отправляющие информацию за рубеж. Под запрет фактически попадают и другие иностранные инструменты веб-аналитики – Google Tag Manager, формы Google, reCAPTCHA, пиксели зарубежных соцсетей и т.д. Их использование для сбора данных россиян теперь также противоречит закону.

Если вы всё ещё используете GA на своём сайте, пришло время срочно принимать меры. Ещё в начале 2025 года Роскомнадзор начал рассылать массовые уведомления с требованием удалить счётчики Google Analytics. Если вы получили такое письмо, действуйте согласно предписанию и уберите код GA со всех страниц сайта.

Теоретически до 1 июля 2025 года можно было попытаться легализовать GA через уведомление Роскомнадзора и временное отключение счётчика. Но после вступления поправок этот вариант теряет смысл – никакое разрешение не позволит обойти запрет на первичный сбор данных за рубежом. Проще говоря, GA придётся удалить окончательно.

Потеря GA – ощутимая, ведь этот инструмент был стандартом веб-аналитики. К счастью, существуют альтернативы, локализованные в РФ. Самый очевидный вариант – Яндекс.Метрика. Этот бесплатный сервис хранит данные на российских серверах и по функционалу во многом не уступает GA (подробная статистика, тепловые карты кликов, вебвизор и др.). Яндекс.Метрика работает в рамках закона, так как первично собирает данные внутри страны.

Доступны и другие варианты. Например, отечественные системы сквозной аналитики (Roistat, CoMagic и т.п.), где сбор и хранение данных происходит в РФ. Либо установка open-source системы веб-аналитики на своём сервере (например, Matomo) в российском дата-центре. Главное, чтобы выбранный инструмент удовлетворял ключевому требованию: все данные пользователей из РФ в момент сбора остаются на территории России.

Допустим, компания проигнорирует новые требования и оставит Google Analytics на сайте «как есть». Каковы риски? Во-первых, с мая 2025 года существенно выросли штрафы: любая несанкционированная передача данных за рубеж теперь приравнивается к утечке и грозит миллионными санкциями. Для организаций штрафы могут составить от 1 до 6 млн ₽ (до 18 млн ₽ при повторном нарушении), а ответственные должностные лица рискуют личными штрафами в сотни тысяч рублей. Плюс возможны отдельные наказания за работу с персональными данными без уведомления регулятора и за неисполнение его предписаний.

Во-вторых, велики репутационные риски. Конфиденциальность данных – важная тема, и нарушение закона о ПД подрывает доверие клиентов и партнёров. Проверок со стороны регулятора ждать недолго: Роскомнадзор активно мониторит сайты и реагирует на жалобы пользователей. Если нарушение выявится, помимо штрафов возможно предписание приостановить работу с данными – а это парализует онлайн-бизнес.

Рано или поздно нарушение вскроется, и последствия будут болезненными. Законодатели ясно дали понять: данные российских пользователей должны храниться в России, и компании обязаны это обеспечить. Поэтому настоятельно советуем провести аудит: где хранятся и обрабатываются данные ваших клиентов? Какие сторонние сервисы подключены к сайту? Все ли документы (политика, соглашения) обновлены по закону? Лучше выявить и устранить проблемные места сейчас, чем потом оправдываться перед надзорными органами.

Маркетологам потеря GA, конечно, неприятна. Но сейчас приоритет – юридическая безопасность, а не привычный сервис.

Российские решения (например, Яндекс.Метрика) в целом способны заменить GA, так что временные неудобства преодолимы. Возможно, придётся отказаться от лишних метрик и пересмотреть подход к данным, сосредоточившись на действительно важных показателях и на укреплении доверия пользователей.

Если вовремя выполнить все требования (уведомить Роскомнадзор при необходимости, обновить документы, перейти на безопасные инструменты), компания избежит штрафов и сохранит репутацию.

Проще говоря, лучше перестраховаться сейчас, чем потом устранять последствия нарушения.