С 1 июля 2025 года вступают в силу изменения в закон 152-ФЗ «О персональных данных», которые значительно ужесточают требования к обработке информации о гражданах РФ.
Теперь при сборе персональных данных запрещается использовать БД, размещенные за пределами России, для следующих операций: запись, систематизация, накопление, хранение, обновление, изменение, извлечение сведений.
Главное отличие от прежней редакции закона — акцент на первичном сборе данных. Если информация с сайта сразу уходит на иностранные серверы, это будет считаться нарушением. Именно по этой причине популярные сервисы Google Analytics и Google Tag Manager попадут под запрет: их архитектура предполагает немедленную передачу данных за рубеж, в том числе в США.
Ранее закон обязывал компании хранить копии персональных данных в России, но разрешал их последующую обработку за границей. Но в соответствии с последними изменениями ФЗ локализация требуется с самого начала: ПДн должны сначала поступать в базы, размещенные в РФ, и только потом могут передаваться за рубеж. Однако это возможно лишь при соблюдении дополнительных условий, в том числе уведомления Роскомнадзора и публикации необходимых документов на сайте.
Таким образом, с 1 июля 2025 года компаниям, которые работают с российскими пользователями, придется обеспечить первичную запись персональных данных исключительно на серверах внутри страны. Несоблюдение этих требований будет расцениваться как прямое нарушение законодательства в области ПДн.
Если вы получили уведомление от Роскомнадзора — необходимо соблюсти его требования. В большинстве случаев это означает удаление счетчика Google Analytics с сайта.
Если же использования GA критично для вашего бизнеса, можно прибегнуть к временному варианту:
Удалить счетчик со страниц сайта.
Подать уведомление о трансграничной передаче данных через личный кабинет на портале Госуслуг. Образец заполнения есть на сайте РКН.
После рассмотрения уведомления и при отсутствии запрета допускается временно вернуть счетчик.
Обратите внимание: после 1 июля 2025 года использование Google Analytics будет полностью запрещено для сбора персональных данных граждан РФ — независимо от уведомлений и согласий.
Даже при временном использовании GA владельцам сайтов необходимо сделать следующее:
Обновить политику конфиденциальности.
Внести указание о сборе данных через Google Analytics, «Яндекс Метрику» и другие используемые инструменты.
Добавить упоминание сервисов в согласии на обработку персональных данных и в тексте cookie-согласия.
Обновить формы, в которых пользователи оставляют свои данные: разместить информацию о порядке обработки ПДн и аналитических сервисах.
Эти шаги помогут снизить юридические риски до вступления поправок в силу.
С 30 мая 2025 года вступили в силу поправки в Федеральный закон от 31.11.2024 № 420-ФЗ, которые ужесточают ответственность за любую неправомерную передачу персональных данных. Причем под утечкой теперь понимается не только кража или взлом, но и любое несанкционированное предоставление доступа к сведениям, в том числе публикация или раскрытие третьим лицам.
Те, кто продолжит использовать Google Analytics без выполнения требований о локализации персональных данных, рискует получить штраф за незаконную трансграничную передачу ПДн:
физические лица: 100–400 тыс. рублей;
должностные лица: 200–600 тыс. рублей;
юридические лица, ИП: 3–15 млн рублей.
Также с 30 мая 2025 года усилилась ответственность за несвоевременное уведомление РКН о начале обработки персональных данных:
физические лица: 5–10 тыс. рублей;
должностные лица: 30–50 тыс. рублей;
юридические лица, ИП: 100–300 тыс. рублей.
Использование Google Analytics без выполнения всех требований закона превращается в реальный юридический риск. Чтобы избежать штрафов и претензий со стороны Роскомнадзора, важно заблаговременно перейти на альтернативные аналитические решения с локальным размещением данных.
С 2025 года предприниматели и владельцы сайтов должны строже соблюдать требования к оформлению согласий и работе с персональными данными. Роскомнадзор усиливает контроль за документооборотом и процессами сбора, хранения и передачи ПДн.
Теперь это документ обязательно должен содержать:
цели сбора данных;
сроки хранения и условия удаления;
контактный e-mail для отзыва согласия;
отдельные поля согласия на каждую операцию (на СМС-рассылку, передачу данных партнерам и т. п.);
ИНН и ОГРН оператора персональных данных.
Если вы, например, рассылаете СМС, но не работаете с e-mail — не имеете права собирать адреса электронной почты.
Это отдельный документ, в котором пользователь прямо выражает свое согласие на отправку и обработку ПД. Он должен быть оформлен до того, как данные попадут в CRM, мессенджеры или другие системы.
Теперь нельзя подменять согласие действиями пользователя — например, «Если вы продолжаете использовать сайт, вы автоматически соглашаетесь…». С 2025 года человек должен вручную заполнить чекбокс с формулировкой вида «Я даю согласие на обработку моих персональных данных».
Настройка элемента для сайтов на «1С-Битрикс» осуществляется в административной панели в разделе Настройки → Настройки продукта → Соглашения.
На сайте должна быть отдельная информация о сборе и использовании cookie-файлов — это часть политики прозрачности и информирования пользователя.
Отправка рекламных сообщений теперь возможна только при наличии отдельного согласия пользователя — нельзя включать его автоматически в общее согласие.
Даже если персональные данные собираются для хранения в CRM-системах или мессенджерах, вы обязаны:
Уведомлять пользователей о правилах обработки ПДн.
Оформлять политику конфиденциальности и форму согласия в соответствии с законом.
Учитывать требования к трансграничной передаче данных, если сервис хранит информацию за пределами РФ.
Подпишитесь на нас в Telegram
Получайте свежие статьи об интернет-маркетинге и актуальные новости о наших готовых решениях
Игнорирование новых требований законодательства о локализации персональных данных может привести к серьезным санкциям. Чтобы минимизировать юридические и финансовые риски, компаниям уже сейчас следует:
Провести внутреннюю проверку процессов обработки ПДн.
Убедиться, что сбор, хранение и первичная обработка данных происходят исключительно на территории России.
Проверить, где размещен хостинг сайта, какие условия указаны в договорах с подрядчиками, и актуальны ли внутренние документы (политика обработки данных, формы согласий, соглашения о передаче ПДн).
Если выяснится, что данные попадают на зарубежные серверы, необходимо оперативно перестроить инфраструктуру, чтобы избежать штрафов. Какие варианты решения возможны:
Самый надежный и безопасный путь — перенести все хранилища ПДн на российские серверы. Да, это потребует инвестиций и модернизации IT-систем, но обеспечит полное соответствие закону и защиту сведений о гражданах РФ.
Подходит тем, кто хочет поэтапно перейти к полному соответствию. Базы отделяются от иностранных сервисов, после чего ключевые операции (запись, систематизация, хранение) происходят в РФ. Однако часть рисков при таком подходе сохраняется.
Некоторые иностранные платформы (например, системы для онлайн-коммуникаций) могут использоваться, если не участвуют в первичном сборе данных. Но и здесь необходима юридическая экспертиза: в каждом конкретном случае нужно убедиться, что сервис не нарушает закон.
Даже если вы не работаете с Google Analytics, важно оценить весь перечень используемых онлайн-инструментов. Это касается чат-ботов, почтовых сервисов, CRM, форм обратной связи и аналитики. Проверяйте, где они хранят данные, и приводите в соответствие каждый элемент, который может затрагивать ПДн граждан.
