В последние месяцы в сети появились сообщения о запрете на использование Google Analytics (GA) — о том, что Роскомнадзор требует убрать счетчик с сайтов. Некоторые компании действительно получили соответствующие предписания. Эксперты click.ru разъясняют, существует ли официальный запрет, можно ли продолжать пользоваться сервисом и что нужно учитывать.
Запрещен ли Google Analytics
Прямого запрета на GA пока нет — как и на Google Tag Manager, Google Формы, Таблицы, reCaptcha и пиксели иностранных соцсетей. Но ситуация неоднозначная. Из писем Роскомнадзора (в одном из них можно убедиться лично) следует, что работа счетчика Google Analytics квалифицируется как трансграничная передача персональных данных.
А значит, при использовании GA и других зарубежных инструментов нужно:
уведомить пользователя о сборе и обработке его персональных данных с помощью этих сервисов;
получить согласие на такую обработку;
подать в Роскомнадзор уведомление о намерении передавать персональные данные за границу.
Все требования регулирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон 152-ФЗ»).

Как подать уведомление
Это нужно сделать до установки инструмента на сайт по официальной инструкции. Подача может быть осуществлена:
в электронном виде через портал Госуслуг (ЕИСА);
посредством уведомления в бумажном виде.
Как происходит согласование трансграничной передачи данных?
Оператор (владелец или администратор сайта) направляет в Роскомнадзор уведомление о планируемой трансграничной передаче персональных данных.
Роскомнадзор рассматривает документ в течение 10 рабочих дней.
Если в уведомлении есть ошибки или чего-то не хватает, ведомство приостанавливает рассмотрение и запрашивает уточнения. Недостающие сведения нужно предоставить в течение 5 дней, а общее время рассмотрения продлевается максимум на 10 рабочих дней.
Дополнительно Роскомнадзор вправе запросить сведения, предусмотренные частью 5 статьи 12 закона 152-ФЗ. Их также нужно предоставить в течение 10 рабочих дней либо запросить продление.
По результатам рассмотрения Роскомнадзор может:
запретить или ограничить передачу данных за рубеж;
не вынести никакого решения. Вариант считается «молчаливым согласием».
Таким образом, если по истечении всех сроков запрета нет, GA и другие инструменты можно использовать — трансграничная передача считается согласованной. Однако и здесь есть важный нюанс.
Что изменится с 1 июля 2025 года
С 1 июля 2025 года вступают в силу важные поправки к закону 152-ФЗ «О персональных данных». Согласно новым требованиям, при сборе персональных данных граждан РФ запрещено использовать базы данных, расположенные за пределами России, для следующих операций: записи, систематизации, накопления, хранения, обновления, изменения и извлечения информации.
Ключевая деталь: речь идет именно о первичном сборе данных. Если информация сразу уходит на иностранный сервер, минуя территорию России, — это нарушение. И использовать такие инструменты, как Google Analytics или Google Tag Manager, запрещено.
Ранее закон требовал локализации, то есть хранения копий данных в РФ, но не исключал их дальнейшую обработку за границей. Поправки затрагивают именно процесс начального сбора данных. Дальнейшая трансграничная передача допустима при соблюдении всех указанных выше условий: уведомления Роскомнадзора, размещения актуальных документов на сайте.
С 1 июля 2025 г. нельзя собирать персональные данные напрямую в зарубежные базы. То есть компании, которые работают с пользователями из РФ, должны фиксировать данные на этапе сбора только в базах, которые размещены на территории РФ.
Почему Google Analytics будет запрещен? Причина в архитектуре сервиса: GA обрабатывает данные сразу на серверах, находящихся за рубежом — в частности, в США. Это означает, что с 1 июля 2025 года его использование будет напрямую противоречить обновленному законодательству, поскольку первичное хранение данных не происходит в России. Как указано выше, все данные от российских пользователей должны сначала фиксироваться на серверах, размещенных в РФ.
Что делать, если Google Analytics уже установлен
Если вы получили уведомление от Роскомнадзора, нужно действовать по его указаниям — например, удалить счетчик с сайта. Если использование Google Analytics необходимо, счетчик можно временно удалить, подать уведомление о трансграничной передаче данных по инструкции, а затем, при отсутствии запрета, установить заново. Но только до 1 июля 2025 года. После этой даты работать с GA станет запрещено в любом случае.
На этом требования не заканчиваются. Если вы планируете пользоваться GA до июля, необходимо внести правки в документы на сайте, регулирующие обработку персональных данных. Информация о том, что сбор данных осуществляется с помощью Google Analytics, Яндекс Метрики и других инструментов (все используемые сервисы должны быть перечислены), должна быть указана:
в политике конфиденциальности;
в согласии на использование cookie;
в формах согласия на обработку ПД, где пользователь вводит свои данные.
Что грозит за продолжение работы с GA без соблюдения требований
Если продолжить использовать Google Analytics без выполнения требований по трансграничной передаче данных, уже с мая 2025 года можно попасть под штрафы за нарушение правил обращения с персональными данными.
С 30 мая 2025 года вступают в силу поправки в КоАП РФ (Федеральный закон от 31.11.2024 № 420-ФЗ), которые вводят ответственность за любую неправомерную передачу ПД. Под утечкой теперь понимается не только взлом или кража, но и любое несанкционированное предоставление доступа: передача, публикация, открытие третьим лицам.
Размер штрафов будет зависеть от характера нарушения и категории нарушителя:
для физлиц — от 100 до 400 тыс. рублей;
должностных лиц — от 200 до 600 тыс. рублей;
юрлиц и ИП — от 3 до 15 млн рублей.
Также с 30 мая 2025 года усиливаются санкции за несвоевременное уведомление Роскомнадзора о начале обработки персональных данных. Уведомлять обязаны все, кто работает с ПД — от компаний до самозанятых. За нарушение предусмотрены штрафы:
для физлиц — от 5 до 10 тыс. рублей;
должностных лиц — от 30 до 50 тыс. рублей;
организаций и ИП — от 100 до 300 тыс. рублей.
Заключение
Уже сейчас понятно: игнорирование новых требований по локализации персональных данных может привести к серьезным последствиям для бизнеса. Чтобы снизить риски, стоит провести внутреннюю проверку — убедиться, что сбор и хранение персональных данных происходят внутри РФ. Проверьте, где размещен ваш хостинг, что прописано в договорах с подрядчиками, соответствуют ли действующему законодательству документы по обработке ПД — политика, формы согласия и другие.
Также важно изучить все нормативные акты, упомянутые в этой статье, и разобраться в порядке уведомления Роскомнадзора. Приведите процессы в соответствие с требованиями закона — это поможет избежать значительных штрафов.
Комментарии (6)
ainu
04.06.2025 09:38А cloudflare идёт под запрет с 1 июля? Вроде трафик через него идет на сайте для защиты, но там же данные персональные не оседают и не обрабатываются.
Newm
04.06.2025 09:38Просьба к автору указать хоть одно судебное решение, где отдельно от других персональных данных яндекс-метрика либо гугл-аналитикс признавались персональными данными с ответственностью владельца сайта.
Под определение персональных данных по 152-ФЗ они точно не подходят. Точнее не подходит то, что отправляется с помощью владельца сайта. А вот если пользователь зарегистрировался в яндексе или гугле, тогда, полагаю (не гарантирую), что яндекс и гугл могут идентифицировать этого пользователя. Но... Владелец сайта к этому имеет очень отдаленное отношение. Конкретно он персональные данные не обрабатывает. А обрабатывают метрика и аналитикс. И если они это делают незаконно, то это обязанность РКН наехать на яндекс и поставить запрет на гугл. В то время как вебмастера по крайней мере с текущими определениями подтянуть к ответственности при нормальном адвокате, ну очень сложно.
Leksington05
04.06.2025 09:38Объясните пожалуйста по какой логике под запрет попадает GTM, если он не собирает никакую информацию о пользователях и максимум что оттуда можно достать, это конфигурацию скриптов (а также тегов, триггеров и переменных).
Я понимаю когда речь идет про счетчики и туда можно передавать информацию о пользователях, которую можно назвать персональными данными. Но и то, насколько мне известно за это можно получить удаление или блокировку аккаунта.
Но ведь через GTM не получить никакую информацию о пользователях.
nivorbud
Ну если следовать этой логике, то под запретом окажутся и штатное использование гугл-шрифтов, и загрузка js-скриптов прочих ресурсов (включая картинки) через CDN, что массово практикуется, и многое многое другое.
Мое мнение таково: куки, ip и прочее могут являться средством обработки персональных данных, но не являются персональными данными сами по себе. Т.е. первичными должны быть настоящие персональные данные, потом - однозначная связь их с куками/ip, и только в этом случае куки и ip можно рассматривать как обработку обезличенных ПД.
ЗЫ
Кстати, если сессионный номер записывать не в куку, а в браузерное хранилище, то это уже не будет являться обработкой ПД? :) Как же всё нелепо...
Dotarev
Что-то я не могу отследить мелькание пальцев... Сессионный номер в куках сам по себе уже считается персональными данными?
nivorbud
Во всех страшилках, которые сейчас массово рассылаются и публикуются с предложением платных услуг по работе с ПД, акцент делается на куках (самих по себе) как персональных данных. Это уже похоже на какое-то психологическое насилие.
ЗЫ:
ip адреса они также считают персональными данными.