С 2025 года в России вступают в силу важные изменения в законе о персональных данных. Данная новость касается трансграничной передачи данных, в частности использования таких инструментов, как Google Analytics. В этой статье мы разберем, какие меры необходимо предпринять владельцам сайтов и digital-бизнесам, чтобы избежать штрафов и соответствовать новым требованиям законодательства.
Что такое персональные данные
Персональные данные (ПД) – это любая информация, относящаяся к конкретному физическому лицу, которая позволяет его идентифицировать. Закон охватывает как традиционные сведения (ФИО, контакты, паспортные данные), так и:
- Биометрические сведения (фото, отпечатки пальцев);
- Данные геолокации;
- Историю действий пользователей в интернете.
Нововведения 2025: трансграничная передача персональных данных
В феврале 2025 года Госдума приняла поправки в Закон о персональных данных, которые вступят в силу уже 1 июля 2025 года.
Что изменилось?
Теперь прямо запрещено собирать, хранить и обрабатывать персональные данные граждан РФ в базах данных, расположенных за пределами РФ, без согласия пользователя и других специфических случаев, отраженных в пунктах 3, 4 и 8 части 1 статьи 6 152-ФЗ (например при судопроизводстве, для исполнения договора, при угрозе жизни или здоровья).
Как это работает на практике?
Роскомнадзор ведет перечень стран, где уровень защиты персональных данных признан «адекватным». Если страна входит в «перечень стран с адекватной защитой»*, то процедура проще. В частности, можно передавать ПД сразу, до окончания рассмотрения уведомления. Но если страна не в этом перечне (например, США), то необходимо дождаться 10 рабочих дней после подачи уведомления и убедиться, что нет запрета или ограничений передачи данных (пункт 11 ст. 12 ФЗ 152). Если будет выдан запрет — организация обязана обеспечить уничтожение ранее переданных ПД у зарубежного партнера (пункт 14 ст. 12 ФЗ 152).
*С 01.03.2023 года действует Приказ Роскомнадзора от 05.08.2022 №128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных", в которых указан список «безопасных для ПД стран».
Как быть с Google Analytics и другими иностранными сервисами?
Ранее на одном из вебинаров Роскомнадзор официально разъяснил, что использование Google Analytics и других зарубежных сервисов веб-аналитики считается трансграничной передачей данных, так как сведения о пользователях могут обрабатываться на серверах за пределами России.
В начале 2025 года ведомство уже начало рассылать предупреждения владельцам сайтов с требованием выполнить новые юридические нормы. В этих письмах регулятор указывает, что функционал GA позволяет идентифицировать уникального посетителя и собирает сведения о его поведении, а значит данные пользователей передаются в адрес Google LLC (США). Важно: это значит, что РКН не запрещает использование Google Analytics, но требует строго соблюдать закон.
Подписывайтесь на наш Телеграм-канал — там мы публикуем актуальные новости, кейсы и подборки из мира поискового маркетинга.
Как избежать проблем: рекомендация Zum Punkt
Проверить, используете ли вы иностранные сервисы, которые хранят или обрабатывают ПД пользователей? Передаются ли данные в страну, не входящую в «белый список»? Если да, то:
- Получить согласие пользователей на трансграничную передачу и хранение персональных данных.
- Уведомить уполномоченный орган (Роскомнадзор) о намерении осуществлять такую передачу.
- Обновить «Политику обработки персональных данных 2025», добавив информацию обо всех установленных на сайте счетчиках.
- Актуализировать формы получения согласий на обработку персональных данных, учитывая новые требования.
Рекомендуем подать соответствующее заявление заранее, до начала вступления поправок в силу 01.07.2025 г. Так как универсального образца нет, перечень собираемых данных может отличаться у разных сайтов. В нестандартной ситуации лучше проконсультироваться с юристом по защите персональных данных.
Другие изменения в законе о персональных данных в 2025 году
С 1 января действует специальная форма согласия на обработку ПД
Теперь операторы обязаны использовать единую утвержденную форму согласия, содержащую подробную информацию о целях и условиях обработки персональных данных.
С 1 марта вводятся дополнительные меры безопасности
Компании обязаны применять меры информационной защиты, включая шифрование данных и защиту от утечек.
С 1 сентября вводится обязанность по передаче обезличенных сведений в ГИС
Государственные информационные системы (ГИС) будут получать обезличенные данные для мониторинга и аналитики.
С 30 мая ожидается ужесточение штрафов за утечку персональных данных
За нарушения увеличиваются штрафы – для юридических лиц суммы могут достигать 300 000 рублей, а за повторные нарушения еще выше.
Хранение и уничтожение персональных данных
Данные должны храниться на серверах в России. Компании обязаны обеспечивать их удаление после достижения целей обработки. Использование зарубежных сервисов без уведомления Роскомнадзора может привести к санкциям.
Заключение
В 2025 году компании, использующие инструменты веб-аналитики и цифрового маркетинга, должны особенно внимательно подойти к вопросам трансграничной передачи данных. Владельцам сайтов необходимо либо легализовать сбор данных через уведомление в Роскомнадзор, либо перейти на российские альтернативы. Соблюдение новых требований поможет избежать штрафов и обеспечить защиту персональных данных клиентов.
Команда Zum Punkt регулярно мониторит инфополе, чтобы наши клиенты узнавали о нововведениях в мире digital первыми. Если вы ищите внимательного и инициативного партнера для работы над своими бизнес-задачами — мы всегда готовы помочь. Обратитесь к нам, просто написав на start@zumpunkt.ru.