Дело в том, что запретят не сам сервис, а запись и хранение персональных данных граждан РФ при их сборе.
В чем вообще дело и при чем здесь трансграничная передача данных?
Google Analytics (GA) — это сервис для анализа, который помогает определить эффективность рекламы в сервисах Google. Для этого он собирает данные пользователей, например, куки. Все это он записывает на серверы Google, которые находятся за рубежом.
Согласно Федеральному закону №152-ФЗ «О персональных данных», информация, которую собирает сервис, относится к персональным (ПД). А бизнес, который использует GA, становится оператором персональных данных (ОПДн). Когда компания подключает сервис к своему сайту, то передает ПД пользователей через границу — то есть осуществляет их трансграничную передачу.
С 1 марта 2023 Роскомнадзор обязал всех операторов, которые ведут трансграничную передачу данных, в том числе пользуются Google Analytics, отправлять об этом уведомление в РКН. А с 1 июля 2025 года вступят в силу поправки в закон о персональных данных. Они запрещают первоначальный сбор, передачу, запись и хранение данных на иностранном сервере.
Что это значит для пользователей Google Analytics?
GA работает именно так: он собирает данные и сразу передает на серверы Google, которые расположены по всему миру. В основном — в США. Поэтому с 1 июля пользоваться сервисом, будет нельзя — надзорный орган сочтет это нарушением.
Что делать сейчас?
Вот простой алгоритм:
- Пользоваться Google Analytics можно до 1 июля 2025 года. Для этого нужно подать в Роскомнадзор уведомление о намерении совершать трансграничную передачу персональных данных. Форма и порядок передачи есть здесь. В уведомлении, например, нужно указать, куда и зачем будут передавать данные. В случае с Google Analytics цель — анализ поведения посетителей сайта, а страна — США.
- Роскомнадзор рассмотрит уведомление в течение 10 дней. И примет решение, может ли бизнес заниматься трансграничной передачей персональных данных. Ведомство проверит заявку: значение имеют и цели передачи, и страна. Если РКН посчитает, что все в порядке и данные пользователей в безопасности, оно вынесет разрешение. А если решит, что данные россиян недостаточно защищены, — потребует ограничить передачу ПД или остановить ее.
После 1 июля 2025 года сервис придется удалить с сайта, а то бизнес могут оштрафовать.
Если нужно следить за эффективностью рекламой в Google, стоит поискать альтернативу — отечественный аналитический сервис. Например, переехать в Яндекс.Метрику. Будьте готовы, что если сайт большой и данных много, Яндекс может занижать точность данных, мотивируя перейти на платную версию Метрики.
Кроме того, на настройку нового сервиса понадобится время, поэтому лучше планировать ее заранее. Например, если используете GA в связке с другой аналитикой (к примеру, PowerBI), придется все интеграции настраивать заново.
Что еще важно?
Строго говоря, нововведение касается не только Google Analytics. И здесь нужно немного разобраться в законе. Нововведения не запрещают трансграничную передачу данных в целом. Но нужно соблюдать условия:
- Отправить уведомление в РКН и получить разрешение.
- Первоначально собирать ПД в базу на территории России и только потом — передавать за границу.
Получается, если данные в момент сбора сразу записываются на какой-то сервер за границей — летом станет незаконно. Например, если компания хранит клиентскую базу на зарубежном сервере, не дублируя ее в России, она нарушает закон.
Игнорировать требования нельзя. Вот что можно сделать, чтобы снизить риск санкций:
- Провести аудит бизнеса, чтобы выявить, что еще может попасть под санкции. Например, работу хостинга или CRM-системы, других аналитических сервисов, особенно иностранных.
- Возможно, передача данных в РКН увеличит риск проверки со стороны ведомства. Поэтому стоит убедиться, что все в порядке: компания внесена в реестр операторов персональных данных, у нее все хорошо с документами, например, на сайте есть политика конфиденциальности и обработки персональных данных, чекбокс с согласием пользователя на обработку. Документов и требований к ОПДн много, лучше проконсультироваться с юристом.
Ответственность за нарушения несет бизнес. Часто компания работает с подрядчиком, который настраивает контекстную рекламу или продвигает сайт в интернете, поэтому не следит, какие сервисы сотрудник использует в работе. Стоит это проверить: если РКН выявит нарушения, придется платить штраф.
Какие санкции за нарушения?
Если не уведомить Роскомнадзор о трансграничной передаче данных, РКН может применить санкции по ч.1 ст.13.11 КоАП РФ:
- наложить на ИП административный штраф в размере от 2 000 до 6 000 рублей;
- на должностных лиц — от 10 000 до 20 000 рублей;
- на компании — от 60 000 до 100 000 рублей.
Если игнорировать требования закона и продолжать передавать ПД за границу, не фиксируя их в базах данных на территории России, могут применить санкции по ч.8 ст.13.11 КоАП РФ:
- наложить административный штраф на ИП в размере от 30 000 до 50 000 рублей;
- на должностных лиц — от 100 000 до 200 000 рублей;
- на юридических лиц — от 1 до 6 млн рублей.
Подытожим
Что касается Google Analytics, то им можно пользоваться до 1 июля 2025 года. Но нужно подать в РКН уведомление о трансграничной передаче данных.
Но изменения в законе немного глубже, и они касаются передачи вообще любых ПД за границу. Сейчас передавать данные за границу все еще можно. Но с несколькими условиями.
- Нужно уведомить РКН и получить на это разрешение.
- Вся информация должна сначала передаваться на российский сервер. И только потом — за границу.
По этой логике пользоваться сервисами, которые одновременно собирают данные и записывают их на серверы, находящиеся за рубежом, незаконно. Чтобы избежать штрафов, стоит провести аудит своего онлайн-бизнеса вместе с юристом.
Подписывайтесь на наш Телеграм-канал: здесь публикуем больше новостей из мира интернет-маркетинга.