Штрафы до 18 миллионов рублей за Google Analytics?! Новые правила обработки персональных данных: Google Analytics и Google Forms — под угрозой. Экспертный разбор в статье.
Большая игра с высокими ставками
С 1 июля 2025 года вступает в силу новая редакция 152-ФЗ “О персональных данных”. Правила игры меняются кардинально: запрет на обработку и хранение ПДн (персональных данных) граждан РФ за пределами страны. Это значит, что привычные инструменты для анализа и работы с данными могут оказаться вне закона. Разберемся, что конкретно изменилось и как бизнесу не только выжить, но и выиграть в этой новой реальности.
Что изменилось в законе? Локализация данных – закон превыше всего!
Раньше закон требовал только обеспечивать локализацию баз данных с ПДн россиян. То есть, требовалось хранить копию данных в России, но основную обработку могли вести и за рубежом.
Новая редакция четко гласит: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются. Главное отличие от прежней редакции закона — акцент на первичном сборе данных. Данные должны изначально собираться и обрабатываться исключительно на российских серверах. Несоблюдение – нарушение закона.
Google Forms и Google Analytics в свете новых требований 152-ФЗ
Больше всего вопросов вызывает использование сервисов Google, таких как Google Analytics и Google Forms. Почему они в зоне риска?
Ключевой вопрос: где происходит “сбор” данных?
Новая редакция закона акцентирует внимание на первичном сборе данных. Это критически важно. Если данные сразу после ввода или получения (например, через форму) отправляются за пределы РФ, это будет нарушением.
- Google Analytics: что это такое и как работает?
Google Analytics – это сервис веб-аналитики для сбора данных о посетителях сайта.
Как работает: на сайт устанавливается код Google Analytics, который собирает данные о действиях пользователей (просмотры страниц, переходы, клики и т.д.) и передает их на серверы Google (в основном, в США).
Перспективы использования после 1 июля 2025: Google Analytics напрямую собирает данные на заграничных серверах, что будет противоречить закону с 1 июля 2025 года.
- Google Forms: что это такое и как работает?
Google Forms – это онлайн-сервис для создания форм для сбора данных (опросы, заявки, обратная связь и т.д.).
Как работает: пользователь заполняет форму. Данные отправляются на серверы Google (в основном, в США).
Перспективы использования после 1 июля 2025: потенциально проблематично. Первичный сбор данных происходит на серверах Google за пределами РФ. Это прямо противоречит новым требованиям.
Маловероятно, что обработка данных через Google Forms будет соответствовать новым требованиям, так как обработка происходит за пределами РФ.
Псевдоанонимизация внутри РФ
На просторах интернета можно встретить такую точку зрения: Google Analytics собирает псевдоанонимизированные данные на стороне клиента (в браузере). затем отправляет её пакетом в Google. Если сайт размещен на российском хостинге, то, мол, требование о локализации первичной записи выполнено, так как сбор и “первичная псевдоанонимизация ” произошли в российской юрисдикции.
Разберем сильные стороны гипотезы:
- Технически верно, что код Google Analytics выполняет часть работы на стороне клиента (в браузере пользователя).
- Формально можно утверждать, что сбор псевдоанонимизированной информации не является сбором персональных данных в прямом смысле.
Слабые стороны гипотезы:
- Псевдонимизация не равна анонимизации. Псевдоанонимизированные данные все еще могут быть связаны с конкретным пользователем (например, через cookie).
- 152-ФЗ определяет персональные данные, как любую информацию, относящуюся к прямо или косвенно определенному физическому лицу. Псевдоним — косвенный признак.
- Несмотря на то, что часть работы выполняется на стороне клиента, вся логика работы и алгоритмы псевдоанонимизации контролируются Google.
- В конечном итоге, данные все равно передаются на серверы Google за пределами РФ.
Риски при данной теории:
- Роскомнадзор, с большой вероятностью, не примет такую интерпретацию и будет исходить из того, что Google Analytics целенаправленно собирает информацию о российских пользователях для последующей обработки в своих системах. И тот факт, что перед этим происходит псевдоанонимизация, не меняет сути дела.
- Важно учитывать цель, с которой Google Analytics собирает данные. Даже если первичный сбор псевдоанонимизирован, конечная цель — анализ поведения пользователей и использование этой информации в коммерческих целях (таргетированная реклама и т.д.). Такая обработка подпадает под действие 152-ФЗ.
- Роскомнадзор может обратить внимание на то, кто фактически контролирует процесс обработки данных. Несмотря на псевдоанонимизацию, Google имеет полный контроль над данными и алгоритмами их обработки.
- Даже если признать, что первичный сбор псевдоанонимизирован и происходит в России, то это все равно будет трансграничной передачей персональных данных, а это требует отдельного уведомления РКН и соблюдения других условий.
Придерживаться этой теории или нет – выбор каждого, однако, я как эксперт по персональным данным, не рекомендую полагаться на эту спорную гипотезу. С моей точки зрения, такая интерпретация представляет собой попытку обойти закон и несет в себе огромные риски для бизнеса: использование Google Analytics после 1 июля 2025 года будет прямым нарушением 152-ФЗ.
Как бизнесу жить без сервисов Google?
Чек-лист для безопасной работы с данными
Чтобы бизнес соответствовал требованиям закона и избежал штрафов, нужно действовать. Вот чек-лист для успешной адаптации:
- Аудит: проведите инвентаризацию! Проанализируйте все системы: где вы собираете, храните и обрабатываете персональные данные россиян?
Определите используемые зарубежные сервисы: Google Analytics, Forms, CRM и т.д.
Оцените риски: определите, какие процессы подпадают под новые требования. - Локализация: главный приоритет! Переносите данные в Россию: Рассмотрите российские облачные сервисы (Яндекс.Облако, VK Cloud Solutions, SberCloud).
Убедитесь, что выбранные сервисы обеспечивают хранение и обработку данных на территории РФ. - Замена Google Analytics: переходим на отечественные инструменты. Яндекс.Метрика – ваш надежный партнер в мире веб-аналитики.
CRM со встроенной аналитикой: (Битрикс24, AmoCRM) тоже может быть решением.
Убедитесь в корректности настроек Яндекс.Метрики и локализации данных. - Онлайн-формы: ищем российские аналоги. Замените Google Forms сервисами, которые хранят данные на территории РФ (например, Яндекс.Формы, другие российские конструкторы форм).
- Договоры: приведите в порядок. Изучите договоры с подрядчиками. Убедитесь, что они тоже соблюдают требования локализации.
- Юридическая экспертиза: заручитесь поддержкой профессионалов. Обратитесь к юристу, специализирующемуся на защите персональных данных. Получите экспертную оценку ваших процессов и убедитесь, что они соответствуют требованиям закона.
- Актуализация документов: ваш фундамент комплаенса. Обновите политику конфиденциальности. Укажите в политике и cookie-согласии используемые сервисы. Обновите формы сбора данных.
Что грозит за нарушение закона?
Штрафы и последствия
- Административная ответственность: в соответствии со статьей 13.11 КоАП РФ.
Штрафы: Для операторов (юридических лиц) – до 6 миллионов рублей за первичное нарушение, до 18 млн - за повторное.
- Репутационные риски.
- Судебные иски от недовольных пользователей.
- Важно: Ответственность несут не только операторы, но и лица, обрабатывающие данные по поручению оператора!
Изменения в 152-ФЗ – это вызов, но и возможность. Обеспечив безопасность данных, вы:
- Повысите доверие клиентов.
- Укрепите свою репутацию.
- Сделаете свой бизнес более надежным.
Соблюдение законодательства о персональных данных – это не просто обязанность, а инвестиция в будущее вашего бизнеса.
Какие сервисы вы уже заменили? Какие сложности возникли? Делитесь своим опытом в комментариях! Давайте обсудим и поможем друг другу!