Google Analytics под запретом: как привести сайт к соответствию 152-ФЗ и избежать штрафа до 18 млн рублей
В 2025 году вступили в силу поправки к Федеральному закону № 152-ФЗ "О персональных данных", и в 2026 году штрафы уже применяются. За передачу данных россиян за рубеж штрафуют до 6 млн рублей за первое нарушение и до 18 млн рублей при повторном. Главная проблема: бизнес об этом не знает. Большинство сайтов продолжают использовать Google Analytics, Cloudflare, Google Fonts. При проверке Роскомнадзора такой сайт будет нарушителем. Разберём, что нужно убрать и добавить на сайт.
Закон № 152-ФЗ требует, чтобы персональные данные граждан РФ обрабатывались на серверах в России. Это касается не только баз данных, но и любых сервисов: аналитики, CDN, шрифтов, чатов, CRM. Google Analytics на сайте - это передача IP-адресов в США. Штрафы: по ст. 13.11 КоАП РФ от 30 000 до 60 000 рублей для должностных лиц, от 300 000 до 700 000 для юрлиц за первое нарушение. С 30 мая 2025 года ответственность ужесточена по Федеральному закону № 420-ФЗ.
Что нельзя использовать на сайте (если серверы за рубежом)
Google Analytics. Самый популярный сервис аналитики - все данные уходят на серверы Google в США. Явная передача персональных данных за рубеж.
Google Fonts. Многие сайты подключают шрифты с fonts.google.com. Браузер передаёт IP-адрес в США.
Cloudflare. Популярный CDN и защита от DDoS. Серверы в США, Европе - данные проходят через иностранную юрисдикцию.
Google Tag Manager. Все теги и пиксели через GTM отправляют данные в Google.
Mailchimp. Email-рассылка через Mailchimp - данные контактов уходят на серверы в США.
Intercom, Zendesk, Notion, Trello. Любые сервисы где хранятся данные клиентов или сотрудников с серверами за рубежом.
Что считается персональными данными
Многие думают: "Мы не собираем ничего подозрительного, просто IP-адреса для статистики". Но закон определяет персональные данные широко. Это любая информация о физлице. IP-адрес - персональные данные. Cookies и идентификаторы устройств - персональные данные. История посещений - персональные данные. Email или телефон из формы - персональные данные. Всё это нельзя передавать за рубеж. Иностранные сервисы для обработки - это передача за рубеж.
На что заменить зарубежные сервисы
Вместо Google Analytics - Яндекс Метрика. Все серверы Яндекса в России. Воронки, когорты, retention, heatmap.
Вместо Google Fonts - локальные шрифты. Загрузите шрифты на свой хостинг или используйте Russian Web Fonts.
Вместо Cloudflare - российский хостинг и CDN. Выбирайте хостинг с серверами в РФ.
Вместо Mailchimp - UniSender, Mindbox, Altorado. Российские сервисы email-маркетинга с данными в РФ.
Вместо Intercom/Zendesk - российские чат-решения. Jivo, Carly, U-On с серверами в России.
Что обязательно должно быть на сайте
Политика обработки персональных данных. Отдельная страница с описанием: какие данные собираете, зачем, как храните, с кем делитесь. Ссылка в футере на всех страницах.
Согласие на обработку в каждой форме. Чек-бокс с согласием на обработку персональных данных. Без этого сбор данных незаконен.
Cookie-уведомление. Всплывающее окно при первом посещении с информацией о сборе cookie и кнопкой согласия. Ссылка на Политику.
Уведомление в реестр Роскомнадзора. Подайте уведомление через pd.rkn.gov.ru. Без этого - штраф от 100 000 до 300 000 рублей по ст. 13.11 КоАП РФ.
Как проверить свой сайт сейчас
Первый способ - откройте консоль разработчика (F12) и перейдите на вкладку Network. Загрузите страницу и посмотрите какие домены загружаются. Если видите google-analytics.com, googletagmanager.com, fonts.googleapis.com, cloudflare.com - всё это нужно заменять.
Второй способ - используй онлайн-проверку на сайте Роскомнадзора. Можно проверить зарегистрирован ли ваш оператор в реестре и есть ли нарушения.
Третий способ - аудит специалистов. Мы в Webcetera проводим проверку сайтов на соответствие 152-ФЗ: анализируем скрипты, CDN, сервисы аналитики и рассылок. Готовим отчёт с списком нарушений и рекомендациями.
Штрафы за нарушения
По ст. 13.11 КоАП РФ за нарушение законодательства о персональных данных:
Должностные лица: от 30 000 до 60 000 рублей (с 30 мая 2025 года)
Юридические лица: от 100 000 до 300 000 рублей за отсутствие уведомления в Роскомнадзор
За трансграничную передачу: до 6 млн рублей за первое нарушение, до 18 млн рублей при повторном
При повторном нарушении: до 3% от выручки компании
Роскомнадзор проверяет сайты на соответствие 152-ФЗ. Плановые проверки - обычная практика. За "обычный" сайт с Google Analytics бизнес может потерять десятки миллионов рублей.
FAQ
Нужно ли убирать Google Analytics если я только для рекламы его использую?
Да. Google Analytics получает IP-адреса и данные всех посетителей сайта, включая тех кто не давал согласия. Это трансграничная передача персональных данных. Замените на Яндекс Метрику.
Что если серверы в России но CDN за рубежом?
Это тоже нарушение. Данные проходят через иностранные серверы CDN - значит покидают территорию РФ. Используйте российские CDN или хостите всё на своих серверах.
Обязательна ли Политика персональных данных?
Да. Операторы обязаны публиковать Политику обработки персональных данных на сайте. Полный текст закона на Consultant.ru.
Можно ли использовать Google Fonts если просто шрифты?
Технически браузер отправляет запрос на fonts.googleapis.com с IP-адресом пользователя. Это передача данных за рубеж. Замените на локальные шрифты.
Сколько времени занимает аудит и исправление?
Аудит занимает 1-2 дня. Исправление зависит от количества замен: простая замена аналитики - 1 день, полный рефакторинг - 3-5 дней. Мы в Webcetera проводим аудит бесплатно.
Что делать если я уже получил штраф?
Сначала устраните нарушения. Затем подготовьте план мероприятий по предотвращению повторных нарушений. Можно снизить штраф если нарушение впервые и вы всё исправили. Но лучше не доводить до проверки.
Устали рисковать миллионными штрафами? Мы в Webcetera проведём бесплатный аудит вашего сайта на соответствие 152-ФЗ, заменим иностранные сервисы на российские аналоги. Оставьте заявку на разработку сайта.