Обновление правил работы с ПДн: введение запрета на использование иностранных сервисов

С июля 2025 года вступают в силу изменения в Федеральном законе № 152-ФЗ «О персональных данных», согласно которым ужесточаются требования к сбору, обработке и защите данных граждан РФ.

Одно из ключевых нововведений — полный запрет на использование иностранных серверов при первичном сборе ПДн. Это касается всех баз данных, размещенных за пределами России, и операций со сведениями: записи, хранения, систематизации, обновления и извлечения. Подробнее об изменениях порядка работы с персональными данными рассказываем в статье.

Что изменится

Главное изменение — концентрация внимания на первичном сборе персональных данных. Теперь, если при посещении сайта информация о пользователе сразу уходит на иностранные серверы, это будет считаться прямым нарушением законодательства в области ПДн. Именно по этой причине с 1 июля 2025 года запрещается использование сервисов Google Analytics и Google Tag Manager: их работа изначально построена на передаче данных за рубеж, в том числе в США.

Ранее закон допускал обработку персональных данных за пределами России при условии, что их копии хранятся внутри страны. Теперь подход меняется: локализация должна происходить с самого начала. Передача данных за границу возможна только при соблюдении ряда требований:

• Официальное уведомление Роскомнадзора о трансграничной передаче данных.

• Наличие действующей политики обработки персональных данных и других обязательных документов на сайте компании.

Таким образом, с 1 июля 2025 года все организации, работающие с персональными данными граждан РФ, обязаны обеспечить их первичную запись и хранение на российских серверах. Несоблюдение этого правила будет квалифицироваться как прямое нарушение закона о повлечет за собой административную и гражданскую ответственность.

Что делать с Google Analytics

Если вы получили уведомление от Роскомнадзора, необходимо без промедления выполнить его требования — чаще всего это означает удаление счетчика Google Analytics со страниц сайта.

Если же использование GA критически важно для аналитики и бизнес-процессов компании, до вступления запрета в силу допустимо прибегнуть к следующему варианту:

1. Удалить счетчик с сайта.

2. Подать уведомление о трансграничной передаче данных через личный кабинет на портале «Госуслуги» (шаблон есть в открытом доступе на сайте РКН).

3. Дождаться рассмотрения обращения. Если Роскомнадзор не наложит запрет, разрешается временно продолжить использование GA.

С 1 июля 2025 года применение Google Analytics в работе с ПДн будет недопустимо, независимо от полученных согласий и поданных уведомлений в Роскомнадзор.

Обновление документации на сайте

Даже при временном использовании Google Analytics необходимо привести сайт в соответствие с требованиями законодательства. Для этого важно внести следующие изменения:

• Обновить политику конфиденциальности. Включить в нее перечень используемых аналитических систем, таких как Google Analytics, Яндекс Метрика и другие.

• Дополнить формы согласия на обработку персональных данных и cookie. Указать, какие сервисы используются для сбора и анализа информации.

• Актуализировать все формы на сайте, где пользователи оставляют свои данные. Добавить информацию о целях сбора ПДн и применяемых аналитических инструментах.

Эти меры помогут минимизировать юридические риски и обеспечить более плавный переход к использованию альтернативных решений, которые соответствуют последним изменениям в законе.

Штрафы за несоблюдение требований

С 30 мая 2025 года вступили в силу поправки к Федеральному закону № 420-ФЗ, ужесточающие ответственность за нарушения при обработке персональных данных. В новой редакции закона под утечкой понимается не только киберпреступление (взлом, кража), но и любая несанкционированная передача информации третьим лицам, включая публикацию и раскрытие доступа.

Так что использование Google Analytics без соблюдения требований локализации может повлечь серьезные штрафные санкции:

• Физлица — от 100 000 до 400 000 рублей.

• Должностные лица — от 200 000 до 600 000 рублей.

• Организации и ИП — от 3 до 15 миллионов рублей.

Также усилилась ответственность за несвоевременное уведомление Роскомнадзора о начале работы с персональными данными:

• Физлица — от 5 000 до 10 000 рублей.

• Должностные лица — от 30 000 до 50 000 рублей.

• Организации и ИП — от 100 000 до 300 000 рублей.

Продолжение использования Google Analytics без соблюдения новых правил — это не просто формальное нарушение, а реальный юридический риск, который может повлечь за собой штрафы, блокировку ресурсов и проверки со стороны Роскомнадзора. Чтобы избежать негативных последствий, рекомендуется заблаговременно перейти на безопасные локализованные альтернативы аналитических систем.

Новые правила обработки персональных данных

С 2025 года вступают в силу ужесточенные требования к работе с персональными данными. Роскомнадзор усиливает контроль над сбором, хранением и передачей ПДн, а бизнес обязан скорректировать свои процессы и документы:

• Политика обработки персональных данных. Этот документ обязательно должен содержать цели обработки ПДн, условия их хранения и удаления, адрес электронной почты для отзыва согласия, отдельные чекбоксы под каждый вид операций, ИНН и ОГРН оператора.

Важно: если вы не используете в своей деятельности e-mail — не имеете права запрашивать его у пользователей.

• Согласие на обработку ПДн. Это отдельный документ, в котором пользователь подтверждает добровольное согласие на сбор и использование своих данных. Его оформление необходимо до того, как данные поступят в CRM, мессенджеры и другие внутренние сервисы.

• Заполнение чекбоксов. Согласие на те или иные операции должно фиксироваться вручную — пользователь должен сам поставить галочку в соответствующем поле. Условия вроде «продолжая использовать сайт, вы соглашаетесь…» теперь считаются нарушением.

Для сайтов на «1С-Битрикс» настройка элемента осуществляется через «Администрирование» → «Настройки продукта» → «Соглашения».

• Информирование о cookie-файлах. На сайте обязательно должно быть уведомление о cookie с пояснениями, какие данные собираются, для чего это нужно, как пользователь может регулировать сбор сведений.

• Согласие на рекламную рассылку. Рассылки можно отправлять только при наличии отдельного соглашения. Включить его в общий документ нельзя.

• Хранение ПДн в CRM и мессенджерах. Если данные клиентов сохраняются в сторонних или облачных сервисах, обязательно уведомите пользователей об этом. Также обязательно актуализируйте политику конфиденциальности, соглашения и удостоверьтесь, что данные не поступают на зарубежные серверы.

Эти меры помогут соответствовать требованиям законодательства и снизить риски штрафов и блокировок.

Как обеспечить соответствие новым требованиям

Как мы уже писали выше, нарушение законодательства в области ПДн может привести к крупным штрафам и ограничению деятельности. Чтобы защитить бизнес, необходимо заранее адаптироваться к новым нормам:

1. Проведите аудит всех процессов, связанных с персональными данными.

2. Убедитесь, что сбор, хранение и первичная обработка ПДн происходят только в России.

3. Проверьте размещение сайта и серверов, условия в договорах с подрядчиками.

Если выяснится, что ПДн граждан РФ передаются за рубеж, необходимо оперативно перестроить ИТ-архитектуру. Ниже — возможные сценарии.

• Полная локализация данных. Подразумевает перенос всех хранилищ и процессов на территорию России. Среди плюсов этого метода можно выделить полное соответствие закону и, как следствие, отсутствие рисков при возможных проверках. Однако в этом случае требуются определенные затраты на адаптацию серверной инфраструктуры.

• Частичная локализация. Ключевые операции с данными (сбор, хранение, систематизация) происходят в РФ, но остается частичное взаимодействие с зарубежными системами. Так, компания может постепенно переходить к полной локализации без радикальных изменений. Но есть минус — сохраняются риски при внешней синхронизации данных и при проверках.

• Ограниченное использование иностранных сервисов. Применение зарубежных платформ (например, для видеосвязи или email-рассылок) допустило только в том случае, если они соответствуют требованиям закона и не участвуют в первичном сборе данных.

Даже если вы не используете Google Analytics, проверьте весь ваш цифровой стек: почтовые платформы, CRM-системы, формы обратной связи, чат-боты, сервисы аналитики и т. д. Любой из этих инструментов может передавать данные за границу — даже косвенно. Проведите проверку и локализуйте каждый элемент, который работает с ПДн. Это поможет избежать штрафов, судебных претензий и потери доверия со стороны клиентов.

Подведем итог

В 2025 году законодательство в сфере защиты персональных данных диктует новые, более жесткие условия. Для бизнеса это означает одно: прежние подходы к обработке ПДн больше не работают. Использование иностранных аналитических платформ, внешних CRM-систем и других цифровых сервисов без соблюдения требований локализации теперь грозит не только штрафами, но приостановкой деятельности и потерей доверия клиентов.

Компании, ориентированные на рынок РФ, должны действовать на опережение: провести аудит, адаптировать инфраструктуру, обновить внутренние регламенты и юридические документы. Это потребует ресурсов, но позволит не только избежать рисков, но и повысить уровень цифровой зрелости бизнеса.

Своевременная реакция на изменения закона — это инвестиция в устойчивость и репутацию компании в условиях растущего внимания к вопросам цифровой безопасности.