Владелец сайта подключает Google Analytics — вставляет код счётчика, проверяет, что данные идут, и считает задачу выполненной. Но с точки зрения российского закона в этот момент начинается трансграничная передача персональных данных — то есть передача данных российских пользователей на серверы, расположенные за рубежом.
Это не запрещено. Но требует соблюдения ряда условий, о которых большинство владельцев сайтов не знают.
Что считается трансграничной передачей данных
По 152-ФЗ трансграничная передача — это любая передача персональных данных на территорию иностранного государства. Не важно, как технически это происходит: через API, счётчик на странице или интеграцию с внешним сервисом.
Когда пользователь заходит на сайт с подключённым Google Analytics, браузер отправляет в Google информацию о визите: IP-адрес, тип устройства, браузер, страницы, время сессии. Эти данные уходят на серверы Google, которые физически находятся в США и других странах за пределами России.
IP-адрес в российской правоприменительной практике признаётся персональными данными. Это значит, что передача данных через аналитические счётчики — это не просто техническая настройка, а юридически значимое действие.
Правовой статус Google как получателя данных
Google LLC зарегистрирована в США. Серверы Google Analytics расположены преимущественно в американских дата-центрах, частично — в других странах. С точки зрения российского законодательства Google — иностранная организация, которой передаются данные российских граждан.
Юрисдикция серверов
США не входят в список стран, которые Роскомнадзор признаёт обеспечивающими адекватный уровень защиты персональных данных. Это означает, что передача данных в США требует дополнительного обоснования.
Международные соглашения
Между Россией и США нет специального соглашения о взаимной защите персональных данных. Это делает США «третьей страной» в терминах закона — то есть государством без подтверждённого адекватного уровня защиты.
Категории собираемых данных
Google Analytics собирает: IP-адрес (в полном или усечённом виде), идентификаторы браузера и устройства, данные о местоположении, поведение на сайте, источники перехода. Всё это в совокупности позволяет идентифицировать пользователя.
Важный нюанс про IP-адрес
Google Analytics 4 по умолчанию не хранит полный IP-адрес пользователя — он усекается ещё до записи. Однако сам факт передачи IP на серверы Google в момент запроса всё равно происходит. Усечение происходит после приёма данных, а не до их отправки.
Уведомление Роскомнадзора перед началом передачи
С 1 марта 2023 года статья 12 152-ФЗ требует от операторов уведомлять Роскомнадзор до начала трансграничной передачи данных. Не после подключения сервиса, а до.
Уведомление о трансграничной передаче подаётся через портал Роскомнадзора. В нём указывается, в какие страны передаются данные, какие именно данные, с какой целью и на каком основании.
Для сайтов, использующих Google Analytics, это означает: нужно подать уведомление о передаче данных в США (и другие страны, где расположена инфраструктура Google) до того, как счётчик начнёт работу.
Что указывается в уведомлении
Страны, в которые передаются данные (США и другие страны Google)
Категории персональных данных (идентификаторы, поведенческие данные)
Цель передачи (веб-аналитика, улучшение работы сайта)
Правовое основание (согласие пользователя или иное)
Сведения о получателе данных (Google LLC, адрес, страна)
Условия законного использования Google Analytics
Использовать Google Analytics на российском сайте можно. Но чтобы это было законным, нужно выполнить несколько условий одновременно.
Оценка адекватности защиты данных
Закон обязывает оператора оценить, обеспечивает ли принимающая страна надлежащую защиту данных. США не входят в «белый список» стран, признанных РКН. Это не запрет, но означает необходимость дополнительных гарантий — например, договорного закрепления обязательств Google по защите данных.
Договорное регулирование
Google предоставляет операторам данных документ — Data Processing Amendment (DPA), или соглашение об обработке данных. При принятии условий Google Ads или Analytics этот документ вступает в силу. Он содержит обязательства Google по защите данных и технические меры безопасности.
Поручение на обработку данных
Google в данном случае выступает как «обработчик» — сторона, которая работает с данными по поручению оператора (владельца сайта). Условия DPA фактически оформляют это поручение. Владелец сайта остаётся оператором и несёт ответственность перед пользователями.
Согласие пользователя
Аналитические cookie, которые устанавливает Google Analytics, требуют отдельного согласия пользователя. Это согласие должно быть получено до загрузки счётчика — через баннер cookie-уведомления, который позволяет принять или отклонить аналитику.
Про политику конфиденциальности
Факт использования Google Analytics и передачи данных за рубеж должен быть отражён в политике обработки персональных данных сайта. Там указывают: какие данные собирает счётчик, кому они передаются, в какие страны, и на каком основании. Без этого пользователь не может считаться информированным.
Риски и ответственность за нарушение правил передачи
Нарушения при трансграничной передаче данных — отдельный состав административного правонарушения. Штрафы за нарушения в сфере персональных данных существенно выросли с 2024 года.
| Нарушение | Размер штрафа |
|---|---|
| Трансграничная передача без уведомления РКН | 100 000 — 300 000 ₽ |
| Передача данных в страну без адекватной защиты без оснований | 100 000 — 300 000 ₽ |
| Обработка данных без согласия (включая аналитические cookie) | 300 000 — 700 000 ₽ |
| Отсутствие политики обработки персональных данных | до 60 000 ₽ |
Проверки Роскомнадзора чаще всего начинаются после жалобы пользователя. Жалобу может подать любой, кто счёл, что его данные обрабатываются без его ведома или без законных оснований.
Технически выявить использование Google Analytics на сайте не составляет труда — он виден в исходном коде страницы. Если при этом нет ни уведомления в РКН, ни cookie-баннера, ни упоминания в политике — это набор нарушений, а не одно.
Рекомендации по минимизации юридических рисков
Полностью отказываться от Google Analytics ради соответствия закону не обязательно. Достаточно последовательно выполнить несколько шагов.
Подать уведомление в Роскомнадзор
До активации счётчика — через личный кабинет на портале РКН. Указать США как страну получателя, Google LLC как получателя данных, веб-аналитику как цель. Сохранить подтверждение подачи.
Принять условия Google DPA
В настройках аккаунта Google Analytics найти раздел о соглашении об обработке данных и принять его. Это создаёт договорное основание для передачи данных.
Настроить cookie-баннер с разделением на категории
Аналитические cookie должны загружаться только после явного согласия пользователя. Технически это реализуется через платформу управления согласием (CMP) или кастомный баннер, который блокирует скрипт Google Analytics до выбора пользователя.
Обновить политику конфиденциальности
Добавить раздел о трансграничной передаче: указать Google LLC, США, цель — аналитика, основание — согласие пользователя. Описать, какие данные передаются и как пользователь может от этого отказаться.
Включить анонимизацию IP в настройках
В Google Analytics 4 анонимизация IP включена по умолчанию. В Universal Analytics (GA3) её нужно было активировать отдельно с помощью параметра anonymizeIp. Убедитесь, что используете актуальную версию или нужная настройка включена.
Альтернатива: российские системы аналитики
Яндекс Метрика хранит данные на серверах в России. При её использовании проблема трансграничной передачи снимается. Метрика не уступает Google Analytics по базовым функциям — для большинства сайтов это достаточная замена, если хочется избежать сложности с уведомлениями РКН.
Частые вопросы
Нужно ли уведомлять РКН, если Google Analytics уже давно подключён?
Если пользователь отказался от аналитических cookie, Google Analytics вообще не запускается?
Google Analytics 4 безопаснее с точки зрения закона, чем Universal Analytics?
Если на сайте используется только Яндекс Метрика — нужно ли уведомлять РКН?
Нужно ли заново уведомлять РКН, если сайт переходит с GA3 на GA4?
Главное
Google Analytics — это трансграничная передача персональных данных. Это не нарушение само по себе, но требует выполнения конкретных условий: уведомления Роскомнадзора, договорного основания с Google, согласия пользователей на аналитические cookie и отражения передачи в политике конфиденциальности.
Большинство сайтов не выполняют ни одного из этих условий — просто потому что не знают о них. Исправить ситуацию можно последовательно, не отказываясь от инструмента.
Если разбираться с уведомлениями и настройками согласия не хочется — альтернативой остаётся Яндекс Метрика. Она даёт сопоставимые возможности и не создаёт проблем с трансграничной передачей.