Запрет на обработку данных через иностранные сервисы

С 1 июля 2025 года в России вступили в силу жесткие поправки к ФЗ-152 «О персональных данных», которые полностью запрещают первичный сбор и передачу данных граждан РФ через зарубежные сервисы. Это касается Google Analytics, WhatsApp, Telegram, форм обратной связи и даже капчи. Нарушителям грозят штрафы до 18 млн рублей, а Роскомнадзор уже начал массовые проверки.

 Что изменилось в законе?

До 1 июля 2025 года компании могли использовать иностранные сервисы при условии, что данные дублировались на российских серверах и Роскомнадзор был уведомлен о трансграничной передаче.

Теперь первичная обработка данных должна происходить исключительно на российских серверах. Передача данных за границу до их сохранения в РФ строго запрещена.

Это означает, что даже скрытые скрипты, такие как Google Analytics, reCAPTCHA или формы Typeform, будут нарушать закон, если данные сначала отправляются за рубеж.

 Какие сервисы под запретом?

Разберёмся, какие именно инструменты под запретом:

• Google Analytics (передает IP, поведение пользователей в США).
• Google Tag Manager (может запускать скрипты с зарубежных серверов).
• Matomo Analytics (если сервер не в России).
• Яндекс.Метрика — разрешена, так как данные хранятся в РФ.
• Google Forms, Typeform, Jotform — если данные уходят за границу.
• reCAPTCHA (Google) — передает IP и поведение в США.
• Виджеты «Написать в WhatsApp» или Telegram передают номера, имена и метаданные на серверы за пределами РФ.
• Mailchimp, HubSpot, Gmail — если данные хранятся за границей.

Новые правила ужесточают контроль за передачей данных за рубеж, и многим компаниям придётся пересмотреть используемые сервисы. Чтобы избежать штрафов, важно убедиться, что данные пользователей сначала сохраняются в России, и только затем (если это разрешено) передаются за границу. Проверьте свои аналитические системы, формы обратной связи и другие инструменты на соответствие требованиям закона.

 Чем грозит нарушение?

Компаниям, не соблюдающим новые правила обработки данных, грозят серьёзные последствия.  Финансовые санкции включают штрафы от 1 до 6 млн рублей за первое нарушение и от 6 до 18 млн рублей при повторном. Дополнительно могут быть применены штрафы в размере 100–300 тыс. рублей за отсутствие уведомления в Роскомнадзор и до 500 тыс. рублей за невыполнение предписания регулятора.

Роскомнадзор также вправе заблокировать сайт нарушителя, что приведёт к остановке бизнес-процессов.

Кроме того, компания рискует столкнуться с репутационными потерями: утечки данных или проблемы с законом могут подорвать доверие клиентов и партнеров, что негативно скажется на доходах и деловой активности.

 Как проверить сайт на нарушения?

Чтобы избежать рисков, необходимо провести тщательную проверку ресурса:

1. Аудит сторонних скриптов. Многие сайты используют зарубежные сервисы аналитики и коммуникации, такие как Google Analytics, Facebook Pixel, Tawk.to (онлайн-чат) и reCAPTCHA. Эти инструменты передают данные пользователей (IP-адреса, поведение на сайте) на серверы за пределами России, что теперь является нарушением. Проверьте код сайта и замените несоответствующие сервисы на российские аналоги (например, Яндекс.Метрику).
2. Проверка форм обратной связи и регистрации. Если на сайте есть формы (например, для заказов, подписки или обратной связи), важно убедиться, что введённые пользователями данные не отправляются напрямую за рубеж. Популярные сервисы вроде Google Forms, Typeform или Jotform могут нарушать закон, если информация сначала не сохраняется в РФ.
3. Анализ расположения серверов. Даже если скрипты и формы в порядке, сам хостинг сайта должен находиться в России. Проверьте, где физически размещены серверы: если сайт работает на зарубежном хостинге (например, AWS, Google Cloud или Bluehost), это может стать проблемой.
4. Юридическая экспертиза политики конфиденциальности. Текст пользовательского соглашения и политики обработки данных должен соответствовать новым требованиям. В документах необходимо четко указать, что первичное хранение информации происходит в России, а трансграничная передача (если есть) осуществляется только с согласия пользователя и в разрешенных законом случаях. Обращайтесь к юристам: они быстро и качественно проведут такую экспертизу.

Проверка сайта на соответствие новым правилам — обязательный этап для любого бизнеса, работающего с персональными данными. Игнорирование требований может привести не только к штрафам, но и к блокировке ресурса. Рекомендуется провести аудит как можно скорее, при необходимости обратиться к IT-специалистам и юристам, чтобы минимизировать риски и сохранить доверие клиентов. Чем раньше бизнес адаптируется, тем меньше рисков. Не ждите проверок — действуйте!