Данные утекают за рубеж — Google Analytics, Fonts, reCAPTCHA на сайте онлайн-школы

Онлайн-школы — отличники по документам: в нашей проверке 474 образовательных сайтов у edtech реже всех нет политики конфиденциальности. Но по утечке данных наружу они — худшие: 87% передают данные посетителей за рубеж, а четверть держит серверы вне России. Причина почти всегда одна — привычный набор зарубежных сервисов: Google Analytics, Google Fonts, reCAPTCHA, пиксели соцсетей.

87%

онлайн-школ передают данные за рубеж — обычно не намеренно, а потому что эти сервисы подключены «по умолчанию». Каждое такое подключение — отдельный риск по ст. 12 152-ФЗ.

Разберём, почему Google Analytics и Google Fonts вообще попадают под 152-ФЗ, какие сервисы и что именно передают, чем это грозит онлайн-школе и чем их заменить.

Что такое трансграничная передача и при чём тут аналитика

Трансграничная передача — это передача персональных данных на территорию иностранного государства. Её регулирует ст. 12 152-ФЗ: прежде чем передавать данные за рубеж, оператор должен уведомить Роскомнадзор о намерении, убедиться в адекватной защите данных в стране-получателе (или выполнить специальные условия) и в ряде случаев получить отдельное согласие.

Ключевой момент, который упускают: передача происходит автоматически, как только на сайте подключён зарубежный сервис. Google Analytics, Google Fonts, reCAPTCHA при каждой загрузке страницы получают IP-адрес и данные о поведении посетителя — и отправляют их на серверы за пределами РФ. Никакого «экспорта базы» не нужно: достаточно строчки скрипта в шаблоне сайта.

💡 Поэтому в нашей выборке там, где сервис вообще найден, он передавал данные за рубеж практически в 100% случаев. Проблема не в «неправильной настройке», а в самом факте подключения.

Какие сервисы и что передают

СервисЧто отправляет за рубежЧем заменить
Google AnalyticsIP, поведение, сессии → серверы Google (США)Яндекс.Метрика (серверы в РФ)
Google Fonts (подключение с серверов Google)IP-адрес при каждой загрузке шрифта → GoogleЛокальные копии шрифтов на своём хостинге
Google reCAPTCHAПоведение, отпечаток устройства → GoogleРоссийские капчи / антибот-решения
Пиксель Meta*, зарубежные пикселиПоведение для таргетинга → серверы за рубежомПиксель ВКонтакте / Яндекса
Встраивания YouTube, зарубежные виджетыДанные посетителя → серверы сервисаVK Видео / Rutube, локальные виджеты
Зарубежный хостинг и CDNВсе данные сайта хранятся вне РФХостинг и CDN в России (ст. 18 о локализации)

Ловушка Google Fonts

Самый недооценённый источник нарушения. Шрифты кажутся безобидным элементом дизайна, но если они подключены строкой с серверов Google (а так делает большинство шаблонов и конструкторов), то при каждом открытии страницы браузер посетителя обращается к Google и передаёт ему свой IP-адрес. 30% всех образовательных сайтов передают данные за рубеж буквально из-за шрифтов — чаще всего даже не подозревая об этом.

Хорошая новость: это чинится за пятнадцать минут. Шрифты скачиваются и подключаются с собственного сервера — внешне на сайте ничего не меняется, а одно нарушение трансграничной передачи закрывается полностью.

Как перенести шрифты на свой сервер

  1. Скачать начертания. Найти используемые на сайте шрифты и скачать нужные начертания (например, через генератор локальных шрифтов вроде google-webfonts-helper) в современном формате woff2.
  2. Положить файлы на свой хостинг. Загрузить шрифты в папку проекта на российском сервере.
  3. Подключить локально. Прописать шрифты через @font-face в своей CSS и убрать ссылку на fonts.googleapis.com и fonts.gstatic.com из шаблона.
  4. Перепроверить. Открыть сайт и убедиться, что обращений к серверам Google при загрузке больше нет — это видно в инструментах разработчика или через сканер.
💡 На конструкторах и готовых темах ссылка на Google Fonts часто зашита в шаблоне или плагине шрифтов — проверьте настройки темы и подключённые плагины, а не только свой код.

Почему edtech рискует больше других

Онлайн-школы передают данные за рубеж87%
Держат серверы вне России25%
Google Analytics — передаёт, где найден100%
Google Fonts — передаёт, где найден100%
Данные по сегменту онлайн-школ. Исследование ScanBase, 2026.

Онлайн-школа — это маркетинговая машина: сквозная аналитика, ретаргетинг, пиксели, A/B-тесты. Весь этот стек исторически построен на зарубежных сервисах. Плюс edtech-сайты часто собирают серьёзный объём данных — платёжные, поведенческие, иногда данные несовершеннолетних учеников. В сумме это делает онлайн-школы самым уязвимым сегментом по трансграничной передаче, несмотря на аккуратные документы.

Что делать онлайн-школе

1
Заменить зарубежные сервисы на российскиеGoogle Analytics → Яндекс.Метрика, Google Fonts → локальные копии, reCAPTCHA → российские антибот-решения, зарубежные пиксели → пиксели ВК и Яндекса. Это закрывает большинство случаев в корне.
2
Перенести хостинг и CDN в РФЛокализация баз данных граждан России на серверах в РФ — требование ст. 18 152-ФЗ.
3
Не запускать трекеры до согласияДаже российская Метрика требует согласия и не должна срабатывать до клика по cookie-баннеру.
4
Если зарубежный сервис всё же нужен — выполнить условия ст. 12Уведомить Роскомнадзор о трансграничной передаче, оценить защиту в стране-получателе и при необходимости получить отдельное согласие.
⚠️ Распространённый самообман — «у нас в политике написано, что мы передаём данные за рубеж, значит всё законно». Упоминание в политике не заменяет выполнения условий ст. 12: уведомления РКН, оценки защиты и оснований для передачи.

Чем грозит

Трансграничная передача без выполнения условий ст. 12 152-ФЗ — самостоятельное нарушение с ответственностью по ст. 13.11 КоАП РФ, ужесточённой в 2025 году; отдельно регулятор контролирует и локализацию данных в России. Для онлайн-школы, которая работает с платёжными и поведенческими данными в больших объёмах, это не теоретический, а вполне реальный риск проверки.

Проверьте, куда утекают данные с вашего сайта

Сканер откроет сайт в браузере и покажет все зарубежные сервисы и трансграничную передачу — Google Analytics, Fonts, reCAPTCHA, пиксели. Бесплатно, за минуту.

Запустить проверку →

Частые вопросы

Правда ли, что Google Analytics нарушает 152-ФЗ?+

Сам по себе сервис не «вне закона», но его использование почти всегда означает трансграничную передачу данных на серверы Google в США без выполнения условий ст. 12 152-ФЗ. Поэтому на практике это нарушение, и безопаснее перейти на Яндекс.Метрику с серверами в РФ.

Почему Google Fonts — это нарушение, это же просто шрифты?+

Когда шрифты подключены с серверов Google, браузер посетителя при каждой загрузке передаёт Google свой IP-адрес — а это персональные данные, уходящие за рубеж. Решение — скачать шрифты и подключить их со своего хостинга; визуально сайт не меняется.

Можно ли использовать зарубежный сервис, если написать о нём в политике?+

Нет, упоминания в политике недостаточно. Для законной трансграничной передачи нужно выполнить условия ст. 12: уведомить Роскомнадзор, оценить уровень защиты в стране-получателе и при необходимости получить согласие. Проще заменить сервис на российский аналог.

Яндекс.Метрика тоже считается трансграничной передачей?+

Нет — серверы Яндекса в России, вопрос трансграничной передачи не возникает. Но Метрика собирает поведенческие данные, поэтому требует согласия пользователя и не должна запускаться до cookie-баннера.

Как узнать, какие зарубежные сервисы стоят на моём сайте?+

Автоматический сканер открывает сайт в браузере и фиксирует все исходящие запросы к сторонним сервисам, включая аналитику, шрифты, капчу и пиксели. Проверка на scanbase.ru занимает меньше минуты и показывает, что и куда передаётся.

Материал носит информационный характер и не является юридической консультацией по конкретной ситуации. Статистика — по данным автоматической проверки сайтов сканером ScanBase, 2026.

* Meta Platforms Inc. (включая социальные сети Facebook и Instagram) признана в России экстремистской организацией, её деятельность на территории РФ запрещена.