Google Analytics на российском сайте в 2025–2026 году: что нарушает закон, какие штрафы грозят и как защититься
В феврале 2025 года Роскомнадзор начал массовую рассылку писем владельцам сайтов: Google Analytics официально приравняли к трансграничной передаче персональных данных. С 1 июля 2025 года использование сервиса без уведомления РКН стало нарушением 152-ФЗ с санкциями до 18 000 000 ₽. К середине 2026 года регулятор перешёл от предупреждений к реальным проверкам.
Большинство владельцев сайтов и маркетологов узнали об этом постфактум — из письма РКН или от коллег. В этой статье — чёткий разбор без воды: что именно нарушает закон, какие штрафы реальны, как проверить свой сайт за 15 минут и три конкретных сценария действий с оценкой рисков каждого.
Что случилось: хронология запрета Google Analytics в России
Проблема нарастала постепенно. В 2022 году европейские регуляторы Австрии и Франции первыми признали использование Google Analytics нарушением GDPR — данные европейских пользователей уходили в США без надлежащих гарантий. Российский Роскомнадзор начал мониторинг ситуации.
В 2023–2024 годах отдельные российские сайты получали предупреждения, но тема оставалась в серой зоне: чёткой правоприменительной практики не было. Ситуация изменилась в феврале 2025 года — РКН разослал официальные письма операторам персональных данных с требованием либо уведомить ведомство о трансграничной передаче, либо прекратить использование GA. 1 июля 2025 года вступили в силу поправки к ФЗ-152, кратно ужесточившие санкции за несанкционированную передачу данных за рубеж. В 2026 году регулятор перешёл от предупреждений к предписаниям и штрафам.
Почему именно Google Analytics попал под удар
Дело в технической механике работы счётчика. В момент загрузки страницы с установленным GA браузер пользователя отправляет данные — IP-адрес, User Agent, параметры сессии, клиентский идентификатор — напрямую на серверы Google в США, минуя российскую инфраструктуру. Это и есть трансграничная передача персональных данных: автоматическая, без явного согласия пользователя и без уведомления регулятора.
Чем GA отличается от других трекеров в контексте закона
Аналогичные требования теоретически применимы к любому зарубежному счётчику или пикселю — Facebook Pixel, TikTok Pixel и другим. Однако РКН выбрал Google Analytics как показательный кейс именно из-за массовости использования: GA установлен на десятках миллионов сайтов по всему миру, и его присутствие на российских сайтах легко верифицируется автоматически. Принципы нарушения одинаковы для всех зарубежных трекеров — просто очередь дошла до GA первого.
Юридическая база: что именно нарушает Google Analytics
ФЗ-152 «О персональных данных» — ключевые нормы
Нарушение строится на трёх конкретных основаниях:
| Норма | Суть требования | Как нарушает GA |
|---|---|---|
| Ч. 3 ст. 12 ФЗ-152 | Передача данных только в страны с «адекватной защитой» | США не входит в перечень РКН |
| Ст. 18 ФЗ-152 | Первичная запись данных граждан РФ — на сервер в России | Данные уходят сразу в Google (США) |
| Уведомление РКН | Уведомить ведомство до начала трансграничной передачи | Большинство операторов не уведомили |
Являются ли данные GA «персональными»?
Это ключевой спорный момент — разберём честно. Отдельный IP-адрес действительно не идентифицирует конкретного человека однозначно. Однако IP в совокупности с клиентским идентификатором _ga, User Agent и параметрами сессии РКН и российские суды квалифицируют как персональные данные — они позволяют выделить пользователя из общей массы и отследить его поведение.
Включение анонимизации IP (anonymizeIp) частично снижает риск, но не устраняет его: Google всё равно получает клиентский идентификатор и параметры сессии, которые в совокупности достаточны для идентификации. Позиция РКН однозначна: данные GA — персональные данные.
Что говорит РКН официально
Письма Роскомнадзора 2025 года прямо квалифицируют Google Analytics как инструмент трансграничной передачи персональных данных в США. Официальная позиция: использование GA без уведомления РКН о трансграничной передаче является нарушением ФЗ-152 вне зависимости от объёма сайта и количества пользователей.
Штрафы — сколько реально можно потерять
Действующая шкала санкций
| Нарушение | Штраф для ИП | Штраф для юрлица |
|---|---|---|
| Первичное (трансграничная передача без уведомления) | 60 000 – 100 000 ₽ | 100 000 – 300 000 ₽ |
| Повторное нарушение | 100 000 – 300 000 ₽ | до 6 000 000 ₽ |
| Систематические нарушения | до 500 000 ₽ | до 18 000 000 ₽ |
| Крупный оборот (при наличии) | — | до 3% годового оборота |
Кто реально под угрозой
РКН в первую очередь проверяет крупные сайты с высокой посещаемостью, интернет-магазины (где обрабатываются данные покупателей), а также медицинские и финансовые сервисы — из-за чувствительности данных. Лендинги малого бизнеса с трафиком до 10 000 посетителей в месяц находятся в зоне риска ниже, но не нулевой: жалоба одного клиента или конкурента запускает внеплановую проверку вне очереди.
Три сценария — что делать прямо сейчас
Сценарий 1 — Легализовать: уведомить РКН и продолжить работу с GA
Проверьте наличие вашей организации в реестре операторов персональных данных на сайте РКН. Если уведомление не подано — подайте его первым делом.
Через портал rkn.gov.ru или госуслуги подайте уведомление о трансграничной передаче данных. Укажите получателя (Google LLC, США), перечень передаваемых данных и цель передачи.
Ведомство вправе запросить дополнительные документы или выдать разрешение. Срок рассмотрения — до 30 рабочих дней. Отказ также возможен.
Явно указать, что данные передаются Google LLC (США), перечислить передаваемые данные (IP, идентификаторы сессий, параметры браузера), цель передачи и способ отзыва согласия.
GA не должен загружаться до получения явного согласия пользователя. Баннер с активным действием («Принять») — не опция, а обязательное условие легализации.
Сценарий 2 — Мигрировать: перейти на совместимую альтернативу
Российские или self-hosted аналитические решения не передают данные за рубеж — и автоматически выводят сайт из зоны риска по трансграничной передаче. При выборе замены ориентируйтесь на следующие критерии:
| Критерий | На что смотреть |
|---|---|
| Локализация данных | Серверы в РФ или возможность self-hosting на российском хостинге |
| Функциональность | Воронки, цели, источники трафика, конверсии |
| Интеграции | Совместимость с GTM, CRM, рекламными кабинетами |
| Стоимость | Freemium / по трафику / фиксированная подписка |
| Сложность миграции | Готовые шаблоны импорта целей и конверсий |
Сценарий 3 — Ничего не делать: честная оценка рисков
Если сайт небольшой (трафик до 10 000 посетителей в месяц), нет обработки чувствительных данных и отсутствуют конкуренты с мотивацией подать жалобу — вероятность плановой проверки в 2026 году остаётся относительно невысокой. Однако с ужесточением правоприменения этот риск системно растёт. Это сознательное принятие риска, а не рекомендация — оцените его соразмерно масштабу вашего бизнеса.
Как проверить свой сайт за 15 минут
Чек-лист самопроверки
Выполнено: 0/7
- ✓Открыть DevTools браузера (F12) → вкладка Network → в фильтре ввести
google-analyticsилиgtagи перезагрузить страницу - ✓Убедиться, есть ли запросы к
google-analytics.comилиgoogletagmanager.com— наличие подтверждает активную передачу данных - ✓Проверить cookies (DevTools → Application → Cookies): наличие куки
_ga,_gid,_gatозначает активный счётчик GA - ✓Проверить политику конфиденциальности: упомянута ли передача данных Google и описаны ли передаваемые категории данных
- ✓Проверить регистрацию в реестре операторов персональных данных на rkn.gov.ru
- ✓Проверить наличие баннера согласия на cookie до загрузки GA — баннер «Продолжая использование сайта…» не считается согласием
- ✓Если GA активен — проверить, подано ли уведомление о трансграничной передаче данных в РКН
Автоматическая проверка через специализированный сервис
Ручная проверка через DevTools показывает только текущую страницу. Полная картина по сайту другая: трекеры могут быть установлены только на отдельных разделах (корзина, страница оформления заказа), а значит ручная проверка главной страницы ничего не покажет.
Специализированный сканер scanbase.ru проверяет все страницы автоматически и формирует отчёт: какие именно скрипты передают данные за рубеж, на каких страницах они присутствуют и какие конкретные риски это создаёт. Проверка занимает несколько минут.
Что должно быть в политике конфиденциальности и баннере согласия
Обязательные элементы политики конфиденциальности
| Элемент | Что написать |
|---|---|
| Перечень передаваемых данных | IP-адрес, идентификаторы сессий (_ga, _gid), параметры браузера, действия на сайте |
| Получатель данных | Google LLC, США |
| Цель передачи | Веб-аналитика, измерение эффективности сайта |
| Правовое основание | Согласие пользователя (ст. 9 ФЗ-152) |
| Ссылка на политику Google | Политика конфиденциальности Google (прямая ссылка) |
| Способ отзыва согласия | Инструкция по отключению аналитических куки / отзыв через баннер |
Требования к баннеру согласия на куки
Главное правило: GA не должен загружаться до получения явного согласия пользователя. Формулировка «Продолжая использовать сайт, вы соглашаетесь…» в 2026 году юридически несостоятельна — это не согласие. Корректный баннер должен предусматривать три условия:
- Активное действие пользователя — нажать кнопку «Принять аналитику», а не просто продолжить просмотр
- Возможность отказаться без ущерба для использования сайта (кнопка «Отклонить» обязательна)
- Раздельное согласие на аналитические и маркетинговые куки — нельзя объединять в одно «всё разрешаю»
FAQ
GA4 — тоже нарушение. Переход с Universal Analytics на GA4 не меняет юридическую суть: данные по-прежнему передаются на серверы Google в США. Требования РКН и ФЗ-152 применяются к обеим версиям инструмента одинаково.
Частично снижает риск, но не устраняет нарушение. Анонимизация IP обрезает последний октет адреса, однако Google всё равно получает клиентский идентификатор _ga и параметры сессии. РКН квалифицирует эту комбинацию как персональные данные. Анонимизация IP не является юридически достаточной мерой сама по себе.
Ответственность несёт оператор персональных данных — то есть владелец сайта. Агентство, установившее GA через GTM, является подрядчиком. Если в договоре между вами нет условия о соответствии 152-ФЗ, юридически вы остаётесь единственным ответственным. При наличии договора поручения на обработку ПД часть ответственности можно распределить.
Немедленного удаления закон не требует — требуется либо уведомить РКН о трансграничной передаче, либо перейти на альтернативу. Если вы выбрали путь легализации — подайте уведомление как можно скорее: это фиксирует вашу добросовестность и снижает риск максимальных санкций при возможной проверке в переходный период.
Использование данных GA для оптимизации Google Ads в рамках связки GA–Google Ads тоже создаёт риски, поскольку предполагает передачу данных в Google. Если вы остаётесь на GA через сценарий легализации, эта связка охватывается тем же уведомлением. При миграции на альтернативный инструмент аналитики настройку конверсий для Google Ads нужно перенастроить отдельно.
Ручная проверка через DevTools охватывает только текущую страницу. Для полной картины используйте автоматический сканер — например, scanbase.ru обходит весь сайт и показывает, на каких страницах присутствуют внешние трекеры и куда они передают данные. Проверка занимает несколько минут.
Google Analytics на российском сайте в 2026 году — реальный правовой риск с санкциями до 18 млн рублей. Три пути: легализовать через уведомление РКН, мигрировать на совместимый инструмент или осознанно принять риск. Первый шаг в любом сценарии — понять, что именно сейчас работает на вашем сайте.
Узнайте, какие трекеры работают на вашем сайте
scanbase.ru автоматически найдёт все скрипты, передающие данные за рубеж, и покажет конкретные риски — за несколько минут
Проверить сайт бесплатно →