Перейти к содержанию
инструкция 10 февраля 2029 По состоянию на 10 февраля 2029

GA4 как трансграничная передача ПДн

Передача данных пользователей сайта в Google Analytics 4 — это трансграничная передача персональных данных по ч. 5 ст. 18 и ст. 12 ФЗ-152.
Роскомнадзор квалифицирует cookies идентификаторы как ПДн с 2024 года. Интернет-магазин без баннера согласия и без уведомления РКН о трансграничке получает штраф по ч. 1 и ч. 8 ст. 13.11 КоАП — в сумме до 6,3 млн ₽.
→ Если вы маркетолог и на сайте стоит GA4 без оформленного пакета документов — читайте пошаговый порядок устранения нарушений.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420: санкции выросли в разы, появился оборотный штраф по ч. 15. Для интернет-магазинов, маркетплейс-продавцов и SaaS-компаний с аналитикой на базе GA4 это означает прямой регуляторный риск. Ниже — семь шагов, которые приводят обработку cookies и трансграничную передачу в соответствие с требованиями.

Почему GA4 считается трансграничной передачей ПДн?

Google Analytics 4 собирает идентификаторы браузера, IP-адреса, Client ID и User ID, а также поведенческие данные (страницы, события, конверсии). Роскомнадзор в своей позиции 2024 года закрепил: файлы cookies, содержащие уникальные идентификаторы устройств или пользователей, относятся к персональным данным по ст. 3 ФЗ-152, поскольку позволяют идентифицировать физическое лицо прямо или косвенно.

«Ст. 12 ФЗ-152 — до начала передачи ПДн в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. США не входят в перечень стран с адекватной защитой ПДн по актуальному приказу РКН.»

GA4 передаёт данные на серверы Google LLC (США). США не входят в перечень стран с адекватным уровнем защиты ПДн, утверждённый РКН. Следовательно, каждый сеанс пользователя на сайте с активным тегом GA4 — это событие трансграничной передачи, требующее предварительного уведомления регулятора.

Дополнительно действует требование ч. 5 ст. 18 ФЗ-152 о локализации: первичные запись, систематизация, накопление и хранение ПДн граждан РФ должны осуществляться в базах, расположенных на территории России. GA4 по умолчанию не обеспечивает хранение сырых данных в РФ.

Стоит на сайте GA4 и нет уведомления о трансгранике?

Если маркетолог использует GA4 без оформленных уведомлений в РКН и без баннера согласия на cookies — это два независимых нарушения. По ч. 1 ст. 13.11 КоАП штраф достигает 300 000 ₽, по ч. 8 за нарушение локализации — до 6 000 000 ₽. Оба назначаются одновременно. Юристы DATUM проведут аудит текущей конфигурации GA4 и соберут документы для уведомления РКН по ст. 12 ФЗ-152.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проверьте, какие данные реально собирает ваш тег GA4

Откройте панель администратора GA4 и раздел Data Settings. Зафиксируйте: включён ли Google Signals, передаётся ли User ID, какие параметры событий содержат email или телефон. Затем проверьте тег через браузерный инструмент Network: какие cookie-файлы устанавливаются (_ga, _ga_*, _gid) и какие параметры уходят в запросе к collect.google.com.

Результат шага — перечень категорий ПДн, которые реально обрабатываются через GA4. Это основание для определения правового режима обработки (ст. 6 ФЗ-152) и категории данных (специальные по ст. 10 или общие).

Шаг 2. Оцените объём субъектов и определите уровень защищённости

Порог в 100 000 субъектов по ПП РФ №1119 влияет на уровень защищённости ИСПДн (УЗ-3 или УЗ-4). Для большинства интернет-магазинов среднего сегмента с ежемесячной аудиторией менее 100 000 уникальных пользователей применяется УЗ-4 при отсутствии специальных категорий. Если сайт обрабатывает медицинские данные (например, аптека или медтехника) — УЗ-3 и выше.

Уровень защищённости определяет минимальный набор технических мер по Приказу ФСТЭК №21. Зафиксируйте вывод в акте классификации ИСПДн — это часть ОРД, которую проверяет РКН.

Шаг 3. Подготовьте уведомление РКН о трансграничной передаче

По ст. 12 ФЗ-152 уведомление подаётся через личный кабинет оператора на pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. В уведомлении указываются: страна-получатель (США для Google LLC), наименование получателя, категории передаваемых ПДн, цель передачи, правовое основание, меры защиты.

Важно: уведомление подаётся до начала передачи, а не после. Если тег GA4 уже стоит — формально нарушение совершено. Однако практика РКН 2025–2026 годов показывает: своевременная подача после выявления снижает размер санкции при рассмотрении дела.

Отдельно проверьте, стоит ли компания в реестре операторов ПДн. Если нет — подайте уведомление о намерении обрабатывать по ст. 22 ФЗ-152 через ту же форму. Неуведомление — штраф 100 000 – 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Если маркетолог уже получил запрос от РКН по факту использования GA4 — срок ответа исчислен. Юристы DATUM подготовят позицию и документы в течение рабочего дня.

Подготовиться к проверке РКН

Шаг 4. Разместите баннер согласия на cookies и обновите политику конфиденциальности

Ст. 10.1 ФЗ-152 требует отдельного согласия на распространение ПДн. Cookies-идентификаторы в контексте аналитики и рекламы по позиции РКН требуют информированного согласия пользователя до начала их установки. Баннер должен соответствовать следующим условиям:

  • появляется при первом визите до инициализации тега GA4;
  • содержит описание категорий cookies и их назначения;
  • предоставляет возможность отказаться — без принуждения и без блокировки контента;
  • фиксирует факт и время согласия в журнале (для доказательства перед РКН).

Политика конфиденциальности на сайте должна включать раздел о трансграничной передаче с указанием получателя (Google LLC, США), цели и мер защиты. Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП: 30 000 – 60 000 ₽.

Шаг 5. Оцените альтернативы GA4 для снижения рисков

Среди технических альтернатив, снижающих регуляторный риск: серверная аналитика с хранением данных в России (Яндекс Метрика с включённым режимом обезличивания, self-hosted Matomo на российском хостинге). Яндекс Метрика работает на серверах в РФ и не требует уведомления РКН о трансграничной передаче.

Если бизнес-процессы требуют сохранения GA4 (например, интеграция с Google Ads), минимизируйте передаваемые данные: отключите Google Signals, не передавайте User ID в явном виде, используйте режим согласия (Consent Mode v2) с параметром denied до получения согласия пользователя.

Что подготовить для соответствия требованиям

  • Акт классификации ИСПДн с указанием уровня защищённости (УЗ-3 или УЗ-4) по ПП РФ №1119.
  • Уведомление о намерении обрабатывать ПДн в реестре РКН (ст. 22 ФЗ-152) — при отсутствии.
  • Уведомление о трансграничной передаче в США через pd.rkn.gov.ru (ст. 12 ФЗ-152).
  • Политика конфиденциальности с разделом о cookies и трансграничной передаче (ч. 2 ст. 18.1 ФЗ-152).
  • Баннер согласия на cookies с журналом фиксации согласий и механизмом отзыва.

Шаг 6. Настройте Consent Mode v2 и проверьте интеграции

Google Consent Mode v2 позволяет блокировать передачу данных в GA4 до получения согласия пользователя. По умолчанию параметры analytics_storage и ad_storage устанавливаются в denied. После согласия в баннере — меняются на granted. Это технически соответствует требованию обрабатывать cookies только при наличии согласия.

Проверьте дополнительные интеграции: Meta Pixel, TikTok Pixel, Criteo и прочие рекламные теги также передают данные за рубеж. Каждая интеграция — отдельное основание для уведомления РКН. Если тегов несколько — подаётся одно консолидированное уведомление с перечислением всех получателей.

Шаг 7. Выстройте процедуру реагирования на запросы субъектов

Пользователь вправе потребовать прекращения обработки его ПДн, в том числе через cookies. По ст. 20 ФЗ-152 оператор обязан ответить на запрос субъекта в течение 10 рабочих дней (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Для отзыва подписки на email-рассылку достаточно ссылки в каждом письме — её отсутствие создаёт риск по ст. 18 ФЗ «О рекламе».

Создайте внутренний регламент: кто принимает запросы субъектов, в какой срок передаёт ответственному по ст. 22.1 ФЗ-152, как фиксируется отзыв согласия в CRM. Этот регламент входит в ОРД и проверяется при плановой проверке РКН.

Типовые ситуации для маркетолога: сценарии и риски

Сценарий 1 — Сайт интернет-магазина с GA4 без баннера. Ситуация: на сайте установлен тег GA4 через GTM, баннера cookies нет, уведомление в РКН не подавалось. РКН проводит плановую проверку по индикатору риска (отсутствие в реестре операторов). Инспектор фиксирует два нарушения: необработанная обязанность по уведомлению (ч. 10 ст. 13.11 КоАП) и обработка ПДн без согласия (ч. 2 ст. 13.11). Суммарный штраф — от 400 000 до 1 000 000 ₽. Стратегия: до прихода РКН — подать оба уведомления и разместить баннер. При уже открытом деле — ходатайствовать о смягчении по ст. 4.1 КоАП (устранение нарушения до вынесения постановления).

Сценарий 2 — Маркетплейс-продавец передаёт ПДн покупателей в CRM с EU-хостингом. Ситуация: маркетолог продавца на маркетплейсе выгружает данные заказов (ФИО, телефон, адрес) в HubSpot или Klaviyo, серверы которых в Европе. Европейские страны — в перечне адекватной защиты по актуальному приказу РКН, однако передача требует уведомления. Роль оператора закреплена за продавцом, а не маркетплейсом: маркетплейс является обработчиком по поручению в части хранения данных заказов, но продавец, самостоятельно экспортирующий данные в сторонний сервис, действует как самостоятельный оператор. Стратегия: проверить страну хранения, подать уведомление, зафиксировать поручение обработки.

Сценарий 3 — Email-рассылка без двойного opt-in и отзыва подписки. Ситуация: база собрана через форму на сайте без явной галочки согласия, письма рассылаются через платформу с EU-серверами. Жалоба одного подписчика в РКН запускает внеплановую проверку. РКН запрашивает доказательства согласия — их нет. Нарушение по ч. 2 ст. 13.11 (отсутствие согласия): 300 000 – 700 000 ₽. Стратегия: перейти на double opt-in, ввести ссылку отзыва в каждое письмо, сохранять логи согласий минимум 3 года.

Как это применяется на практике

Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, осень 2025) получил предписание РКН после плановой проверки: на сайте стоял GA4 и Meta Pixel, уведомлений о трансграничной передаче не было, политика конфиденциальности не содержала раздела о cookies. Маркетолог привлёк юристов до вынесения постановления. За 10 рабочих дней были поданы уведомления, обновлена политика и размещён баннер. РКН принял меры по устранению как смягчающее обстоятельство; штраф назначен по нижней границе ч. 1 ст. 13.11 — в пределах 150 000 ₽.

Кейс 2. SaaS-платформа для e-commerce (Северо-Западный ФО, начало 2026) использовала GA4 и Amplitude с хранением данных в США. После аудита выяснилось: в реестре операторов компания не значилась, в уведомлении о трансгранике был указан неполный перечень получателей. Юристы DATUM помогли скорректировать уведомление и выстроить Consent Mode v2. Повторная проверка нарушений не выявила.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН с 2024 года — да, если cookie-файл содержит уникальный идентификатор, позволяющий прямо или косвенно идентифицировать физическое лицо. Это относится к _ga, Client ID и User ID в GA4. Техническое обслуживание сессии (session cookie без идентификатора) под это определение обычно не подпадает, однако граница нечёткая: безопаснее проводить оценку по конкретному набору cookies на сайте.

2. Можно ли использовать GA4 после ограничений?

Прямого запрета GA4 в России нет. Использование законно при выполнении трёх условий: уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152, информированное согласие пользователя через баннер до инициализации тега, включение Consent Mode v2 с denied по умолчанию. Без этих мер использование GA4 создаёт риск штрафа по ч. 1 и ч. 8 ст. 13.11 КоАП в совокупности до 6,3 млн ₽.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс — оператор в отношении данных, которые он собирает и хранит для обеспечения функционирования платформы (регистрация, заказы, доставка). Продавец становится самостоятельным оператором в момент, когда получает данные покупателей и обрабатывает их в своих системах: CRM, email-платформа, рекламные кабинеты. Разграничение закреплено в ст. 6 ФЗ-152: поручение обработки возможно, но ответственность за соблюдение требований несёт каждый оператор самостоятельно.

4. Что грозит за отсутствие баннера cookies?

Отсутствие механизма получения согласия на обработку cookies квалифицируется как обработка ПДн без согласия субъекта. По ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025 штраф для юридического лица — 300 000 – 700 000 ₽. При повторном нарушении (ч. 2.1) — 1 000 000 – 1 500 000 ₽. Дополнительно — штраф за отсутствие политики конфиденциальности по ч. 3 ст. 13.11: 30 000 – 60 000 ₽.

5. Как оформить отзыв подписки?

Отзыв согласия на email-рассылку должен быть технически простым: ссылка «Отписаться» в каждом письме, обрабатываемая автоматически или не позднее 10 рабочих дней с момента запроса. После отзыва данные прекращают использоваться для рассылки; при отсутствии иных оснований обработки — уничтожаются. Факт отзыва и дата фиксируются в CRM. Отсутствие механизма отзыва нарушает ч. 2 ст. 9 ФЗ-152 и создаёт риск по ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта): 50 000 – 90 000 ₽.

Итог

GA4 в конфигурации по умолчанию — это трансграничная передача ПДн в США без надлежащего уведомления РКН и без согласия пользователей. Семь шагов выше закрывают регуляторный риск системно: от классификации данных до настройки Consent Mode и регламента обработки запросов субъектов. Совокупный штраф при выявлении всех нарушений одновременно — от 450 000 до 7 000 000 ₽ в зависимости от масштаба сайта.

Практика DATUM по цифровым продуктам и e-commerce охватывает полный цикл: аудит cookies-стека, подготовку уведомлений РКН о трансграничной передаче, сборку ОРД и сопровождение проверок для интернет-магазинов, маркетплейсов и SaaS-платформ.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), политики конфиденциальности для маркетплейсов.

10 февраля 2029 года