Новый закон №420-ФЗ: «Оборотные» штрафы за утечку персональных данных и запрет Google-сервисов без уведомления

[Ryancoolround]

С 30 мая 2025 года в Российской Федерации вступает в силу закон №420-ФЗ, который вносит серьёзные изменения в сферу защиты персональных данных. Одним из ключевых положений нового закона стало введение «оборотных» штрафов за утечку персональных данных. Это означает, что размер санкций теперь будет зависеть от дохода организации, а не только от количества пострадавших лиц или тяжести нарушения.

Что считается утечкой персональных данных?

Под утечкой закон понимает:

• передачу,
• предоставление,
• распространение,
• открытие доступа

...персональных данных третьим лицам без законных оснований, в том числе при трансграничной передаче данных, например, при использовании Google-сервисов.

Google Analytics и Google Формы под запретом без уведомления

С января 2025 года Роскомнадзор обязал владельцев сайтов, которые используют Google Analytics, Google Формы, Firebase и другие зарубежные инструменты, передающие данные за пределы РФ, уведомлять ведомство об этом. Это требование вытекает из положений Федерального закона №152-ФЗ «О персональных данных», а также учитывает практику международной передачи данных.

Почему Google-сервисы под запретом?

Сервисы Google, по своей сути, передают собранные данные (включая IP-адреса, cookie, поведенческую аналитику) на серверы, находящиеся за пределами России. Таким образом, происходит трансграничная передача персональных данных, что требует соблюдения дополнительных условий:

1. Уведомление Роскомнадзора.
2. Получение явного согласия от пользователя.
3. Гарантии со стороны принимающей стороны (в данном случае Google), соответствующие российским требованиям по защите ПД.

Штрафы за нарушения: что грозит владельцам сайтов?

За утечку персональных данных (закон №420-ФЗ):

• Физические лица: от 100 000 до 200 000 рублей;
• Должностные лица: от 200 000 до 400 000 рублей;
• Юридические лица и ИП: от 3 до 5 миллионов рублей (оборотные штрафы могут быть выше, в зависимости от доходов).

За использование Google-сервисов без уведомления и согласия (п. 8 ст. 13.11 КоАП РФ):

• Физические лица: от 30 000 до 50 000 рублей;
• ИП: от 100 000 до 200 000 рублей;
• Юридические лица: от 1 до 6 миллионов рублей; при повторном нарушении — до 18 миллионов.

Алгоритм действий для владельцев сайтов

Если ваш сайт использует Google Analytics, Google Forms или другие зарубежные сервисы аналитики/обработки данных, необходимо предпринять следующие шаги:

1. Удалите код Google Analytics и других сервисов

Удалите все фрагменты кода отслеживания с вашего сайта (включая встраиваемые формы, iframe, JavaScript-библиотеки и SDK, если речь идёт о мобильных приложениях).

2. Уведомите Роскомнадзор

Перейдите на сайт Реестра операторов ПДн и:

• Войдите в личный кабинет организации;
• Подайте уведомление о прекращении трансграничной передачи данных, если вы ранее передавали их за рубеж;
• Либо подайте новое уведомление о трансграничной передаче, если хотите использовать эти сервисы легально.

Срок рассмотрения уведомления — до 10 рабочих дней.

3. Обновите политику конфиденциальности

Внесите в Политику конфиденциальности сайта следующие элементы:

• Указание на использование аналитических сервисов (Яндекс.Метрика, Google Analytics и др.);
• Перечень данных, собираемых этими сервисами;
• Ссылки на политики конфиденциальности сторонних сервисов;
• Подробности о трансграничной передаче данных.

4. Реализуйте форму согласия на обработку персональных данных

Создайте и внедрите всплывающее окно или форму, в которой пользователь подтверждает согласие на:

• обработку ПДн,
• передачу ПДн третьим лицам,
• трансграничную передачу (если актуально).

Форма должна быть реализована до начала сбора любых данных (cookie, IP, логов поведения).

5. Уведомите пользователей об аналитике

На основании ч. 1 ст. 9 152-ФЗ и п. 18 условий использования Яндекс.Метрики и AppMetrica, необходимо:

• Явно указать, что на сайте ведётся аналитика;
• Обеспечить возможность отказа от сбора данных (например, через механизм opt-out);
• Указать контактные данные для отзыва согласия и получения информации.

Заключение

Роскомнадзор не запрещает использовать зарубежные сервисы аналитики, но требует строгого соблюдения законодательства. Игнорирование новых требований чревато не только штрафами, но и блокировкой ресурса.

Рекомендация: владельцам сайтов, которые не имеют юридического отдела, целесообразно полностью отказаться от Google-сервисов в пользу российских аналогов, либо проконсультироваться с юристом для корректного оформления передачи данных и получения согласий.