Нынешняя редакция ст. 12 Закона № 152-ФЗ «О персональных данных» действует с 01.03.2023. Статья регламентирует трансграничную передачу персональных данных. В настоящее время актуальности данной теме добавляет то, что с 30.05.2025 в ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» Кодекса Российской Федерации об административных правонарушениях (КоАП РФ) вносятся изменения, значительно увеличивающие штрафы за нарушения в сфере обработки персональных данных (ПДн).
Суммы штрафов возросли в абсолютных величинах, а также введены так называемые «оборотные» штрафы, которые рассчитываются в процентном отношении к выручке компании-нарушителя за предшествующий календарный год.
Тема видов нарушений при обработке персональных данных весьма обширна, включая нарушения при трансграничной передаче данных. Здесь коснемся аспекта, не вполне очевидного для операторов персональных данных, а именно, той обработке, которой подвергаются данные на сайтах компаний.
На практике является нормой размещать на своих сайтах положения о Политике конфиденциальности (может именоваться «Политикой обработки и защиты персональных данных» или иным подобным образом) и Пользовательское соглашение, к которым посетитель сайта присоединяется и принимает их, оставаясь на сайте, оставляя какую-либо отметку в соответствующей плашке и т.п.
Вместе с тем, на большинстве сайтов автоматически может осуществляться трансграничная передача персональных данных посетителей. Происходит это, в частности, при использовании сервиса Google Analytics.
В середине января 2025 года стала поступать информация, что Роскомнадзор (РКН) начал оправлять письма-требования владельцам сайтов, которые используют Google Analytics. Сообщения начали поступать крупным сайтам, СМИ-изданиям и интернет-магазинам.
Это связано с тем, что обработка персональных данных пользователей с помощью Google Analytics является трансграничной передачей данных на территорию иностранного государства. Именно поэтому владелец сайта должен уведомить РКН об использовании Google Analytics.
Важно понимать, что Роскомнадзор не запрещает использовать Google Analytics, а лишь требует от владельцев сайтов проинформировать ведомство о его использовании.
Согласно закону, нельзя передавать ПД (т.е. использовать Google Analytics) до того, как подано уведомление. Учитывая, что Google Analytics используется всеми и повсеместно, алгоритм действий, которые необходимо предпринять, выглядит следующим образом:
Нужно удалить код Google Analytics со своего ресурса.
Далее владельцу сайта на сайте РКН нужно заполнить уведомление о намерении осуществлять трансграничную передачу ПДн.
Рассмотрение уведомления занимает около 10 рабочих дней. РКН может разрешить использование Google Analytics или запретить.
Еще одним требованием Роскомнадзора является необходимость информировать аудиторию сайта об использовании Яндекс Метрики и Google Analytics.
На сайтах нужно разместить форму согласия посетителей на обработку ПДн с использованием Яндекс Метрики и Google Analytics. Эта же информация должна быть указана в документе, определяющем Политику оператора в отношении обработки персональных данных посетителей сайта.
Начать дискуссию