Можно ли использовать Google Analytics в России в 2026 году

11 мин
google analyticsперсональные данные152-фзтрансграничная передачалокализацияаналитика
Можно ли использовать Google Analytics в России в 2026 году, обложка статьи sitelaw

Google Analytics не запрещён в России отдельным законом, и отсюда вся путаница. Кто-то слышал краем уха, что GA «нельзя», но всё равно оставляет счётчик и считает вопрос закрытым. Кто-то, наоборот, в панике сносит его и теряет аналитику, толком не понимая, что именно нарушал. Правда где-то посередине: прямого запрета нет, но GA создаёт два правовых риска по 152-ФЗ, за которые штрафуют. Ниже разберём, в чём риск, какой штраф предусмотрен и чем закрыть аналитику без него.

Почему Google Analytics попадает под закон о персональных данных

На вид счётчик безобиден: считает визиты, источники трафика, поведение на страницах. Но вместе с этой вроде бы обезличенной статистикой скрипт Google собирает то, что Роскомнадзор и сложившаяся практика относят к персональным данным: IP-адрес, идентификаторы cookie, технические метки устройства. По отдельности это, конечно, не паспорт. А вот в совокупности они позволяют выделить конкретного пользователя, а значит подпадают под определение персональных данных.

Как только сайт собирает такие данные, его владелец становится оператором персональных данных. Порога по размеру бизнеса или организационной форме здесь нет: оператор и крупная компания, и самозанятый с одностраничником, если на странице стоит аналитический счётчик. С этого момента к обработке применяются все требования 152-ФЗ, и часть из них GA нарушает чуть ли не по умолчанию.

Главное отличие GA от российских счётчиков в том, что данные уходят на серверы Google за пределы России. Скрипт на вашей странице отправляет собранное вовне, в зарубежную инфраструктуру. Этот поток наружу и порождает два риска, о которых дальше.

Снимем ещё одно заблуждение. Часто думают, что под закон попадает только сайт с формой заявки или регистрацией, а простой счётчик это «техническая статистика», к персональным данным отношения не имеющая. Это не так. Закон смотрит не на то, как вы называете данные, а на то, можно ли по ним выделить конкретного человека. Связка из IP-адреса, идентификатора cookie и поведения на сайте такую возможность даёт. Поэтому сбор аналитики это обработка персональных данных даже без единой формы на странице.

Риск первый: трансграничная передача данных

Когда GA-скрипт отправляет данные посетителей на серверы Google за рубежом, это трансграничная передача персональных данных в смысле закона. Поток идёт от оператора (вашего сайта) вовне, в иностранную юрисдикцию, и это именно та ситуация, которую регулирует статья 12 152-ФЗ.

Закон не запрещает трансграничную передачу как таковую. Но он требует, чтобы оператор до начала такой передачи уведомил Роскомнадзор о намерении её осуществлять и соблюдал условия передачи. На практике почти ни один сайт малого бизнеса этого не делает. GA подключают одной строчкой кода и не задумываются, что юридически это запуск трансграничной передачи, для которого нужно предварительно уведомить регулятора.

Картину усложняет ещё и то, что серверы Google находятся в юрисдикции, которую относят к недружественным. Передачу это автоматически невозможной не делает, но повышает внимание регулятора и риск отказа в согласовании условий. Подробнее механику уведомления и согласования мы разобрали в материале о трансграничной передаче персональных данных.

Риск второй: локализация данных в России

Второй риск глубже, и устранить его сложнее. По части 5 статьи 18 152-ФЗ при сборе персональных данных граждан России, в том числе через интернет, оператор обязан вести запись, систематизацию, накопление, хранение, уточнение и извлечение этих данных в базах, расположенных на территории России. Это и есть требование локализации, действующее уже много лет.

У GA сбор устроен иначе. Первичная запись данных идёт сразу в зарубежную инфраструктуру Google. Тот самый момент, когда данные пользователя впервые фиксируются в базе, происходит за пределами России. С точки зрения локализации это и есть нарушение: первичная база находится не там, где требует закон.

В этом и есть принципиальная разница между трансграничной передачей и локализацией. Передачу теоретически можно легализовать через уведомление и соблюдение условий. А локализация требует, чтобы первичная база с данными россиян физически находилась в России, чего стандартный GA не обеспечивает в принципе. Поэтому для аналитики проще сразу взять сервис, который пишет данные в российские дата-центры.

Разберём на примере. Интернет-магазин подключил GA, чтобы видеть, с каких рекламных кампаний приходят покупатели. Посетитель из России открывает карточку товара, и в этот момент его IP-адрес и идентификатор cookie фиксируются и попадают в зарубежную базу Google. Первичная запись данных россиянина произошла за пределами страны, то есть нарушено требование локализации. Заодно состоялась и передача данных вовне, по которой Роскомнадзор не уведомлялся. Один безобидный счётчик задел сразу две нормы, и владелец магазина об этом, как правило, даже не подозревает.

Что считается локализацией и какие сервисы её нарушают, подробно разобрано в статье о локализации персональных данных.

Какой штраф предусмотрен

Здесь важно не пугать, а объяснить. За оба риска в статье 13.11 КоАП предусмотрены отдельные составы, и суммы зависят от того, что именно нарушено и кто оператор.

НарушениеНормаШтраф для юридического лица
Необеспечение локализации (хранение данных россиян за рубежом)часть 8 статьи 13.11 КоАПдо нескольких миллионов рублей по верхней границе
Неуведомление о намерении обрабатывать данные (включая трансграничный режим)часть 10 статьи 13.11 КоАПдо сотен тысяч рублей

Это вилка по КоАП, а не юридическое заключение: конкретный размер определяет орган с учётом обстоятельств. Самый чувствительный из этих составов это локализация: верхняя граница штрафа для компании по нему измеряется миллионами, тогда как за неуведомление штраф на порядок ниже.

Суммы заметно различаются по типу субъекта, и это важно для тех, кто читает статью не от лица компании. Один и тот же состав по части 8 статьи 13.11 КоАП для гражданина или самозанятого считается в десятках тысяч рублей, для должностного лица в сотнях тысяч, и только для юридического лица доходит до верхних миллионов из таблицы. Самозанятый с лендингом отвечает как гражданин, потому что он не образует юридического лица, и его вилка кратно ниже корпоративной. Это не повод считать риск несущественным: штраф в десятки тысяч для одного человека по чувствительности сопоставим с миллионами для компании, а сам факт нарушения фиксируется одинаково независимо от формы бизнеса.

Важная оговорка про подсчёт. Нарушение локализации это один состав на оператора в целом, а не отдельный штраф за каждый зарубежный сервис на сайте. Если на странице стоят и GA, и ещё какой-то иностранный счётчик, это не означает умножения суммы. Поэтому и считать риск нужно по сути, а не складывая страшные цифры по числу скриптов.

На практике стоит трезво смотреть и на вероятность. Регулятор не обходит сайты сплошным потоком, и сама по себе установка GA не означает, что штраф придёт завтра. Но всё меняется, когда сайт попадает в поле внимания: жалоба пользователя, проверка по отрасли, реакция на утечку у вас или у подрядчика. В такой момент иностранные счётчики видны сразу и однозначно, потому что они лежат прямо в коде страницы, без всякого доступа к внутренним системам. Это одно из самых заметных снаружи нарушений, поэтому его обычно закрывают заранее, а не после запроса.

Как проверить свой сайт

GA редко стоит на сайте в одиночестве. Чаще вместе с ним приходят рекламные пиксели, виджеты и сторонние скрипты, которые тоже отправляют данные посетителей вовне. Проверять стоит весь набор, а не только сам счётчик аналитики. Вот практический порядок самопроверки:

  1. Откройте исходный код главной и нескольких внутренних страниц и поищите подключения вида googletagmanager.com, google-analytics.com, gtag.
  2. Проверьте, нет ли рядом других зарубежных сервисов: рекламных пикселей, чат-виджетов, шрифтов и карт со сторонних доменов.
  3. Загляните в инструменты разработчика браузера, вкладку сети, и посмотрите, на какие домены уходят запросы при загрузке страницы.
  4. Сопоставьте найденное с тем, подавали ли вы уведомление в Роскомнадзор и где физически хранятся собранные данные.

Пройти этот путь по каждой странице вручную долго, особенно если на сайте не пара разделов. Увидеть все иностранные сервисы разом проще автоматически. На странице проверки сайта на соответствие требованию локализации сканер находит подключённые внешние счётчики и сервисы и показывает, где данные уходят за пределы России. Индивидуальную правовую оценку это не заменит, но подскажет, с какого скрипта начинать.

Чем заменить Google Analytics в России

Хорошая новость: отказ от GA не означает отказа от аналитики. Для большинства задач (источники трафика, поведение пользователей, конверсии, карты кликов) есть российские решения, которые пишут данные в дата-центры внутри страны и закрывают вопрос локализации на уровне инфраструктуры.

Скажем честно, что при переходе теряется, а что нет. Базовая веб-аналитика переезжает почти без потерь: посещаемость, источники переходов, поведение на страницах, цели и конверсии есть и в российских счётчиках, а карты кликов и записи сессий местами даже подробнее, чем в стандартном GA. По-настоящему теряется сквозная связка с экосистемой Google: единый кабинет с Google Ads, отчёты по кампаниям Google и привычные модели атрибуции из этой связки. Если рекламный бюджет в основном крутится в Яндексе и на российских площадках, потерю почти не замечаешь, потому что российский счётчик стыкуется с ними нативно. А если заметная часть рекламы шла через Google, перестраивать придётся не только аналитику, но и сам рекламный контур, и это уже отдельная задача за рамками вопроса о локализации.

Базовый сценарий замены выглядит так:

  1. Подключите Яндекс Метрику как основной счётчик. По функциональности она перекрывает большинство сценариев GA, а данные хранятся в российской инфраструктуре, что снимает риск локализации.
  2. Снимите со страниц старый код GA целиком, не оставляя «на всякий случай»: пока скрипт грузится, передача данных продолжается.
  3. Проверьте, что вместе с GA ушли и связанные с ним подключения, например Google Tag Manager, если он использовался только под аналитику.
  4. Настройте корректный сбор согласия на счётчики до их загрузки. По позиции Роскомнадзора и сложившейся практике аналитические скрипты не должны срабатывать до получения согласия посетителя.

Последний пункт касается уже не выбора счётчика, а порядка его подключения. Как именно выстроить загрузку счётчиков после согласия, мы разобрали в материале о порядке подключения счётчиков аналитики. Сам по себе переход на российский сервис снимает риск локализации, но не отменяет требований к согласию и к политике обработки данных.

Отдельно про исторические данные. При переходе нет смысла пытаться «перенести» накопленную статистику из GA в российский счётчик: это разные системы, а юридический риск создаёт именно живой сбор, а не старые отчёты. Достаточно выгрузить нужные исторические сводки из GA для внутреннего пользования, а на сайте оставить только тот счётчик, который соответствует требованиям. Чем дольше старый код висит на страницах рядом с новым, тем дольше тянется и риск, поэтому переключаться лучше одним шагом, а не растягивать на месяцы «переходного периода».

Частые вопросы

Правда ли, что Google Analytics запрещён в России?

Нет. Прямого закона, который называл бы GA запрещённым, не существует. Дело не в самом сервисе, а в том, что его стандартная работа нарушает требование локализации данных и запускает трансграничную передачу без уведомления регулятора. Юридически корректно говорить не «запрещён», а «создаёт риски по 152-ФЗ».

Поможет ли анонимизация IP в настройках GA?

Анонимизация IP снимает один аспект риска, но не закрывает его целиком. Данные всё равно собираются и пишутся в зарубежную инфраструктуру, поэтому требование локализации остаётся нарушенным. Галочка в интерфейсе сервиса не меняет того, где физически находится первичная база данных.

Можно ли оставить GA, если просто уведомить Роскомнадзор?

Уведомление закрывает вопрос уведомительного режима по трансграничной передаче, но не решает проблему локализации: первичный сбор данных россиян всё равно идёт в зарубежную базу. Поэтому уведомление само по себе не делает использование GA полностью безрисковым.

Касается ли это самозанятого с одностраничным сайтом?

Да. Оператором персональных данных становится любой, кто через сайт собирает данные посетителей, независимо от формы бизнеса. Самозанятый со счётчиком на лендинге это такой же оператор, к нему применяются те же требования, хотя размеры штрафов для граждан ниже, чем для компаний.

Коротко

Google Analytics не запрещён в России отдельным законом, но создаёт два реальных риска по 152-ФЗ: трансграничную передачу данных без уведомления Роскомнадзора (статья 12) и нарушение локализации, поскольку первичный сбор идёт в зарубежные базы (часть 5 статьи 18). За локализацию предусмотрен самый чувствительный штраф из этих составов, до нескольких миллионов рублей для юрлица по верхней границе; это вилка по КоАП, а не приговор. Снять риск проще всего переходом на российский счётчик, который хранит данные внутри страны, и корректной настройкой согласия. Проверить, какие иностранные сервисы стоят на вашем сайте, можно вручную через код страницы или автоматическим сканом.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 12, трансграничная передача персональных данных: оператор до начала такой передачи обязан уведомить Роскомнадзор о намерении её осуществлять и соблюсти условия передачи.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 5 статьи 18, при сборе персональных данных граждан РФ, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение этих данных в базах, находящихся на территории РФ (с ограниченными исключениями).
  • КоАП РФ, часть 8 статьи 13.11, невыполнение оператором при сборе персональных данных граждан РФ обязанности обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение этих данных в базах на территории РФ; влечёт административный штраф, для юридических лиц по верхней границе до нескольких миллионов рублей.
  • КоАП РФ, часть 10 статьи 13.11, неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных (уведомительный режим, в который входит и трансграничная передача) влечёт административный штраф.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также