Google Analytics и 152-ФЗ: штраф до 700 000 ₽ в 2026 году
Google Analytics установлен на большинстве российских сайтов — и большинство из них нарушают 152-ФЗ. Разбираем, почему это нарушение, как РКН об этом узнаёт и что с этим делать.
Почему Google Analytics нарушает 152-ФЗ?
Федеральный закон № 152-ФЗ «О персональных данных» запрещает передавать персональные данные российских граждан иностранным компаниям без явного письменного согласия субъекта.
Google Analytics нарушает этот закон сразу по нескольким основаниям:
- Передача данных Google LLC (США) — IP-адрес, User-Agent, поведение на сайте являются персональными данными по смыслу закона
- Запуск до согласия пользователя — скрипт
gtag.jsобычно запускается при загрузке страницы, до любого взаимодействия - Хранение данных за рубежом — данные аналитики хранятся на серверах Google в США, ЕС и других странах
- Нет механизма отзыва согласия — пользователь не может отозвать ранее данное согласие через интерфейс сайта
По разъяснениям РКН, IP-адрес в совокупности с другими данными (временем визита, устройством, поведением) позволяет идентифицировать пользователя — и потому является персональными данными. Достаточно одного этого факта.
Как РКН проверяет сайты?
Роскомнадзор выявляет нарушения тремя способами:
- Жалобы пользователей — любой посетитель вашего сайта может подать жалобу через форму на сайте РКН. Проверка начинается в течение 30 дней
- Плановые проверки — РКН ежегодно утверждает план проверок операторов ПД. Интернет-магазины и сервисы с регистрацией проверяются в первую очередь
- Автоматический мониторинг — с 2024 года РКН использует автоматические инструменты сканирования сайтов на наличие иностранных трекеров
Конкурент, недовольный клиент или просто активный пользователь может подать жалобу на ваш сайт через gosuslugi.ru или сайт РКН — приложив скриншот с открытыми DevTools, где видны запросы к google-analytics.com.
Штраф за Google Analytics без согласия
За обработку персональных данных без согласия субъекта (ч. 2 ст. 13.11 КоАП) предусмотрен штраф:
- для должностных лиц — от 20 000 до 40 000 ₽
- для юридических лиц — от 100 000 до 700 000 ₽
- при повторном нарушении — от 300 000 до 1 500 000 ₽
Реальные кейсы штрафов
Использование GA4 без cookie-баннера. Жалоба от пользователя, подтверждена сетевыми логами. Штраф назначен по ч. 2 ст. 13.11 КоАП. Источник: реестр решений РКН, 2024.
Плановая проверка выявила GTM с GA и Facebook Pixel без согласия. Дополнительно — сервер в Германии. Совокупный штраф по двум статьям. Источник: решение суда, 2025.
Первый штраф был выписан в 2024 году. Нарушение не устранили — GA остался активным. При повторной проверке в 2025 году назначен штраф по повышенной ставке. Источник: судебная практика.
Как устранить нарушение: 4 шага
-
Добавьте cookie-баннер с условной загрузкой
— Google Analytics должен запускаться только после явного согласия. Скрипт нельзя вставлять напрямую в
<head> - Настройте IP-анонимизацию — в GA4 активируйте анонимизацию IP через настройки. Это снижает риск, хотя не устраняет нарушение полностью
- Обновите Политику конфиденциальности — добавьте раздел о передаче данных Google LLC, цели обработки и механизм отзыва согласия
- Рассмотрите переход на российские аналоги — Яндекс.Метрика (при правильной настройке) или Roistat хранят данные в России
Российские альтернативы Google Analytics
| Инструмент | Хранение данных | Стоимость |
|---|---|---|
| Яндекс.Метрика | Россия | Бесплатно |
| Roistat | Россия | от 3 900 ₽/мес |
| Comagic | Россия | от 1 500 ₽/мес |
| Matomo (self-hosted) | Ваш сервер | Бесплатно |
| Plausible (EU) | ЕС | от $9/мес |
Переход на Яндекс.Метрику не освобождает от обязанности получить согласие, особенно если включён WebVisor. Данные хранятся в России — это плюс, но cookie-баннер всё равно нужен.
Проверьте, работает ли GA на вашем сайте без согласия
Сканер проверит запросы к Google Analytics, Яндекс.Метрике и другим трекерам за 60 секунд.
Проверить сайт бесплатно →