11.06.2025

Используете Google Tag Manager? Вы уже нарушаете закон

Содержание

С 1 июля 2025 года вы обязаны обеспечить локализацию персональных данных на территории РФ. Это не рекомендация и не пожелание — это требование закона. Любое отклонение трактуется как нарушение, за которое предусмотрены миллионные штрафы, блокировки сайта и суды.

С 1 июля 2025 года использование Google Tag Manager — прямая угроза вашему бизнесу

Вы думаете, что, используя Google Tag Manager, просто собираете данные о посетителях сайта? На самом деле, вы уже нарушаете закон.
При каждом посещении пользователя на сайт с GTM происходит автоматическая передача данных на сервера в США. Это:

  • Трансграничная передача персональных данных
  • Включая местоположение, действия на сайте, ID-устройства, поведенческие данные
Все это по мнению Роскомнадзора, является нарушением законодательства РФ:

По закону, вы обязаны локализовать все персональные данные в России и не передавать их за границу без жёсткого соблюдения условий. Используя GTM, вы игнорируете это требование.

Что вам грозит за использование Google Tag Manager сегодня?

Штрафы за каждое нарушение:
  • до 300 000 ₽ — за трансграничную передачу без уведомления Роскомнадзора
  • до 6 000 000 ₽ — за отсутствие локализации персональных данных
  • до 50 000 000 ₽ — если Google не удалит данные по вашему запросу
  • до 15 000 000 ₽ — если произошла утечка данных при посещаемости от 100 000 пользователей
А так же:

  • Проверки и блокировки. Роскомнадзор уже использует автоматические алгоритмы для сканирования сайтов на наличие запрещённых трекеров. Обнаружили GTM — ждите внеплановой проверки, предписаний и риска блокировки ресурса
  • Жалобы пользователей. Любой пользователь может запросить, кому передаются его персональные данные. Увидел передачу в США — отправил жалобу. После этого административное дело, судебные разбирательства, предписания, штрафы, компенсации пострадавшим
  • Невозможность удалить данные. Google не подчиняется российскому законодательству. Если данные ушли, вы их не вернёте и не удалите. А Роскомнадзор, согласно письму № 08−13 091 от 20.10.2023, потребует это сделать
  • Репутационные потери, юридические последствия, потеря доверия со стороны партнёров и клиентов, токсичность бренда
  • Юридическая незащищённость. Ни один юрист не сможет доказать, что вы соблюдаете закон, если данные попадают за границу через GTM. В глазах контролирующих органов вы будете нарушителем

Помимо всего необходимо:

  • Уведомить Роскомнадзор о планируемой трансграничной передаче
  • Принять риск, что Роскомнадзор передачу запретит, а данные уже ушли, и вы оказываетесь в ситуации, когда нарушения зафиксированы, а исправить уже невозможно
  • Получать явное согласие каждого пользователя на передачу данных за рубеж, причём до начала сбора данных. Это значит: переделка баннеров, переписывание политики конфиденциальности и cookie, обновление внутренних регламентов и договоров
Иначе: штрафы, блокировки, проверки и реальная угроза бизнесу.

Как уведомить Роскомнадзор о трансграничной передаче?

1. Уведомить необходимо до начала трансграничной передачи персональных данных, это прямо установлено Законом о персональных данных. Если вы уже используете GTM, но еще не подали уведомление — вы нарушаете закон.

2. Подать уведомление можно электронно на официальном сайте Роскомнадзора или на бумажном носителе.

3. Электронное уведомление подается по форме и содержанию, установленному требованиями закона. Здесь можно ознакомиться с формой уведомления о трансграничной передаче данных.

4. Роскомнадзор может принять решение о разрешении, об ограничении или запрете трансграничной передачи персональных данных. О своем решении Роскомнадзор сообщит в течение 10 рабочих дней с даты подачи уведомления.

5. Если трансграничная передача персональных данных будет ограничена или запрещена, необходимо будет потребовать от Google удаления полученных персональных данных. На практике нет данных о том, что это требование когда-то соблюдалось.

6. Требует отдельного внимания тот факт, что перед подачей уведомления от Google необходимо будет получить массу информации — о мерах по защите передаваемых персональных данных и об условиях прекращения их обработки, номера контактных телефонов, почтовые адреса и адреса электронной почты Google. Получить такие сведения может быть затруднительно
Все усугубиться, если вы еще не зарегистрировались в реестре операторов персональных данных. Только операторы персональных данных могут осуществлять трансграничную передачу персональных данных. За неуведомление РКН о начале обработки персональных данных предусмотрен штраф – до 300 000 рублей.

Что нужно чтобы подать уведомление о начале обработки персональных данных и попасть в реестр операторов персональных данных:

Подать одним из трех способов:

  1. Распечатать и подать в бумажном виде в территориальное отделение Роскомнадзора по месту своей регистрации
  2. Через сайт Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью. У оператора должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним
  3. Через Госуслуги. Для этого нужна подтвержденная учетная запись. Если подается уведомление за организацию, то учетная запись должна быть привязана к данной организации на портале Госуслуг
Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных.

Информацию необходимо поддерживать в актуальном состоянии.

Как избежать штрафов, блокировок и проверок?

Решение есть — это полный отказ от GTM и переход на российский аналог, который:

  • Зарегистрирован в реестре отечественного ПО и Роспатенте, имеющий полное соответствие 152-ФЗ
  • Имеет локализованные в РФ сервера и подконтрольные дата-центры, обеспечивающий безопасность и доступность

Андата Тег Менеджер — легальный, защищённый и безопасный

  • Зарегистрирован в реестре отечественного ПО и Роспатенте, соответствует требованиям российского законодательства и может использоваться без риска штрафов или санкций со стороны государственных органов
  • Включен в перечень операторов персональных данных, что гарантирует соблюдение норм Федерального закона № 152-ФЗ о защите персональных данных
  • Сервера Андата Тег Менеджер расположены на территории России, соблюдаются требования о локализации персональных данных. Андата Тег Менеджер использует два подконтрольных Tier3 дата-центра, расположенных в Москве, что обеспечивает высокий уровень доступности и защиты информации.
Для решения задачи разметки ценных событий в цифровом маркетинге на российском рынке существует бесплатная альтернатива — Андата Тег Менеджер. Этот инструмент был разработан в качестве замены GTM и предлагает широкие возможности для разметки данных, отслеживания событий и их передачи в другие системы. Он интегрирован в платформу Андата и способен работать в условиях строгих требований по защите данных, предусмотренных российским законодательством.
Читайте также