Используете Google Tag Manager? Вы уже нарушаете закон

С 1 июля 2025 года вы обязаны обеспечить локализацию персональных данных на территории РФ. Это не рекомендация и не пожелание — это требование закона. Любое отклонение трактуется как нарушение, за которое предусмотрены миллионные штрафы, блокировки сайта и суды.

Вы думаете, что, используя Google Tag Manager, просто собираете данные о посетителях сайта? На самом деле, вы уже нарушаете закон.
При каждом посещении пользователя на сайт с GTM происходит автоматическая передача данных на сервера в США. Это:

• Трансграничная передача персональных данных
• Включая местоположение, действия на сайте, ID-устройства, поведенческие данные

Все это по мнению Роскомнадзора, является нарушением законодательства РФ:

• Официальная позиция изложена в письме Роскомнадзора № 08-13091 от 20.10.2023
• Нормативная база: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

По закону, вы обязаны локализовать все персональные данные в России и не передавать их за границу без жёсткого соблюдения условий. Используя GTM, вы игнорируете это требование.

А так же:

• Проверки и блокировки. Роскомнадзор уже использует автоматические алгоритмы для сканирования сайтов на наличие запрещённых трекеров. Обнаружили GTM — ждите внеплановой проверки, предписаний и риска блокировки ресурса
• Жалобы пользователей. Любой пользователь может запросить, кому передаются его персональные данные. Увидел передачу в США — отправил жалобу. После этого административное дело, судебные разбирательства, предписания, штрафы, компенсации пострадавшим
• Невозможность удалить данные. Google не подчиняется российскому законодательству. Если данные ушли, вы их не вернёте и не удалите. А Роскомнадзор, согласно письму № 08−13 091 от 20.10.2023, потребует это сделать
• Репутационные потери, юридические последствия, потеря доверия со стороны партнёров и клиентов, токсичность бренда
• Юридическая незащищённость. Ни один юрист не сможет доказать, что вы соблюдаете закон, если данные попадают за границу через GTM. В глазах контролирующих органов вы будете нарушителем

• Уведомить Роскомнадзор о планируемой трансграничной передаче
• Принять риск, что Роскомнадзор передачу запретит, а данные уже ушли, и вы оказываетесь в ситуации, когда нарушения зафиксированы, а исправить уже невозможно
• Получать явное согласие каждого пользователя на передачу данных за рубеж, причём до начала сбора данных. Это значит: переделка баннеров, переписывание политики конфиденциальности и cookie, обновление внутренних регламентов и договоров

Иначе: штрафы, блокировки, проверки и реальная угроза бизнесу.

1. Уведомить необходимо до начала трансграничной передачи персональных данных, это прямо установлено Законом о персональных данных. Если вы уже используете GTM, но еще не подали уведомление — вы нарушаете закон.

2. Подать уведомление можно электронно на официальном сайте Роскомнадзора или на бумажном носителе.

3. Электронное уведомление подается по форме и содержанию, установленному требованиями закона. Здесь можно ознакомиться с формой уведомления о трансграничной передаче данных.

4. Роскомнадзор может принять решение о разрешении, об ограничении или запрете трансграничной передачи персональных данных. О своем решении Роскомнадзор сообщит в течение 10 рабочих дней с даты подачи уведомления.

5. Если трансграничная передача персональных данных будет ограничена или запрещена, необходимо будет потребовать от Google удаления полученных персональных данных. На практике нет данных о том, что это требование когда-то соблюдалось.

6. Требует отдельного внимания тот факт, что перед подачей уведомления от Google необходимо будет получить массу информации — о мерах по защите передаваемых персональных данных и об условиях прекращения их обработки, номера контактных телефонов, почтовые адреса и адреса электронной почты Google. Получить такие сведения может быть затруднительно

Все усугубиться, если вы еще не зарегистрировались в реестре операторов персональных данных. Только операторы персональных данных могут осуществлять трансграничную передачу персональных данных. За неуведомление РКН о начале обработки персональных данных предусмотрен штраф – до 300 000 рублей.

Подать одним из трех способов:

1. Распечатать и подать в бумажном виде в территориальное отделение Роскомнадзора по месту своей регистрации
2. Через сайт Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью. У оператора должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним
3. Через Госуслуги. Для этого нужна подтвержденная учетная запись. Если подается уведомление за организацию, то учетная запись должна быть привязана к данной организации на портале Госуслуг

Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных.

Информацию необходимо поддерживать в актуальном состоянии.

Решение есть — это полный отказ от GTM и переход на российский аналог, который:

• Зарегистрирован в реестре отечественного ПО и Роспатенте, имеющий полное соответствие 152-ФЗ
• Имеет локализованные в РФ сервера и подконтрольные дата-центры, обеспечивающий безопасность и доступность