Иностранные сервисы vs. Закон о персональных данных: как маркетологу не попасть под штраф

С 30 мая 2025 года правила игры на рынке персональных данных меняются. И если раньше нарушения в этой области были скорее «бумажной проблемой», то теперь они вполне могут превратиться в штраф с шестизначной суммой или в блокировку вашего сайта. Особенно это касается тех, кто использует иностранные сервисы — от аналитики до облачных хранилищ и форм обратной связи.

Маркетологи сегодня как никто другой работают с данными: собирают заявки, отслеживают поведение пользователей, интегрируют CRM, запускают рекламу. Все это связано с обработкой персональной информации. И если данные при этом «утекают» за границу — вы в зоне риска. Даже если просто пользуетесь Google Forms или хостите сайт за пределами России.

Что изменилось в законе? Почему Google Analytics — теперь спорный выбор? Как понять, нарушаете ли вы что-то, даже не зная об этом? И главное — что делать, чтобы не попасть под горячую руку Роскомнадзора?

В этом материале разложим все по полочкам. Следующие разделы помогут вам провести экспресс-аудит своих цифровых активов, избежать распространенных ошибок и — главное — не оказаться среди тех, кто «не знал, что нарушал».

Главная перемена, с которой начинается новая реальность, — закон стал значительно жестче. Если раньше можно было «проскочить» на невнимательности или формальности, то с 30 мая 2025 года это больше не пройдет.

Вот основные изменения, которые напрямую касаются тех, кто работает с сайтами, собирает заявки, запускает аналитику или использует облачные сервисы.

1. Увеличились штрафы

И не просто увеличились, а стали действительно чувствительными для бизнеса. За отсутствие уведомления о передаче данных или неправильно оформленное согласие на обработку теперь можно получить штраф до 500 тысяч рублей за каждое нарушение.

2. Трансграничная передача под колпаком

Если персональные данные пользователей уходят за границу, вы обязаны уведомить Роскомнадзор и получить от него разрешение. Без этого — нарушение. А если передаете данные в страну, не включенную в «белый список» — могут вообще запретить такую передачу.

3. Ужесточились требования к согласию

Согласие пользователя теперь должно быть ясным, конкретным и свободным. Нельзя спрятать его в мелком шрифте. Должно быть четко указано: кто собирает данные, зачем, кому передает и на какой срок. Также нужно вставить ссылку на страницу Политики конфиденциальности и подтверждение согласия на обработку данных в формы связи. Это требование было и раньше, но теперь стоит проверить свои поп-апы.

4. Больше контроля со стороны Роскомнадзора

Регулятор усиливает надзор и выходит на проактивные проверки. В фокусе — сайты, приложения, рекламные платформы. В зоне особого внимания — трансграничка и использование западных сервисов без должной юридической базы.

5. В зоне риска — все, что связано с маркетингом

Если вы:

• используете формы заявок на сайте;
• работаете с аналитикой (GA, пиксели, скрипты);
• отправляете данные в сторонние сервисы;
• храните информацию на зарубежном хостинге

— значит, у вас почти наверняка есть контакт с персональными данными, и вы обязаны соблюдать новые правила.

Сложность новой реальности — в том, что нарушить закон можно… даже не подозревая об этом. Многие действия, привычные для любого маркетолога, автоматически становятся юридически значимыми с точки зрения Закона о персональных данных. И если вы до сих пор считаете, что «мы же ничего такого не собираем», — самое время проверить, так ли это.

Вот основные зоны риска, на которые стоит обратить внимание в первую очередь.

1. Формы на сайте

Google Forms, Typeform, даже простая HTML-форма на лендинге — все это точки сбора персональных данных. Как только вы спрашиваете имя, телефон, email или любую другую информацию, позволяющую идентифицировать человека, вы становитесь оператором персональных данных. А если форма отправляет данные в иностранный сервис — это уже трансграничная передача.

2. Системы аналитики

Скрипты аналитики собирают поведение пользователя: от геолокации и IP-адреса до устройства, кликов и сессий. Это тоже персональные данные, особенно в совокупности. Многие популярные инструменты (вроде GA) передают эти данные на сервера в США — а значит, работают с риском.

3. Хостинг и домен

Классическая история: сайт хостится за границей, а маркетолог даже не знает, где физически находятся серверы. Между тем по закону персональные данные граждан РФ должны храниться на территории РФ, если нет специального основания. Особенно если речь о CMS с БД (например, заявками в WordPress).

4. Документы и автоматизация

Файлы, хранящиеся в Google Docs, Trello, Airtable или других облачных системах тоже могут содержать персональные данные (например, выгрузки из CRM, анкеты, заявки, лиды). Автоматизация через Zapier или Make часто передает данные «по цепочке», а это уже рисковый процесс.

Многие западные инструменты давно стали стандартом в маркетинге — Google Analytics, HubSpot, Notion, Mailchimp, Google Docs, облачные CRM. Они удобны, привычны и иногда бесплатны. Но вот в чем проблема: почти все они работают через серверы за пределами России, а значит, с точки зрения закона вы осуществляете трансграничную передачу персональных данных. И именно тут начинается зона турбулентности.

Как данные «уезжают» за границу

Вы можете даже не догадываться, что это происходит. Вот типичные каналы передачи:

• Счетчики аналитики и рекламные пиксели (Google, Facebook, TikTok)
• Формы обратной связи и квизы на зарубежных платформах
• Облачные таблицы и базы данных (Google Sheets, Airtable)
• Email-рассылки через иностранные сервисы
• Интеграции и API, подключенные через сторонние платформы

И даже если данные «не видны» вам напрямую — они все равно передаются и обрабатываются. Закон это учитывает.

Что с точки зрения закона считается нарушением

• Отправка данных без уведомления Роскомнадзора
• Использование сервисов, которые передают данные в «недружественные» страны (например, США, Канада, Австралия)
• Отсутствие понятного согласия пользователя
• Передача без правовой основы (договоров, соглашений, дополнительных гарантий безопасности)

Почему это действительно риск, а не формальность

В Европе уже были громкие кейсы — например, Google Analytics признан незаконным в ряде стран ЕС именно по причине неконтролируемой передачи данных в США.

Аналогичный подход постепенно находит отражение и в российской практике. А с конца мая 2025 года вступает в действие и формальное основание для санкций — от блокировки до штрафов.

Переход к новым правилам не должен превращаться в юридический квест. Все можно разложить по шагам и закрыть основные риски в течение 1–2 рабочих дней. Вот с чего стоит начать.

1. Проведите аудит сервисов и инструментов

Составьте список всего, что вы используете для сбора и обработки данных:

• формы (на сайте, в квизах, в виджетах),
• системы аналитики,
• CRM, email-рассылки,
• облачные таблицы, документы,
• платформы для хранения и хостинга сайта.

Для каждого пункта задайте себе три вопроса:

• Какие персональные данные обрабатываются?
• Где физически хранятся данные?
• Есть ли передача данных за границу (явная или через API)?

2. Обновите политику конфиденциальности

Если в политике нет упоминания о трансграничной передаче, нет информации о целях обработки или не указан оператор — ее нужно срочно переписать.

3. Настройте уведомление о cookie (если нужно)

Если вы используете аналитику, поведенческие сценарии, ретаргетинг — cookie-уведомление обязательно. Оно должно быть не для галочки, а с возможностью отказа от ненужных cookies.

4. Подготовьте уведомление о трансграничной передаче

Если вы не отказываетесь от использования зарубежных сервисов, а данные уходят за границу, нужно уведомить Роскомнадзор и дождаться от него разрешения. Без этого вы автоматически в нарушении.

5. Убедитесь, что пользователь дает осознанное согласие

Согласие — это не просто галочка. Оно должно быть:

• оформлено до начала обработки данных;
• понятно написано (кто, что, зачем, куда передает);
• привязано к конкретному действию пользователя.

Если этого нет — согласие недействительно, а значит, все остальное тоже.

Плохая новость: любимые маркетологами западные сервисы вроде GA, Google Forms и Docs могут теперь нарушать закон.

Хорошая новость: почти для всего есть работающие и законные альтернативы, в том числе — российские и open-source решения.

Ниже — список сервисов и их безопасных аналогов, которые можно использовать без риска попасть под штраф.

Google Analytics

Проблема: передает данные в США, признан небезопасным в ряде юрисдикций.

Альтернативы:

• Яндекс.Метрика — самая популярная замена в РФ, поддерживает цели, сегменты, тепловые карты.
• RuMetrics, Top.Mail.ru — базовые счетчики, если нужна простая статистика.
• Matomo (on-premise) — решение с полным контролем: устанавливаете сами, данные хранятся у вас, полный контроль над процессом обработки.

Google Forms / Docs / Sheets

Проблема: все данные хранятся за границей, возможна трансграничная передача без согласия.

Альтернативы:

• VK Forms, Tilda Forms, JivoForms — российские формы с хостингом в РФ.
• МойОфис, Р7-Офис — отечественные альтернативы Google Docs с корпоративными тарифами.
• OnlyOffice (open-source) — решение с возможностью локального развертывания.

Хостинг

Проблема: физическое размещение сайта на сервере за пределами РФ.

Альтернативы:

• Selectel, Timeweb, Reg.ru, Masterhost — надежные провайдеры с дата-центрами в РФ.
• При необходимости — аренда VPS с выбором геолокации в РФ (например, у зарубежных хостеров, поддерживающих Россию как локацию).

Email-рассылки

Проблема: Mailchimp, Sendinblue и Co. — иностранные серверы и автоматическая трансграничка.

Альтернативы:

• Unisender, SendPulse, Mailigen, Mindbox — работают с российскими операторами и хостингами.
• При большом объеме можно перейти на SMTP-сервер с контролем хранения.

Когда можно оставить иностранный сервис?

Иногда нет удобной замены, и вы хотите продолжить использовать привычный инструмент. Это возможно, если вы соблюдаете три условия:

1. Получено явное согласие пользователя на трансграничную передачу.
2. Вы уведомили Роскомнадзор, если страна-получатель признана безопасной (участвует в Конвенции Совета Европы или признана в России “адекватной”), или вы уведомили и получили разрешение от РКН, если страна “недружественная”.
3. Ваша политика конфиденциальности полностью отражает этот процесс.

В противном случае — лучше отказаться или найти альтернативу.

Изменения в законе о персональных данных — не просто формальность, а сигнал к действию для всего digital-сектора. Если вы работаете в маркетинге, ведете сайт, собираете заявки, запускаете рекламу — вы уже в зоне ответственности.

Но хорошая новость в том, что большинство проблем можно закрыть заранее:

• проверьте, какие данные вы собираете и где они хранятся;
• откажитесь от сервисов с рисками или обеспечьте юридическое основание их использования;
• обновите документы, настройте уведомления, получите согласие пользователей.

Да, это потребует времени. Но лучше потратить день на аудит или обратиться к профессионалам, чем месяц на переписку с Роскомнадзором (или юристами).