Использование Гугл Аналитики на сайте

Роскомнадзор предъявляет 3 требования к использованию Гугл Аналитики на сайте:

1. Нужно получить согласие на обработку данных;

2. Нужно сообщить о трансграничной передаче данных;
3. Данные должны храниться в базах, которые находятся в России.

Нужно ли согласие на обработку

Роскомнадзор считает, что при использовании метрических систем нужно получать “дополнительное согласие”, размещать информацию о названиях этих систем и о факте обработки данных с их помощью (вебинар Роскомнадзора от 27.07.2023).

Поэтому на сайте нужно разместить куки-баннер со ссылкой на согласие на обработку персональных данных.

Является ли это трансграничной передачей

Трансграничная передача персональных данных - передача данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Роскомнадзор считает, что обработка данных, собираемых Гугл Аналитикой, является трансграничной передачей. Это связано с тем, что политика конфиденциальности Гугл предусматривает передачу данных аффилированным лицам, а сервера Гугл расположены за пределами России.

“использование метрической программы Google-Analytics, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта”.

цитата с сайта РКН по Тюменской области, ХМАО-Югре и ЯНАО https://72.rkn.gov.ru/news/news344140.htm

Закон требует уведомлять Роскомнадзор о трансграничной передаче данных. Подробнее о трансграничной передаче мы писали здесь https://t.me/runetlex/338 

Но ответственность за трансграничную передачу без уведомления Роскомнадзора на данный момент не установлена. В этом случае оператор может быть привлечен к административной ответственности только за непредставление сведений. Штраф для юридического лица за это нарушение составляет от 3 000 до 5 000 рублей.

Что с локализацией 

При сборе персональных данных оператор обязан обеспечить обработку данных граждан Российской Федерации с использованием баз данных, находящихся на территории России (ч. 5 ст. 18 Закона о персональных данных).
Вот один из примеров, когда Роскомнадзор указал, что в случае с Гугл Аналитикой данные обрабатываются за пределами России. 

“на интернет-сайте оператора выявлено использование Интернет-сервиса “Google Analytics”, посредством которого осуществляется обработка персональных данных пользователей сайта с использованием баз данных, находящихся вне территории Российской Федерации, в том числе трансграничная передача персональных данных посредством данного Интернет-сервиса”.

цитата с сайта РКН по Приволжскому федеральному округу https://52.rkn.gov.ru/news/news334710.htm

За нарушение требование о локализации есть риск весьма существенного штрафа в размере до 6 млн рублей для юридических лиц. Подробнее с размерами штрафов можно ознакомиться по ссылке.

Как видим, оператор персональных данных может выполнить только два первых требования Роскомнадзора (о наличии согласия и об уведомлении о трансграничной передаче). Выполнить требование о локализации, к сожалению, невозможно – данные автоматически отправляются за рубеж.

Владельцы сайтов вынуждены выбирать между следующими вариантами:

1. Убрать Гугл Аналитику с сайта.
2. Разместить табличку про куки и уведомить Роскомнадзор о трансграничной передаче, однако тем самым ускорить получение от Роскомнадзора предписании об удалении Гугл Аналитики.
   
3. Не уведомлять Роскомнадзор о трансграничной передаче и использовать Гугл Аналитику до получения предписаний. 

Мы не нашли случаев, когда штрафные санкции применялись бы сразу, без предварительного направления предписаний, но не можем гарантировать такой сценарий.