В конце прошлого года в сети вновь начали активно циркулировать страшилки об ужесточении политики «Роскомнадзора» в отношении сайтов, использующих метрики Google Analytics. Юристы и эксперты пугают штрафами, а также возможной уголовной ответственностью за подключение и использование сервиса.
Но так ли страшен черт, как его малюют? Что вообще говорит российское законодательство об использовании подобного рода иностранных инструментов? Чем может обернуться для владельцев сайтов использование метрик Google Analytics? И как себя обезопасить?
Разбираемся в вопросах и рассказываем обо всем, что нужно знать.
Прежде всего — почему надзорное ведомство вообще может заинтересоваться использованием Google Analytics на любом сайте?
«Роскомнадзор» считает информацию, собираемую с помощью метрических систем, сведениями, которые относятся к персональным данным. По мнению специалистов регулятора, обработка личных данных с помощью Google Analytics относится к передаче конфиденциальной информации. А значит иностранная корпорация собирает, обрабатывает и передает личные данные пользователей аффилированным лицам, зарегистрированным за границей.
Серверы поисковика действительно расположены в разных странах мира, соответственно данные пользователей часто обрабатываются за пределами тех государств, где они проживают. Таким образом процесс обработки данных инструментами Google Analytics — это трансграничная передача личной информации.
Все это регулируется законодательством РФ.
Впервые анализ государственных сайтов с точки зрения использования поисковых счетчиков регулятор провел в 2015 году. Выяснилось, что 61% органов власти и официальных учреждений установили на свой сайты «Яндекс.Метрику». Второе и третье место с одинаковым показателем в 22% разделили счетчики Google Analytics и Liveinternet. На последнем месте оказался Рамблер-Топ100 с 14,6%.
Тогда «Роскомнадзор» подчеркнул, что пользовательские соглашения, с помощью которых формируется статистика посещаемости страниц, соответствует законодательству РФ. И владельцы могут сами устанавливать объемы информации для сбора счетчиками.
Однако уже в 2016 году Минэкономразвития вводит обязательное требование для органов исполнительной власти по использованию на их сайтах счетчиков посещаемости, которые включены в реестр российского софта. На тот момент в реестре был всего один ресурс — система веб-аналитики «Спутник». Через год «Роскомнадзор» опубликовал уточненный список реестра, в котором помимо «Спутника», значились Яндекс.Метрика, Рейтинг@mail.ru, Рамблер/Топ-100, Mediascope, Liveinternet, HotLog.
В 2018 году в одном из официальных заявлений «Роскомнадзора» было озвучено, что неправильное использование сервисов аналитики «Google Analytics» и «Яндекс-метрика» может привести к ограничению доступа к сайту.
А уже в следующем году появился и первый судебный прецедент: в декабре 2019 года Таганский суд Москвы по иску «Роскомнадзора» к французскому регистратору доменов Gandi SAS заблокировал сайт «коллективного голосования» 2019.vote. Основанием для блокировки посчитали использование системы аналитики «Google Analytics» и «Яндекс-метрика» в нарушение Закона о защите персональных данных. В качестве доказательства были использованы фотографии HTML-кода сайта в браузере Opera.
В 2021 году Президент РФ подписал закон о едином измерителе аудитории интернет-ресурсов. Согласно закону интернет-платформы должны устанавливать на своих сайтах счетчики для измерения аудитории или предоставлять такие данные самостоятельно. Для сбора и агрегирования информации со счетчиков «Роскомнадзор» позже выбрал уполномоченную организацию — Mediascope.
Позже «Роскомнадзор» составил список из 79 сайтов, которые в соответствии с подписанным законом должны в обязательном порядке установить на своих сайтах счетчики с измерителем аудитории. Среди них — платформа YouTube, но Google принципиально отказался соблюдать пункты этого законопроекта.
С 1 марта 2023 года начали действовать поправки в правилах информирования «Роскомнадзора» о передаче персональных данных в другие страны. Согласно новациям, обо всех изменениях на сайтах нужно уведомлять регулятор до 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
Под персональными данными, передаваемыми за границу, российский закон понимает и собираемую с помощью Google Analytics информацию — в ней содержатся сведения, которые позволяют идентифицировать пользователя до уникального id в куках браузера.
Любопытно, что некоторые сайты с весны 2024 год начали получать от «Роскомнадзора» «письма счастья» со штрафными угрозами за использование сервиса Яндекс.Метрика без предупреждения об этом пользователей. Требования об уведомлении посетителей страниц о сборе информации с помощью Яндекс.Метрика были введены еще в 2018 году, но реальные санкции за нарушения последовали только в 2024.
Ажиотаж последних месяцев в связи со счетчиком Google Analytics на сайтах связан с ужесточением законопроекта о персональных данных, принятого 30 ноября 2024 года. Изменения коснулись как Уголовного Кодекса, так и Кодекса по административным правонарушениям.
Так, согласно статье 272.1 УК РФ вводится уголовная ответственность за незаконное использование, передачу, сбор, хранение информации, содержащей персональные данные. В соответствие с законом суд может приговорить к сроку от 4 до 10 лет лишения свободы или назначить штраф до 2 млн рублей в зависимости от степени тяжести правонарушения.
Изменения в административном законодательстве коснулись статьи 13.11 КоАП РФ. В зависимости от объема утечек данных прописаны штрафы:
— От 1 до 10 000 субъектов персональных данных (или от 10 000 до 100 000 идентификаторов) — штраф до 5 млн рублей.
— От 10 до 100 000 субъектов персональных данных (или от 100 000 до 1 млн идентификаторов) — штраф до 10 млн рублей.
— Более 100 000 субъектов персональных данных (или более 1 млн идентификаторов) — штраф до 15 млн рублей.
— За утечку биометрических данных штрафы могут достигать 20 млн рублей.
Изменения в российских законах касаются всех представителей бизнеса, использующих в интернете счетчики российского или иностранного происхождения. По мнению некоторых экспертов, «Роскомнадзор» может посчитать нарушением даже пиксели Google Ads, Facebook* Ads и Google Tag Manager.
Для того чтобы избежать возможных негативных последствий, при работе с персональными данными желательно:
— Прописать их использование в «Политике конфиденциальности».
— Включить уведомление об использовании файлов в сообщении об использовании cookie с галочкой согласия для пользователей.
— Отправить «Роскомнадзору» уведомление об использовании на сайте трансграничной передачи данных.
— По возможности локализовать базы персональных данных.
Отправить уведомление регулятору можно через портал «Роскомнадзора» на специальной странице.
Контроль за персональными данными в интернете все время ужесточается — с прошлого года государство всерьез взялось за метрики от российских и иностранных поисковиков.
Впрочем, подключать Google Analytics по-прежнему никто не запрещает. Главное, чтобы использование персональных данных в каждом конкретном случае соответствовало прописанным в законодательстве установкам. Это поможет избежать чрезмерного внимания со стороны «Роскомнадзора» с возможными штрафными санкциями.
*Запрещенная в России соцсеть