Главное новшество – первичный сбор персональных данных граждан РФ должен происходить исключительно на территории России. Иными словами, с 1 июля запрещено при сборе персональных данных использовать базы данных, расположенные за пределами РФ, для операций записи, систематизации, накопления, хранения, уточнения или извлечения данных. Если информация с сайта сразу уходит на иностранный сервер, минуя территорию России – это нарушение. Таким образом, инструменты, которые сразу передают данные за рубеж (например, Google Analytics или Google Tag Manager), фактически оказываются вне закона.
Для сравнения, ранее закон требовал локализации (хранения копии данных в РФ), но не исключал их первичной обработки за границей. Теперь же первичный трансграничный сбор данных напрямую запрещён – сначала данные должны быть записаны в базу, находящуюся в России. Лишь после этого допускается трансграничная передача, и только при соблюдении установленных условий (наличие законных оснований, уведомление Роскомнадзора о передаче, получение согласия от пользователя и др.). Проще говоря, после 1 июля 2025 года нельзя собирать и обрабатывать персональные данные на зарубежных платформах до их первоначального размещения в России.
Ключевое изменение: теперь запрещена любая первичная запись персональных данных россиян в иностранные хранилища без предварительной обработки этих данных на российских серверах. Это требование введено Федеральным законом от 28.02.2025 № 23-ФЗ, который обновил ст.18 п.5 закона «О персональных данных». Исключения крайне ограничены – они касаются случаев, указанных в подп. 2, 3, 4 и 8 ч. 1 ст. 6 152-ФЗ (например, когда трансграничная передача необходима по закону или международному соглашению).

Многие привычные сервисы и виджеты веб-сайтов теперь могут нарушать закон, если они передают данные на зарубежные серверы до локального сохранения. Вот основные категории элементов, попадающих в зону риска:

Google Analytics и другие сервисы Google

Google Analytics отправляет поведенческие данные пользователей (IP-адрес, информацию о браузере, регионе, устройстве и пр.) на серверы в США. С 1 июля 2025 года такое прямое отправление данных в зарубежную базу считается нарушением требований локализации. Аналогично могут нарушать закон другие подключённые инструменты Google:

• Google Tag Manager (через него могут загружаться сторонние скрипты, отправляющие данные за рубеж);
  
  
• Google reCAPTCHA (при проверке пользователя передаёт его IP, информацию о поведении и местоположении на сервера Google);
  
  
• Google Forms (если используете форму из Google – введённые посетителем данные сразу обрабатываются вне РФ);
  
  
• Google Maps (встроенная карта через iframe может передавать данные о местоположении пользователя на серверы Google).
  
  

Похожие риски есть и у других иностранных аналитических систем. Например, Matomo Analytics при облачном использовании хранит данные на серверах в Новой Зеландии, что также нарушает новое требование. Кроме того, сюда же можно отнести пиксели иностранных соцсетей (Facebook Pixel, TikTok Pixel и пр.), любые внешние счетчики и трекеры – если они собирают данные о посетителях и отправляют их в зарубежные центры обработки, такой сбор тоже подпадает под запрет.

WhatsApp и Telegram‑виджеты

Популярный способ связи – кнопки «Написать в WhatsApp» или чат-виджет Telegram на сайте – тоже оказываются под вопросом. При нажатии такой кнопки пользователь обычно перенаправляется в мессенджер, где происходит передача его персональных данных (номер телефона, имя, данные профиля и т.п.). Эти сведения обрабатываются серверами компаний WhatsApp и Telegram, которые расположены за пределами РФ. Таким образом, первоначальный ввод данных (например, номера телефона в форме чата) фактически уходит напрямую иностранному сервису, что может нарушать новые правила. Прямого запрета в самом законе на мессенджеры нет, однако отсутствуют и официальные разъяснения Роскомнадзора по ним. Регуляторного риска тут нельзя исключить, ведь технически первичная передача данных через такие виджеты происходит за границу. Поэтому эксперты рекомендуют не рисковать и убрать на сайте встроенные модули WhatsApp/Telegram, либо заменить их нейтральной ссылкой (которая откроет мессенджер без автопередачи данных) до появления официальных разъяснений.

Сервисы обратной связи, формы и чат-боты

Сюда относятся все онлайн-инструменты взаимодействия с пользователем, где данные собираются через внешние платформы. Несколько распространённых примеров:

• Онлайн-чаты и формы обратного звонка с интеграцией через зарубежные сервисы (например, виджеты Tawk.to, Zendesk и др.). Если сам чат-хостинг находится за рубежом, при вводе сообщения пользовательские данные (имя, контакт, вопрос) сначала сохраняются на иностранном сервере – это нарушение.
  
  
• Формы заявок, созданные на SaaS-платформах (типа Jotform, Typeform и им подобные). Когда вы встраиваете такую форму на сайт, все введённые посетителем сведения отправляются сразу на сервер этой зарубежной платформы, минуя российские базы.
  
  
• Кастомные формы с внешними библиотеками – например, вы подключили стороннюю JS-библиотеку для валидации или отправки формы, которая отправляет данные на сторонний сервер. Если этот сервер находится не в РФ, то первичный сбор тоже осуществляется за границей, что недопустимо.
  
  

Иными словами, любая форма или скрипт на сайте, который автоматически отправляет введённые пользователем данные на иностранный сервер (будь то для хранения, аналитики или любой обработки), ставит сайт в нарушение обновлённого закона.

Нарушение новых правил локализации персональных данных влечёт серьёзные санкции. Роскомнадзор получил расширенные полномочия штрафовать компании за несоблюдение этих требований. Вот какие штрафы грозят нарушителям:

• От 1 до 6 млн руб. – за первое нарушение правил трансграничной передачи данных.
  
  
• От 6 до 18 млн руб. – за повторное нарушение либо за отсутствие разрешения/уведомления на трансграничную передачу (при повторном обнаружении несоблюдения).
  
  
• 100–300 тыс. руб. – штраф за отсутствие уведомления Роскомнадзора о начале обработки персональных данных (т.е. за незарегистрированного оператора ПДн). С 30 мая 2025 года несоблюдение обязанности зарегистрироваться в реестре операторов ПДн влечёт такие многократно возросшие штрафы.
  
  
• До 500 тыс. руб. – штраф за неисполнение предписания Роскомнадзора в срок (например, если ведомство потребовало удалить запрещённый элемент, а компания проигнорировала предписание).
  
  

Помимо финансовых потерь, возможны и крайние меры воздействия. При грубых или повторных нарушениях Роскомнадзор вправе добиваться блокировки сайта, а в некоторых случаях материалы передаются для приостановления деятельности организации через суд. Проще говоря, за систематическое нарушение требований 152-ФЗ сайт могут заблокировать, а компанию временно остановить через судебное решение.Важно понимать, что надзорные мероприятия уже начались. Роскомнадзор в 2023–2024 гг. активно предупреждал о новых требованиях, а в 2025 году уже начал рассылать предписания владельцам сайтов с подключёнными иностранными сервисами. Например, ещё с января 2025 многие компании получили официальные письма с требованием удалить Google Analytics со своих сайтов. Есть случаи, когда предписание приходило даже за встроенную карту Google или виджет reCAPTCHA на странице регистрации. Такие уведомления требуют в короткий срок устранить нарушение (обычно в течение 30 дней). Если проигнорировать – последует крупный штраф или блокировка. Поэтому крайне важно принять меры заблаговременно, до того как ваш ресурс попадёт в поле зрения регулятора.

Проверить свой сайт на предмет потенциальных нарушений должен каждый владелец бизнеса, который так или иначе работает с персональными данными пользователей (то есть практически любой сайт, принимающий заявки, регистрирующий пользователей или анализирующий трафик). Обратите особое внимание, если на вашем веб-ресурсе есть что-либо из перечисленного:

• Установлены системы веб-аналитики или счётчики посетителей (Google Analytics, Matomo, старые пиксели соцсетей и пр.).
  
  
• Есть формы обратной связи, онлайн-заявки, регистрационные формы, чат-боты или опции заказа звонка.
  
  
• Подключены кнопки мессенджеров (WhatsApp, Telegram, Viber и др.) или виджеты онлайн-чата, через которые посетитель передаёт свои контактные данные.
  
  
• Сайт сделан на конструкторе сайтов с готовыми модулями (некоторые из них могут скрыто использовать иностранные библиотеки для сбора данных).
  
  
• Реализованы интеграции с CRM-системами или сторонними SaaS-сервисами – например, автоматическая отправка данных из формы заказа в вашу CRM, особенно если сама CRM облачная и серверы у неё за рубежом.
  
  
• Вы доверили создание сайта или подготовку документов по персональным данным сторонней организации, не специализирующейся на 152-ФЗ. Высока вероятность, что такие подрядчики подключили удобные им иностранные сервисы, не учитывая новых рисков.
  
  

Если что-то из этого списка про ваш сайт – нужно срочно провести аудит. Ниже перечислены конкретные элементы и почему они теперь могут нарушать закон:

Элемент на сайте	Почему может нарушать
Google Analytics, Matomo Analytics	Первичная передача данных на зарубежные серверы
Google reCAPTCHA	Передаёт за границу IP-адрес, данные о поведении и местоположении пользователя
Форма заявки через Google Forms	Обработка введённых данных происходит вне РФ
Кнопка WhatsApp/Telegram	Передача персональных данных (номер, имя и т.д.) напрямую мессенджеру за рубеж
Онлайн-чаты, обратные звонки	Если сервис работает через сервер за границей – это нарушение локализации
CRM и email-сервисы (например, Gmail, Mailchimp)	Данные клиентов хранятся на зарубежных серверах; требуется отдельное уведомление в Роскомнадзор для трансграничной передачи

Чтобы защитить свой бизнес от штрафов и ограничений, необходимо заранее привести сайт в соответствие требованиям 152-ФЗ. Вот пошаговый план действий:

1. Проведите технический и юридический аудит сайта. Цель – выявить все потенциальные нарушения:
   
   
   • Найдите скрытые скрипты, подключения сторонних библиотек, пиксели и счетчики на страницах сайта. Проанализируйте исходный код и список загружаемых ресурсов – нет ли среди них внешних (CDN или API) с доменами вроде google.com, facebook.com и т.д.
     
     
   • Проверьте, где физически размещается ваш сайт (хостинг) и база данных. Хостинг за рубежом сам по себе не запрещён, но база данных с персональными данными россиян должна располагаться в РФ. Убедитесь, что для сайта используется российский дата-центр или облако, либо организована репликация данных в РФ.
     
     
   • Оцените, какие конкретно данные собираются на сайте и куда они передаются. Составьте перечень всех форм, сервисов и интеграций, которые вовлечены в обработку пользовательских данных.
     
     
   • Проверьте документы и пользовательские соглашения на сайте – отражены ли там все случаи сбора данных и использования сторонних сервисов. Отсутствие необходимых документов само по себе является нарушением (ст. 18 и 19 закона о ПДн).
     
     
2. Удалите или замените запрещённые элементы. После аудита нужно убрать обнаруженные рисковые компоненты либо найти им безопасную альтернативу:
   
   
   • Вместо Google Analytics или Matomo используйте российские системы веб-аналитики. Например, бесплатно доступна Яндекс.Метрика, которая хранит данные на серверах в РФ и соответствует требованиям локализации. Либо разверните систему аналитики с открытым кодом на собственном российском сервере.
     
     
   • Вместо Google reCAPTCHA поставьте аналог, размещённый в РФ. Есть несколько решений, адаптированных под российские серверы (например, капча от CloudPayments и др.). Либо используйте менее инвазивные методы защиты от ботов, не требующие отправки данных в Google.
     
     
   • Виджеты мессенджеров замените на простые ссылки или кнопки без передачи параметров. Например, вместо встроенного кода WhatsApp сделайте кнопку, которая просто открывает чат по wa.me-ссылке – так номер телефона не отправится с вашего сайта третьим лицам.
     
     
   • Если на сайте стоят иностранные чаты или формы заявок – рассмотрите переход на российские аналоги. Сейчас есть отечественные SaaS для обратной связи, чаты (например, JivoSite, ВКонтакте Виджет и т.п.) и формы заявок, которые работают в рамках РФ.
     
     
3. Подайте уведомление в Роскомнадзор о трансграничной передаче ПДн для тех случаев, где вы не можете отказаться от зарубежного сервиса. К примеру, если ваша CRM или рассылочный сервис хранит данные за границей, а заменить его невозможно, закон не запрещает использовать его – при условии уведомления и получения разрешения Роскомнадзора. Уведомление о намерении передавать персональные данные за рубеж подаётся отдельно от общего уведомления об обработке ПДн. Сделать это нужно заранее, до начала передачи данных иностранному сервису. Роскомнадзор рассматривает такое уведомление до 10 рабочих дней и выносит решение. Учтите: если решение отрицательное (запрет или ограничение передачи), пользоваться зарубежным сервисом будет нельзя. Если же запрета не последовало, считается, что передача согласована. Но повторимся – даже в случае разрешённой трансграничной передачи первичный сбор данных всё равно должен быть в РФ. Разрешение не легализует сбор напрямую на иностранной платформе, оно лишь позволяет законно переносить данные за границу после их первоначального сохранения в России.
   
   
4. Обновите комплект документов по обработке персональных данных. У каждого юрлица, ИП и самозанятого собирающего персональные данные (т.е. оператора ПДн), должны быть оформлены внутренние и публичные документы. После всех изменений на сайте приведите в порядок следующие документы:
   
   
   • Политика обработки персональных данных – на сайте должен быть опубликован актуальный документ, описывающий какие данные вы собираете, как храните, кому передаёте (включая информацию о всех используемых скриптах и сервисах), меры защиты и права пользователя. Убедитесь, что там указано, что данные хранятся на территории РФ, и перечислены случаи трансграничной передачи (если остались) с упоминанием, что получено согласие пользователя и уведомлён Роскомнадзор.
     
     
   • Согласие на обработку ПДн – если вы собираете данные через форму, пользователь должен явно дать согласие. Форма согласия должна содержать все сведения, предусмотренные законом, и отдельно перечислять случаи передачи данных третьим лицам и за границу (например, упоминание конкретных сервисов аналитики или мессенджеров, если они используются). С 1 сентября 2025 года вступают в силу требования, по которым согласие на обработку ПД должно быть оформлено отдельным документом, а не просто галочкой – подготовьтесь к этому заранее.
     
     
   • Политика в отношении cookie – если на сайте используются cookie-файлы, через которые обрабатываются персональные данные (например, идентификаторы пользователей, собранные Метрикой или иными аналитиками), это тоже должно быть отражено в отдельной политике или в политике конфиденциальности. Пользователь должен быть проинформирован, какие cookie собираются и для чего, и дать согласие, особенно на cookie, связанные с передачей данных за границу.
     
     
   • При необходимости – договоры поручения обработки ПДн с третьими лицами (например, с хостинг-провайдером, разработчиком сайта, сервисом рассылки и т.д.), где прописаны их обязанности по защите персональных данных. Этот документ нужен, если вы привлекаете стороннюю организацию обрабатывать данные от вашего имени.
     
     

5. Проверьте уведомления в Роскомнадзор об обработке данных. Регистрация оператора персональных данных теперь строго обязательна практически для всех организаций, работающих с данными граждан. С 30 мая 2025 года за отсутствие подачи уведомления об обработке ПДн предусмотрены штрафы до 300 000 рублей. Убедитесь, что ваша организация внесена в реестр Роскомнадзора как оператор персональных данных. Если нет – срочно подайте уведомление о начале обработки ПДн (это можно сделать через Госуслуги или письмом в РКН). Также проверьте, подавали ли вы уведомление о трансграничной передаче (из шага 3) – если у вас есть действующие иностранные сервисы. Без уведомления использовать их после 1 июля будет незаконно, даже если сами данные хранятся в РФ.

Приведение сайта в соответствие закону о персональных данных – задача комплексная, на стыке IT и юриспруденции. Самостоятельно бизнес может пропустить критичные моменты: скрытый код, который отправляет данные за рубеж, неправильно оформленное пользовательское соглашение или отсутствие нужного уведомления. Ошибка грозит миллионными штрафами и проблемами с регулятором.
Специалисты, разбирающиеся в требованиях 152-ФЗ и практике Роскомнадзора, смогут объективно проверить ваш ресурс. Экспертный аудит покрывает техническую часть (сканирование сайта на запрещённые интеграции, анализ хостинга, кода) и документарную часть (проверка наличия/актуальности политики, согласий, регистрации в РКН и т.д.). Такой подход даёт уверенность, что вы учли все нюансы и не получите неожиданное предписание.
Решение – аудит сайта от компании Роском 24: наша команда предлагает комплексную проверку вашего сайта на соответствие закону о персональных данных и новым требованиям Роскомнадзора, включая:

• Выявление всех нарушений в обработке персональных данных на сайте (технических и организационных).
  
  
• Предоставление подробных рекомендаций по устранению нарушений: какие скрипты отключить или заменить, какие документы добавить или обновить, как правильно подать уведомления в РКН и получить необходимые разрешения.
  
  

Обратившись к экспертам, вы сэкономите время и обезопасите бизнес от регуляторных рисков.