«Трансграничка» в 2025 году: как готовиться к новым правилам по Google/Meta-скриптам и иностранным CRM

С 1 сентября 2025 года контроль за трансграничной передачей ПДн в очередной раз был ужесточён. На этот раз в фокусе внимания РКН оказались в том числе аналитические сервисы и виджеты, передающие данные за рубеж. Разбираемся в том, как именно эти изменения затронут российский бизнес и что с этим делать.

Законно ли использовать Google Analytics и ему подобные сервисы в России в 2025

Трансграничную передачу персональных данных регулирует закон 152-ФЗ. 1 июля 2025 года вступил в силу пакет поправок, запрещающий передачу ПДн на зарубежные сервисы без первичного сохранения этих данных на российском сервере. Это значит, что под запрет попали:

1. Google Analytics: его виджеты отправляют данные напрямую серверам, расположенным в США. То же касается и других сервисов Google: Google Map, Google Forms, reCAPTCHA, Tag Manager и тд.
2. WhatsApp, Telegram и другие мессенджеры: форма "Напишите нам", открывающая мессенджер, может отправлять данные на зарубежный сервис – и, чаще всего, так и делает.
3. CRM, SaaS-сервисы и прочий зарубежный софт, собирающий данные пользователей. Пример: в CRM есть интегрированная форма оплаты, которая работает через иностранного провайдера – это нарушение.

Всё это уже достаточно сильно затруднило работу с такими решениями, а изменения от 1 сентября 2025 делают ситуацию ещё сложнее. Если раньше согласие на обработку ПДн можно было получить в рамках общего согласия с Пользовательским соглашением, теперь его обязательно нужно выносить в отдельный документ. При этом согласие необходимо будет получать на каждый случай передачи персональных данных, для каждой цели.

Нарушение любого правила влечёт за собой штрафы в размере до десятков миллионов рублей.

Что делать бизнесу с обработкой и трансграничной передачей персональных данных в 2025

Рекомендуется максимально сократить количество персональных данных пользователей, которые вы собираете, а также на 100% отказаться от любых виджетов и сервисов, которые хотя бы в теории могут передавать эти данные за границу. Процесс можно разбить на 3 простых шага.

1. Проведите аудит текущей инфраструктуры

   • Проанализируйте все внешние скрипты, JS-библиотеки, пиксели, формы и чат-виджеты на сайте компании (как сам файл подключения, так и результат загрузки на front-end).
   • Чётко определите, куда поступают данные первично: на российский сервер или напрямую в иностранное облако.

   ВАЖНО: помните, что общекорпоративное ПО – это лишь часть зоны риска. Ваши сотрудники могут самостоятельно ставить удобные им для работы плагины и расширения: напрмер, AI-ассистента для работы с базой клиентов. Этот AI-ассистент может использовать серверы иностранных провайдеров, и вот вы уже нарушили закон, хотя человек действовал из лучших побуждений.

   Мы советуем провести со всем персоналом разъяснительную беседу, а также внимательно отслеживать, какой именно софт и как используют ваши подчинённые. Для этого вполне достаточно системы учёта рабочего времени: Kickidler показывает, какой программой и когда сотрудник пользовался, вы сразу увидите проблемные зоны.

2. Избавьтесь от всех рискованных скриптов, виджетов и программ

   • Отключите Google Analytics и Meta Pixel. Отечественных аналогов достаточно: Яндекс.Метрика, Roistat, Ремонтник CRM – выбор есть.
   • Планируйте замену иностранных CRM на решения с российской локализацией и сертификацией хранения ПДн (например, «Битрикс24» RU, Мегаплан, OneBox и др.).
   • Настройте формы сбора данных (например, обратной связи) так, чтобы все обращения первично складировались в БД или на почтовом сервере на территории РФ. Лучше всего, если это ваш собственный сервер.
   • Удалите с сайта все капчи с прямой отправкой на иностранные сервера, рассмотрите локальные или self-hosted решения.

3. Установите “политику программных исключений” и мониторинг

       • Внедрите правила по работе с ПО и расширениями: запрет несанкционированной установки иностранных скриптов и логирование попыток подключения новых сервисов любым сотрудником.

       • В Kickidler можно создать политику “разрешённых/запрещённых” приложений и расширений: любое обращение к запрещённому ресурсу (например, Google Forms, Pipedrive Apps) будет сразу отображаться в отчётах мониторинга.

       • Добавьте уведомления и обучение: публикуйте мини-гайды с примерами правильных/неправильных интеграций, регулярно актуализируйте инструкции.

Далее останется только контролировать соблюдение новых правил и следить за тем, какие изменения будут внесены в законодательство дальше. РКН регулярно даёт разъяснения, появляется новая судебная практика, отслеживайте всё это.

Помните: рынок быстро меняется. Если ещё зимой достаточно было анонимизировать IP и получить от пользователя единое согласие на всё, то теперь даже запущенный одним сотрудником скрипт может стать причиной огромных неприятностей. Убедитесь в том, что все ваши подчинённые чётко это понимают, и проблем быть не должно.