Google Analytics на сайте клиники: риск штрафа РКН и Роскомнадзора

Часть 1 ст. 3 Федерального закона № 152-ФЗ определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу. Под это определение, по позиции Роскомнадзора и судебной практике, попадают:

• IP-адрес, особенно в сочетании с другими данными;
• идентификаторы Cookie и LocalStorage;
• поведенческие сигналы (клики, скроллы, время на странице) при возможности увязки с IP или идентификатором;
• отпечаток браузера (fingerprint) — User-Agent + параметры экрана + шрифты.

Такая позиция выражена в письмах Роскомнадзора и подтверждена в опубликованной практике судов общей юрисдикции при обжаловании предписаний регулятора. Обратной позиции — что Cookie не являются персональными данными — российская правоприменительная практика не разделяет.

Федеральный закон № 242-ФЗ (вступил в силу 1 сентября 2015 года) ввёл в ст. 18 Федерального закона № 152-ФЗ часть 5: при сборе персональных данных, в том числе через сайт, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории России.

Когда на сайте клиники работает счётчик Google Analytics, данные посетителя — IP, идентификаторы, поведенческие события — отправляются на серверы Google за пределами России. Первичной базой при таком сборе становится зарубежная — это прямое противоречие части 5 ст. 18 Федерального закона № 152-ФЗ.

Типичная конфигурация коммерческого сайта медицинской клиники включает:

• Google Analytics (gtag.js, GA4) — поведенческая аналитика;
• Google Tag Manager — оркестрация маркировок;
• Meta (Facebook) Pixel — пиксель ремаркетинга, передаёт события на серверы Meta;
• Hotjar / Microsoft Clarity — heatmap, запись сессий;
• YouTube embed — отслеживание просмотров видео;
• Google reCAPTCHA — фоновая отправка fingerprint к Google.

Каждый из этих инструментов передаёт идентифицирующие данные посетителя на серверы за пределами России. На сайте, на котором одновременно собираются ПДн граждан России (форма записи, обратная связь, чат), это создаёт двойное нарушение:

1. обработка ПДн с использованием баз за рубежом (ч. 5 ст. 18);
2. трансграничная передача без надлежащего уведомления Роскомнадзора (ст. 12 Федерального закона № 152-ФЗ);
3. обработка ПДн без согласия в случаях, когда Cookie и идентификаторы не предусмотрены целью оказания медицинской помощи (ст. 9 Федерального закона № 152-ФЗ).

С принятием Федерального закона № 420-ФЗ от 30.11.2024 санкции по ст. 13.11 КоАП РФ были существенно повышены. Закон ввёл, в частности:

• повышенные верхние границы штрафов для юридических лиц по типовым нарушениям обработки ПДн;
• многократно увеличенные штрафы за трансграничную передачу без уведомления (повторное нарушение — до 18 млн ₽);
• оборотные штрафы в размере процентов от выручки за повторную утечку ПДн в крупном размере.

Конкретные суммы по частям статьи 13.11 КоАП приведены в сводке методологии «Мед-Риск» с указанием редакции КоАП на дату пересмотра базы. На практике для медицинской клиники со среднестатистическим оборотом релевантны санкции в части 1, 3 и 8 ст. 13.11 КоАП — то есть штрафы в диапазоне сотен тысяч и миллионов рублей.

Для медицинской клиники, которая хочет вести аналитику без юридического риска, имеет смысл рассмотреть стек инструментов с российской инфраструктурой:

• Яндекс.Метрика: основной аналог GA, базы — на территории России. Включает heatmap и запись сессий, заменяя Hotjar.
• VK Pixel: ремаркетинг во ВКонтакте и других сервисах VK без вывоза данных.
• Российские антибот-сервисы вместо Google reCAPTCHA — например, hCaptcha с серверной проверкой через российский прокси, или собственная капча на движке клиники.
• Российский видеохостинг (RuTube, VK Видео) для встраивания на сайт вместо YouTube embed, который при первой загрузке передаёт данные посетителя на серверы Google.

Алгоритмический аудит сайта по «Мед-Риск» подсвечивает все сторонние счётчики и теги в HTML страниц с указанием юрисдикции обработчика и привязкой к части ст. 13.11 КоАП — отчёт выдаётся в виде HTML/PDF и сопровождается шаблоном замещения.

Перед публикацией нового сайта или после рекламной кампании имеет смысл прогнать сайт по последовательному списку, чтобы оценить, какие из используемых инструментов передают ПДн за рубеж.

1. Открыть исходный код страницы. Просмотреть теги <script> и <iframe>, подключающие сторонние ресурсы.
2. Проверить домены подгрузки. Через консоль браузера (Network tab) выписать домены, к которым обращается страница. Особое внимание — google-analytics.com, googletagmanager.com, doubleclick.net, facebook.com, hotjar.com, clarity.ms.
3. Сверить с реестром операторов ПДн. Для каждого подключаемого сервиса проверить, числится ли он в реестре операторов ПДн Роскомнадзора с обработкой на территории России.
4. Проверить cookie-баннер.Если он стоит, но cookie сторонних сервисов всё равно ставятся до получения согласия — это нарушение ст. 6 ФЗ-152.
5. Проверить reCAPTCHA на формах. Google reCAPTCHA при загрузке страницы передаёт fingerprint посетителя на серверы Google — это происходит ещё до заполнения формы.
6. Проверить YouTube embed. При загрузке страницы с встроенным YouTube-плеером данные посетителя передаются Google. Альтернатива — режим «privacy-enhanced» (youtube-nocookie.com) частично снижает риск, но не устраняет трансграничную передачу полностью.
7. Проверить шрифты Google Fonts. Подключение шрифтов через fonts.googleapis.com — это передача IP посетителя на серверы Google. Решение — локальный хостинг шрифтов.
8. Проверить виджеты соцсетей. Кнопки «Поделиться в Facebook» и аналогичные иконки сторонних соцсетей при загрузке делают запросы на серверы соответствующих платформ.
9. Проверить хостинг сайта. Сервер должен физически находиться на территории России. Сверить по IP в whois-сервисе.
10. Проверить CDN. Cloudflare, Amazon CloudFront, Fastly при работе через зарубежные точки присутствия — это трансграничная передача. Решение — использовать российские CDN (Yandex Cloud CDN, Selectel CDN).

Является ли IP-адрес персональными данными в России? По позиции Роскомнадзора и опубликованной судебной практике — да, в большинстве случаев IP-адрес квалифицируется как персональные данные, особенно в сочетании с другими данными (Cookie, поведенческие сигналы, fingerprint).

Можно ли оставить Google Analytics, если на сайте нет форм записи?Даже без форм записи счётчик собирает IP, Cookie, поведенческие данные посетителей. Это уже обработка ПДн по ст. 3 ФЗ-152 — со всеми последствиями по ч. 5 ст. 18.

Помогает ли cookie-баннер легализовать GA? Согласие посетителя позволяет обрабатывать его ПДн, но не отменяет требования к локализации — данные всё равно должны храниться в РФ. Поэтому cookie-баннер не делает GA соответствующим закону, он только закрывает один из элементов нарушения.

Что делать с историческими данными в Google Analytics? Экспортировать сводки в свой архив, удалить ресурс из аккаунта Google Analytics. Поскольку данные обрабатывались с нарушением, остановить обработку — это минимум. Удалением исторических данных оператор не освобождается от ответственности за уже совершённые нарушения, но прекращает новые.

Можно ли подключать Google Fonts через CDN? При подключении через fonts.googleapis.com IP посетителя передаётся на серверы Google. Решение — скачать шрифты и разместить локально на сервере клиники (или использовать российский шрифтовой сервис).

Является ли YouTube-видео на сайте клиники нарушением? При загрузке страницы с встроенным YouTube-плеером данные посетителя передаются Google. Решение — использовать режим youtube-nocookie.com (частично снижает риск, но не устраняет полностью) или перейти на российский видеохостинг (RuTube, VK Видео).

Что писать в политике обработки ПДн, если на сайте нет зарубежных счётчиков? Указать конкретный список российских инструментов аналитики (например, Яндекс.Метрика) и цели их применения. Прямая фраза «трансграничная передача ПДн не осуществляется» — корректно отражает положение дел.

Ошибка 1: «у нас же только статистика». Маркетолог считает, что Google Analytics просто собирает обезличенную статистику и не передаёт ПДн. На самом деле IP, Cookie и fingerprint — это персональные данные по позиции РКН и судебной практике, и их передача за рубеж нарушает ч. 5 ст. 18 ФЗ-152.

Ошибка 2: установка cookie-баннера «для галочки». Баннер показывает текст согласия, но cookie сторонних сервисов ставятся до клика «Принять». Согласие, полученное после факта обработки, не имеет юридической силы по ст. 9 ФЗ-152.

Ошибка 3: попытка «обезличить» через прокси. Маркетолог пытается обмануть Google Analytics, отправляя данные через российский прокси. На практике конечный получатель данных не меняется — данные всё равно оказываются на серверах Google. Технические уловки не делают передачу легальной.

Ошибка 4: использование Google Tag Manager как «нейтрального» инструмента. GTM сам по себе не собирает данные, но он подгружает другие скрипты — и каждое подключение через GTM приравнивается к прямому подключению с теми же рисками.

Ошибка 5: расчёт на «никто не проверит». С 2024 года РКН ведёт автоматизированный мониторинг сайтов операторов ПДн на предмет наличия зарубежных счётчиков. Жалобы пациентов и конкурентов — отдельный канал поступления сигналов.

К началу 2026 года для медицинских клиник сложилась неблагоприятная для использования зарубежных счётчиков конъюнктура. Несколько ключевых изменений:

Завершение переходных периодов ФЗ-420 от 30.11.2024.К началу 2026 года все части ст. 13.11 КоАП в новой редакции применяются в полном объёме. Наиболее ощутимы новые ч. 9–11 о санкциях за утечки и ч. 13 об оборотном штрафе за повторные утечки.

Ужесточение надзора РКН. С 2025 года РКН перешёл на риск-ориентированный подход к надзору и систематически сканирует сайты операторов ПДн на предмет наличия зарубежных трекеров. Медицинские клиники как операторы специальной категории ПДн — приоритетный объект мониторинга.

Стабилизация реестра операторов ПДн. К 2026 году большинство российских аналогов западных сервисов (Яндекс.Метрика, VK Pixel, Cloud-системы Yandex и Cloud.ru) получили необходимую юридическую инфраструктуру для работы с ПДн в медицинской вертикали — нормативная среда стала предсказуемой.

Реклама на ресурсах экстремистских организаций. С 08.08.2024 действует ч. 28 ст. 14.3 КоАП (введена ФЗ-216) — отдельный состав за размещение рекламы на ресурсах, признанных экстремистскими. Это в том числе касается клиник, которые в прошлом использовали Instagram (Meta признана экстремистской) для маркетинговых целей.