Запрещённые сервисы на сайте: Google Analytics, reCAPTCHA, WhatsApp

Обновлено: март 2026 · 15 мин чтения

С 1 июля 2025 года в России вступили в силу поправки к 152-ФЗ, запрещающие первичный сбор персональных данных через иностранные базы данных. Google Analytics, reCAPTCHA, Google Fonts, виджеты WhatsApp — всё это теперь прямое нарушение закона. Штрафы — от 6 до 18 миллионов рублей. Разбираем, что именно запрещено, чем заменить и как проверить свой сайт за 60 секунд.

Содержание

  1. 1. Что изменилось с 1 июля 2025 года
  2. 2. Google Analytics — почему больше нельзя
  3. 3. Google reCAPTCHA — скрытая угроза
  4. 4. Google Fonts — неочевидное нарушение
  5. 5. Виджеты WhatsApp и Telegram
  6. 6. Полный список запрещённых сервисов
  7. 7. Штрафы за использование запрещённых сервисов
  8. 8. Как проверить свой сайт
  9. 9. Частые вопросы

1. Что изменилось с 1 июля 2025 года

В декабре 2024 года Государственная Дума приняла пакет поправок к Федеральному закону «О персональных данных» (152-ФЗ), которые кардинально изменили правила работы с иностранными сервисами на сайтах. Ключевое нововведение — запрет на первичный сбор персональных данных российских граждан через системы, хранящие информацию на серверах за пределами России.

До этого требование о локализации данных (ч. 5 ст. 18 152-ФЗ) касалось только баз данных: оператор обязан хранить ПД россиян на территории РФ. Теперь закон пошёл дальше — запрещён сам процесс первичного сбора через иностранные серверы. Это значит, что любой скрипт на вашем сайте, который отправляет данные посетителей за рубеж, является нарушением.

Что считается персональными данными в контексте трекеров

Согласно 152-ФЗ, персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу. Для веб-сервисов это: IP-адрес, cookie-файлы, User-Agent, данные геолокации, цифровые отпечатки браузера (fingerprint). Все эти данные позволяют идентифицировать пользователя — а значит, подпадают под действие закона.

Поправки затрагивают миллионы российских сайтов. По оценкам экспертов, более 70% коммерческих сайтов в России используют хотя бы один запрещённый сервис. Большинство владельцев сайтов даже не подозревают об этом — скрипты Google Analytics, reCAPTCHA или Google Fonts были установлены годы назад и продолжают работать в фоновом режиме.

Важно: требование о локализации распространяется на все сайты, ориентированные на российскую аудиторию, независимо от того, где зарегистрирована компания. Если ваш сайт работает на домене .ru, .рф или имеет русскоязычный контент для российских пользователей — закон распространяется на вас.

2. Google Analytics — почему больше нельзя

Google Analytics (как Universal Analytics, так и GA4) — самый массовый нарушитель. Скрипт gtag.js или analytics.js собирает IP-адрес посетителя, cookies, данные о браузере, геолокацию и отправляет всё это на серверы Google в США. Даже с включённой анонимизацией IP (anonymizeIp) данные сначала попадают на американские серверы и только потом обрезаются.

Почему GA4 не решает проблему

Google заявляет, что GA4 может работать без cookies. Но это не меняет сути нарушения:

  • IP-адрес по-прежнему передаётся на серверы Google за рубежом
  • Google использует machine learning для восстановления идентификации пользователей без cookies
  • Данные обрабатываются и хранятся в дата-центрах США и Европы
  • Google не предоставляет возможность хранения данных в РФ

Прецедент уже есть: в Европе суды нескольких стран (Австрия, Франция, Италия) признали Google Analytics нарушением GDPR из-за передачи данных в США. Россия пошла ещё дальше — прямой законодательный запрет.

Альтернатива: Яндекс.Метрика — серверы в России, полное соответствие 152-ФЗ. Функциональность: вебвизор, карта кликов, воронки, A/B-тесты. Бесплатно. Переход занимает 10 минут — достаточно заменить один скрипт в коде сайта.

Как убрать Google Analytics

  1. Найдите в коде сайта скрипт googletagmanager.com или google-analytics.com
  2. Удалите весь блок подключения (обычно в <head>)
  3. Проверьте Google Tag Manager — GA может быть подключён через него
  4. Зарегистрируйте счётчик Яндекс.Метрики и вставьте код
  5. Проверьте сайт на 152-audit.ru — убедитесь, что трекер удалён

3. Google reCAPTCHA — скрытая угроза

reCAPTCHA — один из самых коварных нарушителей. Владельцы сайтов устанавливают его для защиты форм от ботов и даже не задумываются, какие данные он собирает. Между тем, reCAPTCHA v2 и v3 передают на серверы Google значительно больше информации, чем кажется.

Что собирает reCAPTCHA

  • IP-адрес посетителя
  • Все cookies Google (включая авторизацию в аккаунте Google)
  • Данные о движениях мыши и кликах
  • Разрешение экрана, язык, часовой пояс
  • Установленные плагины и расширения
  • JavaScript-объекты — цифровой отпечаток браузера

Особенно опасна reCAPTCHA v3: она работает «невидимо» и собирает данные на каждой странице сайта, а не только при отправке формы. Пользователь даже не знает, что его данные передаются в Google. Это усугубляет нарушение — обработка ПД происходит без какого-либо уведомления субъекта.

Российские альтернативы reCAPTCHA

1.
Яндекс SmartCaptcha

Серверы в РФ, бесплатно до определённого объёма. Аналогичная функциональность — невидимая проверка + капча для подозрительных пользователей.

2.
hCaptcha

Швейцарская компания с возможностью выбора региона хранения данных. Однако сервера всё равно за рубежом — формально нарушение. Подходит как временное решение.

3.
Собственная серверная валидация

Honeypot-поля, rate limiting, проверка токенов — для большинства форм достаточно серверной защиты без сторонних капч.

Совет: если на вашем сайте reCAPTCHA стоит только на форме обратной связи — проще всего заменить её на Яндекс SmartCaptcha или серверный honeypot. Миграция занимает 1–2 часа для разработчика.

4. Google Fonts — неочевидное нарушение

Google Fonts — сервис, который подключают 90% разработчиков, не задумываясь о последствиях. Когда пользователь открывает страницу сайта, браузер загружает шрифты с серверов fonts.googleapis.com. При этом Google получает IP-адрес посетителя, User-Agent и данные о реферере.

В январе 2022 года немецкий суд уже оштрафовал сайт на 100 евро за использование Google Fonts (решение LG München, дело 3 O 17493/20). В России ситуация серьёзнее — штрафы за нарушение локализации данных измеряются миллионами рублей.

Внимание: многие CMS и темы (WordPress, Bitrix, Tilda) подгружают Google Fonts по умолчанию. Даже если вы не подключали шрифты вручную — они могут загружаться из темы или плагина. Проверьте вкладку Network в DevTools браузера на запросы к fonts.googleapis.com или fonts.gstatic.com.

Как исправить: self-host шрифтов

  1. Скачайте нужные шрифты с google-webfonts-helper (github) или fontsource.org
  2. Разместите файлы шрифтов (.woff2) на вашем сервере
  3. Добавьте @font-face в CSS с локальным путём
  4. Удалите подключение <link href="fonts.googleapis.com...">
  5. В WordPress: установите плагин OMGF (Optimize My Google Fonts) — он автоматически скачает и захостит шрифты
Бонус: self-hosted шрифты загружаются быстрее, потому что не требуют DNS-резолва на fonts.googleapis.com. Вы одновременно решаете юридическую проблему и улучшаете скорость загрузки сайта.

5. Виджеты WhatsApp и Telegram

Кнопки «Написать в WhatsApp» и «Написать в Telegram» стоят на тысячах российских сайтов. Простая ссылка (wa.me/... или t.me/...) не является нарушением — она просто перенаправляет пользователя. Проблема начинается с виджетами.

Виджеты WhatsApp

JavaScript-виджеты WhatsApp (например, от сервисов типа Elfsight, GetButton, Chatra) загружают скрипты с иностранных серверов. Эти скрипты устанавливают cookies, фиксируют IP-адрес и поведение пользователя — то есть осуществляют сбор персональных данных через иностранные базы данных.

Кроме того, WhatsApp принадлежит Meta (организация признана экстремистской и запрещена в РФ), что создаёт дополнительные юридические риски.

Виджеты Telegram

Встраиваемые виджеты Telegram (Telegram Login, Telegram Comments) отправляют данные на серверы за пределами РФ. Telegram не раскрывает полную топологию серверов, но основная инфраструктура расположена в Нидерландах, Сингапуре и США. Простая кнопка-ссылка — допустима, JS-виджет с подгрузкой скриптов — нарушение.

Российские альтернативы

JivoSite (Jivo)

Российский онлайн-чат, серверы в РФ. Поддержка мессенджеров, CRM, обратный звонок.

Carrot quest

Российская платформа для коммуникации с клиентами: чат, email, push-уведомления. Серверы в РФ.

Собственная форма обратной связи

Самый надёжный вариант — форма на вашем сервере. Никаких сторонних скриптов, полный контроль над данными.

Совет: замените виджеты на простые HTML-ссылки с иконкой мессенджера. Ссылка https://wa.me/7XXXXXXXXXX или https://t.me/username не загружает внешних скриптов и не передаёт данных — это просто ссылка.

Сколько запрещённых сервисов на вашем сайте?

Бесплатный пре-скан за 5 секунд покажет все иностранные трекеры. Полный аудит с PDF-отчётом — 1 990 ₽.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

6. Полный список запрещённых сервисов

Ниже — таблица наиболее распространённых иностранных сервисов, которые нарушают требования 152-ФЗ о локализации персональных данных. Для каждого указана причина нарушения и российская альтернатива.

СервисЧто делаетПочему запрещёнАльтернатива
Google AnalyticsВеб-аналитикаIP, cookies, поведение → серверы СШАЯндекс.Метрика
Google Tag ManagerМенеджер теговЗагружает скрипты через серверы GoogleServer-side GTM / прямое подключение
Google Maps (embed)Карты на сайтеCookies, IP, геолокация → серверы GoogleЯндекс.Карты / 2ГИС
Google FontsВеб-шрифтыIP, User-Agent → CDN GoogleSelf-hosted шрифты
Google reCAPTCHAЗащита от ботовFingerprint, cookies, IP → серверы GoogleЯндекс SmartCaptcha
Facebook PixelРекламный трекерCookies, IP, поведение → серверы Meta*VK Pixel / myTarget
WhatsApp виджетЧат-виджетJS-скрипт передаёт данные на серверы Meta*JivoSite / простая ссылка
Telegram виджетАвторизация / комментарииДанные → серверы за пределами РФПростая ссылка t.me/...
IntercomЧат поддержкиВсе данные → серверы AWS (США)Carrot quest / Jivo
ZendeskHelpdesk, чатДанные → серверы AWS (США/ЕС)UseDesk / Omnidesk
HubSpotCRM, формы, аналитикаТрекинг, формы → серверы AWS (США)Битрикс24 / amoCRM
HotjarТепловые карты, записи сессийЗаписывает действия пользователей → серверы ЕСВебвизор (Яндекс.Метрика)
Cloudflare AnalyticsАналитикаДанные → серверы Cloudflare (США)Яндекс.Метрика

* Meta Platforms Inc. признана экстремистской организацией и запрещена на территории РФ.

Обратите внимание: список не является исчерпывающим. Любой скрипт, загружающий ресурсы с иностранных серверов и передающий данные пользователей (IP, cookies, fingerprint), потенциально нарушает 152-ФЗ. Если вы не уверены насчёт конкретного сервиса — проверьте, куда уходят данные через вкладку Network в DevTools.

7. Штрафы за использование запрещённых сервисов

Использование иностранных сервисов, передающих персональные данные за рубеж, — это нарушение требования о локализации баз данных (ч. 5 ст. 18 152-ФЗ). Административная ответственность предусмотрена статьёй 13.11 КоАП РФ. С 2025 года штрафы значительно увеличены.

НарушениеПервичное (юрлица)Повторное (юрлица)
Нарушение локализации данных (ч. 8 ст. 13.11)1–6 млн ₽6–18 млн ₽
Обработка ПД без согласия (ч. 2 ст. 13.11)300–700 тыс. ₽до 1,5 млн ₽
Непредоставление политики ПД (ч. 3 ст. 13.11)60–100 тыс. ₽до 300 тыс. ₽
Утечка ПД (оборотные штрафы)до 15 млн ₽1–3% годовой выручки

Штрафы суммируются!

Если на сайте одновременно стоит Google Analytics (нарушение локализации), формы без согласия (обработка без основания) и нет политики конфиденциальности — штрафы за каждое нарушение назначаются отдельно. Суммарно один сайт может «заработать» штраф на 20+ миллионов рублей при повторных нарушениях.

Роскомнадзор уже начал массовые проверки. В первом квартале 2026 года количество протоколов по ч. 8 ст. 13.11 (локализация) выросло в 5 раз по сравнению с аналогичным периодом 2025 года. Регулятор использует автоматизированные системы мониторинга, которые сканируют сайты на наличие иностранных трекеров.

Срок устранения: после получения предписания Роскомнадзора у оператора есть 30 дней на устранение нарушений. Если через 30 дней нарушения не устранены — повторный штраф с увеличенной санкцией. Лучше не доводить до предписания и убрать запрещённые сервисы самостоятельно.

8. Как проверить свой сайт

Сервис 152-audit.ru автоматически обнаруживает все иностранные трекеры, скрипты и сервисы на вашем сайте. Проверка проходит в три шага.

1

Бесплатный пре-скан — 5–8 секунд

Введите URL сайта. Парсер загрузит HTML и найдёт подключённые внешние скрипты: Google Analytics, reCAPTCHA, Google Fonts, Facebook Pixel, виджеты мессенджеров и другие иностранные сервисы. Результат — предварительная оценка соответствия из 100.

2

Полный аудит — 60 секунд, 1 990 ₽

Браузер Playwright открывает сайт как реальный пользователь, рендерит JavaScript, отслеживает все сетевые запросы. Нейросеть анализирует каждый запрос — куда уходят данные, какие cookies устанавливаются, какие скрипты загружаются с иностранных серверов.

3

PDF-отчёт с рекомендациями

Получите детальный отчёт: список всех обнаруженных нарушений с привязкой к статьям КоАП, расчёт потенциальных штрафов и пошаговые рекомендации по замене каждого запрещённого сервиса на российский аналог. Отчёт доступен онлайн и в формате PDF.

Проверьте сайт прямо сейчас

Пре-скан бесплатный. Полный аудит — 1 990 ₽.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

Частые вопросы

А Яндекс.Метрика — можно?

Да. Яндекс.Метрика хранит и обрабатывает данные на серверах в России. Яндекс как оператор персональных данных зарегистрирован в реестре Роскомнадзора и соблюдает требования 152-ФЗ о локализации. Это полностью легальная альтернатива Google Analytics с аналогичной (и даже расширенной) функциональностью: вебвизор, тепловые карты, воронки, A/B-тесты.

Что если Google Fonts подгружаются через CDN темы?

Нарушение от этого не перестаёт быть нарушением. Ответственность несёт оператор сайта (владелец), а не разработчик темы. Вам нужно найти в настройках CMS опцию отключения Google Fonts или установить плагин для self-hosting шрифтов. В WordPress это делает плагин OMGF, в Bitrix — правка шаблона. В Tilda зайдите в «Настройки сайта» → «Шрифты» и выберите системные шрифты или загрузите свои.

YouTube-видео на сайте — это нарушение?

Да, встроенный плеер YouTube (<iframe src="youtube.com/embed/...">) загружает скрипты с серверов Google и устанавливает cookies. Даже режим youtube-nocookie.com не решает проблему полностью — IP-адрес всё равно передаётся за рубеж. Варианты решения: загружайте видео на RuTube или VK Видео и встраивайте оттуда, либо храните видеофайлы на своём сервере.

Как быстро нужно убрать запрещённые сервисы?

Закон вступил в силу 1 июля 2025 года — формально нарушение уже происходит каждый день. Роскомнадзор начал активные проверки с осени 2025. Рекомендуем убрать все запрещённые сервисы как можно скорее. Замена Google Analytics на Яндекс.Метрику занимает 10 минут, reCAPTCHA на SmartCaptcha — пару часов, self-hosting шрифтов — 30 минут. За один рабочий день можно привести сайт в соответствие.

Cloudflare в качестве CDN/DNS — это нарушение?

Использование Cloudflare как CDN и DNS-провайдера — спорная ситуация. Cloudflare выступает как посредник (proxy), через который проходит трафик. Данные транзитом проходят через зарубежные серверы. Строгое толкование закона может расценить это как нарушение. Если вы хотите исключить риски — используйте российские CDN (DDoS-Guard, Selectel CDN) и DNS (Яндекс DNS, Selectel DNS). Отдельно стоящий скрипт Cloudflare Analytics — однозначно нарушение.

Мы используем Google Maps — как быть?

Встроенная карта Google Maps через <iframe> передаёт данные на серверы Google. Замените на Яндекс.Карты (бесплатный API для большинства сценариев) или 2ГИС. Если нужно показать просто адрес — можно использовать статическую картинку-скриншот карты со ссылкой на Яндекс.Карты. Никаких скриптов, никаких нарушений.

← 152-ФЗ простым языкомШтрафы 152-ФЗ →Чек-лист соответствия →AI-аудит сайта →Cookie-баннер →

Статья носит информационный характер и не является юридической консультацией. Результаты автоматической проверки сайта — информационная услуга, которая не заменяет заключение квалифицированного юриста. Актуальные нормы и размеры штрафов уточняйте в действующей редакции КоАП РФ и 152-ФЗ. Список запрещённых сервисов может изменяться по мере обновления законодательства.