Суть закона
Что именно изменилось
23-ФЗ вносит изменения в ч. 5 ст. 18 Федерального закона «О персональных данных» (152-ФЗ). Раньше требовалось хранить ПДн в России, теперь запрещён сам процесс первичного сбора через зарубежные серверы.
Новая редакция ч. 5 ст. 18 152-ФЗ
«При сборе персональных данных, в том числе посредством сети Интернет, запись, систематизация, накопление, хранение, уточнение, извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются». Исключения — только судопроизводство, международные договоры, полномочия госорганов и деятельность журналистов (п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ). Для медицины и бизнеса исключений нет.
Что запрещено — в чём отличие от прежнего регулирования
До 23-ФЗ достаточно было хранить копию данных в России (242-ФЗ от 2015 г.). Теперь запрещено использовать зарубежные базы на этапе первичного захвата данных — даже если параллельно идёт запись в российскую БД. Схема «сначала в РФ, потом за рубеж» больше не работает как оправдание для клиентских скриптов.
1 июля 2025 — без переходного периода
Закон вступает в силу с 01.07.2025. Переходного периода нет. С 00:00 1 июля любой сетевой запрос браузера пользователя к зарубежному серверу с передачей ПДн — оконченный состав правонарушения.
Матрица
Запрещено / Разрешено
Каждый скрипт, загружаемый с зарубежного сервера, передаёт минимум IP-адрес пользователя — а это персональные данные.
Запрещено
Google Analytics
Прямой сбор IP, ClientID, поведения в базы Google (США)
Google Fonts
IP-адрес передаётся при каждом TLS handshake с fonts.googleapis.com
Google Maps API
IP и геолокация на серверах Google
Google reCAPTCHA
Поведенческая биометрия (движения мыши, скорость ввода) + IP уходят за рубеж
Google Tag Manager
Загрузка контейнера с googletagmanager.com передаёт метаданные; контейнер может инъецировать другие трекеры
Facebook Pixel (Meta*)
Деятельность Meta* запрещена в РФ как экстремистская. Двойной риск: 23-ФЗ + антиэкстремистское законодательство
CDN: Cloudflare, jsDelivr, unpkg
Логи IP-адресов аккумулируются в центральных базах в США/ЕС, даже если edge-нода в Москве
Зарубежные CRM
HubSpot, Mailchimp, Typeform — прямая отправка данных из формы в иностранную базу
Разрешено
Яндекс.Метрика
ООО «ЯНДЕКС», серверы в дата-центрах РФ
Self-hosted шрифты
Файлы .woff2 на сервере в РФ, подключение через @font-face
Яндекс.Карты / 2ГИС
Российские сервисы с локализованной инфраструктурой
Yandex SmartCaptcha
Замена reCAPTCHA, данные обрабатываются в РФ
Calltouch / Roistat
Российские платформы колл-трекинга и сквозной аналитики
Mindbox
CDP-платформа, серверы в России
Локальные JS-библиотеки
jQuery, Bootstrap и др., размещённые на собственном сервере вместо CDN
Matomo (self-hosted)
Аналитика на своём сервере в РФ, 100% контроль над данными
* Meta Platforms Inc.
Деятельность компании Meta признана экстремистской и запрещена на территории РФ (решение Тверского районного суда г. Москвы от 21.03.2022). Наличие Facebook Pixel на сайте создаёт риски не только по 23-ФЗ, но и по антиэкстремистскому законодательству.
Контроль
Как РКН находит нарушения
С января 2025 года Роскомнадзор рассылает предписания владельцам сайтов с Google Analytics. Выявление автоматизировано.
Автоматический сканер
Роскомнадзор использует роботов, которые непрерывно сканируют сайты в зонах .RU и .РФ. Алгоритм парсит DOM-дерево страницы, анализирует исполняемый JavaScript на предмет паттернов инициализации сторонних библиотек (google-analytics.com/collect, gtag(), fbq()) и перехватывает фактические сетевые запросы браузера.
Доказательная база
К письмам-претензиям ведомство прилагает скриншоты исходного кода сайта, на которых проблемный фрагмент (вызов счётчика GA, подключение шрифтов Google) выделен маркером. Обфускация и минификация бесполезны — анализатор перехватывает сетевые запросы, а не только читает исходный код.
Масштаб: все домены
Размер клиники не имеет значения — роботы сканируют весь реестр зарегистрированных доменов. На практике 2024–2026 региональные управления РКН (Нижний Новгород, Тюмень, Курган) квалифицируют наличие Google Analytics как трансграничную передачу без уведомления — ч. 1 ст. 13.11 КоАП через ст. 12 152-ФЗ (150–300 тыс руб.). Дополнительный риск квалификации как нарушения локализации (ч. 8 ст. 13.11, до 6 млн) — при расширительной позиции РКН, устойчивой судебной практики против сайтов российских операторов нет.
Штрафы
Штрафы за нарушение 23-ФЗ
Актуальная редакция ст. 13.11 КоАП РФ с учётом 420-ФЗ от 30.11.2024 (в силе с 30.05.2025). Суммы для юридических лиц. Скидка 50% при быстрой оплате — отменена.
| Часть | За что | Штраф (юрлицо) |
|---|---|---|
| ч. 1 ст. 13.11 | Трансграничная передача без уведомления РКН (через ст. 12 152-ФЗ) — основная квалификация на практике для сайтов с Google Analytics, Google Fonts, reCAPTCHA, CDN, виджетами мессенджеров | 150 000–300 000 руб. |
| ч. 8 ст. 13.11 | Нарушение локализации первичного сбора ПДн — применяется при ведении собственной базы оператора в иностранной системе (HubSpot, Mailchimp, Typeform, Google Forms-сборы, хостинг сайта/CRM за рубежом). Для встроенных скриптов на сайте российского оператора — дополнительный риск, устойчивой судебной практики нет. | 1–6 млн |
| ч. 16 ст. 13.11 | Утечка спецкатегории ПДн (медицинские данные) через зарубежный скрипт — самостоятельный состав, применяется при подтверждённом инциденте утечки | 10–15 млн |
Скидка 50% отменена (420-ФЗ от 30.11.2024)
С 30 мая 2025 года по всем составам ст. 13.11 КоАП РФ отменена скидка 50% при быстрой оплате. Штраф назначается и оплачивается в полном объёме. Базовый штраф 150–300 тыс руб. — не катастрофичен по размеру, но это запись в карточке оператора, доступная всем последующим проверкам. Для медицинских клиник дополнительный риск даёт ч. 16 (утечка медданных, до 15 млн) — при подтверждённом инциденте.
Самопроверка
Как проверить свой сайт
Достаточно браузера. Откройте сайт и перехватите сетевые запросы через DevTools.
1. Откройте Chrome в режиме Инкогнито // Ctrl+Shift+N
2. Откройте DevTools // F12 или Ctrl+Shift+I
3. Вкладка Network → галочка «Preserve log»
4. Загрузите сайт, прокрутите до конца, кликните «Записаться»
5. Проанализируйте колонку Domain
6. Любой запрос к зарубежному серверу — нарушение
Домены-индикаторы нарушения 23-ФЗ — если видите их во вкладке Network, это проблема:
google-analytics.com
fonts.googleapis.com
fonts.gstatic.com
googletagmanager.com
connect.facebook.net
maps.googleapis.com
google.com/recaptcha
gstatic.com/recaptcha
cdnjs.cloudflare.com
cdn.jsdelivr.net
hubspot.com
mailchimp.com
Решения
Что делать: три подхода
Уровень миграции зависит от требований организации — от замены сервисов до полного self-hosted стека.
Подход 1. Миграция на российские аналоги
Простой и юридически безопасный путь. Закрывает 95% потребностей в аналитике и маркетинге.
Google Analytics → Яндекс.Метрика
Google Maps → Яндекс.Карты или 2ГИС
Google reCAPTCHA → Yandex SmartCaptcha
Google Fonts → self-hosted шрифты (.woff2 на своём сервере)
Сквозная аналитика → Calltouch, Roistat, Mindbox
Google Maps → Яндекс.Карты или 2ГИС
Google reCAPTCHA → Yandex SmartCaptcha
Google Fonts → self-hosted шрифты (.woff2 на своём сервере)
Сквозная аналитика → Calltouch, Roistat, Mindbox
Подход 2. Self-hosted решения
Для организаций, не желающих передавать поведенческие профили даже российским сервисам. Данные не покидают контур клиники.
Аналитика → Matomo или Plausible на VPS в РФ (Selectel, Яндекс.Облако)
Шрифты → файлы .woff2 в директории /fonts/ на сервере, @font-face в CSS
JS-библиотеки → локальные копии jQuery, Bootstrap вместо CDN
Капча → серверная валидация или SmartCaptcha
Шрифты → файлы .woff2 в директории /fonts/ на сервере, @font-face в CSS
JS-библиотеки → локальные копии jQuery, Bootstrap вместо CDN
Капча → серверная валидация или SmartCaptcha
Подход 3. Server-side GTM
Промежуточный прокси-сервер (контейнер sGTM) разворачивается на российском облаке. Браузер отправляет данные на него, а сервер пересылает агрегированную статистику в GA4 после скрабинга IP. Формально 23-ФЗ соблюдён на первом этапе, но последующая передача — это трансграничная передача по ст. 12 152-ФЗ.
Для медицинских клиник не рекомендуется: остаётся риск, что РКН признает анонимизацию недостаточной. В европейской практике (GDPR) суды уже признавали недействительным сбор через GTM при неполной анонимизации.
Проверим ваш сайт на соответствие 23-ФЗ
Полный аудит кода: трекеры, шрифты, CDN, формы, карты, капча.
Отчёт с перечнем нарушений и конкретными рекомендациями по замене.