Сайт на Tilda, WordPress или Wix — и персональные данные: почему ваш конструктор может стоить вам миллионы

Полный разбор: формы, внешние скрипты, хостинг, заявки и требования 152-ФЗ в 2025–2026 году

Почему конструктор сайтов стал зоной регуляторного риска

Десятки тысяч российских компаний используют Tilda, WordPress, 1С-Битрикс, Wix и другие платформы для создания сайтов. Это быстро, доступно и не требует знания кода. Маркетологи подключают Google Analytics, пиксели ретаргетинга, виджеты обратного звонка, формы с передачей данных в CRM. Никто особо не задаётся вопросом: а куда физически уходят эти данные?

До недавнего времени можно было смотреть на это сквозь пальцы. Роскомнадзор проверял в основном крупные компании, штрафы были невысокими, «серые зоны» позволяли работать как обычно. Сегодня ситуация принципиально иная.

С 30 мая 2025 года вступили в силу поправки в КоАП по закону 420-ФЗ, кратно увеличив штрафы [1]. С 1 июля 2025 года заработало требование о первичной локализации — данные россиян должны сначала попасть на российский сервер [2]. Мораторий на внеплановые проверки Роскомнадзора истёк с 1 января 2025 года [3]. Регулятор активно использует систему «Ревизор» для автоматического мониторинга сайтов [4].

Эта статья — для руководителей, маркетологов, разработчиков и ИБ-специалистов, которые хотят понять: что именно нарушают сайты на конструкторах, где скрыты реальные риски и как привести всё в порядок без юридической паники.

Часть 1. Кто такой оператор персональных данных — и почему это вы

Статус, который возникает автоматически

Федеральный закон 152-ФЗ «О персональных данных» определяет оператора как любое юридическое или физическое лицо, которое организует и осуществляет обработку персональных данных или определяет её цели [5]. Ключевое слово — «определяет». Именно вы решили поставить форму на сайте, собирать email, передавать заявки в CRM. Значит, вы — оператор [6].

Это распространяется на всех: ИП, самозанятых, малый бизнес, интернет-магазины, образовательные платформы, медицинские клиники, агентства недвижимости. Исключений для «маленьких» нет [7]. Если вы собираете имя и телефон через форму на сайте — вы оператор со всеми вытекающими обязанностями.

Что считается персональными данными

Персональные данные — это любая информация, которая прямо или косвенно позволяет идентифицировать физическое лицо [5]. Под это определение попадают имя, фамилия, email, номер телефона, IP-адрес, cookie-идентификатор, геолокация, данные об устройстве. Даже сочетание «имя + город» может считаться персональными данными.

Это важно понимать применительно к конструкторам сайтов: любая форма обратной связи, форма записи, квиз, чат-виджет, окно обратного звонка — всё это инструменты сбора персональных данных.

Часть 2. Как работают конструкторы сайтов с точки зрения закона

Модель оператор — обработчик

Когда вы строите сайт на Tilda, платформа технически обрабатывает данные ваших пользователей: хранит заявки, передаёт их вам. В терминах 152-ФЗ Tilda выступает «лицом, осуществляющим обработку по поручению оператора» (ч. 3 ст. 6 закона). Это означает, что между вами и платформой должно быть заключено поручение об обработке.

Хорошая новость: Tilda заключает это поручение автоматически при регистрации, и данные в рамках стандартной работы платформы хранятся на российских серверах [8]. Трансграничная передача в обычной работе на Tilda.ru не происходит [8]. Это снимает одну из главных проблем с хостингом для пользователей российской версии платформы.

Однако статус обработчика не освобождает вас от ответственности как оператора. Вы несёте её перед субъектом данных независимо от того, кто физически хранит информацию [9].

WordPress, Wix, Shopify: зона повышенного риска

Ситуация принципиально отличается для западных платформ. WordPress сам по себе — это open-source CMS, которую вы устанавливаете на собственный хостинг. Если хостинг находится в России — проблем с локализацией нет. Но если использованы плагины с облачными функциями (Contact Form 7 с интеграцией в зарубежную CRM, форм-билдеры с хранением данных в облаках AWS или Azure) — данные могут утекать за пределы РФ [10].

Wix, Squarespace, Shopify — SaaS-платформы с серверами за рубежом. Их использование для сбора персональных данных россиян автоматически означает трансграничную передачу, которая требует уведомления Роскомнадзора [11]. Многие компании, выбравшие эти платформы до 2023–2025 годов, сейчас оказались в зоне риска.

1С-Битрикс — российская платформа с российскими серверами. Встроенный комплект документов по персональным данным упрощает соответствие требованиям. Это один из наиболее «безопасных» вариантов с точки зрения регулятора.

Часть 3. Главная «слепая зона»: внешние скрипты

Что такое внешние скрипты и почему они опасны

Внешние скрипты — это код сторонних сервисов, который подключается к вашему сайту и выполняется в браузере пользователя. Они невидимы для посетителя, но активно собирают данные: IP-адрес, поведение на сайте, устройство, геолокацию, идентификаторы.

К типичным внешним скриптам относятся: счётчики аналитики (Google Analytics, Яндекс.Метрика), пиксели ретаргетинга (Facebook/Meta Pixel, TikTok Pixel, VK Pixel), системы защиты от ботов (reCAPTCHA от Google), виджеты чатов и обратного звонка, встроенные карты (Google Maps через iframe), формы (Google Forms, Typeform), системы email-рассылок и CRM, подключённые через JS-интеграцию [12].

Ключевая проблема: многие владельцы сайтов не знают, сколько таких скриптов реально работает на их ресурсе. Разработчик поставил Pixel для маркетолога, маркетолог добавил Analytics через GTM, кто-то подключил виджет обратного звонка — и в итоге данные пользователей уходят в 5–10 разных систем, часть из которых находится за рубежом [13].

Google Analytics: главная история 2025 года

Роскомнадзор ещё в 2022 году признал использование Google Analytics трансграничной передачей персональных данных [14]. С тех пор позиция регулятора не изменилась. С января 2025 года РКН начал направлять компаниям уведомления с требованием удалить счётчик Google Analytics с сайтов [14].

Архитектура сервиса такова, что данные сразу обрабатываются на серверах Google за пределами РФ. После 1 июля 2025 года это стало прямым нарушением требования о первичной локализации [15]. Продолжение использования GA без уведомления о трансграничной передаче и соответствующей технической архитектуры (server-side tagging с промежуточным хранением в РФ) грозит штрафом: для юрлиц и ИП — от 3 до 15 млн рублей [16].

Важный нюанс: некоторые юристы считают, что GA можно использовать при условии подачи уведомления о трансграничной передаче в РКН и ожидания ответа в течение 10 рабочих дней. Однако технически всё равно нужно, чтобы данные сначала попали на российский сервер, а только потом передавались в Google — что требует настройки server-side tagging, а это дополнительные расходы и сложность [14].

Практический вывод: безопасная альтернатива — Яндекс.Метрика, серверы которой находятся в России.

Facebook Pixel, TikTok Pixel и другие пиксели

Пиксели ретаргетинга работают по тому же принципу, что и Google Analytics: скрипт, установленный на сайте, собирает данные о пользователях и передаёт их на серверы Meta, TikTok и других платформ, которые находятся за рубежом [17]. Это трансграничная передача. Использование Meta Pixel дополнительно осложняется тем, что Meta признана экстремистской организацией в России.

Google Forms, reCAPTCHA, Google Maps

Эти инструменты часто воспринимаются как «безобидные», но с точки зрения закона они несут те же риски. Google Forms отправляет введённые пользователем данные прямо на серверы Google за рубежом — это нарушение требования о первичной локализации [12]. reCAPTCHA при проверке передаёт данные о поведении пользователя на серверы Google [12]. Google Maps через iframe может передавать данные о геолокации [12].

CRM с зарубежными серверами

Отдельная история — зарубежные CRM-системы: HubSpot, Salesforce, Zendesk, Pipedrive. Если форма на вашем сайте напрямую отправляет данные в такую CRM, это означает, что данные россиян первично записываются на зарубежные серверы — прямое нарушение с 1 июля 2025 года [17]. Проблема: таких форм на сайтах тысячи, и их настраивали не юристы, а маркетологи или разработчики, которые думали исключительно об удобстве работы.

Часть 4. Требования к формам: что должно быть на каждой странице с формой

Чекбокс согласия

Под каждой формой, собирающей персональные данные, должен быть чекбокс с согласием пользователя [8]. Требования к нему:

1. Чекбокс не должен быть активен по умолчанию — пользователь сам должен его нажать.
2. Рядом с чекбоксом должна быть ссылка на политику обработки персональных данных.
3. С 30 мая 2025 года согласие должно быть конкретным и однозначным: пользователь должен понимать, какие данные собираются и для чего [18].
4. Если пользователь заполняет несколько форм, каждая требует отдельного согласия [18].

Исключение: форма при оформлении заказа в интернет-магазине. Основанием для обработки здесь служит исполнение договора, отдельный чекбокс не обязателен [8].

Согласие как отдельный документ

С 1 сентября 2025 года согласие на обработку персональных данных должно оформляться как самостоятельный документ, а не как пункт в пользовательском соглашении или политике конфиденциальности [19]. Это важное изменение для всех, кто раньше «прятал» согласие в тексте оферты.

Политика обработки персональных данных

Обязательна к публикации на сайте. Требования: документ должен быть публичным, доступным без регистрации и открываться с любой страницы сайта [18]. В нём должно быть указано, какие данные собираются, где хранятся, на каких основаниях, каковы сроки хранения и какие права есть у пользователя.

Cookie-баннер

С 2025 года cookie-баннеры должны не просто информировать, а предоставлять реальную возможность управления согласием [18]. Это означает:

1. Возможность чётко отказаться от сбора необязательных cookie.
2. Разделение cookie по категориям: технические, аналитические, рекламные.
3. Если cookie используются для передачи идентификаторов в иностранные аналитические или рекламные системы — необходимо явное согласие пользователя.

Часть 5. Хостинг и локализация: что значит «данные должны быть в России»

Новая редакция требования о локализации

С 1 июля 2025 года вступила в силу обновлённая норма о локализации (ч. 5 ст. 18 152-ФЗ, закон 23-ФЗ от 28.02.2025) [2]. Ключевое изменение: теперь требование касается не просто хранения копий данных в России, а первичного сбора. Персональные данные россиян должны сначала записываться в базу данных, физически находящуюся на территории РФ, — и только после этого могут передаваться за рубеж при соблюдении дополнительных условий [2].

Под локализацией понимается не просто наличие сервера в России, а полное физическое размещение всех элементов инфраструктуры, участвующих в сборе, хранении и обработке данных [20].

Что это значит практически

Если ваш сайт физически расположен на зарубежном хостинге, а база данных заявок — тоже за рубежом, это нарушение. Если хостинг в России, но форма отправляет данные в зарубежный SaaS (CRM, email-сервис) без промежуточного сохранения в РФ — тоже нарушение.

Практически правильная цепочка выглядит так: пользователь заполнил форму → данные записались в базу на российском сервере → только после этого (при наличии уведомления РКН) данные могут передаваться в иностранные системы.

Что с Tilda: конкретный ответ

Согласно официальной документации платформы, данные пользователей Tilda.ru хранятся на российских серверах и не передаются за рубеж в обычном режиме работы [8]. Поручение об обработке заключается автоматически при регистрации. Уведомление о трансграничной передаче в Роскомнадзор в базовом сценарии не требуется.

Однако это не означает, что сайт на Tilda автоматически соответствует 152-ФЗ. Если вы подключили к сайту внешние скрипты (Google Analytics, Facebook Pixel, зарубежную CRM), они работают независимо от того, где хранит данные Tilda. Ответственность за эти интеграции лежит на вас.

Поручение об обработке с другими сервисами

Если вы используете сторонние сервисы для обработки персональных данных пользователей (email-рассылки, CRM, чат-боты), с каждым из них должно быть заключено поручение об обработке согласно ч. 3 ст. 6 152-ФЗ [9]. Многие платформы заключают его автоматически — ищите соответствующий документ на сайте поставщика. Если не нашли — запросите в поддержке.

Хостинг-провайдер не может взять на себя обязанности оператора — только хранителя [21]. Переложить на него ответственность за политику обработки, формы согласия и права субъектов данных невозможно.

Часть 6. Штрафы 2025: новая реальность

Федеральный закон 420-ФЗ от 30.11.2024, вступивший в силу 30 мая 2025 года, принципиально изменил систему санкций [22]. Перечислим ключевые параметры:

За незаконную обработку персональных данных (ч. 1 ст. 13.11 КоАП) для юрлиц — от 150 000 до 300 000 рублей (ранее 60 000–100 000 рублей) [23].

За неуведомление Роскомнадзора о намерении обрабатывать данные (ч. 10 ст. 13.11 КоАП) для юрлиц и ИП — от 100 000 до 300 000 рублей. Раньше такого отдельного состава не было [24].

За неуведомление РКН об утечке (ч. 11 ст. 13.11 КоАП) для юрлиц и ИП — от 1 до 3 млн рублей. Срок уведомления — 24 часа на первичное сообщение и 72 часа на результаты расследования [25].

За утечку данных о 1 000–10 000 лицах (ч. 12 ст. 13.11 КоАП) для юрлиц и ИП — от 3 до 5 млн рублей [26].

За утечку данных о 10 000–100 000 лицах — от 5 до 10 млн рублей [26].

За утечку данных о более чем 100 000 лицах — от 10 до 15 млн рублей [26].

За повторную утечку — оборотные штрафы от 1% до 3% годовой выручки. Минимум — 20–25 млн рублей, максимум — 500 млн рублей [22].

За нарушение требования о локализации (ч. 8 ст. 13.11 КоАП) — от 1 до 6 млн рублей. За повторное — от 6 до 18 млн рублей [11].

Отдельно важно: скидка в 50% при быстрой оплате штрафа больше не применяется к нарушениям по ст. 13.11 КоАП [22].

Часть 7. Типичные ошибки и как их избежать

Ошибка 1: «У меня маленький сайт, до меня не дойдут»

Практика 2023–2025 годов показала: Роскомнадзор проверяет компании всех форм собственности — от федеральных порталов до ИП и микробизнеса [10]. Плановые проверки охватывают школы, интернет-магазины, клиники. Внеплановые — инициируются по жалобам субъектов данных или автоматическим мониторингом. Мораторий на внеплановые проверки закончился с 1 января 2025 года [3].

Ошибка 2: «Я не знаю, какие скрипты стоят на сайте»

Это самая распространённая проблема. Скрипты добавляются разными людьми в разное время: разработчиком при запуске, маркетологом через GTM, подрядчиком при настройке рекламы. Через год никто не помнит, что именно подключено. Решение: технический аудит сайта с анализом всех исходящих запросов. Проверьте сетевые запросы через DevTools браузера или специализированные инструменты [13].

Ошибка 3: «Я подключил Google Analytics через GTM — это другое»

Нет. Google Tag Manager сам по себе запускает скрипты GA и других сервисов, которые собирают персональные данные. Если через GTM запускается что-то, передающее данные за рубеж, — это та же проблема [14].

Ошибка 4: «Форма ведёт в нашу CRM — это же не трансграничная передача»

Зависит от того, где физически находятся серверы CRM. HubSpot, Salesforce, Zendesk — серверы за рубежом. Если данные из формы на вашем сайте уходят напрямую в такую CRM, с 1 июля 2025 года это нарушение. Исправление: либо перейти на российскую CRM (Битрикс24, amoCRM), либо настроить промежуточное сохранение данных на российском сервере с последующей передачей [17].

Ошибка 5: «Политика конфиденциальности есть — значит, всё ок»

Наличие документа — необходимое, но не достаточное условие. Роскомнадзор проверяет: соответствие политики реальным процессам обработки, наличие чекбоксов под формами, правильное оформление согласий, регистрацию в реестре операторов, поданное уведомление. Отсутствие хотя бы одного пункта — нарушение [10].

Ошибка 6: «Не зарегистрировались как оператор»

С 2025 года любое лицо, собирающее или обрабатывающее персональные данные, обязано пройти регистрацию в реестре операторов Роскомнадзора [19]. Штраф за неуведомление — от 100 000 до 300 000 рублей для юрлиц.

Часть 8. Практический чек-лист: как привести сайт в порядок

Шаг 1: Инвентаризация

1. Найдите все формы на сайте: обратная связь, заявки, подписки, квизы, чат-боты, виджеты обратного звонка.
2. Проанализируйте исходный код и сетевые запросы: какие внешние домены подгружаются (google.com, facebook.com, doubleclick.net, analytics и др.)?
3. Определите, куда физически попадают данные из каждой формы: в какую систему, на каком сервере.
4. Проверьте, где физически находится ваш хостинг и база данных.

Шаг 2: Устранение нарушений

1. Замените Google Analytics на Яндекс.Метрику или аналог с серверами в РФ.
2. Удалите или замените пиксели иностранных соцсетей.
3. Замените reCAPTCHA на российский аналог.
4. Переведите данные из зарубежных CRM в российские (Битрикс24, amoCRM, RetailCRM) или настройте server-side промежуточный слой с хранением в РФ.
5. Замените Google Forms на Яндекс.Формы или форму на российском конструкторе.

Шаг 3: Документация

1. Обновите политику обработки персональных данных под реальные процессы.
2. Добавьте чекбоксы под все формы. Убедитесь, что они не активны по умолчанию.
3. Оформите согласие как отдельный документ (требование с 1 сентября 2025 года).
4. Добавьте корректный cookie-баннер с возможностью раздельного управления согласием.
5. С каждым сторонним обработчиком (рассылки, CRM, хостинг) заключите или проверьте поручение об обработке.

Шаг 4: Регуляторные действия

1. Зарегистрируйтесь или актуализируйте данные в реестре операторов персональных данных на сайте Роскомнадзора.
2. Если планируете трансграничную передачу — подайте уведомление в РКН и дождитесь результата (10 рабочих дней).
3. Назначьте ответственное лицо за обработку персональных данных.
4. Разработайте внутренние документы: политику, регламенты, инструкции.

Шаг 5: Поддержание в актуальном состоянии

1. Проводите аудит не реже одного раза в год или при серьёзных изменениях в ИТ-инфраструктуре.
2. При подключении любого нового сервиса или скрипта проверяйте, где хранятся данные.
3. Ведите учёт и фиксируйте факты получения согласий с указанием даты и содержания.

Часть 9. Серые зоны и спорные вопросы

Google Analytics: запрет или обязательное уведомление?

Позиция неоднозначна. Часть юристов настаивает на том, что GA можно использовать при правильном уведомлении и настройке server-side tagging. Часть считает, что после 1 июля 2025 года любое использование GA — нарушение [14]. Роскомнадзор рассматривает GA как трансграничную передачу и с 2025 года рассылает требования об его удалении. Безопаснее перейти на Яндекс.Метрику.

Яндекс.Метрика и данные

Яндекс.Метрика хранит данные в России — это её главное преимущество с точки зрения локализации. Однако и здесь нужно корректно настроить cookie-баннер и убедиться, что пользователь информирован о сборе данных для аналитики.

Мораторий на проверки

На плановые проверки Роскомнадзора действует мораторий (он установлен постановлением Правительства). Однако он не распространяется на внеплановые проверки — они возможны с 1 января 2025 года [3]. Кроме того, у РКН есть широкий арсенал без проверочных инструментов: автоматический мониторинг сайтов, запросы, жалобы субъектов данных.

Часть 10. Тренды и что будет дальше

Регуляторное давление в сфере персональных данных в России нарастает. В 2025–2026 годах прогнозируется увеличение числа внеплановых проверок с акцентом на отсутствие локализации, некорректный сбор данных и нарушения в документации [20]. Компании, использующие зарубежные сервисы для хранения или обработки данных, — в приоритетной зоне внимания регулятора [20].

Одновременно усложняется ИТ-ландшафт: новые интеграции, чат-боты на базе иностранных LLM-сервисов, инструменты маркетинговой автоматизации — каждая из них потенциально создаёт новые риски. Понять, где и как обрабатываются данные в реальном времени, становится всё сложнее без специализированного инструментария.

Ещё одна устойчивая тенденция — смещение акцента с «бумажного» соответствия на реальный технический контроль. Роскомнадзор проверяет не только наличие политики на сайте, но и реальные потоки данных через систему «Ревизор» и анализ трафика [4]. Наличие правильно оформленных документов при наличии реальных нарушений в инфраструктуре — не защита, а отягчающее обстоятельство.

Что делать прямо сейчас

Конструкторы сайтов и CMS — удобный инструмент, но они не делают вас автоматически compliant. Даже Tilda, которая правильно решила вопрос с хостингом и поручением, оставляет всю ответственность за формы, чекбоксы, политики и внешние скрипты на плечах владельца сайта.

Три практических шага для начала прямо сейчас:

1. Запустите технический аудит сайта: проверьте все исходящие запросы к внешним доменам в браузерном DevTools или специализированном инструменте.
2. Составьте карту данных: для каждой формы — откуда берётся согласие, куда идут данные, на чьих серверах хранятся.
3. Зарегистрируйтесь как оператор в реестре РКН, если ещё этого не сделали — это базовое требование, нарушение которого теперь обходится дорого.

Регуляторная нагрузка продолжит расти. Компании, которые выстроят систему контроля над персональными данными сейчас, окажутся в значительно лучшем положении, чем те, кто будет устранять нарушения уже под давлением проверки.

О платформе «Пятый фактор»

Один из ключевых вызовов, описанных в этой статье, — невидимость: компании не знают, где именно в их инфраструктуре появляются новые риски. Сегодня маркетолог подключил новый аналитический сервис, завтра разработчик добавил интеграцию с CRM — и каждый такой шаг меняет картину обработки персональных данных.

Именно эту проблему решает Пятый фактор — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Платформа работает с базами данных, хранилищами, API, CRM и другими источниками, выявляя, где и какие ПДн хранятся, кто является их владельцем и что изменилось с момента последней проверки.

Ключевое преимущество: «Пятый фактор» не хранит и не передаёт сырые значения персональных данных — работает только с метаданными, структурой и агрегатами. Это означает, что сама платформа не становится источником дополнительного риска.

Для компаний, которые всерьёз занялись приведением ИТ-ландшафта в соответствие 152-ФЗ, «Пятый фактор» позволяет сделать это не разовым аудитом, а непрерывным процессом: видеть новые риски раньше, чем они превращаются в инциденты, и сокращать время подготовки к проверкам с недель до часов.

Источники

[1] КонсультантПлюс. Федеральный закон от 30.11.2024 N 420-ФЗ — https://www.consultant.ru/legalnews/28492/

[2] intecweb.ru. Запрет хранения ПДн на иностранных серверах — https://intecweb.ru/company/news/zapret_khraneniya_pdn_na_inostrannykh_serverakh/

[3] comply.ru. Локализация и трансграничная передача персональных данных с 1 июля 2025 — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[4] krivoshein.site. Роскомнадзор в 2025 году: технические аспекты локализации — https://krivoshein.site/roskomnadzor-v-2025-godu-tehnicheskie-aspekty-lokalizatsii-personalnyh-dannyh-i-novye-trebovaniya-k-cookie/

[5] Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» — https://normativ.kontur.ru/document?moduleId=1&documentId=501173

[6] b-152.ru. Кто обязан соблюдать 152-ФЗ — https://b-152.ru/kto-obyazan-soblyudat-152-fz

[7] ic-tech.ru. Перечень документов по 152-ФЗ для организации в 2025 году — https://ic-tech.ru/blog/knowledge-base/pdn-152fz-2025/

[8] help-ru.tilda.cc. Обработка персональных данных на сайте — https://help-ru.tilda.cc/privacy-policy-notification

[9] atlex.ru. Почему хостинг-провайдер не может взять на себя ваши обязанности по 152-ФЗ — https://www.atlex.ru/baza-znanij/chavo/pochemu-hosting-provajder-ili-data-tsentr-ne-mozhet-vzyat-na-sebya-vashi-obyazannosti-po-ispolneniyu-152-fz/

[10] ic-tech.ru. Документы по 152-ФЗ 2025 — https://ic-tech.ru/blog/knowledge-base/pdn-152fz-2025/

[11] comply.ru. Ответственность за нарушение локализации — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[12] roskom24.ru. Что запрещено на сайте с 1 июля 2025 — https://roskom24.ru/chto_zapreshcheno_na_sayte_s_1_iyulya_2025/

[13] pr-cy.ru. Персональные данные 2026: локализация и штрафы — https://pr-cy.ru/news/p/10608-novye-trebovaniya-personal-dannye

[14] vc.ru. Google Analytics под запретом в России — https://vc.ru/id821549/2064582-google-analytics-pod-zapretom-v-rossii

[15] habr.com. Передача персональных данных за рубеж: Google Analytics — https://habr.com/ru/companies/click/articles/915364/

[16] intecweb.ru. Штрафы за нарушение локализации — https://intecweb.ru/company/news/zapret_khraneniya_pdn_na_inostrannykh_serverakh/

[17] vc.ru. Новые требования РКН 2025 — https://vc.ru/legal/2149867-novye-trebovaniya-rkn-2025-kak-izbezhat-shtrafov-za-lokalizatsiyu-dannyh

[18] integrator.digital. Чек-лист проверки сайта на соответствие 152-ФЗ — https://integrator.digital/blog/vse-o-razrabotke-saytov/chek-list-proverki-saita-fz-152-o-personalnyh-dannyh/

[19] companies.rbc.ru. Новые требования к персональным данным в 2026 — https://companies.rbc.ru/news/lIWDgweSHr/novyie-trebovaniya-k-personalnyim-dannyim-v-2026-chto-teper-obyazatelno/

[20] konsugroup.com. Новые требования к локализации персональных данных — https://konsugroup.com/news/new-requirements-personal-data-protection-russia-2025-07/

[21] selectel.ru. Хостинг ИСПДн — https://selectel.ru/solutions/hosting-ispdn/

[22] arbitr-praktika.ru. Штрафы за персональные данные с 30 мая 2025 — https://www.arbitr-praktika.ru/article/2742-shtrafy-za-personalnye-dannye

[23] consultant.ru. С 30 мая 2025 года значительно ужесточена ответственность — https://www.consultant.ru/document/cons_doc_LAW_490308/

[24] forus.ru. С 30 мая 2025 года вырастут штрафы — https://www.forus.ru/about/news/s-30-maya-2025-goda-vyrastut-shtrafy/

[25] buh.ru. Штрафы за персональные данные с 30 мая 2025 — https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

[26] 777msk.com. С 30 мая 2025 года за нарушение закона о персональных данных — https://777msk.com/s-30-maya-2025-goda-za-narushenie-zakona-o-personalnyh-dannyh-pridetsya-zaplatit-do-5-mln/