Трансграничная передача персональных данных: законна ли установка Google reCAPTCHA на сайте

Если кратко: использовать Google reCAPTCHA нельзя. Никакие согласия и уведомления не сделают её законной.

Вот почему:

Что конкретно передает Google reCAPTCHA за границу?

Google reCAPTCHA — это «троянский конь» на вашем сайте. Как только страница загружается, скрипт Google начинает собирать и моментально отправлять на серверы в США (google.com, gstatic.com) технические данные пользователя :

• IP-адрес посетителя сайта;
• cookie-файлы и идентификаторы сессии;
• Cookie-файлы Google (если пользователь авторизован в аккаунте Google — передается и его идентификатор);
• данные о браузере, операционной системе, разрешении экрана;
• история просмотров страниц.

С точки зрения закона, это — персональные данные, которые покидают Россию до того, как вы успели их обработать на своем сервере. А с 1 июля 2025 года это запрещено 

Почему получение согласия пользователя не поможет?

Законодательство изменилось кардинально. Ранее существовала лазейка в виде согласия пользователя на трансграничную передачу. Сейчас она не работает для США (и Google).

Для стран, которые не обеспечивают «адекватную защиту» прав субъектов персональных данных (а США входят в этот перечень), действует запрет на трансграничную передачу.

• Уведомления РКН (о том, что вы шлете данные) — недостаточно.
• Отдельного согласия пользователя на отправку данных в Штаты — недостаточно.

Для передачи данных в США требуется разрешение Роскомнадзора, которое выдается по результатам специальной процедуры (включающей аккредитацию иностранной организации). Получить его для публичного сайта с капчей Google — невозможно. Закон написан так, что легального способа установить Google reCAPTCHA просто не существует 

Чем это грозит вам

1. Автоматические штрафы от ИИ РКН. С 1 июля 2025 года Роскомнадзор проверяет сайты нейросетями, которые в момент сканируют подключения к серверам google.com. Ваш сайт найдут автоматически. Вам не придет «письмо счастья» с просьбой исправиться. Вы сразу получите протокол 
2. Астрономические суммы штрафов.

• За первую передачу данных в США (например, через reCAPTCHA): штраф для юрлиц от 1 до 6 млн рублей (ст. 13.11 КоАП РФ ч. 8)
• За повторное нарушение (вас оштрафовали, а капча осталась): штраф от 6 до 18 млн рублей (ч. 9 ст. 13.11 КоАП РФ)
• Важно: Система ИИ видит нарушение постоянно. Каждый день загрузки капчи — это новое нарушение. Судьи уже назнаюают максимальные штрафы «за повторку» в течение недели после первого протокола.

Что делать прямо сейчас

Единственное законное решение — удалить Google reCAPTCHA и заменить её на российский сертифицированный аналог – Яндекс SmartCaptcha. Российская разработка, данные не покидают РФ. Работает по принципу «нажми на картинку»

Вывод: подведите итог в Политике конфиденциальности

После того как вы заменили капчу на российскую, обязательно внесите правку в Политику конфиденциальности. Явно укажите фразу: «Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных (включая США), не осуществляется».

Ни в коем случае не пишите в политике, что вы передаете данные в Google — это станет доказательством умысла и гарантией максимального штрафа в 6 млн рублей.

Трансграничная передача — лишь один из аспектов проблематики по 152-ФЗ. О других требованиях к сайтам в 2026 году читайте в наших материалах:

• «Изменения в 152-ФЗ с 1 июля 2026: что проверить на сайте в первую очередь»;
• «Политика и согласие на обработку персональных данных: в чём разница и что должно быть в каждом документе».