инструкция 3 апреля 2028 По состоянию на 3 апреля 2028

Cookies в мобильном приложении

Cookies в мобильном приложении — это персональные данные по позиции Роскомнадзора. Их сбор без согласия пользователя нарушает ч. 1 ст. 13.11 КоАП и влечёт штраф до 300 000 рублей.

С 30.05.2025 за повторное нарушение порядка обработки cookies — штраф 300 000–500 000 рублей по ч. 1.1 ст. 13.11 КоАП. GA4, Firebase Analytics, Appsflyer, Adjust — инструменты, передающие идентификаторы устройства за рубеж, квалифицируются как трансграничная передача ПДн.

Если вы маркетолог интернет-магазина или мобильного приложения — проверьте: есть ли баннер согласия, корректна ли политика конфиденциальности и уведомлён ли РКН о трансграничной передаче.

Мобильные приложения собирают десятки идентификаторов: IDFA, GAID, device fingerprint, session token, push-токен. РКН квалифицирует их как cookies — персональные данные, требующие отдельного согласия субъекта. В 2025 году зафиксировано более 250 публичных утечек, и значительная часть инцидентов начиналась с незащищённой аналитики на стороне клиента. Эта инструкция описывает шесть шагов приведения мобильного приложения в соответствие 152-ФЗ — от классификации идентификаторов до регистрации трансграничной передачи в РКН.

Шаг 1. Как определить, какие cookies и идентификаторы собирает приложение?

Начните с технического аудита: составьте реестр всех SDK, библиотек и сторонних сервисов, встроенных в приложение. Для каждого определите, какие данные передаются: device ID, IP-адрес, геолокация, история действий, рекламный идентификатор (IDFA/GAID). Эти данные в совокупности позволяют идентифицировать пользователя — именно поэтому РКН относит их к персональным данным по ст. 3 ФЗ-152.

«Ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу, признаётся персональными данными. Идентификаторы устройства и поведенческие профили подпадают под это определение.»

Фиксируйте результат в реестре обработки ПДн: цель сбора каждого идентификатора, правовое основание (согласие по ст. 9 ФЗ-152 или иное), срок хранения, адрес получателя. Реестр потребуется при проверке РКН и при формировании политики конфиденциальности для приложения.

Типичный состав идентификаторов мобильного приложения интернет-магазина:

IDFA / GAID — рекламный идентификатор, передаётся в рекламные сети;
Device fingerprint — совокупность параметров устройства;
Session cookies / токены — идентификация сессии пользователя;
Push-токен — для персональных уведомлений;
IP-адрес — фиксируется при каждом обращении к серверу;
Геолокация — если включена функция «доставка рядом» или геофенсинг.

Шаг 2. Как классифицировать cookies как персональные данные и выбрать правовое основание?

Разделите идентификаторы на три группы: технически необходимые (без них приложение не работает), аналитические (статистика поведения) и маркетинговые (ретаргетинг, персонализация рекламы). Для первой группы правовым основанием служит исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Для второй и третьей — согласие субъекта по ст. 9 ФЗ-152.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии согласия субъекта либо в случаях, прямо установленных законом. Обработка в маркетинговых целях без согласия — нарушение ч. 1 ст. 13.11 КоАП: штраф 150 000–300 000 рублей для юрлица.»

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие должно быть оформлено отдельным документом или отдельным экраном — его нельзя объединять с пользовательским соглашением, офертой или политикой конфиденциальности. Для мобильного приложения это означает: отдельный экран при первом запуске с явным разделением категорий cookies и переключателями включения/отключения по каждой группе.

Молчание или проставление галочки по умолчанию не считается согласием. Пользователь должен совершить активное действие — нажать кнопку «Принять» или включить переключатель — отдельно для каждой категории нетехнических cookies.

Приложение уже в продакшне, а баннера согласия нет?

Отсутствие экрана согласия на cookies — нарушение ч. 1 ст. 13.11 КоАП. При повторном нарушении штраф вырастает до 500 000 рублей (ч. 1.1). Если в приложении используется GA4, Appsflyer или Adjust — дополнительно требуется уведомление РКН о трансграничной передаче. Юристы DATUM проведут аудит приложения по чек-листу 152-ФЗ, определят состав нарушений и помогут приоритизировать устранение.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Как оформить экран согласия (cookie consent) в мобильном приложении?

Экран согласия на первом запуске приложения должен содержать следующие обязательные элементы по ст. 9 ФЗ-152 в редакции ФЗ-156:

Что должен включать экран согласия на cookies

Наименование оператора и его контактные данные (ИНН, адрес, email);
Перечень категорий cookies с описанием цели каждой категории;
Список конкретных получателей данных (GA4, Appsflyer, рекламные сети) — без обезличивания до «третьих лиц»;
Переключатели (toggle) для нетехнических категорий — по умолчанию выключены;
Ссылка на полную политику конфиденциальности с описанием трансграничной передачи;
Явная кнопка «Принять выбранное» и возможность отклонить всё нетехническое одним действием.

Формат согласия должен позволять пользователю в любой момент изменить выбор. В настройках приложения разместите раздел «Управление cookies» или «Конфиденциальность» с теми же переключателями. Отзыв согласия не должен влечь ограничение основного функционала — иначе это нарушение принципа добровольности по ст. 9 ФЗ-152.

Шаг 4. Как настроить GA4 трансграничку и другие зарубежные аналитические инструменты?

Google Analytics 4, Firebase Analytics, Appsflyer, Adjust, Amplitude — все они передают идентификаторы пользователей на серверы за пределами России. Это трансграничная передача персональных данных по ст. 12 ФЗ-152. До начала передачи оператор обязан уведомить РКН.

«Ст. 12 ФЗ-152 — передача ПДн на территорию государства, не обеспечивающего адекватную защиту, допустима только после уведомления РКН. США не входят в перечень стран с адекватной защитой. Уведомление подаётся через pd.rkn.gov.ru.»

Порядок действий для GA4 и аналогичных инструментов:

Убедитесь, что в реестре операторов ПДн (pd.rkn.gov.ru) указана трансграничная передача для соответствующих сервисов;
Подайте уведомление об изменении сведений через Приказ РКН №180, добавив строку о трансграничной передаче в США или иную страну-получатель;
В договоре с аналитическим сервисом или в Data Processing Agreement зафиксируйте обязательство по защите ПДн;
В политике конфиденциальности и на экране согласия прямо укажите страну получателя данных и правовое основание передачи.

Альтернатива — использование серверной аналитики (server-side tagging) с хранением данных на российской инфраструктуре: в этом случае трансграничной передачи нет, а требование ч. 5 ст. 18 ФЗ-152 о локализации соблюдается автоматически. Это решение технически сложнее, но исключает риски по ст. 13.11 ч. 8 (штраф 1–6 млн рублей за нарушение локализации).

Шаг 5. Как обновить политику конфиденциальности интернет-магазина под мобильное приложение?

Политика конфиденциальности интернет-магазина, разработанная для сайта, не покрывает специфику мобильного приложения. Необходимо добавить отдельный раздел или выпустить отдельную политику для приложения с описанием всех категорий собираемых идентификаторов.

Обязательные разделы политики для мобильного приложения по ч. 2 ст. 18.1 ФЗ-152:

Перечень собираемых идентификаторов и cookies с указанием цели каждого;
Правовое основание обработки по каждой категории данных;
Список третьих лиц — получателей данных (рекламные сети, аналитика, маркетплейсы);
Порядок трансграничной передачи: страна, получатель, меры защиты;
Описание программы лояльности, если приложение её реализует: какие ПДн используются для начисления бонусов, профилирования;
Порядок и способы отзыва согласия, сроки прекращения обработки после отзыва;
Контактные данные ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Политику необходимо опубликовать в самом приложении (раздел «О приложении» или «Настройки» → «Конфиденциальность») и в магазинах приложений — App Store и Google Play оба требуют ссылку на политику конфиденциальности при публикации.

Если вы маркетолог и в приложении уже работают GA4, Appsflyer или программа лояльности — уведомление РКН о трансграничной передаче требуется подать до начала обработки. Задержка создаёт основание для штрафа по ч. 1 ст. 13.11 КоАП. Юристы DATUM соберут комплект ОРД под мобильное приложение за фиксированную стоимость.

Собрать ОРД под ключ

Шаг 6. Как наладить процесс управления согласиями и реагирования на запросы субъектов?

Согласие на cookies — не разовое действие. Оператор обязан хранить запись о согласии: когда дано, на какие категории, в какой версии политики. При обновлении политики или добавлении новых получателей данных — запрашивать повторное согласие.

По ст. 20 ФЗ-152 пользователь вправе запросить информацию об обработке своих ПДн. Ответить необходимо в течение 10 рабочих дней. Для мобильных приложений типичный запрос: «Какие данные вы обо мне собираете и кому передаёте?» — ответ на него должен быть автоматизирован или чётко регламентирован внутренним процессом.

При отзыве согласия на маркетинговые cookies оператор обязан прекратить передачу данных в рекламные сети в течение разумного срока. Технически это означает очистку идентификаторов в SDK и прекращение отправки событий в GA4 или Appsflyer. Журнал отзывов и изменений согласий храните не менее срока исковой давности — 3 года.

Типовые ситуации: как применяются нормы на практике

Ситуация 1. Маркетплейс и продавец: кто оператор ПДн в мобильном приложении? Если приложение принадлежит маркетплейсу, а продавец получает данные о покупателях через API, — оператором является маркетплейс, продавец выступает обработчиком по поручению (п. 3 ст. 6 ФЗ-152). Договор-поручение должен содержать перечень действий с ПДн и требования к защите. При утечке через продавца ответственность по ст. 13.11 КоАП несёт оператор — маркетплейс. Стратегия: включать в договор с продавцами требования к безопасности и право аудита.

Ситуация 2. GA4 трансграничка без уведомления РКН. Директор по маркетингу розничной сети (Центральный ФО, весна 2026) подключил GA4 к мобильному приложению для аналитики воронки продаж. Уведомление о трансграничной передаче в РКН подано не было. При плановой проверке РКН выявил передачу device ID и поведенческих данных на серверы Google в США. Компании предъявлен протокол по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Уведомление о трансграничной передаче и обновлённая политика позволили избежать повторного нарушения.

Ситуация 3. Программа лояльности в приложении без отдельного согласия. Интернет-магазин (Северо-Западный ФО, лето 2025) включил согласие на обработку ПДн в программе лояльности в текст пользовательского соглашения. После 01.09.2025 такое согласие не соответствует требованиям ФЗ-156 — оно должно быть оформлено отдельным документом или экраном. Проверка РКН по жалобе пользователя выявила нарушение ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 рублей). Стратегия: при обновлении приложения добавить отдельный экран согласия на программу лояльности с указанием конкретных получателей ПДн.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим мобильное приложение по чек-листу из 38 пунктов.
Комплект ОРД под ключ — политика для приложения, экран согласия, регламент управления cookies.
Защита при штрафе в арбитраже — оспорим протокол по ст. 13.11 КоАП, применим ст. 4.1 и 4.1.1.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да. Cookie-идентификаторы, device ID, IDFA, GAID и аналогичные технические идентификаторы позволяют косвенно идентифицировать пользователя, что соответствует определению ПДн по ст. 3 ФЗ-152. Это означает: сбор cookies без согласия нарушает ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 рублей для юрлица). Исключение — технически необходимые cookies, без которых невозможна работа сервиса.

2. Можно ли использовать GA4 после ограничений?

Использовать GA4 в мобильном приложении можно при соблюдении двух условий: получено отдельное согласие пользователя на аналитические cookies по ст. 9 ФЗ-152 и подано уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152. Альтернатива — server-side конфигурация с хранением данных на российской инфраструктуре, тогда трансграничная передача исключается. Без выполнения этих условий использование GA4 создаёт одновременно два основания для штрафа.

3. Кто оператор: маркетплейс или продавец?

Оператором является тот, кто определяет цели и способы обработки ПДн. В мобильном приложении маркетплейса оператором выступает маркетплейс. Продавец, получающий данные покупателей через API или личный кабинет, является обработчиком по поручению (п. 3 ст. 6 ФЗ-152). Между маркетплейсом и продавцом должен быть заключён договор-поручение с перечнем разрешённых действий с ПДн. За действия продавца с ПДн без поручения или за пределами поручения ответственность несут оба — каждый по своему составу нарушения.

4. Что грозит за отсутствие баннера cookies?

Отсутствие экрана согласия на cookies в мобильном приложении квалифицируется по ч. 1 ст. 13.11 КоАП как обработка ПДн в случаях, не предусмотренных законом, — штраф 150 000–300 000 рублей для юрлица. При повторном нарушении (ч. 1.1 ст. 13.11 КоАП, введена ФЗ-420 с 30.05.2025) — штраф 300 000–500 000 рублей. Если в приложении параллельно используется GA4 без уведомления РКН — добавляется штраф по ч. 1 ст. 13.11 за нарушение порядка трансграничной передачи. Составы суммируются.

5. Как оформить отзыв подписки?

Отзыв согласия на маркетинговые cookies и email-рассылки должен быть таким же простым, как его дача, — требование ст. 9 ФЗ-152. В мобильном приложении реализуйте: кнопку «Отписаться» в каждом push-уведомлении и email, раздел «Управление уведомлениями» в настройках приложения, раздел «Управление cookies» с переключателями по категориям. После отзыва согласия прекратить передачу данных в рекламные сети и фиксировать дату отзыва в журнале согласий. Срок — немедленно технически, не позднее 7 рабочих дней организационно.

6. Нужно ли отдельное согласие для push-уведомлений?

Да. Push-уведомления маркетингового характера требуют отдельного согласия субъекта по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Системный запрос разрешений iOS/Android на отправку уведомлений не заменяет юридическое согласие по российскому законодательству: он подтверждает техническую возможность, но не правовое основание обработки ПДн. Согласие на push-уведомления оформляйте отдельным экраном с описанием цели и возможностью отказа.

Итог

Cookies в мобильном приложении — это персональные данные, требующие согласия пользователя, локализации первичного хранения в России и уведомления РКН при передаче зарубежным аналитическим сервисам. Шесть описанных шагов закрывают основные риски по ст. 13.11 КоАП: от классификации идентификаторов до процесса управления отзывами согласий. Выполнение каждого шага документально фиксируйте — при проверке РКН именно документы подтверждают добросовестность оператора.

Юристы DATUM сопровождают приведение мобильных приложений в соответствие 152-ФЗ: аудит SDK и cookies, разработка экрана согласия, политики конфиденциальности и ОРД, уведомление РКН о трансграничной передаче. Практика охватывает e-commerce, маркетплейсы и программы лояльности.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

3 апреля 2028 года

Нужна консультация по cookies и 152-ФЗ для мобильного приложения?

Оценить риски по 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru