инструкция 3 апреля 2029 По состоянию на 3 апреля 2029

DATUM-аудит мобильного приложения

Q: Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies квалифицируется как обработка ПДн без согласия субъекта. По ч. 6 ст. 13.11 КоАП штраф для организации составляет от 50 000 до 100 000 рублей. Если нарушение сочетается с передачей данных за рубеж без уведомления РКН — добавляется состав по ч. 8 ст. 13.11 (нарушение локализации): ещё 1–6 млн рублей.

DATUM-аудит мобильного приложения — это проверка соответствия обработки персональных данных в мобильном приложении требованиям 152-ФЗ: от сбора cookies и работы с GA4 до оформления баннера согласия и политики конфиденциальности.

С 30.05.2025 за отсутствие баннера cookies на сайте или в приложении грозит штраф по ч. 6 ст. 13.11 КоАП до 100 000 рублей. При повторной утечке — оборотный штраф 1–3% выручки, но не менее 20 млн рублей. Половина интернет-магазинов и приложений не имеют корректно оформленного согласия на обработку ПДн.

Если вы маркетолог и приложение собирает данные для рассылок, программ лояльности или передаёт события в GA4 — пройдите аудит до проверки РКН, а не после неё. → Заказать аудит 152-ФЗ

С 30.05.2025 Роскомнадзор проверяет мобильные приложения по расширенной ст. 13.11 КоАП: 18 составов вместо прежних семи. Для маркетолога это означает, что каждый SDK аналитики, каждый баннер push-уведомлений и каждая форма регистрации — потенциальный предмет проверки. В этой инструкции — пошаговый порядок DATUM-аудита мобильного приложения: от инвентаризации точек сбора данных до оформления документов и устранения нарушений.

Шаг 1. Составьте реестр точек сбора персональных данных

Первый шаг — зафиксировать, где и какие данные приложение собирает фактически. Маркетологи нередко знают о формах регистрации и push-уведомлениях, но не знают о фоновой передаче идентификаторов в сторонние SDK.

Проверьте каждую категорию точек сбора:

Регистрация и авторизация: ФИО, email, телефон, дата рождения.
Аналитические SDK: Firebase, Amplitude, Appsflyer, AppMetrica — передают IDFA/GAID и поведенческие события.
Рекламные SDK: Meta Pixel (через мобильный SDK), Яндекс.Реклама — передают идентификаторы за рубеж.
Cookies и локальное хранилище: даже в приложении браузерные WebView используют cookies.
Программы лояльности: история покупок, бонусные баллы, предпочтения — это отдельная база ПДн.
Геолокация: точная или приблизительная, постоянная или разовая.
Push-уведомления и email-рассылки: согласие на маркетинговые коммуникации по ч. 1 ст. 18 Закона о рекламе.

Результат шага — таблица: точка сбора, категория ПДн, получатель данных, страна получателя. Без этого реестра невозможно проверить ни одно из последующих требований.

«Ст. 18.1 ФЗ-152 обязывает оператора принять меры, обеспечивающие выполнение закона, в том числе определить состав обрабатываемых ПДн и цели их обработки.»

Шаг 2. Проверьте правовые основания для каждой операции

После инвентаризации нужно убедиться, что для каждой операции с ПДн есть правовое основание по ст. 6 ФЗ-152. Типичная ошибка — считать, что установка приложения сама по себе является согласием на всё.

Наиболее распространённые основания в мобильных приложениях:

Согласие субъекта (п. 1 ч. 1 ст. 6) — для аналитики, рекламы, рассылок, программ лояльности.
Исполнение договора (п. 5 ч. 1 ст. 6) — для обработки заказа, доставки, возврата.
Законодательная обязанность (п. 2 ч. 1 ст. 6) — для налогового учёта, исполнения предписаний.

Отдельного внимания требуют cookies как ПДн. По позиции РКН, cookies, связанные с конкретным пользователем (сессионные идентификаторы, IDFA, рекламные cookie), являются персональными данными. Это значит, что для их установки нужно согласие по ст. 9 ФЗ-152 — отдельное, не скрытое в пользовательском соглашении.

«С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть включено в состав иного документа — договора, оферты или политики конфиденциальности (ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025).»

Если приложение работает на маркетплейсе (Wildberries, Ozon, Яндекс.Маркет), возникает вопрос о распределении ролей. Маркетплейс, как правило, является самостоятельным оператором в части данных покупателя; продавец — самостоятельным оператором в части данных своих клиентов. Поручение обработки по п. 3 ст. 6 ФЗ-152 оформляется отдельным договором с перечнем допустимых действий.

Cookies вашего приложения — это персональные данные. Есть ли у вас баннер?

Если маркетолог не знает, передаёт ли приложение IDFA в Meta SDK или события — в GA4 за пределы РФ, то вопрос соответствия 152-ФЗ остаётся открытым. Отсутствие баннера cookies — нарушение ч. 6 ст. 13.11 КоАП. Штраф до 100 000 рублей — за первое нарушение. Ситуация не восстанавливается задним числом после начала проверки РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте баннер cookies и экраны согласия

Баннер согласия на cookies — обязательный элемент любого мобильного приложения, использующего аналитические или рекламные SDK. Его отсутствие — самостоятельный состав правонарушения по ч. 6 ст. 13.11 КоАП с штрафом от 50 000 до 100 000 рублей для организаций.

Требования к корректному баннеру или экрану согласия:

Появляется до первого запуска любого аналитического или рекламного SDK.
Содержит перечень категорий cookies (необходимые, аналитические, маркетинговые) с возможностью выбора каждой.
Кнопки «Принять всё» и «Отклонить всё» равнозначны визуально — нет преднамеренного «тёмного паттерна».
Ссылка на политику конфиденциальности открывается в том же приложении.
Выбор пользователя сохраняется и не сбрасывается при каждом запуске.

Для push-уведомлений и email-рассылок требуется отдельное согласие на маркетинговые коммуникации — оно не подменяется согласием на cookies и не включается в регистрационную форму. Для отзыва подписки в каждом рассылочном письме или уведомлении должна быть работающая ссылка «Отписаться» (unsubscribe), которая исполняется немедленно без дополнительных шагов.

Шаг 4. Проверьте трансграничную передачу через GA4 и рекламные SDK

GA4 (Google Analytics 4) после ограничений 2022–2025 годов продолжает использоваться российскими приложениями. Передача пользовательских событий в серверы Google за пределами РФ является трансграничной передачей ПДн по ст. 12 ФЗ-152.

Проверьте следующее:

Страна назначения — входит ли в перечень стран, обеспечивающих адекватный уровень защиты ПДн (Приказ РКН).
Уведомление РКН о трансграничной передаче — подано ли до начала передачи данных.
Если страна не входит в перечень адекватных — оформлено ли согласие субъекта с указанием страны назначения.
Локализация: первичная запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны происходить только на серверах в России (ч. 5 ст. 18 ФЗ-152). Передача за рубеж допустима после первичной записи в РФ.

«Ч. 5 ст. 18 ФЗ-152: при сборе персональных данных граждан РФ оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных на территории Российской Федерации.»

Практический вопрос по GA4: если события уходят напрямую с устройства в инфраструктуру Google без предварительной записи в российскую базу — это нарушение локализации по ч. 8 ст. 13.11 КоАП. Штраф для организации — от 1 000 000 до 6 000 000 рублей. Ответ на вопрос «можно ли использовать GA4» зависит от архитектуры: прокси-сервер в РФ с последующей передачей агрегированных данных — допустим; прямая передача IDFA и событий с устройства — нет.

GA4 и Meta SDK передают данные в обход российских серверов? Это нарушение локализации по ч. 8 ст. 13.11 — штраф 1–6 млн рублей. Уточните архитектуру до проверки РКН.

Заказать аудит 152-ФЗ

Шаг 5. Проверьте политику конфиденциальности и комплект ОРД

Политика конфиденциальности — обязательный публичный документ по ч. 2 ст. 18.1 ФЗ-152. Для мобильного приложения она должна быть доступна до регистрации, из настроек приложения и из баннера cookies.

Что подготовить для аудита

Политика конфиденциальности с перечнем всех SDK, получателей данных и стран трансграничной передачи.
Отдельные тексты согласий: на аналитические cookies, на маркетинговые рассылки, на передачу данных третьим лицам (программа лояльности, маркетплейс).
Уведомление в реестре операторов РКН (pd.rkn.gov.ru) — с актуальными сведениями об обработке ПДн через мобильное приложение.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Договоры-поручения с разработчиком приложения, аналитическими сервисами, CRM-провайдером — по п. 3 ст. 6 ФЗ-152.

Типовая ошибка интернет-магазинов: политика конфиденциальности написана один раз при запуске сайта, а мобильное приложение запущено позже без обновления документа. В результате приложение обрабатывает данные о геолокации и использует SDK, которых нет в политике. РКН при проверке сравнивает реальный трафик приложения с декларируемым составом обработки.

Отдельное требование для маркетплейсов: если продавец использует платформу маркетплейса для сбора ПДн покупателей, он обязан либо иметь собственное уведомление в реестре РКН, либо подпадать под поручение обработки со стороны маркетплейса. Ситуация, когда продавец не подал уведомление, предполагая, что «за всё отвечает маркетплейс» — нарушение ч. 1 ст. 22 ФЗ-152.

Как работает DATUM-аудит на практике: три типовых ситуации

Ситуация 1: Приложение интернет-магазина без баннера cookies. Маркетолог запустил приложение с Firebase Analytics и Meta SDK. Баннер отсутствует, политика конфиденциальности не упоминает Meta. РКН при плановой проверке выявляет передачу IDFA в инфраструктуру за пределами РФ без уведомления о трансграничной передаче. Составляется протокол по ч. 6 ст. 13.11 (отсутствие баннера) и ч. 8 ст. 13.11 (нарушение локализации). При первичном нарушении и статусе субъекта МСП возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП; при отказе суда — штраф от 50 000 до 6 100 000 рублей суммарно. Стратегия: зафиксировать факт начала устранения до вынесения постановления, представить доказательства внедрения баннера и удаления несовместимых SDK.

Ситуация 2: Программа лояльности без отдельного согласия. Директор по маркетингу крупного ритейлера (Уральский ФО, весна 2026) обнаружил в ходе внутреннего аудита, что согласие на участие в программе лояльности включено в текст пользовательского соглашения. С 01.09.2025 такая конструкция нарушает требования ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Юристы DATUM разработали отдельный экран согласия с обязательными реквизитами, обновили политику конфиденциальности и провели повторную рассылку для переподтверждения согласий действующих участников программы. Проверка РКН, инициированная по жалобе, завершилась предписанием об устранении без штрафа — благодаря документально подтверждённому устранению до выезда инспекторов. Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Ситуация 3: Маркетплейс и неопределённость оператора. Продавец на маркетплейсе (Сибирский ФО, конец 2025) не подал уведомление в реестр РКН, считая, что обязанность лежит на маркетплейсе. РКН составил протокол по ч. 1 ст. 22 ФЗ-152 — неуведомление об обработке. Штраф по ч. 10 ст. 13.11 для организации — от 100 000 до 300 000 рублей. Стратегия: немедленная подача уведомления через pd.rkn.gov.ru, оформление договора-поручения с маркетплейсом с разграничением ролей операторов.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка мобильного приложения по чек-листу из 38 пунктов, отчёт с приоритизированным планом.
Комплект ОРД под ключ — политика, согласия, приказы, договоры-поручения для приложения и интернет-магазина.
Защита при штрафе в арбитраже — обжалование постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookies позволяют идентифицировать конкретного пользователя: сессионные идентификаторы, рекламные IDFA/GAID, user ID. Такие cookies подпадают под определение ПДн по ст. 3 ФЗ-152, и их установка требует согласия субъекта по ст. 9. Технические cookies, необходимые исключительно для работы приложения и не передаваемые третьим лицам, могут обрабатываться без согласия на основании п. 5 ч. 1 ст. 6 ФЗ-152 — как необходимые для исполнения договора.

2. Можно ли использовать GA4 после ограничений?

Зависит от архитектуры. Прямая передача событий с устройства пользователя в инфраструктуру Google нарушает требование локализации по ч. 5 ст. 18 ФЗ-152 и влечёт штраф 1–6 млн рублей по ч. 8 ст. 13.11 КоАП. Допустимая схема: события фиксируются на российском прокси-сервере, где данные деперсонализируются или агрегируются, после чего передаются в GA4 без идентификаторов пользователей. Такую архитектуру необходимо задокументировать в политике конфиденциальности и уведомлении РКН.

3. Кто оператор: маркетплейс или продавец?

Как правило, оба. Маркетплейс является самостоятельным оператором в части данных покупателей, которые он собирает для исполнения договора с ними. Продавец является самостоятельным оператором в части данных, которые он получает и обрабатывает в своих целях — маркетинг, программа лояльности, аналитика собственного ассортимента. Поручение обработки по п. 3 ст. 6 ФЗ-152 оформляется, когда одна сторона обрабатывает данные строго по заданию другой и в её интересах. Каждый самостоятельный оператор обязан подать уведомление в реестр РКН.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies или его несоответствие требованиям (невозможность отказаться, скрытая кнопка «Отклонить») квалифицируется как обработка ПДн без согласия субъекта. По ч. 6 ст. 13.11 КоАП штраф для организации составляет от 50 000 до 100 000 рублей. Если нарушение сочетается с фактом передачи данных за рубеж без уведомления РКН — добавляется состав по ч. 8 ст. 13.11 (нарушение локализации): ещё 1–6 млн рублей. При повторном нарушении после вступления в силу постановления применяются повышенные санкции.

5. Как оформить отзыв подписки?

Отзыв согласия на маркетинговые рассылки должен быть реализован тем же способом, которым было получено согласие, или более простым способом — это прямо следует из ч. 2 ст. 9 ФЗ-152. Для email-рассылок: ссылка «Отписаться» в каждом письме, срабатывающая в один клик без подтверждения паролем. Для push-уведомлений: настройка внутри приложения без дополнительных шагов. После отзыва согласия обработка для маркетинговых целей должна прекратиться в разумный срок — практика РКН фиксирует нарушение, если после отписки рассылка продолжается более 3 рабочих дней.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

По буквальному смыслу ФЗ-156 от 24.06.2025 обратной силы нет: согласия, полученные до 01.09.2025 по прежним требованиям, остаются действительными. Однако если субъект повторно взаимодействует с приложением после 01.09.2025 и интерфейс предлагает ему подтвердить данные — форма должна соответствовать новым требованиям ч. 1 ст. 9 ФЗ-152. Юристы DATUM рекомендуют провести аудит существующих форм согласий и при необходимости переоформить их в рамках плановых обновлений приложения.

Итог

DATUM-аудит мобильного приложения охватывает шесть последовательных шагов: инвентаризацию точек сбора ПДн, проверку правовых оснований, оценку баннера cookies, анализ трансграничной передачи через GA4 и рекламные SDK, проверку политики конфиденциальности и комплектности ОРД. Каждый из этих шагов потенциально раскрывает нарушения, которые РКН квалифицирует по ст. 13.11 КоАП — от 50 000 рублей за отсутствие баннера до 6 000 000 рублей за нарушение локализации.

Практика DATUM включает сопровождение мобильных приложений интернет-магазинов, маркетплейсов и программ лояльности. Юристы проводят аудит по чек-листу из 38 пунктов, формируют комплект ОРД и представляют интересы при проверке РКН.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

3 апреля 2029 года