аналитика 28 февраля 2029 По состоянию на 28 февраля 2029

DATUM по транспорту

Транспорт — это несколько категорий ПДн одновременно: пассажиры, водители, сотрудники, абоненты систем навигации, данные геолокации в реальном времени.

Перевозчики, каршеринговые платформы, транспортные приложения и операторы связи подпадают под разные части ст. 13.11 КоАП одновременно. Штраф за утечку от 100 000 субъектов — до 15 млн ₽ по ч. 14, при повторности — до 500 млн ₽ по ч. 15.

→ Если вы юрист транспортной компании и не уверены, какие нормы ФЗ-152 применимы к вашим системам, — читайте разбор по ключевым сегментам.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, оборотный штраф при повторной утечке, отдельный состав за неуведомление РКН в 24 часа. Транспортный сектор при этом остаётся одним из наименее методично документированных в части ПДн: данные пассажиров, сведения о геолокации транспортных средств, абонентские данные в системах диспетчеризации — всё это разные категории ПДн с разными правовыми основаниями. В этом материале — отраслевая карта рисков для юриста транспортной организации или платформы.

Какие категории ПДн обрабатывает транспортная компания?

Транспортный оператор в зависимости от сегмента работает с несколькими массивами персональных данных. Их нужно чётко разграничить, потому что каждый массив требует отдельного правового основания по ст. 6 ФЗ-152.

ПДн пассажиров. Имя, контактные данные, платёжная информация, история поездок, данные документа при регистрации. При покупке билета правовое основание — исполнение договора перевозки (п. 5 ч. 1 ст. 6 ФЗ-152). История поездок для маркетинга — требует отдельного согласия по ст. 9.

Геолокация. Данные о маршруте транспортного средства, местоположение водителя в реальном времени, история перемещений. Геолокация как ПДн привязана к конкретному физическому лицу — водителю или пользователю приложения. Обработка в реальном времени для диспетчеризации — допустима на основании трудового договора или согласия; передача третьим лицам — требует отдельного основания.

ПДн водителей и сотрудников. Стандартный HR-массив плюс медицинские данные (предрейсовые осмотры — специальная категория по ст. 10 ФЗ-152), данные о нарушениях ПДД, страховые сведения. Обработка медицинских данных водителей требует явного согласия или медицинской лицензии обработчика.

Данные абонентов в системах диспетчеризации. Для операторов связи, обслуживающих транспортные предприятия, релевантна ст. 53 ФЗ «О связи» — тайна связи. Операторы связи передают данные абонентов в ФСБ в установленном порядке; порядок определён подзаконными актами.

«Ст. 10 ФЗ-152 — специальные категории ПДн (состояние здоровья) по общему правилу запрещены к обработке, кроме явных исключений: письменное согласие субъекта, медицинская деятельность оператора, исполнение законодательства. Предрейсовые медосмотры водителей подпадают под исключение, но только при обработке в медицинской организации — не самим перевозчиком без лицензии.»

Ключевая ошибка, которую фиксирует РКН при проверках транспортных компаний: данные пассажиров, полученные при покупке билета, используются для рассылок и аналитики без отдельного согласия. Это нарушение принципа целевого использования по ст. 5 ФЗ-152 и основание для протокола по ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽ для юрлица).

Не уверены, какие правовые основания прописать в политике конфиденциальности перевозчика?

Для юриста транспортной компании типовая задача — разграничить основания по ст. 6 ФЗ-152 для каждой категории ПДн: пассажиры, водители, геолокация, контрагенты. Ошибка в правовом основании создаёт риск по ч. 1 ст. 13.11 КоАП. Специалисты DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Каршеринг и агрегаторы такси: где повышенный риск по ст. 13.11?

Каршеринговые платформы и агрегаторы такси работают с расширенным набором ПДн: паспортные данные при регистрации, водительское удостоверение, данные банковской карты, геолокация в реальном времени, фото лица (для верификации — биометрия по ст. 11 ФЗ-152), история поездок.

Биометрия при верификации водителя. Если каршеринг использует распознавание лица для подтверждения личности водителя перед каждой поездкой — это обработка биометрических ПДн по ст. 11 ФЗ-152. Нарушение требований к обработке биометрии — ч. 16 ст. 13.11 КоАП. Хранение биометрии вне ЕБС при использовании государственной верификации — отдельный состав по ст. 13.11.3 КоАП (500 тыс. – 1 млн ₽ для юрлица).

Геолокация в реальном времени. Постоянное отслеживание маршрута по договору аренды транспортного средства — допустимо при условии информирования пользователя. Передача данных геолокации третьим лицам (страховщикам, рекламным платформам) — требует согласия по ст. 9 либо иного основания по ст. 6. Передача за рубеж — уведомление РКН по ст. 12 ФЗ-152.

Локализация данных пассажиров. Все данные граждан РФ, полученные при регистрации и в ходе поездок, должны первично записываться и храниться на серверах в России (ч. 5 ст. 18 ФЗ-152, действует с 01.09.2015). Для платформ с зарубежной инфраструктурой — это отдельный риск по ч. 8 ст. 13.11 КоАП (1–6 млн ₽). При повторном нарушении локализации — ч. 9 ст. 13.11 (6–18 млн ₽).

«Ст. 12 ФЗ-152 — трансграничная передача ПДн в страну, не обеспечивающую адекватную защиту, требует предварительного уведомления РКН. Перечень стран с адекватной защитой определён приказом Роскомнадзора. Передача данных геолокации на серверы зарубежного агрегатора без уведомления — нарушение ст. 12, а при первичной записи за рубежом — ч. 8 ст. 13.11 КоАП.»

Отдельный вопрос для агрегаторов — разграничение ролей оператора и обработчика. Если агрегатор передаёт заказ водителю-ИП или транспортной компании, возникает вопрос о поручении обработки по п. 3 ст. 6 ФЗ-152. Без письменного договора-поручения агрегатор несёт полную ответственность как оператор.

Как операторы связи и транспортная диспетчеризация соотносятся с ФЗ-152?

Операторы связи, обслуживающие транспортные предприятия, работают на пересечении двух режимов: ФЗ «О связи» (тайна связи, ст. 53) и ФЗ-152 (ПДн абонентов). Это два разных правовых режима с разными основаниями передачи данных.

По ФЗ «О связи» оператор связи обязан передавать сведения об абонентах по запросу уполномоченных органов — в том числе ФСБ — в порядке, установленном подзаконными актами. Это исполнение обязанности, предусмотренной законом (п. 2 ч. 1 ст. 6 ФЗ-152), и согласия абонента не требует. Вместе с тем оператор связи обязан вести реестр операторов ПДн и уведомить РКН о намерении обрабатывать ПДн абонентов по ст. 22 ФЗ-152.

Диспетчерские системы на транспорте. ГЛОНАСС-трекеры, системы мониторинга транспортных средств, тахографы — всё это источники данных, привязанных к конкретному водителю. Запись данных тахографа — обработка ПДн работника. Передача данных тахографа в контролирующие органы — исполнение требования закона. Передача той же информации страховщику для расчёта тарифа — требует отдельного основания.

ТСЖ и ГИС ЖКХ. Для управляющих компаний и ТСЖ, эксплуатирующих парковки и придомовые территории с видеонаблюдением, актуален вопрос об операторе ПДн собственников помещений. Данные собственников в ГИС ЖКХ — это отдельная база, оператором которой является управляющая организация. Видеозапись в местах общего пользования — обработка ПДн (биометрия при идентификации лиц). Уведомление РКН о намерении обрабатывать ПДн жильцов обязательно по ст. 22 ФЗ-152, если нет исключения.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки ПДн. Форма подачи — через портал pd.rkn.gov.ru (ЕСИА или УКЭП). Неуведомление или несвоевременное уведомление о намерении обрабатывать — ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽ для юрлица.»

Если юрист транспортного предприятия готовится к проверке РКН или выстраивает ОРД — срок включения в реестр после уведомления составляет 30 дней (ч. 4 ст. 22 ФЗ-152). Специалисты DATUM соберут пакет ОРД под ключ и подготовят уведомление в РКН.

Собрать ОРД под ключ

СМИ на транспортную тематику и освобождение от уведомления РКН

Редакции СМИ традиционно ссылаются на исключение из п. 7 ч. 1 ст. 6 ФЗ-152: обработка ПДн в журналистской деятельности в общественных интересах. Это основание освобождает от необходимости получать согласие субъекта, но не от всех требований закона.

Освобождение от уведомления РКН по ст. 22 ФЗ-152 для СМИ — не абсолютное. Редакция, обрабатывающая ПДн сотрудников, подписчиков и рекламодателей вне журналистской деятельности, является оператором на общих основаниях. Уведомление в таких случаях обязательно. На практике Роскомнадзор при проверках СМИ разграничивает два массива: журналистская деятельность (исключение) и хозяйственная деятельность редакции (общие требования).

Транспортные СМИ — отраслевые издания, телеграм-каналы перевозчиков, корпоративные порталы — должны проверить, какие основания применимы к каждому типу обрабатываемых ПДн.

Типовые сценарии нарушений в транспортном секторе

Сценарий 1. Каршеринговая платформа без уведомления РКН. Платформа обрабатывает данные 200 000 пользователей (паспорт, водительское удостоверение, геолокация, фото). Уведомление в реестр операторов не подавалось с момента запуска. РКН инициирует плановую проверку по индикатору риска — отсутствию в реестре при наличии мобильного приложения. Доказательства: выписка из реестра pd.rkn.gov.ru, скриншот приложения. Вероятный исход: протокол по ч. 10 ст. 13.11 (неуведомление, 100–300 тыс. ₽) плюс протокол по существу обработки. Стратегия: немедленно подать уведомление, параллельно готовить ОРД и возражения на протокол по ч. 10 с опорой на ст. 4.1.1 КоАП при первичности.

Сценарий 2. Утечка данных пассажиров регионального перевозчика. База данных с ФИО, телефонами и историей поездок 15 000 пассажиров попала в открытый доступ через незащищённый API. Компания не уведомила РКН в течение 24 часов. Доказательства: лог сервера, дата обнаружения, отсутствие исходящего уведомления. Вероятный исход: ч. 11 ст. 13.11 — неуведомление об утечке (1–3 млн ₽) плюс ч. 13 — утечка 10 000–100 000 субъектов (5–10 млн ₽). Стратегия: восстановить хронологию обнаружения, немедленно подать запоздалое уведомление, готовить смягчающие по ст. 4.1 КоАП (устранение нарушения, минимальные последствия).

Сценарий 3. Передача данных тахографов страховщику без основания. Транспортная компания передала страховщику данные тахографов 500 водителей для телематического тарифирования без согласия водителей и без договора-поручения. Это нарушение ст. 5 ФЗ-152 (цель обработки) и ст. 6 (основание). Доказательства: договор со страховщиком без раздела о поручении обработки, отсутствие согласий. Вероятный исход: ч. 1 ст. 13.11 (150–300 тыс. ₽). Стратегия: оформить поручение обработки по п. 3 ст. 6 ФЗ-152, получить согласия водителей, подготовить возражения.

Что подготовить юристу транспортной компании

Выписку из реестра операторов ПДн на pd.rkn.gov.ru — подтвердить актуальность сведений об объёме и целях обработки.
Реестр обрабатываемых категорий ПДн с указанием правового основания по ст. 6 ФЗ-152 для каждой категории (пассажиры, водители, геолокация, контрагенты).
Договоры с подрядчиками (CRM, GPS-мониторинг, страховщики) — проверить наличие раздела о поручении обработки по п. 3 ст. 6 ФЗ-152.
Согласия на маркетинговую обработку — отдельный документ по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025).
Регламент реагирования на утечку: контактное лицо, порядок 24-часового уведомления РКН по Приказу РКН №187.

Как это применяется на практике

Кейс 1. Транспортная компания (Приволжский ФО, осень 2025) — оператор городских маршрутов с мобильным приложением для пассажиров. При плановой проверке РКН выявил три нарушения: использование данных пассажиров для рекламных рассылок без отдельного согласия, отсутствие раздела о поручении обработки в договоре с CRM-платформой, устаревшее уведомление в реестре (не отражало мобильное приложение). Юристы DATUM подготовили возражения на протоколы по ч. 1 ст. 13.11 — два из трёх были прекращены за устранением нарушения до вынесения постановления. Штраф по оставшемуся составу составил сумму в нижней части диапазона с учётом смягчающих по ст. 4.1 КоАП.

Кейс 2. Каршеринговая платформа (Центральный ФО, зима 2026) — верификация водителей по фото лица при начале аренды. РКН квалифицировал это как обработку биометрических ПДн по ст. 11 ФЗ-152 без письменного согласия. Риск — ч. 16 ст. 13.11 КоАП. После аудита DATUM платформа оформила отдельные согласия на биометрию, разграничила обработку верификационного фото и хранение биометрического шаблона, внесла изменения в уведомление в реестре РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн по 38 пунктам, отчёт с планом устранения нарушений.
Комплект ОРД под ключ — политика, согласия, приказы, договоры-поручения, регламент реагирования.
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Кто является оператором ПДн — ТСЖ или управляющая компания?

Оператором является та организация, которая фактически определяет цели и способы обработки ПДн собственников помещений. Если ТСЖ самостоятельно ведёт базу жильцов, начисляет взносы и направляет уведомления — оно оператор. Если ТСЖ передало эти функции управляющей компании по договору — УК выступает обработчиком по поручению (п. 3 ст. 6 ФЗ-152), а ТСЖ остаётся оператором. Возможна и обратная ситуация. Ключевой критерий — кто принимает решения о целях обработки. На практике уведомление в реестр РКН обязан подать тот, кто является оператором по существу отношений.

2. Освобождены ли СМИ от уведомления Роскомнадзора о намерении обрабатывать ПДн?

Не полностью. Исключение по ч. 2 ст. 22 ФЗ-152 для журналистской деятельности распространяется только на обработку ПДн в рамках профессиональной деятельности СМИ в общественных интересах. Обработка ПДн сотрудников, подписчиков рассылок, рекламодателей — хозяйственная деятельность редакции, которая под исключение не подпадает. Для этих категорий уведомление обязательно. РКН при проверках разграничивает эти массивы. Отсутствие уведомления там, где оно требуется, — ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

3. Как оператор связи передаёт данные абонентов ФСБ по закону?

Порядок установлен ФЗ «О связи» и подзаконными актами: оператор обязан обеспечить уполномоченным органам оперативно-разыскные мероприятия в сети. Это законодательно установленная обязанность, которая по п. 2 ч. 1 ст. 6 ФЗ-152 не требует согласия абонента. Одновременно оператор связи обязан соблюдать тайну связи (ст. 53 ФЗ «О связи») и не вправе передавать те же данные иным лицам без основания. Совмещение статуса оператора связи и оператора ПДн требует раздельного учёта оснований для каждой категории передачи.

4. Какие персональные данные собирает каршеринг и нужно ли согласие?

Каршеринг собирает: паспортные данные и водительское удостоверение (для заключения договора — основание п. 5 ч. 1 ст. 6 ФЗ-152), данные банковской карты (договор), геолокацию в ходе аренды (договор, при условии информирования), фото лица при верификации (биометрия — требует письменного согласия по ст. 11 ФЗ-152), историю поездок для маркетинга (согласие по ст. 9). Согласие необходимо для биометрии и маркетинговых целей. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие должно быть оформлено отдельным документом — не включаться в договор аренды или оферту.

5. Что хранить о собственниках помещений и как долго?

Управляющая организация или ТСЖ вправе хранить ПДн собственника в объёме, необходимом для исполнения договора управления (ст. 5 ФЗ-152): ФИО, контактные данные, сведения о помещении, данные о задолженности. Срок хранения ограничен целью: данные хранятся до прекращения договорных отношений плюс срок исковой давности (три года по общему правилу ГК РФ). Данные, переданные в ГИС ЖКХ, хранятся по регламенту системы. После достижения цели оператор обязан уничтожить или обезличить ПДн (ст. 21 ФЗ-152).

Итог

Транспортный сектор работает с несколькими категориями ПДн одновременно — от общих данных пассажиров до биометрии водителей и специальных медицинских данных. Каждая категория требует отдельного правового основания, отдельных организационных мер и отдельной строки в уведомлении РКН. Риск кратно возрастает при работе с геолокацией в реальном времени, зарубежной инфраструктурой и биометрической верификацией.

Практика DATUM по ФЗ-152 включает сопровождение транспортных операторов, каршеринговых платформ и управляющих компаний: от аудита обработки ПДн до защиты интересов при проверке РКН и обжалования протоколов по ст. 13.11 КоАП в редакции с 30.05.2025.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025.