аналитика 21 октября 2028 По состоянию на 21 октября 2028

Электросамокаты и геолокация

Геолокационные данные пользователей кикшеринга — это персональные данные по ст. 3 ФЗ-152. Их сбор, хранение и передача партнёрам требуют правового основания, локализации в России и отдельного согласия на распространение.

С 30.05.2025 штраф за утечку геоданных от 10 000 до 100 000 субъектов составляет 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП. При повторности — оборотный штраф до 500 млн ₽ по ч. 15. Операторы кикшеринга под регуляторным прицелом: их приложения передают геолокацию в реальном времени и сохраняют историю маршрутов.

Если вы финансовый директор компании, работающей в сегменте городской мобильности или финтех-инфраструктуры вокруг неё, — цена комплаенса по 152-ФЗ на порядок меньше цены первого протокола.

Кикшеринговые сервисы собирают геолокацию непрерывно: при регистрации, аренде, движении и парковке. Эти данные используются для тарификации, штрафных зон, аналитики маршрутов, взаимодействия с городской инфраструктурой и передачи страховым партнёрам. С точки зрения ФЗ-152 каждое из этих действий — обработка персональных данных, требующая отдельного правового основания. Настоящий материал разбирает, как финансовый директор должен оценивать комплаенс-риски кикшеринговой компании: от правовых оснований сбора геоданных до уголовной ответственности по ст. 272.1 УК РФ.

Что считается персональными данными в кикшеринге?

Геолокация сама по себе не всегда является персональными данными. Однако в кикшеринге она привязана к учётной записи пользователя, его телефону, платёжным реквизитам и истории поездок. Такая совокупность однозначно подпадает под определение персональных данных по ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.

Данные, которые собирает типичный кикшеринг-оператор:

Имя, телефон, email при регистрации
Данные платёжной карты или кошелька (обрабатываются через НПС-оператора)
Геолокация в реальном времени в период аренды
История маршрутов с временными метками
Фото документа при верификации личности
Поведенческие данные в приложении (тип устройства, IP, сессии)

«Ст. 5 ФЗ-152 — принцип соответствия объёма целям: нельзя собирать больше данных, чем необходимо для конкретной цели обработки. Сбор полной истории маршрутов для тарификации при наличии менее инвазивных способов расчёта тарифа создаёт риск нарушения этого принципа.»

Финансовому директору важно понимать: каждый тип данных из перечисленного требует собственного правового основания по ст. 6 ФЗ-152. Смешивать основания — ошибка, которая стоит штрафа по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽ за обработку в целях, не соответствующих заявленным.

Какое правовое основание использовать для обработки геолокации?

Наиболее распространённая ошибка операторов кикшеринга — опора на единственное основание: согласие пользователя. На практике геолокация обрабатывается сразу по нескольким основаниям, и их нужно чётко разграничить в документах.

Исполнение договора аренды (п. 5 ч. 1 ст. 6 ФЗ-152) покрывает геолокацию в период активной аренды — без неё невозможно определить факт использования самоката, рассчитать стоимость и зафиксировать место возврата. Это законное основание без согласия.

За пределами аренды — хранение истории маршрутов, передача данных партнёрам для рекламы или страхования, аналитика поведения — уже требует отдельного согласия по ст. 9 ФЗ-152. С 01.09.2025 это согласие должно быть оформлено отдельным документом по требованиям ФЗ-156 от 24.06.2025: нельзя совмещать его с пользовательским соглашением или офертой.

«Ст. 9 ФЗ-152 в ред. с 01.09.2025 (ФЗ-156): согласие на обработку ПДн — отдельный документ. Обязательные реквизиты: ФИО субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Передача геоданных страховым партнёрам или банкам для скоринга по ст. 16 ФЗ-152 — это уже поручение обработки (п. 3 ст. 6 ФЗ-152) или самостоятельная передача третьим лицам. Первое требует договора поручения с конкретными условиями, второе — отдельного согласия субъекта с указанием конкретного получателя.

Финансовый директор кикшеринга: как оценить регуляторный риск?

Стоимость аудита соответствия ФЗ-152 для кикшеринговой компании — от 100 000 ₽. Штраф за утечку геоданных 10 000–100 000 пользователей — от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП. При повторном инциденте — оборотный штраф до 500 млн ₽. Юристы DATUM проведут аудит обработки геолокационных данных по чек-листу из 38 пунктов и выдадут отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Где хранить геолокационные данные и как передавать их за рубеж?

Все операции с геоданными российских пользователей — запись, систематизация, хранение, извлечение — обязаны осуществляться в базах данных, физически расположенных в России. Это требование ч. 5 ст. 18 ФЗ-152 о локализации, действующее с 2015 года и ужесточённое с 01.07.2025 поправками ФЗ-233.

Типичная инфраструктура кикшеринга создаёт риски локализации в двух точках:

Использование зарубежных облачных платформ (AWS, GCP, Azure) для хранения пользовательских данных — нарушение ч. 5 ст. 18, штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽
Передача геоданных в головную компанию или аналитические сервисы за рубежом — трансграничная передача по ст. 12 ФЗ-152, требующая уведомления РКН

Трансграничная передача в страны без адекватного уровня защиты ПДн разрешена только после уведомления РКН. Перечень стран с адекватным уровнем защиты определяется актуальным приказом РКН. США и большинство азиатских юрисдикций в этот перечень не входят.

«Ч. 8 ст. 13.11 КоАП — штраф за нарушение требований локализации: для юридических лиц от 1 000 000 до 6 000 000 ₽. Повторное нарушение по ч. 9 — от 6 000 000 до 18 000 000 ₽.»

Для финансового директора ключевой вопрос — где физически располагается основная база данных приложения и каков маршрут репликации. Если бэкап уходит в зарубежный дата-центр автоматически, это уже потенциальное нарушение даже при наличии основной базы в России.

Что проверить финансовому директору кикшеринга

Наличие уведомления в реестре операторов РКН с актуальными целями обработки (pd.rkn.gov.ru)
Отдельные согласия пользователей по требованиям ФЗ-156 (не в тексте оферты)
Договоры поручения обработки со всеми подрядчиками, получающими геоданные
Документальное подтверждение локализации основных баз данных в России
Уведомление РКН о трансграничной передаче (если данные уходят за рубеж)

Каковы сценарии привлечения кикшеринг-оператора к ответственности?

Финансовый директор должен оценивать риски через конкретные сценарии, а не абстрактные нарушения. Ниже три наиболее вероятных.

Сценарий 1. Утечка базы пользователей через уязвимость в API. База на 80 000 пользователей с историей маршрутов уходит в даркнет. Оператор не уведомляет РКН в течение 24 часов. Исход: два состава по ст. 13.11 КоАП — ч. 11 (неуведомление об утечке, штраф 1–3 млн ₽) и ч. 13 (утечка от 10 000 до 100 000 субъектов, штраф 5–10 млн ₽). Суммарный риск — от 6 до 13 млн ₽. При повторном инциденте в следующие три года — оборотный штраф по ч. 15, минимум 20 млн ₽.

Сценарий 2. Передача геоданных страховому партнёру без надлежащего основания. Оператор заключил соглашение о передаче агрегированных маршрутов страховщику для расчёта тарифов. Отдельного согласия пользователей нет, договора поручения нет. Роскомнадзор фиксирует это при проверке. Исход: ч. 1 ст. 13.11 КоАП (обработка в целях, не предусмотренных законом, или несовместимая с целями) — штраф от 150 000 до 300 000 ₽. При повторности — ч. 1.1, штраф от 300 000 до 500 000 ₽.

Сценарий 3. Обнаружение нарушения локализации при плановой проверке РКН. Аудит показывает, что резервные копии базы пользователей реплицируются в облако зарубежного провайдера. Основная база в России, но репликация не задокументирована как законная трансграничная передача. Исход: предписание РКН об устранении, возбуждение дела по ч. 8 ст. 13.11 КоАП — штраф от 1 до 6 млн ₽. Устранение в срок, установленный предписанием, снижает риск повторного состава.

Если ваша компания передаёт геолокационные данные подрядчикам или зарубежным платформам без документально оформленного основания — это основание для штрафа по ч. 1 или ч. 8 ст. 13.11 КоАП. Проверить документы можно до проверки РКН.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Компания кикшеринга (Центральный ФО, весна 2025) получила предписание РКН по итогам внеплановой проверки. Поводом стала жалоба пользователя на получение рекламы от страхового партнёра без явного согласия. Юристы выявили отсутствие договора поручения обработки и несоответствие реквизитов согласия требованиям ст. 9 ФЗ-152. Штраф по ч. 1 ст. 13.11 составил суммарно сотни тысяч рублей. После устранения нарушений компания прошла повторную проверку без замечаний.

Кейс 2. Компания финтех-инфраструктуры (Северо-Западный ФО, осень 2025) обнаружила факт несанкционированного доступа к базе данных пользователей мобильного сервиса (около 15 000 записей с геолокацией). Первичное уведомление в РКН направлено за 21 час, отчёт о расследовании — за 68 часов. Применение ст. 4.1 КоАП с учётом оперативности реагирования позволило снизить итоговый штраф по ч. 12 ст. 13.11 до нижней границы диапазона — 3 млн ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований обработки геоданных, договоров поручения, локализации
Комплект ОРД под ключ — политика, согласия пользователей по ФЗ-156, договоры с подрядчиками
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать пользователю в аренде самоката, если он не разрешил сбор геолокации?

Нет в части принуждения к расширенному согласию, но да — в части технически необходимой геолокации. Оператор вправе требовать доступ к геолокации в период аренды как условие исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152): без этого услуга технически невозможна. Однако нельзя связывать отказ в аренде с отсутствием согласия на маркетинговую обработку геоданных или передачу их третьим лицам — это разные правовые основания.

2. Что грозит кикшеринг-оператору за утечку геоданных пользователей?

Зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в ред. с 30.05.2025). От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, минимум 20 млн ₽, максимум 500 млн ₽. Дополнительно: неуведомление РКН в 24 часа — ещё 1–3 млн ₽ по ч. 11.

3. Какое основание обработки геолокации действует после завершения поездки?

После завершения аренды исполнение договора как основание исчерпано. Хранение истории маршрутов для целей, выходящих за рамки договора (аналитика, маркетинг, передача партнёрам), требует отдельного согласия по ст. 9 ФЗ-152. Хранение для защиты законных интересов оператора (споры, претензии) может опираться на п. 7 ч. 1 ст. 6 ФЗ-152, но срок хранения должен соответствовать сроку исковой давности, а не превышать его.

4. Как передача геоданных зарубежному аналитическому сервису соотносится с требованиями 152-ФЗ?

Это трансграничная передача по ст. 12 ФЗ-152. Если страна получателя не включена в перечень стран с адекватным уровнем защиты ПДн, оператор обязан до начала передачи уведомить РКН. Одновременно должна соблюдаться локализация по ч. 5 ст. 18: первичная запись геоданных российских пользователей — только в базах в России. Передача за рубеж после локализации возможна, но требует документального оформления.

5. Как оспорить штраф по ст. 13.11 КоАП, если нарушение уже зафиксировано?

Оспаривание идёт через мирового судью (с 28.12.2025 — подсудность возвращена мировым судьям по ФЗ-508). Ключевые инструменты: ст. 4.1 КоАП — снижение штрафа с учётом смягчающих обстоятельств (оперативное устранение, компенсация ущерба, инвестиции в ИБ более 0,1% выручки за 3 года); ст. 4.1.1 КоАП — замена штрафа предупреждением для микропредприятий при первичном нарушении без причинения вреда (не применяется к оборотным составам ч. 15, ч. 18). Срок обжалования постановления — 10 дней с момента вручения.

Итог

Геолокационные данные пользователей кикшеринга требуют чёткого разграничения оснований обработки: исполнение договора покрывает период аренды, за его пределами нужно отдельное согласие по ФЗ-156. Локализация в России обязательна, трансграничная передача — по уведомлению РКН. Ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 существенно выросла: даже единственная утечка среднего масштаба обходится в 5–10 млн ₽, при повторности — оборотный штраф без верхней практической границы.

DATUM сопровождает операторов кикшеринга и смежных финтех-сервисов в выстраивании комплаенса по 152-ФЗ: от аудита правовых оснований обработки геоданных до защиты в арбитраже при получении протокола по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).