справочник 14 августа 2026 По состоянию на 14 августа 2026

Геолокация как ПДн: режим обработки

Геолокационные данные — сведения о текущем или историческом местонахождении устройства или человека — квалифицируются как персональные данные, если позволяют прямо или косвенно идентифицировать физическое лицо (ст. 3 ФЗ-152).

Обработка геолокации без правового основания по ст. 6 ФЗ-152 влечёт штраф от 150 000 до 300 000 ₽ по ч. 1 ст. 13.11 КоАП; повторное нарушение — до 500 000 ₽. При утечке координат от 1 000 субъектов штраф достигает 5 млн ₽ по ч. 12 ст. 13.11.

→ Если вы юрист и выстраиваете комплаенс для компании, которая собирает геолокацию в мобильном приложении, CRM или системе мониторинга транспорта — ниже разбор режима обработки по 152-ФЗ с нормами, основаниями и сценариями.

Геолокация присутствует в десятках корпоративных систем: приложения доставки, трекинг торговых представителей, СКУД с GPS-меткой, аналитика посещаемости торговых точек. При этом юридическая квалификация геолокации как ПДн в российской практике сложилась не сразу. В 2025–2026 годах РКН последовательно включает геолокационные инциденты в реестр нарушений, и вопрос режима обработки становится практическим, а не теоретическим.

Что такое геолокация как ПДн по ст. 3 ФЗ-152?

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту). Геолокационные координаты сами по себе не содержат имени или СНИЛС. Однако косвенная идентификация возможна: IP-адрес + GPS-трек + время формируют профиль, достаточный для установления личности. РКН придерживается расширительного толкования: если из совокупности данных можно установить конкретного человека — это ПДн.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Косвенная идентификация через геолокацию + иные атрибуты устройства охватывается этим определением.»

Оператор ПДн — юридическое или физическое лицо, самостоятельно или совместно с другими организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и состав обрабатываемых данных (ст. 3 ФЗ-152). Компания, которая собирает координаты через своё приложение, — оператор вне зависимости от того, хранятся данные в облаке подрядчика или в собственном дата-центре.

Субъект ПДн — физическое лицо, чьи данные обрабатываются. В контексте геолокации субъектами могут быть клиенты приложения, курьеры, торговые представители, посетители торговых точек, пассажиры.

Обработка ПДн по ст. 3 ФЗ-152 охватывает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение. Для геолокации это означает: считывание координат с устройства — уже обработка, даже если координаты не записываются в базу.

Какие категории ПДн включает геолокация?

По общему правилу геолокация относится к общим категориям ПДн — данным, не отнесённым к специальным (ст. 10 ФЗ-152) или биометрическим (ст. 11 ФЗ-152). Однако квалификация меняется в зависимости от контекста.

Геолокация становится специальной категорией по ст. 10 ФЗ-152, если из неё следует информация о состоянии здоровья (регулярные посещения онкологического центра), религиозных убеждениях (посещение храма), политических взглядах (участие в публичном мероприятии). Обработка таких данных по общему правилу запрещена; исключения перечислены в ч. 2 ст. 10 ФЗ-152.

Геолокация приобретает режим биометрических ПДн по ст. 11 ФЗ-152, если используется для идентификации личности: например, уникальный маршрут движения как идентификатор. В этом случае обработка требует письменного согласия субъекта.

Геолокация в вашем продукте: какой режим обработки применим?

Квалификация категории напрямую определяет пакет документов, уровень защищённости и основания обработки. Если в вашем приложении или системе мониторинга собираются координаты — до подачи уведомления в РКН нужно определить режим. Ошибочная квалификация означает неправильно оформленное согласие и штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

На каких правовых основаниях обрабатывается геолокация?

Правовое основание обработки ПДн — условие из ст. 6 ФЗ-152, при наличии которого оператор вправе обрабатывать данные. Для геолокации применимы следующие основания.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Наиболее распространённое основание для потребительских приложений. С 01.09.2025 согласие оформляется отдельным документом, не встроенным в пользовательское соглашение или договор (ФЗ-156 от 24.06.2025). Обязательные реквизиты: наименование оператора, цель, перечень данных (включая геолокацию явно), перечень действий, срок, способ отзыва. Отсутствие любого реквизита делает согласие ненадлежащим и влечёт применение ч. 2 ст. 13.11 КоАП.

Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Применимо, если геолокация необходима для выполнения услуги: доставка по адресу, навигация водителя. Важно: обработка допустима только в объёме, необходимом для исполнения договора (принцип минимизации, ст. 5 ФЗ-152). Сбор истории перемещений за пределами маршрута доставки этим основанием не покрывается.

Законный интерес оператора прямо не назван в ст. 6 ФЗ-152 как самостоятельное основание в отличие от европейского GDPR. Использование этой конструкции без привязки к конкретному пункту ст. 6 создаёт правовой риск.

Трудовые отношения. Обработка геолокации работников (GPS-трекинг автомобилей компании, мониторинг выездных сотрудников) регулируется ст. 86–88 ТК РФ в связке с ФЗ-152. Согласие работника при наличии трудового договора не является единственным и достаточным основанием: требуется локальный нормативный акт, закрепляющий цели контроля, и ознакомление работника под подпись.

Какие принципы обработки геолокации нарушаются чаще всего?

Ст. 5 ФЗ-152 устанавливает семь принципов обработки ПДн. Применительно к геолокации практика выявляет три системных нарушения.

Нарушение принципа соответствия целям. Координаты собираются «на будущее» или для аналитики, не указанной в уведомлении РКН. Пример: приложение для заказа такси накапливает историю поездок для таргетированной рекламы — цель не совпадает с исходной (диспетчеризация).

Нарушение принципа минимизации. Приложение запрашивает геолокацию в фоновом режиме, хотя для работы сервиса достаточно однократного определения при открытии. Избыточный сбор — основание для предписания РКН по ст. 18.1 ФЗ-152.

Нарушение принципа хранения. Геолокационные треки хранятся бессрочно или дольше, чем предусмотрено целью. Ст. 5 ФЗ-152 обязывает уничтожить или обезличить данные при достижении цели обработки. Нарушение — штраф по ч. 1 ст. 13.11 КоАП.

Если вы юрист и проверяете соответствие мобильного приложения или системы трекинга — без аудита целевой структуры обработки геолокации невозможно составить корректное уведомление для РКН. Срок подачи уведомления — до начала обработки (ст. 22 ФЗ-152): задержка влечёт штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Типовые ситуации с геолокацией: режим и последствия

Ситуация 1. Мобильное приложение с геолокацией без отдельного согласия (после 01.09.2025). Компания встроила согласие на обработку геолокации в пользовательское соглашение. После 01.09.2025 такое согласие не соответствует требованиям ФЗ-156: оно должно быть отдельным документом с перечнем конкретных данных. При проверке РКН фиксирует нарушение ч. 1 ст. 9 ФЗ-152 и составляет протокол по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — 300 000–700 000 ₽. Стратегия: переработать форму согласия до начала обработки или немедленно после выявления нарушения; представить доказательства исправления как смягчающее обстоятельство по ст. 4.2 КоАП.

Ситуация 2. GPS-трекинг выездных сотрудников без локального акта. Компания отслеживает перемещения торговых представителей через корпоративное приложение. Согласия работников получены при приёме на работу и включены в трудовой договор. После 01.09.2025 такая форма не отвечает требованиям об отдельном документе. Дополнительная проблема: отсутствует локальный нормативный акт о целях контроля и порядке использования данных. При проверке по обращению работника РКН вправе выдать предписание и составить протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: принять положение о системе мониторинга, переоформить согласия как отдельные документы, закрепить сроки хранения данных.

Ситуация 3. Утечка геолокационных данных пользователей приложения. В результате инцидента данные о координатах более 5 000 субъектов оказались доступны третьим лицам. Компания не уведомила РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Правовые последствия: штраф за неуведомление — 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП; штраф за саму утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Стратегия: немедленное уведомление РКН через личный кабинет на pd.rkn.gov.ru; через 72 часа — отчёт по Приказу РКН №187 с описанием принятых мер.

Что подготовить юристу при работе с геолокацией

Отдельное согласие на обработку геолокации с реквизитами по ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025) — для каждой категории субъектов отдельно.
Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) с указанием цели сбора геолокации и срока хранения.
Политику обработки ПДн с разделом о геолокации: цели, состав данных, сроки хранения, порядок уничтожения (ст. 18.1 ФЗ-152).
Локальный акт о системе мониторинга — для GPS-трекинга работников (ст. 86 ТК РФ × ст. 18.1 ФЗ-152).
Регламент реагирования на инциденты с ПДн с прописанным сроком 24/72 часа по Приказу РКН №187.

Кейс. Логистическая компания (Уральский ФО, начало 2026) получила предписание РКН после жалобы курьера: GPS-треки хранились 3 года при задекларированной цели «контроль маршрутов в течение смены». Компания подтвердила нарушение принципа хранения по ст. 5 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП составил сумму в диапазоне до 300 000 ₽; после представления плана устранения нарушений и фактического сокращения срока хранения до 30 суток — дело завершено предписанием без повторного протокола. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований, согласий и ОРД по геолокации.
Комплект ОРД под ключ — политика, согласия, локальные акты для системы трекинга.
DPO-аутсорсинг — ведение реестра обработки, ответы на запросы субъектов.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие с персональными данными: сбор, запись, систематизация, хранение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Для геолокации это означает, что само считывание координат с устройства — уже обработка ПДн, даже если данные не сохраняются в базе. Каждое действие требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн — в частности, геолокацию?

Ст. 6 ФЗ-152 перечисляет 11 оснований. Для геолокации наиболее применимы: согласие субъекта (п. 1 ч. 1 ст. 6) — при потребительских сервисах; исполнение договора (п. 5 ч. 1 ст. 6) — при доставке и навигации; трудовые отношения при GPS-трекинге сотрудников. Каждое основание имеет пределы: исполнение договора не позволяет хранить историю поездок для рекламных целей.

3. Что грозит за нарушение 152-ФЗ при обработке геолокации?

Ответственность многоуровневая. Нарушение оснований или состава согласия — штраф 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП (в редакции с 30.05.2025). Утечка координат от 1 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11. Умышленная незаконная передача геолокационных данных с использованием компьютерных систем может квалифицироваться по ст. 272.1 УК РФ (действует с 11.12.2024) — до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН, если компания собирает геолокацию?

По общему правилу — да. Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении обрабатывать ПДн до начала обработки. Исключения из ч. 2 ст. 22 (обработка в рамках трудового договора, для разового договора с субъектом и ряд других) на большинство сценариев сбора геолокации в приложениях и системах мониторинга не распространяются. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на обработку ПДн, включая геолокацию?

ФЗ-152 не устанавливает минимальный возраст для согласия, однако дееспособность в полном объёме наступает с 18 лет по ГК РФ. РКН применяет следующий подход: до 14 лет согласие дают родители или законные представители; с 14 до 18 лет — подросток может дать согласие самостоятельно, если соответствующие действия входят в его дееспособность. Сбор геолокации несовершеннолетних через детские приложения требует согласия законного представителя.

Итог

Геолокация — персональные данные по ст. 3 ФЗ-152 при наличии косвенной идентификации субъекта. Режим обработки определяется категорией данных (общие, специальные или биометрические в зависимости от контекста) и правовым основанием по ст. 6 ФЗ-152. Три системных нарушения — несоответствие целей, избыточный сбор и бессрочное хранение — обеспечивают основной поток протоколов РКН по ч. 1 ст. 13.11 КоАП. С 01.09.2025 все согласия, включая согласие на геолокацию, должны быть оформлены отдельным документом по ФЗ-156.

Практика DATUM охватывает квалификацию геолокационных данных, подготовку пакета ОРД для мобильных приложений и систем трекинга, сопровождение при проверках РКН и представление интересов в делах по ст. 13.11 КоАП.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, GPS-трекинг сотрудников.