инструкция 22 января 2029 По состоянию на 22 января 2029

Геолокация в приложении: ст. 11

Геолокация пользователя — биометрические данные по ст. 11 ФЗ-152 только при сопоставлении с личностью; сама по себе — общая категория ПДн, требующая отдельного согласия.

С 30.05.2025 штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия составляет 300 000 — 700 000 ₽ для юрлица; повторное нарушение — 1 000 000 — 1 500 000 ₽.

→ Если вы маркетолог и приложение запрашивает геолокацию без отдельного согласия — каждая сессия пользователя создаёт риск протокола по ст. 13.11 КоАП.

Геолокация в мобильном приложении или на сайте интернет-магазина — один из наиболее распространённых и одновременно наиболее уязвимых инструментов маркетинга. Маркетолог использует её для таргетинга, расчёта доставки и персонализации, не задумываясь о правовой квалификации. С 30.05.2025 правила изменились: ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 с 18 составами вместо прежних 7. В этой инструкции — пошаговый порядок, как привести сбор геолокации в соответствие с ФЗ-152 и избежать штрафа.

Шаг 1. Определите: геолокация — это ПДн в вашем приложении?

Геолокация — это данные о местоположении устройства (GPS-координаты, IP-адрес, Wi-Fi-сети). По ст. 3 ФЗ-152 «персональные данные» — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Если приложение связывает координаты с учётной записью, номером телефона или идентификатором устройства — это ПДн.

Отдельный вопрос: является ли геолокация биометрическими ПДн по ст. 11 ФЗ-152? Ст. 11 относит к биометрическим данным сведения о физиологических и биологических особенностях человека, позволяющие установить его личность. Координаты сами по себе к этой категории не относятся. Однако если приложение формирует «паттерн перемещений» и использует его для идентификации субъекта — РКН квалифицирует это как биометрию. На практике это редкость для e-commerce, но встречается в фитнес-приложениях и HR-трекерах.

«Ст. 11 ФЗ-152: биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка допускается только с письменного согласия субъекта, за исключением случаев, предусмотренных ч. 2 ст. 11.»

Практическое правило: если приложение собирает геолокацию разово (для расчёта доставки) — это общая категория ПДн. Если непрерывно и связывает с профилем — проверьте, не возникает ли состав биометрии. В обоих случаях требуется согласие по ст. 9 ФЗ-152, отдельное с 01.09.2025 по ФЗ-156 от 24.06.2025.

Шаг 2. Составьте реестр целей обработки геолокации

Ст. 5 ФЗ-152 закрепляет принцип соответствия целей обработки заявленным. Это означает: нельзя собирать геолокацию «для улучшения сервиса», а использовать для продажи третьим лицам или передачи в рекламные сети. Для маркетолога типичны три цели:

Логистическая — определение зоны доставки, расчёт стоимости, выбор ближайшего пункта выдачи.
Маркетинговая — геотаргетинг в push-уведомлениях, персонализация офферов по региону.
Аналитическая — сегментация аудитории по географии, оптимизация рекламных кампаний.

Каждая цель должна быть отдельно указана в согласии (ст. 9 ФЗ-152) и в политике обработки ПДн (ст. 18.1 ФЗ-152). Объединять все три в одно расплывчатое основание нельзя: ст. 5 запрещает объединение баз с несовместимыми целями. Если маркетинговую цель не указали, но геолокацию для неё используете — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000 — 300 000 ₽.

«Ст. 5 ФЗ-152: обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с целями сбора.»

Геолокация в приложении уже собирается, но согласие не разделено по целям?

Если маркетолог использует геолокацию для таргетинга, а согласие оформлено в одном пункте политики конфиденциальности — это нарушение ст. 5 и ст. 9 ФЗ-152. С 01.09.2025 согласие обязано быть отдельным документом по ФЗ-156. Каждая такая форма — потенциальный протокол по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽). Юристы DATUM проведут аудит согласий и обработки геолокации по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите отдельное согласие на сбор геолокации

С 01.09.2025 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 требует: согласие на обработку ПДн — отдельный документ, не объединённый с договором, офертой, политикой конфиденциальности или любым другим документом. Для геолокации это означает: всплывающее окно или экран приложения с отдельным чекбоксом, не предзаполненным.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

ФИО субъекта и контактные данные (или идентификатор в приложении).
Наименование и адрес оператора — юрлица или ИП.
Цель обработки геолокации — конкретная, не «улучшение сервиса».
Перечень данных — GPS-координаты, точность, частота обновления.
Перечень действий — сбор, запись, передача подрядчикам (укажите кому).
Срок действия согласия или условие прекращения.
Способ отзыва — конкретная кнопка или адрес.

Cookies как метод сбора геолокации (через IP или Wi-Fi) требуют отдельного баннера cookies. По позиции РКН, cookies, позволяющие идентифицировать пользователя, — это ПДн. Отсутствие баннера — нарушение, которое создаёт риск по ч. 1 ст. 13.11 КоАП. В сочетании с геолокацией по IP — двойной состав.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025): согласие субъекта на обработку персональных данных оформляется отдельным документом, не объединённым с иными документами, в том числе с договором.»

Что подготовить для законного сбора геолокации

Отдельная форма согласия с реквизитами по ст. 9 ФЗ-152 (не встроенная в оферту или политику).
Баннер cookies с перечнем типов (аналитические, маркетинговые) и кнопкой отказа.
Актуальное уведомление в реестре РКН по ст. 22 ФЗ-152 с указанием геолокации как категории ПДн.
Политика конфиденциальности с разделом о геолокации: цели, сроки хранения, третьи лица.
Договор-поручение с каждым подрядчиком, которому передаётся геолокация (рекламные сети, аналитика).

Шаг 4. Проверьте трансграничную передачу геолокации

Большинство интернет-магазинов и мобильных приложений используют зарубежные инструменты аналитики или таргетинга: GA4, Meta Pixel, Amplitude, AppsFlyer. Если геолокация пользователя передаётся на серверы за пределами России — это трансграничная передача по ст. 12 ФЗ-152. Для стран без статуса «адекватной защиты» (к которым США относятся по умолчанию) требуется уведомление РКН до начала передачи.

GA4 направляет данные на серверы Google в США. Если в событии GA4 передаётся геолокация (через параметры или IP-адрес), а уведомление о трансграничной передаче в РКН не подано — нарушение ч. 8 ст. 13.11 КоАП о локализации или специального порядка ст. 12. Штраф за нарушение локализации по ч. 8 — от 1 000 000 до 6 000 000 ₽.

«Ст. 12 ФЗ-152: до передачи ПДн граждан РФ в иностранное государство, не обеспечивающее адекватную защиту, оператор обязан уведомить РКН. Перечень стран с адекватной защитой утверждается Роскомнадзором.»

Практический шаг: составьте реестр всех внешних сервисов, которые получают данные из приложения. Для каждого укажите: страна серверов, тип ПДн (включая геолокацию), статус страны по перечню РКН. Если страна не в перечне — подготовьте уведомление о трансграничной передаче. Альтернатива — настроить серверную сторону GA4 с проксированием через российский сервер без передачи геолокации.

Если GA4 или рекламные пиксели получают геолокацию пользователей — у вас потенциальное нарушение ст. 12 ФЗ-152 и ч. 8 ст. 13.11 КоАП (штраф 1–6 млн ₽). Юристы DATUM проверят каждый внешний сервис и оформят уведомление о трансгранике.

Заказать аудит 152-ФЗ

Шаг 5. Обеспечьте возможность отзыва и удаления геолокации

Ст. 9 ФЗ-152 гарантирует субъекту право отозвать согласие в любой момент. Применительно к геолокации это означает: в приложении должна быть кнопка или раздел, через который пользователь отключает сбор координат и запрашивает удаление уже собранных данных. Срок реакции оператора — не позднее 10 рабочих дней с момента обращения (ст. 21 ФЗ-152).

Маркетплейсы и крупные интернет-магазины часто делегируют обработку геолокации подрядчикам — аналитическим платформам, рекламным сетям, сервисам доставки. По ст. 6 ФЗ-152 поручение обработки допустимо только при наличии договора-поручения с перечнем допустимых действий. Если подрядчик допустил утечку геолокации — ответственность несёт оператор. Это позиция, которую суды последовательно применяют.

Для маркетплейса отдельный вопрос: кто оператор — площадка или продавец? По ст. 3 ФЗ-152 оператор — лицо, определяющее цели и способы обработки. Если маркетплейс собирает геолокацию для своих целей (логистика, таргетинг) — он оператор. Если передаёт данные продавцу — это поручение обработки, и договор-поручение обязателен. Отсутствие договора — нарушение ч. 1 ст. 13.11 КоАП.

«Ст. 21 ФЗ-152: оператор обязан прекратить обработку ПДн и уничтожить их в срок, не превышающий 10 рабочих дней, с момента получения отзыва согласия субъекта, если иное не предусмотрено законом.»

Как это применяется на практике

Кейс 1. Интернет-магазин одежды (Центральный ФО, весна 2026) использовал геолокацию для геотаргетинга push-уведомлений. Согласие было встроено в оферту — один пункт из двадцати. После жалобы пользователя РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Компания получила штраф в диапазоне сотен тысяч рублей. Переоформление согласия в отдельный документ и обновление политики конфиденциальности заняло три рабочих дня. После исполнения предписания дополнительного производства не последовало. Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Агрегатор доставки еды (Северо-Западный ФО, лето 2025) передавал GPS-координаты курьеров и клиентов в аналитическую платформу с серверами в США без уведомления РКН о трансграничной передаче. Внеплановая проверка была инициирована по жалобе. Установлено нарушение ст. 12 ФЗ-152. Компания устранила нарушение переводом аналитики на российский сервер и подачей уведомления. Штраф назначен в нижней части диапазона ч. 8 ст. 13.11 КоАП. Номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, политики и трансграничной передачи геолокации
Комплект ОРД под ключ — согласие на геолокацию, политика, договоры-поручения с подрядчиками
Защита при штрафе в арбитраже — обжалование протокола по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie позволяет идентифицировать конкретного пользователя: это условие выполняется для аутентификационных и маркетинговых файлов. Технические cookies, не привязанные к личности, ПДн не являются. Практическое следствие: баннер согласия на cookies обязателен для любого сайта, использующего аналитику или рекламные пиксели. Отсутствие баннера — риск по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽).

2. Можно ли использовать GA4 после ограничений?

GA4 можно использовать при соблюдении трёх условий: уведомление РКН о трансграничной передаче подано, в согласии указана передача данных в США, в GA4 отключена передача геолокации и IP (анонимизация IP). Альтернатива — серверная реализация GA4 с проксированием через российский сервер. Без этих мер использование GA4 создаёт риск нарушения ст. 12 ФЗ-152 и ч. 8 ст. 13.11 КоАП (штраф 1 000 000 — 6 000 000 ₽).

3. Кто оператор: маркетплейс или продавец?

Оператором по ст. 3 ФЗ-152 является лицо, определяющее цели и способы обработки. Маркетплейс — оператор в отношении данных, которые собирает для своих целей (логистика, таргетинг, аналитика). Если маркетплейс передаёт данные покупателя продавцу — он действует как лицо, осуществляющее обработку по поручению, либо сам становится оператором, передающим данные другому оператору. В обоих случаях требуется договор-поручение или отдельное согласие на передачу третьему лицу.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при сборе маркетинговых или аналитических файлов — нарушение ст. 9 ФЗ-152 (обработка без согласия). Это основание для протокола по ч. 2 ст. 13.11 КоАП: штраф для юрлица 300 000 — 700 000 ₽. При повторном нарушении — ч. 2.1, штраф 1 000 000 — 1 500 000 ₽. Дополнительно: если через cookies собирается геолокация и передаётся за рубеж — возникает состав по ч. 8 той же статьи.

5. Как оформить отзыв подписки на геолокацию?

Способ отзыва обязан быть указан в согласии (ст. 9 ФЗ-152): конкретная кнопка в приложении, раздел в личном кабинете или email-адрес оператора. После получения отзыва оператор обязан прекратить обработку и уничтожить данные в течение 10 рабочих дней (ст. 21 ФЗ-152). Недостаточно просто отключить сбор новых данных — уже собранные координаты также подлежат удалению, если иное не предусмотрено законом (например, хранение в целях исполнения договора).

Итог

Геолокация в мобильном приложении или интернет-магазине — это персональные данные, обработка которых требует отдельного согласия с 01.09.2025, актуального уведомления в реестре РКН и проверки каждого внешнего сервиса на предмет трансграничной передачи. Пять шагов этой инструкции охватывают квалификацию данных, реестр целей, оформление согласия, трансграничку и право на отзыв.

Юристы DATUM сопровождают интернет-магазины и мобильные приложения в вопросах соответствия ФЗ-152: от аудита согласий до подготовки уведомлений о трансграничной передаче. Практика «Ветров и партнёры» — с 2014 года.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), политики конфиденциальности для маркетплейсов и мобильных приложений.