Перейти к содержанию
инструкция 3 декабря 2028 По состоянию на 3 декабря 2028

In-app аналитика и ПДн

In-app аналитика — это сбор, передача и обработка персональных данных пользователей мобильных приложений. Каждое событие, идентификатор устройства или email-адрес в аналитическом SDK подпадает под ФЗ-152.
Роскомнадзор квалифицирует cookies и мобильные идентификаторы как ПДн. Использование GA4, AppsFlyer, Firebase или аналогов без надлежащего согласия и политики — нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и потенциально ч. 8 при передаче данных за рубеж (1–6 млн ₽).
Если вы маркетолог и запускаете аналитику в мобильном приложении — проверьте: есть ли согласие пользователя, куда идут данные, обновлена ли политика конфиденциальности. Пошаговый порядок — ниже.

В 2025 году Роскомнадзор зафиксировал более 250 публичных утечек и 118 случаев компрометации баз данных. Значительная часть инцидентов связана с мобильными приложениями: аналитические SDK бесконтрольно передают идентификаторы, геолокацию и поведенческие данные на серверы за пределами России. Маркетолог, подключивший сторонний SDK без юридической проработки, создаёт оператору риск сразу по нескольким составам ст. 13.11 КоАП. Эта инструкция описывает шесть шагов приведения in-app аналитики в соответствие с ФЗ-152.

Шаг 1. Определите, какие данные собирает аналитика

Прежде чем настраивать согласия и политику, нужно понять, что именно SDK передаёт с устройства пользователя. Маркетологи часто ориентируются на функциональность инструмента, не анализируя состав передаваемых данных. Это ошибка: один SDK может отправлять IDFA, GAID, IP-адрес, email (если пользователь авторизован), геолокацию и поведенческие события одновременно.

Составьте реестр SDK: название, версия, URL сервера назначения, категория данных. Проверьте документацию каждого SDK и трафик приложения через прокси или инструменты перехвата (Charles Proxy, mitmproxy). Результат — таблица: SDK × категория ПДн × страна назначения.

«Ст. 3 ФЗ-152 — персональными данными признаётся любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Мобильный идентификатор устройства (IDFA/GAID) в связке с поведенческими событиями достаточен для идентификации субъекта.»

Особое внимание — специальным категориям: если приложение медицинское или фитнес-ориентированное, SDK может собирать данные о здоровье (ст. 10 ФЗ-152). Это отдельный режим согласия и защиты.

Шаг 2. Проверьте правовые основания для каждого SDK

Для каждого аналитического инструмента нужно установить правовое основание обработки по ст. 6 ФЗ-152. Большинство аналитических SDK не подпадают под исключения: они не нужны для исполнения договора с пользователем и не являются обязательными для работы сервиса. Значит, основание — согласие по ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025: согласие на обработку ПДн оформляется отдельным документом. Нельзя включать его в текст пользовательского соглашения или политики конфиденциальности как составную часть.»

Согласие на cookies и мобильные идентификаторы — аналог согласия на аналитическую обработку. Оно должно быть: отдельным от условий использования, свободным (не блокировать вход в приложение при отказе), информированным (с указанием конкретных SDK и целей), отзывным в любой момент.

Аналитика уже работает, а согласия нет?

Если приложение собирает данные через SDK без отдельного согласия пользователя — это нарушение ч. 1 или ч. 2 ст. 13.11 КоАП. Штраф для юрлица — от 150 тыс. до 700 тыс. ₽ в зависимости от состава. Юристы DATUM проведут аудит состава обработки и подготовят пакет согласий и политику конфиденциальности по требованиям ФЗ-152 с 01.09.2025.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что такое ga4 трансграничка и когда она возникает?

GA4, AppsFlyer, Amplitude, Mixpanel — это инструменты с серверами за пределами России. Передача ПДн российских пользователей на такие серверы — трансграничная передача по ст. 12 ФЗ-152. Если страна назначения не входит в перечень государств с адекватной защитой ПДн, оператор обязан уведомить Роскомнадзор до начала передачи.

«Ст. 12 ФЗ-152 — до передачи данных в страну, не обеспечивающую адекватную защиту, оператор направляет уведомление в РКН. Перечень стран с адекватной защитой утверждается приказом РКН. США в этот перечень не входят.»

Параллельно действует требование локализации по ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны происходить в базах на территории России. Нарушение — ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽. При повторном нарушении — ч. 9, штраф 6–18 млн ₽.

Практический выход: либо использовать SDK с возможностью проксирования данных через российский сервер (некоторые вендоры предоставляют self-hosted опцию), либо заменить зарубежный инструмент на российский аналог (Яндекс.Метрика, AppMetrica). Если замена невозможна — оформить уведомление о трансграничной передаче и зафиксировать правовое основание.

Шаг 3. Настройте баннер cookies и экран согласия в приложении

Для мобильного приложения баннер cookies в браузерном смысле не применяется — вместо него нужен экран запроса согласия (consent screen) при первом запуске или перед подключением аналитических SDK. Требования к нему совпадают с требованиями к согласию по ст. 9 ФЗ-152.

Что подготовить для экрана согласия

  • Перечень SDK и третьих лиц, которым передаются данные — с наименованием и страной нахождения
  • Цели обработки для каждой категории SDK: аналитика, атрибуция, ретаргетинг, краш-репорты
  • Кнопки «Принять», «Настроить», «Отклонить» — все три равноценно доступны, «Отклонить» не спрятан
  • Механизм сохранения выбора и его отзыва из настроек приложения
  • Ссылка на политику конфиденциальности с актуальными реквизитами оператора

Отсутствие возможности отказаться от аналитики без последствий для функциональности приложения — нарушение принципа свободного согласия по ст. 5 ФЗ-152. Роскомнадзор рассматривает это как нарушение при проверке приложений.

Шаг 4. Обновите политику конфиденциальности приложения

Политика конфиденциальности мобильного приложения — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Её публикация в App Store и Google Play — требование платформ, но содержание должно соответствовать российскому законодательству, если приложение ориентировано на пользователей из РФ.

Политика должна раскрывать: категории собираемых данных, цели обработки, правовые основания по ст. 6 ФЗ-152, сроки хранения, перечень третьих лиц — получателей данных (SDK с указанием страны), порядок реализации прав субъектов (ст. 14–21 ФЗ-152), контакты ответственного за обработку по ст. 22.1.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать документ, определяющий политику в отношении обработки ПДн. Отсутствие политики или её несоответствие фактической обработке — ч. 3 ст. 13.11 КоАП, штраф 30–60 тыс. ₽. При несоответствии содержания реальной обработке — ч. 1 ст. 13.11, до 300 тыс. ₽.»

Политику обновляйте при каждом изменении состава SDK или целей обработки. Дата последнего обновления должна быть видна в документе.

Шаг 5. Настройте программы лояльности и email-рассылки по правилам ФЗ-152

Программы лояльности в приложении — отдельный массив ПДн: история покупок, бонусный баланс, предпочтения, иногда геолокация. Для email-рассылок по базе программы лояльности нужно отдельное согласие на получение рекламных сообщений по ст. 18 ФЗ «О рекламе» — помимо согласия на обработку ПДн.

Согласие на рассылку фиксируется в момент регистрации в программе лояльности отдельным чекбоксом (не предвыбранным). Механизм отписки — в каждом письме и в настройках приложения. Срок ответа на запрос об отписке — немедленно технически, но не позднее 10 рабочих дней по ст. 20 ФЗ-152 на прекращение обработки в целях рассылки.

Если маркетолог запускает рассылку по базе из приложения без двойного opt-in — это основание для жалобы субъекта и проверки РКН. Штраф по ч. 2 ст. 13.11 КоАП — 300–700 тыс. ₽. Юристы DATUM подготовят комплект ОРД, включая шаблоны согласий и механизм отписки.

Собрать ОРД под ключ

Для маркетплейсов вопрос сложнее: если продавец на маркетплейсе самостоятельно собирает контакты через чат или форму — он становится самостоятельным оператором ПДн и обязан уведомить РКН по ст. 22 ФЗ-152. Маркетплейс при этом остаётся отдельным оператором в отношении своей базы пользователей.

Шаг 6. Уведомите Роскомнадзор и обновите реестровую запись

Оператор, обрабатывающий ПДн через мобильное приложение, обязан состоять в реестре операторов РКН по ст. 22 ФЗ-152. Уведомление подаётся до начала обработки через pd.rkn.gov.ru с УКЭП или через ЕСИА. Если приложение обновилось и добавились новые цели обработки или категории данных — необходимо уведомить об изменении сведений.

«Ст. 22 ФЗ-152 — неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн: ч. 10 ст. 13.11 КоАП, штраф для юрлица 100–300 тыс. ₽. Срок включения в реестр после подачи уведомления — 30 дней.»

Проверьте актуальность записи: совпадают ли заявленные цели и категории ПДн с реальной обработкой через SDK. Несоответствие — типичный повод для предписания РКН при проверке.

Как это выглядит на практике: два кейса

Кейс 1. Директор по маркетингу e-commerce компании (Центральный ФО, осень 2025) подключил AppsFlyer и Firebase для атрибуции и аналитики без уведомления о трансграничной передаче и без экрана согласия. При плановой проверке РКН выявил передачу данных в США и несоответствие политики конфиденциальности фактической обработке. Компании предъявлены протоколы по ч. 1 и ч. 8 ст. 13.11 КоАП. Суммарный штраф составил несколько сотен тысяч рублей. Параллельно потребовалось устранение нарушений в 30-дневный срок по предписанию.

Кейс 2. Директор по маркетингу приложения программы лояльности (Северо-Западный ФО, начало 2026) получил жалобу пользователя на рекламные рассылки. Пользователь не находил кнопку отписки — она была скрыта в четырёх уровнях меню. РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Юристы DATUM подготовили возражения, показали механизм согласия при регистрации и добились снижения штрафа до минимального по ч. 2 с применением смягчающих обстоятельств. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-файл позволяет идентифицировать пользователя прямо или в совокупности с другими данными. Это следует из определения ПДн в ст. 3 ФЗ-152. Для мобильных приложений аналог cookies — IDFA, GAID и иные стабильные идентификаторы устройства. Использование таких идентификаторов для аналитики и таргетинга требует правового основания по ст. 6 ФЗ-152, как правило — согласия.

2. Можно ли использовать GA4 после ограничений?

GA4 передаёт данные на серверы Google в США — стране, не входящей в перечень государств с адекватной защитой ПДн. Использование возможно при соблюдении двух условий: уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 и наличие согласия пользователя с указанием передачи данных Google LLC (США). Если первичный сбор и хранение происходят за пределами РФ без российской базы — это дополнительно нарушает ч. 5 ст. 18 ФЗ-152 о локализации. Альтернатива — AppMetrica или Яндекс.Метрика с российской инфраструктурой.

3. Кто оператор: маркетплейс или продавец?

Оба. Маркетплейс является самостоятельным оператором в отношении данных покупателей, которые он собирает при регистрации и оформлении заказов. Продавец, получающий от маркетплейса данные покупателя для исполнения заказа, также является оператором в части этих данных. Если продавец самостоятельно собирает контакты через свои формы или чат — он обязан уведомить РКН отдельно. Передача данных от маркетплейса продавцу оформляется как поручение на обработку по п. 3 ч. 1 ст. 6 ФЗ-152 или как самостоятельное основание с согласия субъекта.

4. Что грозит за отсутствие баннера cookies?

Отсутствие механизма получения согласия на cookies и аналитические идентификаторы квалифицируется как обработка ПДн без согласия (ч. 2 ст. 13.11 КоАП) или в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП). Штраф для юрлица — от 150 тыс. до 700 тыс. ₽ в зависимости от квалификации. При повторном нарушении по ч. 1 — до 500 тыс. ₽, по ч. 2 — до 1,5 млн ₽. Если данные передаются зарубежному SDK без уведомления — добавляется состав по ч. 8 ст. 13.11 (1–6 млн ₽).

5. Как оформить отзыв подписки?

Механизм отзыва согласия на рассылку должен быть доступен в каждом рекламном письме (ссылка «Отписаться») и в настройках приложения. Пользователь не должен совершать более одного действия для отписки. Технически прекращение рассылки происходит немедленно после отзыва; по ст. 20 ФЗ-152 оператор обязан прекратить обработку ПДн в целях рассылки в течение 10 рабочих дней с момента обращения. Факт отписки и дата фиксируются в системе рассылок для подтверждения при запросе РКН.

6. Нужно ли новое согласие, если добавили новый SDK?

Да, если новый SDK обрабатывает категории данных или преследует цели, не охваченные действующим согласием пользователя. Согласие должно описывать конкретный перечень действий и получателей данных. Добавление нового SDK без обновления согласия и политики конфиденциальности — нарушение ч. 1 ст. 13.11 КоАП. Пользователям, которые ранее дали согласие, необходимо направить уведомление об изменении условий обработки.

Итог

In-app аналитика генерирует широкий спектр нарушений 152-ФЗ: от отсутствия согласия до незаконной трансграничной передачи и нарушения требований локализации. Каждый подключённый SDK — потенциальный источник административного риска от 150 тыс. до 18 млн ₽ в зависимости от состава нарушения.

DATUM сопровождает мобильные продукты и e-commerce платформы в приведении аналитической инфраструктуры в соответствие с ФЗ-152: аудит SDK, подготовка политики и согласий, уведомление РКН о трансграничной передаче, защита при проверках и штрафах по ст. 13.11 КоАП.

Услуги DATUM по теме

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности.

3 декабря 2028 года