инструкция 23 января 2029 По состоянию на 23 января 2029

Камера в приложении и ПДн

Доступ мобильного приложения к камере устройства — это сбор биометрических и иных персональных данных. Без отдельного согласия и корректной политики конфиденциальности оператор нарушает ст. 9 и ст. 11 ФЗ-152.

С 30.05.2025 штраф за обработку ПДн без согласия составляет от 300 000 до 700 000 ₽ (ч. 2 ст. 13.11 КоАП). При повторности — до 1 500 000 ₽. Если приложение передаёт снимки в облако за рубежом, возникает трансграничная передача без уведомления РКН — ещё плюс 1–3 млн ₽ по ч. 11 ст. 13.11.

Если вы директор по маркетингу и ваше приложение использует камеру — эта инструкция даст пошаговый план приведения обработки в соответствие с ФЗ-152 за шесть шагов.

Мобильные приложения всё чаще запрашивают доступ к камере: для AR-примерки товаров, сканирования штрихкодов, верификации личности, видеообзоров. Маркетолог воспринимает это как функцию UX. Роскомнадзор — как сбор биометрических или специальных ПДн. С 30.05.2025 правила изменились: оборотные штрафы стали реальностью, а правоприменение по утечкам ужесточилось. Ниже — шесть шагов, которые переводят приложение из зоны риска в зону соответствия.

Почему доступ к камере — это обработка персональных данных?

Изображение лица, зафиксированное через камеру смартфона, может использоваться для идентификации конкретного человека. Это соответствует определению биометрических персональных данных по ст. 11 ФЗ-152: физиологические и биологические характеристики, на основе которых можно установить личность субъекта. Если приложение захватывает лицо — это биометрия. Если только сканирует товар через камеру без привязки к лицу — ситуация иная, но зависит от технической реализации.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта. Исключения из этого правила закрытые и не включают коммерческое использование в приложениях интернет-магазинов.»

Помимо биометрии, камера может косвенно участвовать в сборе иных категорий ПДн. AR-примерка одежды фиксирует параметры фигуры, которые при определённых методах обработки превращаются в данные о состоянии здоровья — специальную категорию по ст. 10 ФЗ-152. Геотег фотографии раскрывает местоположение. Метаданные изображения — устройство, время, настройки камеры — дополняют профиль пользователя. Совокупность этих данных в связке с cookies образует цифровой отпечаток, который РКН квалифицирует как ПДн.

Отдельный вопрос — передача изображений в облачные сервисы компьютерного зрения: AWS Rekognition, Google Vision API, Azure Face API. Большинство из них расположены за рубежом. Это автоматически создаёт трансграничную передачу ПДн по ст. 12 ФЗ-152 — со всеми вытекающими обязанностями по уведомлению РКН.

Шаг 1. Определите, какие данные собирает камера в вашем приложении

Первый шаг — техническая инвентаризация. Составьте перечень всех сценариев использования камеры: что именно захватывается, в каком формате хранится, куда передаётся. Различайте четыре типа:

Изображение лица — биометрические ПДн по ст. 11 ФЗ-152. Требуется письменное согласие.
Изображение без привязки к лицу (штрихкод, документ, товар) — ПДн в широком смысле, если содержит идентифицирующую информацию. Достаточно общего согласия по ст. 9 ФЗ-152.
Видеопоток без сохранения — обработка происходит на устройстве, данные не уходят на сервер. Риск ниже, но нужна фиксация в документах.
Видеопоток с передачей на сервер — требует правового основания, политики, уведомления РКН в реестре операторов ПДн.

Результат шага — таблица сценариев: функция → тип данных → место хранения → третьи стороны. Без этой инвентаризации невозможно корректно заполнить политику конфиденциальности и форму уведомления в реестр РКН (ст. 22 ФЗ-152).

Шаг 2. Проверьте правовое основание для каждого сценария

Сбор биометрических ПДн через камеру — это не тот случай, когда можно опереться на исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) или законный интерес. По ст. 11 ФЗ-152 основание единственное: письменное согласие субъекта. В мобильном приложении «письменная форма» реализуется через отдельный экран с явным волеизъявлением — не чекбокс в общих условиях использования, не пункт в пользовательском соглашении.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — согласие оформляется отдельным документом. Оно не может быть встроено в договор, оферту или политику конфиденциальности. Обязательные реквизиты: наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Для нелицевых сценариев (штрихкод, документ) достаточно общего согласия, если оно прямо называет функцию камеры в перечне ПДн. Проверьте действующие тексты согласий: после 01.09.2025 согласия, встроенные в пользовательское соглашение, утратили силу как основание обработки по новым требованиям ФЗ-156. Если ваше приложение запущено до этой даты — проверьте, были ли согласия переоформлены.

Согласия в приложении не переоформлены после 01.09.2025?

С 01.09.2025 согласие, встроенное в пользовательское соглашение, не является действительным основанием обработки ПДн. Каждое новое обращение к камере без отдельного согласия — нарушение ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽. Если приложение активно использует камеру — ситуация требует оперативной проверки.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Обновите политику конфиденциальности и уведомление в реестр РКН

Политика конфиденциальности обязана отражать реальную обработку ПДн. Если приложение собирает изображения через камеру, а в политике это не указано — налицо нарушение ч. 2 ст. 18.1 ФЗ-152, которое фиксируется при первой же плановой или внеплановой проверке РКН. Обновите следующие разделы политики:

Перечень категорий ПДн: добавьте «биометрические ПДн (изображение лица)» или «фотографические изображения» — в зависимости от технической реализации.
Цели обработки: формулировка должна точно совпадать с формулировкой в согласии субъекта.
Третьи стороны: укажите все сервисы компьютерного зрения, их юрисдикцию, наличие или отсутствие уведомления РКН о трансграничной передаче.
Права субъекта: порядок отзыва согласия и срок уничтожения ПДн после отзыва.

Одновременно обновите уведомление в реестре операторов ПДн (pd.rkn.gov.ru). Если категории ПДн расширились — подайте уведомление об изменении сведений по форме Приказа РКН №180. Несоответствие реестра фактической обработке — самостоятельное основание для протокола.

Как урегулировать трансграничную передачу через облачные сервисы компьютерного зрения?

Большинство сервисов компьютерного зрения работают из серверной инфраструктуры за пределами России. Передача изображений пользователей на такие серверы — трансграничная передача ПДн по ст. 12 ФЗ-152. Если страна назначения не включена в перечень государств с адекватной защитой, оператор обязан уведомить РКН до начала передачи.

«Ст. 12 ФЗ-152 — до передачи ПДн в страну без адекватной защиты оператор уведомляет РКН. Уведомление подаётся через pd.rkn.gov.ru. Отсутствие уведомления — нарушение, влекущее штраф по ч. 11 ст. 13.11 КоАП от 1 000 000 до 3 000 000 ₽.»

Практически это выглядит так: если изображение лица пользователя уходит в AWS Rekognition (США), оператор подаёт уведомление о трансграничной передаче, оценивает правовые гарантии AWS и фиксирует это в документах. Если гарантий недостаточно — либо переходит на российский аналог, либо обрабатывает изображения локально на устройстве без передачи на сервер. GA4 трансграничка регулируется аналогично: cookies как ПДн по позиции РКН плюс передача данных в Google — два самостоятельных правовых вопроса. Баннер cookies — обязательный инструмент получения согласия на этот тип обработки.

Что подготовить

Инвентаризация сценариев использования камеры: функция → тип данных → сервер/устройство → третьи стороны.
Отдельные согласия субъектов на обработку биометрических ПДн через камеру (письменная форма по ст. 11 ФЗ-152 в редакции с 01.09.2025).
Актуальная политика конфиденциальности с разделом о камере, третьих сторонах и трансграничной передаче.
Уведомление об изменении сведений в реестр РКН (pd.rkn.gov.ru, форма Приказ РКН №180).
Уведомление о трансграничной передаче, если изображения передаются зарубежным сервисам.

Шаг 5. Настройте техническую защиту и документируйте её

Технические меры защиты — требование ст. 19 ФЗ-152. Конкретный состав зависит от уровня защищённости ИСПДн, который определяется по ПП РФ №1119. Биометрические ПДн при угрозах второго типа соответствуют УЗ-2 или выше — это означает обязательные меры из Приказа ФСТЭК №21: аутентификация, управление доступом, регистрация событий безопасности, защита каналов передачи.

Для маркетолога ключевое практическое следствие: убедитесь, что SDK или библиотека компьютерного зрения, интегрированная в приложение, не передаёт данные третьим сторонам без вашего ведома. Это распространённая причина непреднамеренных утечек. Проверьте настройки SDK, документацию API, условия использования сервиса. Зафиксируйте конфигурацию в технической документации — она понадобится при проверке РКН.

Шаг 6. Выстройте процесс реагирования на запросы субъектов и инциденты

Субъект вправе отозвать согласие на обработку биометрических ПДн в любой момент. После отзыва оператор обязан прекратить обработку и уничтожить данные. Срок ответа на запрос субъекта — 10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Невыполнение этого требования — нарушение ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽).

При инциденте — утечке изображений пользователей — оператор обязан уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187. Срок не восстанавливается. Неуведомление в срок — штраф по ч. 11 ст. 13.11 от 1 до 3 млн ₽. Заблаговременно определите ответственного за обработку по ст. 22.1 ФЗ-152 и пропишите алгоритм реагирования в регламенте.

Если ваше приложение уже использует камеру и передаёт данные зарубежным сервисам — каждый день без уведомления о трансграничной передаче создаёт риск штрафа от 1 до 3 млн ₽ по ч. 11 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн в приложении и подготовят полный комплект ОРД.

Заказать аудит 152-ФЗ

Типовые сценарии нарушений и их последствия

Сценарий 1. AR-примерка без отдельного согласия на биометрию. Маркетплейс внедрил функцию виртуальной примерки одежды — приложение захватывает изображение лица и фигуры пользователя. Согласие включено в пользовательское соглашение одним пунктом. После 01.09.2025 такой формат не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН — протокол по ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽. Стратегия: переработать форму согласия как отдельный документ с обязательными реквизитами, добавить явный экран подтверждения в приложении.

Сценарий 2. Сканирование документов с передачей в AWS. Онлайн-магазин использует функцию сканирования паспорта для верификации при первой покупке. Изображение паспорта передаётся в AWS Textract (США). Трансграничная передача — без уведомления РКН, договора с обработчиком на условиях ст. 6 ФЗ-152. При внеплановой проверке — протокол по ч. 11 ст. 13.11 (1–3 млн ₽) и дополнительно по ч. 1 ст. 13.11 за несоответствие целей. Стратегия: либо переход на российский сервис распознавания, либо подача уведомления о трансграничной передаче и оформление документов по ст. 12 ФЗ-152.

Сценарий 3. Штрихкод-сканер с невидимым логированием. Приложение интернет-магазина сканирует штрихкоды товаров. Разработчик логирует кадры камеры для отладки и сохраняет их на сервере без ведома пользователя и без отражения в политике конфиденциальности. Это скрытый сбор ПДн, нарушение принципов ст. 5 ФЗ-152 (соответствие объёма целям, прозрачность). При выявлении РКН — протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) и предписание. Стратегия: провести технический аудит SDK и библиотек, отключить отладочное логирование в продакшн-версии, обновить политику.

Практика DATUM. В деле о проверке мобильного приложения ритейлера (Центральный ФО, осень 2025) юристы DATUM установили, что SDK компьютерного зрения, интегрированный в функцию AR-примерки, передавал обезличенные векторы лиц в аналитический сервис в Нидерландах. Оператор не подавал уведомление о трансграничной передаче и не отражал SDK в политике конфиденциальности. В рамках сопровождения подготовлены: уведомление об изменении сведений в реестр РКН, уведомление о трансграничной передаче, обновлённая политика и новая форма согласия с отдельным экраном в приложении. Проверка РКН завершилась без штрафа — регулятор принял документы как доказательство устранения нарушения.

Практика DATUM. Онлайн-сервис программы лояльности (Северо-Западный ФО, начало 2026) использовал функцию сканирования QR-кодов через камеру. Согласие на обработку ПДн размещалось в общих условиях участия. После проверки по жалобе субъекта РКН вынес предписание по ч. 3 ст. 13.11 (невыполнение обязанности по публикации политики). Юристы DATUM в течение трёх рабочих дней собрали комплект ОРД — политику, отдельное согласие, приказ о назначении ответственного. Штраф по ч. 2 ст. 13.11 удалось исключить, поскольку в течение проверочного периода согласие было переоформлено.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка приложения по 38-пунктовому чек-листу с отчётом.
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования.
Защита при штрафе в арбитраже — обжалование протокола по ст. 13.11 КоАП.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookies позволяют идентифицировать конкретного пользователя. Идентификаторы устройства, сессионные и долгосрочные cookies в связке с IP-адресом и поведенческими данными образуют ПДн по ст. 3 ФЗ-152. Это означает: сайт или приложение, устанавливающие cookies без согласия, нарушают ч. 6 ст. 13.11 КоАП. Баннер cookies — инструмент получения этого согласия, а не просто элемент UX.

2. Можно ли использовать GA4 после ограничений?

GA4 передаёт данные на серверы Google в США — это трансграничная передача ПДн по ст. 12 ФЗ-152. Использование GA4 допустимо при выполнении двух условий: уведомление РКН о трансграничной передаче подано, а в политике конфиденциальности указан Google LLC как третья сторона с описанием передаваемых данных. Без этих документов — нарушение ч. 11 ст. 13.11 КоАП, штраф от 1 до 3 млн ₽. Альтернатива — российские счётчики аналитики без трансграничной передачи.

3. Кто оператор: маркетплейс или продавец?

Статус оператора определяется по ст. 3 ФЗ-152: тот, кто организует и осуществляет обработку ПДн. Если маркетплейс собирает данные покупателей и управляет базой — он оператор. Если продавец получает данные покупателя от маркетплейса для исполнения заказа — он обработчик по поручению (п. 3 ст. 6 ФЗ-152). На практике маркетплейс и продавец могут оба являться операторами в части своих целей обработки. Разграничение должно быть закреплено в договоре между ними.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании трекеров означает обработку ПДн без согласия субъекта. Это нарушение ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025 — штраф для юридического лица от 300 000 до 700 000 ₽. При повторном нарушении по ч. 2.1 — от 1 000 000 до 1 500 000 ₽. РКН вправе выявить нарушение дистанционно, без выезда на объект — достаточно анализа сайта.

5. Как оформить отзыв подписки в приложении?

Отзыв согласия — право субъекта по ст. 9 ФЗ-152. Приложение обязано предоставить механизм отзыва, сопоставимый по простоте с механизмом выдачи согласия. Если согласие выдавалось в один клик — отзыв не может требовать заявления на бумаге. После отзыва оператор прекращает обработку и уничтожает данные в разумный срок. Механизм отзыва должен быть описан в политике конфиденциальности — это обязательный реквизит согласия по ст. 9 ФЗ-152.

6. Нужно ли уведомление РКН, если камера работает только на устройстве без передачи данных?

Если обработка изображений происходит исключительно на устройстве пользователя и никакие данные не передаются на сервер — трансграничная передача отсутствует. Однако оператор всё равно обязан уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 (если иное не предусмотрено исключениями ст. 22). Локальная обработка не освобождает от необходимости иметь согласие субъекта и корректную политику конфиденциальности.

Итог

Доступ приложения к камере — это обработка ПДн с особыми правилами: письменное согласие на биометрию, отдельный документ с 01.09.2025, уведомление о трансграничной передаче при использовании зарубежных SDK. Шесть шагов выше переводят типовое приложение интернет-магазина в соответствие с ФЗ-152 без переработки архитектуры.

DATUM сопровождает мобильные приложения по всему циклу: от аудита SDK и согласий до подготовки уведомлений РКН и защиты в случае проверки. Практика охватывает e-commerce, маркетплейсы, программы лояльности.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в приложениях и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

23 января 2029 года