Перейти к содержанию
аналитика 3 апреля 2029 По состоянию на 3 апреля 2029

Каршеринг и геолокация

Геолокация водителя каршеринга — персональные данные по ст. 3 ФЗ-152: они позволяют установить конкретное лицо, его маршрут и поведение.
С 30.05.2025 утечка данных о местонахождении от 1 000 субъектов влечёт штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; при повторном инциденте — оборотный штраф до 500 млн ₽ по ч. 15.
Если вы финансовый директор каршеринговой компании и не видели бюджет на комплаенс по 152-ФЗ — стоимость аудита в 100–300 тыс. ₽ сейчас выглядит иначе, чем после первой проверки РКН. → Оцените риски

Каршеринг собирает геолокацию непрерывно: при регистрации, во время аренды, после возврата автомобиля. Эти данные используются для тарификации, антифрода, страхования и скоринга. Параллельно они передаются партнёрам — страховщикам, банкам-эквайерам, МФО-кредиторам. С 30.05.2025 каждая такая цепочка проверяется регулятором на наличие правового основания, согласия с обязательными реквизитами и уведомления в реестре РКН. В этой статье — как устроена правовая рамка для геолокации в каршеринге, какие нормы применяются и что финансовому директору учитывать в бюджете на 2026–2027 годы.

Что такое геолокация в каршеринге с точки зрения 152-ФЗ?

Геолокационные данные водителя — это сведения, которые прямо или косвенно идентифицируют физическое лицо. Адрес посадки, маршрут поездки, время стоянки у конкретного объекта — в совокупности с телефонным номером и данными учётной записи они образуют персональный профиль. Роскомнадзор последовательно квалифицирует такие данные как ПДн, а их непрерывный сбор через мобильное приложение — как систематическую обработку.

Правовое основание для сбора геолокации должно быть задано до начала обработки. На практике каршеринговые платформы опираются на два основания: согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) и исполнение договора аренды (п. 5 ч. 1 ст. 6). Ключевой вопрос — достаточно ли договорного основания для передачи геолокации третьим лицам (страховщику, банку, аналитической платформе). Ответ отрицательный: передача за рамки договора требует отдельного согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть включено в текст договора, пользовательского соглашения или политики конфиденциальности.»

Для финансового директора это означает следующее: если согласие на геолокацию вшито в пользовательское соглашение, оно недействительно с 01.09.2025. Все новые пользователи должны подписывать отдельный документ. Старые согласия, полученные до 01.09.2025, продолжают действовать — обратной силы у ФЗ-156 нет.

Какие нормы регулируют передачу геолокации страховщикам и банкам?

Каршеринговая платформа выступает оператором ПДн. Когда она передаёт геолокацию страховщику — это либо поручение обработки (п. 3 ст. 6 ФЗ-152), либо самостоятельная передача третьему лицу. Разница принципиальная для целей ответственности.

При поручении обработки страховщик действует только в рамках, которые задаёт оператор. Договор поручения должен содержать перечень операций, цели, обязанность соблюдать конфиденциальность и меры защиты. Если страховщик обрабатывает данные за пределами поручения — он становится самостоятельным оператором и несёт собственную ответственность. При утечке на стороне страховщика первичную ответственность перед субъектом по-прежнему несёт каршеринговая платформа как оригинальный оператор.

«Принцип ответственности за подрядчика: оператор отвечает за утечку через контрагента, которому передал ПДн по договору поручения, — если не доказал, что нарушение произошло исключительно по вине контрагента. Позиция формируется судебной практикой по аналогии с общими нормами ГК РФ об ответственности за третьих лиц.»

Банк-эквайер, обрабатывающий данные платёжного профиля водителя, использует геолокацию транзакций для антифрода. Это самостоятельная обработка банком, которая регулируется отдельным основанием — НПС и ФЗ-161 о национальной платёжной системе в части безопасности. Тем не менее передача геолокации банку требует от каршеринга либо согласия, либо договорного основания с чётко прописанными целями.

Финансовый директор считает бюджет на комплаенс — вот его арифметика

Аудит соответствия 152-ФЗ для платформы с геолокацией стоит 100–300 тыс. ₽. Штраф за утечку от 1 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Штраф за отсутствие отдельных согласий — до 700 тыс. ₽ по ч. 2. Если до 30.05.2025 уже был протокол — следующая утечка влечёт оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн ₽. Срок на первичное уведомление РКН об инциденте — 24 часа, не восстанавливается.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как работает скоринг по геолокации и где проходит граница ст. 16 ФЗ-152?

Ряд каршеринговых платформ передаёт обезличенные или профилированные геолокационные данные МФО и банкам для скоринга. Поведенческий профиль водителя — частота поездок, маршруты, ночная активность — используется как предиктор кредитного риска.

Здесь вступает ст. 16 ФЗ-152 об автоматизированных решениях. Если решение о выдаче или отказе в кредите принимается исключительно на основании автоматической обработки ПДн — субъект вправе потребовать, чтобы решение пересмотрел живой сотрудник. Оператор обязан это обеспечить и уведомить субъекта о праве на оспаривание. Неисполнение этого требования — отдельное основание для жалобы в РКН.

«Ст. 16 ФЗ-152 — при принятии решений, порождающих правовые последствия для субъекта, исключительно на основании автоматизированной обработки ПДн оператор обязан разъяснить субъекту порядок защиты его прав и рассмотреть его возражения.»

Скоринг по геолокации каршеринга попадает в эту зону, если МФО или банк не сохраняет возможности ручного пересмотра. Для финансового директора это риск: МФО, использующая геолокационный скоринг без надлежащего уведомления субъектов, нарушает ст. 16 ФЗ-152 и одновременно рискует получить предписание РКН по результатам внеплановой проверки.

Что подготовить финансовому директору каршеринга

  • Отдельные согласия на геолокацию по ст. 9 ФЗ-152 в редакции ФЗ-156 — для всех новых пользователей с 01.09.2025.
  • Договоры поручения обработки ПДн со страховщиками, банками-эквайерами и аналитическими платформами с перечнем операций и мерами защиты.
  • Уведомление в реестре РКН через pd.rkn.gov.ru с актуальным перечнем обрабатываемых категорий и третьих лиц.
  • Регламент реагирования на инцидент: 24-часовое уведомление РКН, 72-часовой отчёт по Приказу РКН №187.
  • Политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 с разделом о геолокации и целях её передачи третьим лицам.

Типовые ситуации: три сценария для финансового директора

Сценарий 1. Платформа передаёт геолокацию МФО без отдельного согласия. Ситуация: согласие вшито в пользовательское соглашение, МФО использует данные для скоринга. После 01.09.2025 такое согласие недействительно по ФЗ-156. При проверке РКН фиксирует обработку без надлежащего согласия. Вероятный исход: протокол по ч. 2 ст. 13.11 — штраф 300–700 тыс. ₽, предписание об устранении. Стратегия: до проверки переоформить согласия отдельным документом, уведомить МФО о необходимости приостановить обработку до получения нового согласия.

Сценарий 2. Утечка геолокационных данных через взлом API страховщика. Ситуация: хакеры получили доступ к API партнёра, скомпрометировано 15 000 записей с маршрутами водителей. Каршеринговая платформа узнала об инциденте через 30 часов. Доказательства: логи API, переписка с партнёром, отчёт ИБ. Вероятный исход: штраф по ч. 13 ст. 13.11 (5–10 млн ₽) за масштаб утечки плюс штраф по ч. 11 за нарушение 24-часового срока уведомления РКН (1–3 млн ₽). Стратегия: внедрить мониторинг инцидентов на стороне партнёров, прописать в договоре поручения обязанность контрагента уведомлять оператора в течение 4 часов с момента обнаружения.

Сценарий 3. РКН запрашивает сведения об обработке геолокации в рамках плановой проверки. Ситуация: оператор включён в реестр, но уведомление устарело — не отражает передачу данных страховщику и новую функцию скоринга. Вероятный исход: предписание об актуализации реестра, протокол по ч. 1 ст. 13.11 (150–300 тыс. ₽) за обработку в объёме, выходящем за пределы уведомления. Стратегия: до получения уведомления о проверке подать изменение в реестр через pd.rkn.gov.ru, актуализировать политику.

Если вы финансовый директор и платформа уже передаёт геолокацию партнёрам — проверьте, есть ли актуальные договоры поручения и отдельные согласия. До проверки РКН это устраняется без штрафа. После — нет.

Заказать аудит 152-ФЗ

Как применяется практика на примере реальных инцидентов

Кейс 1. Каршеринговая платформа (Приволжский ФО, осень 2025) передавала геолокацию 40 000 водителей партнёрскому МФО без договора поручения — данные уходили через прямую интеграцию API. После жалобы субъекта РКН провёл внеплановую проверку. Платформа не смогла предъявить ни договор поручения, ни отдельные согласия на передачу. Арбитражный суд региона назначил штраф в диапазоне нескольких сотен тысяч рублей по ч. 1 и ч. 2 ст. 13.11 КоАП. Устранение нарушений потребовало переработки интеграции и переоформления согласий — бюджет работ превысил сумму штрафа в 4 раза. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз данных. Среди них — несколько инцидентов в транспортном и финтех-секторах с геолокационными данными. По данным InfoWatch (январь 2026), назначено 6 административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 тыс. ₽. Низкий совокупный размер объясняется тем, что большинство инцидентов произошли до 30.05.2025 и квалифицированы по старой редакции статьи. Инциденты, зафиксированные после этой даты, формируют практику уже по новым составам — с принципиально иными суммами.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту в доступе к каршерингу, если он не дал согласие на геолокацию?

Зависит от того, обязательна ли геолокация для исполнения договора аренды. Если без неё невозможно определить местонахождение автомобиля и рассчитать тариф — отказ в аренде при отсутствии согласия допустим как невозможность исполнения договора. Если геолокация используется только для маркетинга или скоринга — отказ в обслуживании за отсутствие такого согласия нарушает права потребителя.

2. Что грозит каршерингу за утечку геолокационных данных в 2025–2026 годах?

При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП в редакции с 30.05.2025. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторном инциденте у оператора, ранее привлекавшегося по ч. 12–14 — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за нарушение 24-часового срока уведомления РКН по ч. 11.

3. Какое правовое основание у каршеринга для непрерывного сбора геолокации?

Два основания по ст. 6 ФЗ-152: согласие субъекта (п. 1 ч. 1) и исполнение договора аренды (п. 5 ч. 1). Договорного основания достаточно для сбора геолокации в целях навигации и тарификации. Для передачи геолокации третьим лицам — страховщикам, МФО, аналитическим платформам — требуется отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

4. Где должна храниться геолокация российских пользователей каршеринга?

Геолокация граждан РФ подпадает под требование локализации по ч. 5 ст. 18 ФЗ-152: первичные запись, накопление, хранение и уточнение — только в базах данных на территории России. После первичного сбора в России данные можно передавать за рубеж, если есть уведомление РКН о трансграничной передаче. Нарушение локализации — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП, при повторном — 6–18 млн ₽.

5. Как финансовому директору оценить бюджет на приведение геолокационной обработки в соответствие?

Минимальный бюджет включает: аудит обработки (100–300 тыс. ₽), подготовку ОРД — политики, согласий, договоров поручения (45–120 тыс. ₽), при необходимости — уведомление РКН о трансграничной передаче. DPO-аутсорсинг для текущего сопровождения — от 30 тыс. ₽ в месяц. Для сравнения: штраф за утечку среднего масштаба по новым нормам — 5–15 млн ₽. Инвестиции в ИБ свыше 0,1% выручки за 3 года снижают оборотный штраф по ч. 15 до 1/10 минимума по ст. 4.1 КоАП, но не менее 15 млн ₽.

Итог

Геолокация в каршеринге — один из самых высокорисковых типов данных: непрерывный сбор, множество получателей, сложная цепочка передачи. С 30.05.2025 правовая рамка ужесточилась по всем ключевым параметрам: требования к согласию, суммы штрафов, скорость уведомления об инцидентах. Финансовый директор, который не заложил бюджет на комплаенс до первой проверки, будет согласовывать его после — в условиях активного производства по ст. 13.11 КоАП.

Практика DATUM охватывает аудит геолокационной обработки, подготовку договоров поручения со страховщиками и МФО, разработку согласий в редакции ФЗ-156, а также сопровождение проверок РКН для транспортных и финтех-платформ.

Смотрите также

Есть ситуация с РКН или нужен аудит геолокационной обработки?

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Оценим соответствие цепочки передачи геолокации, подготовим согласия и договоры поручения, сопроводим проверку РКН. Ответим за 2 часа.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

3 апреля 2029 года