аналитика 17 апреля 2027 По состоянию на 17 апреля 2027

Каршеринг и ПДн арендатора

Каршеринговый оператор обрабатывает имя, паспорт, водительское удостоверение, геолокацию и биометрическое изображение арендатора — одновременно несколько категорий персональных данных, регулируемых разными нормами ФЗ-152.

С 30.05.2025 утечка данных от 10 000 субъектов влечёт штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП, а при повторности — оборотный штраф до 500 млн ₽ по ч. 15 той же статьи.

Если вы юрист каршерингового сервиса или сопровождаете платформу совместного использования автомобилей — этот материал даёт карту рисков и нормативную основу для оценки соответствия.

Каршеринговые платформы работают в пересечении нескольких правовых режимов: ФЗ-152 об обработке персональных данных, транспортное законодательство, требования к идентификации водителя. Такое пересечение порождает нетривиальные вопросы: что именно является персональными данными в контексте аренды автомобиля, когда нужно отдельное согласие, как обращаться с геолокацией и записями видеорегистратора. Ниже — структурированный разбор по каждой категории данных с привязкой к конкретным нормам.

Какие персональные данные собирает каршеринговый оператор?

Каршеринговая платформа при регистрации и в ходе использования сервиса формирует несколько пулов данных с разным правовым статусом.

Идентификационные данные — ФИО, дата рождения, серия и номер паспорта, серия и номер водительского удостоверения, ИНН. Эти данные необходимы для верификации личности водителя и заключения договора аренды. Правовое основание обработки — п. 5 ч. 1 ст. 6 ФЗ-152: обработка в целях исполнения договора.

Контактные данные — номер телефона, адрес электронной почты. Обрабатываются как в рамках договора, так и для маркетинговых коммуникаций. Последнее требует отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на рекламные рассылки не может быть частью договора или политики конфиденциальности — только отдельный документ.

Платёжные данные — номер банковской карты (токенизированный), история транзакций. Хранение карточных данных в полном виде регулируется стандартом PCI DSS; в реестр ПДн по ФЗ-152 попадает история платежей и связь транзакций с конкретным субъектом.

Геолокационные данные — координаты начала и окончания аренды, трек передвижения в режиме реального времени. По позиции Роскомнадзора, геолокация является персональными данными, если позволяет идентифицировать конкретного человека, что в контексте каршеринга выполняется всегда: трек привязан к аккаунту арендатора.

«Ст. 5 ФЗ-152 — принцип ограничения целей: данные, собранные для исполнения договора аренды, не могут без дополнительного согласия использоваться для построения профиля поведения или передаваться третьим лицам в маркетинговых целях.»

Фотоизображение водителя при удалённой верификации через приложение — биометрические персональные данные по ст. 11 ФЗ-152. Обработка биометрии допустима только с письменного согласия субъекта (п. 1 ч. 2 ст. 11 ФЗ-152), за исключением случаев, прямо установленных законом. Согласие на обработку биометрии не может быть встроено в пользовательское соглашение — оно должно быть оформлено как отдельный документ.

Данные о нарушениях и инцидентах — штрафные баллы, история ДТП, отказы в аренде по результатам проверки. Если эти данные связаны со сведениями о судимости или административных правонарушениях, они могут квалифицироваться как специальные категории по ст. 10 ФЗ-152, обработка которых по общему правилу запрещена.

Нужна правовая карта рисков для каршерингового сервиса?

Если вы юрист платформы и перечисленные категории данных обрабатываются без чёткого разграничения правовых оснований — аудит покажет, какие процессы создают риск штрафа. До 01.09.2025 у большинства платформ были смешанные согласия; после этой даты каждое такое согласие создаёт основание для протокола по ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽).

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как каршеринг соотносится с требованиями о локализации и трансграничной передаче?

Большинство крупных каршеринговых платформ используют облачные сервисы иностранного происхождения для хранения данных, аналитики и push-уведомлений. Это создаёт два самостоятельных блока рисков.

Локализация данных граждан РФ. По ч. 5 ст. 18 ФЗ-152 первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан России должны производиться в базах данных на территории РФ. Это требование действует с 01.09.2015 и было ужесточено поправками, вступившими в силу с 01.07.2025. Нарушение локализации — штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽, при повторности — от 6 до 18 млн ₽ по ч. 9.

Если данные арендаторов хранятся в AWS, Google Cloud или Azure без зеркалирования в российский ЦОД, это прямое нарушение ч. 5 ст. 18 ФЗ-152. Практика Роскомнадзора показывает, что обнаружение такого нарушения при проверке ведёт к протоколу немедленно.

«Ч. 8 ст. 13.11 КоАП — неисполнение обязанности по локализации ПДн граждан РФ влечёт для юридического лица штраф от 1 000 000 до 6 000 000 ₽; при повторности — от 6 000 000 до 18 000 000 ₽ (ч. 9).»

Трансграничная передача. Если данные передаются иностранному подрядчику (аналитика, CRM, поддержка), это трансграничная передача по ст. 12 ФЗ-152. Передача в страну без адекватной защиты требует предварительного уведомления РКН. Перечень стран с адекватной защитой утверждается приказом РКН; прежде чем начинать передачу, нужно проверить статус конкретной юрисдикции.

Распространённая ошибка — считать, что использование стандартных договорных условий (SCC/SCCs) автоматически закрывает вопрос трансграничной передачи по российскому праву. ФЗ-152 не признаёт SCC самодостаточным механизмом: уведомление РКН обязательно вне зависимости от формы договора с иностранным обработчиком.

Геолокация и видеозапись: где граница между мониторингом и нарушением прав субъекта?

Геолокация арендатора собирается непрерывно в течение аренды. С точки зрения ФЗ-152 это обработка ПДн в режиме реального времени, допустимая в пределах срока действия договора. После завершения аренды хранение трека не является необходимым для исполнения договора — его дальнейшее хранение должно быть обосновано отдельной целью или согласием.

Принцип минимизации данных по ст. 5 ФЗ-152 требует, чтобы оператор хранил не больше данных, чем нужно для достижения заявленной цели. Хранение полных геотреков за три года без конкретной цели — нарушение этого принципа. На практике достаточно хранить точки начала и окончания аренды плюс агрегированные метрики (пробег, время) для тарификации и урегулирования споров.

Видеозапись с видеорегистратора, установленного в арендованном автомобиле, фиксирует изображение водителя и пассажиров — это биометрические данные по ст. 11 ФЗ-152, если запись используется для идентификации. Для целей фиксации нарушений ПДД или разрешения страховых споров обработка допустима без согласия на основании защиты законных интересов (п. 7 ч. 1 ст. 6 ФЗ-152), но только при условии, что цель обработки прямо указана в договоре и политике.

Что подготовить юристу каршеринговой платформы

Актуализированное уведомление в реестре операторов РКН с указанием всех категорий обрабатываемых данных, включая геолокацию и биометрию
Отдельные согласия на обработку биометрии (фото при верификации) и на маркетинговые коммуникации — в редакции с учётом ФЗ-156 от 24.06.2025
Договор-поручение с каждым подрядчиком, получающим доступ к ПДн арендаторов (агрегаторы, страховщики, техподдержка)
Документация по локализации: подтверждение, что первичные базы данных находятся в российском ЦОД
Политика хранения и уничтожения ПДн с конкретными сроками по каждой категории данных

Типовые ситуации: как работает ответственность на практике

Три сценария, характерных для юридических команд каршеринговых платформ.

Сценарий 1. Подрядчик по верификации допустил утечку. Платформа передала фотоизображения водителей сторонней компании для машинного распознавания. Подрядчик не обеспечил необходимый уровень защиты, данные попали в открытый доступ. По позиции, сложившейся в практике ВС РФ, оператор несёт ответственность за действия обработчика, которому поручил обработку ПДн. Если договор-поручение не был заключён или не содержал требований к безопасности, это отягчает позицию оператора. Биометрические данные при утечке — ч. 17 ст. 13.11 КоАП: штраф для юрлица 15–20 млн ₽. При повторности — оборотный штраф по ч. 18: 1–3% годовой выручки, но не менее установленного минимума.

Сценарий 2. Маркетинговое партнёрство без надлежащего согласия. Платформа передала агрегированные профили арендаторов (геотреки + категории поездок) рекламному партнёру для таргетинга. Согласие, полученное при регистрации, не содержало указания на цель передачи третьим лицам в рекламных целях. Это нарушение ст. 5 ФЗ-152 (несовместимость целей) и ст. 10.1 (распространение без отдельного согласия), а также ч. 1 ст. 13.11 КоАП: штраф 150–300 тыс. ₽. При повторности — ч. 1.1: до 500 тыс. ₽. Дополнительный риск — жалобы арендаторов в РКН, что запускает внеплановую проверку.

Сценарий 3. Запрос правоохранителей на данные геолокации. Следственный орган направил запрос на предоставление данных о передвижении конкретного арендатора. Каршеринговая платформа вправе передать данные без согласия субъекта на основании п. 3 ч. 1 ст. 6 ФЗ-152 (обработка в целях судопроизводства). Однако передача должна оформляться на основании надлежащего процессуального документа (постановление, судебное решение), а факт передачи — фиксироваться в журнале обращений. Бесконтрольная передача данных по устным запросам создаёт риски как для платформы, так и для субъекта.

Если вы юрист платформы и один из перечисленных сценариев уже реализовался или близок к этому — нужна оценка ситуации до того, как РКН возбудит дело. Сроки на устранение нарушений по предписанию РКН — короткие, а позиция формируется в первые часы после обнаружения.

Заказать аудит 152-ФЗ

Каршеринг и смежные отраслевые режимы: где пересекаются нормы?

Каршеринговая платформа нередко совмещает роль оператора ПДн с ролью оператора связи (если предоставляет телематику через собственную SIM-карту в автомобиле) или обрабатывает данные пассажиров — не только арендатора, но и лиц, находившихся в автомобиле, зафиксированных видеорегистратором.

Данные пассажиров. Если видеорегистратор фиксирует пассажиров, платформа становится оператором их персональных данных без их ведома. Это требует специального обоснования — как правило, ссылки на законный интерес или безопасность (п. 7 ч. 1 ст. 6 ФЗ-152) с соответствующим уведомлением в политике.

Телематика и оператор связи. Если платформа использует собственную телематическую систему с SIM-картой в транспортном средстве, к ней могут применяться требования законодательства об оперативно-розыскной деятельности в части предоставления данных ФСБ. Это отдельный правовой режим, не заменяющий требования ФЗ-152, но добавляющий обязательства по хранению и предоставлению трафика.

ГИС и государственные реестры. Ряд регионов обязывает каршеринговые платформы передавать сведения об использовании транспортных средств в региональные информационные системы. Такая передача должна быть оформлена как поручение обработки или как самостоятельное основание по ст. 6 ФЗ-152 с фиксацией в уведомлении РКН.

«Ст. 13 ФЗ-152 — обработка ПДн в государственных или муниципальных информационных системах осуществляется в соответствии с требованиями, установленными операторами этих систем. Передача данных в такие системы должна иметь правовое основание по ст. 6 ФЗ-152.»

Частые вопросы

1. Какие данные собирает каршеринг и все ли они являются персональными данными?

Каршеринговая платформа собирает паспортные данные, данные водительского удостоверения, контакты, платёжные реквизиты, геолокацию и фотоизображение при верификации. Все перечисленные категории являются персональными данными по ст. 3 ФЗ-152, поскольку позволяют прямо или косвенно идентифицировать физическое лицо. Геолокация в связке с аккаунтом также квалифицируется как ПДн по позиции Роскомнадзора. Фотоизображение при верификации — биометрические ПДн по ст. 11 ФЗ-152.

2. Нужно ли отдельное согласие на обработку геолокации в ходе аренды?

Обработка геолокации в период действия договора аренды допустима без отдельного согласия — на основании п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Однако хранение треков после завершения аренды или их использование в аналитических и маркетинговых целях требует самостоятельного правового основания. Цель хранения и срок должны быть указаны в политике обработки персональных данных.

3. Как оформить обработку биометрии при верификации через приложение?

Фотоизображение, используемое для идентификации водителя, — биометрические ПДн по ст. 11 ФЗ-152. Обработка допустима только при наличии письменного согласия субъекта, оформленного отдельным документом. Согласие должно содержать перечень действий с биометрией, цель обработки и срок. Встраивать это согласие в пользовательское соглашение нельзя — это нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025.

4. Что делать, если подрядчик, которому передали данные арендаторов, допустил утечку?

Оператор отвечает за действия обработчика, которому поручил обработку ПДн. При утечке необходимо: уведомить РКН в течение 24 часов с момента обнаружения по ч. 3.1 ст. 21 ФЗ-152, через 72 часа — направить отчёт о результатах расследования по Приказу РКН №187. Наличие договора-поручения с требованиями к безопасности смягчает ответственность, но не исключает её. Штраф за утечку от 10 000 субъектов — от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП.

5. Нужно ли каршерингу уведомлять РКН о трансграничной передаче данных?

Да, если данные арендаторов передаются иностранному подрядчику — в аналитику, CRM или облачное хранилище в юрисдикции, не признанной адекватной РКН. По ст. 12 ФЗ-152 до начала такой передачи необходимо уведомить РКН. Использование стандартных договорных условий (SCC) не заменяет уведомление по российскому праву. Нарушение требований трансграничной передачи может квалифицироваться по ч. 1 ст. 13.11 КоАП.

Итог

Каршеринговые платформы обрабатывают не менее пяти категорий персональных данных с разными правовыми режимами: от общих (контакты, идентификаторы) до биометрических (фото при верификации) и потенциально специальных (сведения о нарушениях). Каждая категория требует отдельного правового основания, прописанного в политике и зафиксированного в уведомлении РКН.

Юридическая команда платформы должна обеспечить соответствие по трём ключевым точкам: согласия — в редакции ФЗ-156 с 01.09.2025, локализация — с учётом ужесточений с 01.07.2025, трансграничная передача — с уведомлением РКН до начала. Практика DATUM включает аудит каршеринговых платформ и формирование пакета ОРД под конкретную операционную модель.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех категорий данных и правовых оснований
Комплект ОРД под ключ — политика, согласия, договоры-поручения, регламенты
DPO-аутсорсинг — ответственный за обработку по ст. 22.1 ФЗ-152

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

17 апреля 2027 года