Перейти к содержанию
аналитика 14 января 2030 года По состоянию на 14 января 2030 года

Логистические компании и ПДн получателя

Логистическая компания — оператор персональных данных с момента получения имени, адреса и телефона получателя отправления.
Сt. 13.11 КоАП в редакции с 30.05.2025 предусматривает штраф от 3 до 15 млн ₽ за утечку данных тысяч получателей, а повторный инцидент переводит в оборотный штраф — до 500 млн ₽ или 1–3% годовой выручки.
→ Если вы юрист транспортной или курьерской компании и проверяете комплаенс — ниже разобраны ключевые нормы, типовые риски и практика 2026 года.

С 30.05.2025 у логистических компаний появилась новая точка риска: каждый ярлык с ФИО, адресом и телефоном получателя — это персональные данные под защитой 152-ФЗ, а их утечка через подрядчика-курьера или взломанную CRM квалифицируется по ч. 12–14 ст. 13.11 КоАП. Ниже — отраслевая специфика обработки ПДн в логистике, нормативная база и практические сценарии, которые юрист должен учитывать при аудите оператора.

Какие персональные данные собирают логистические компании?

Логистическая компания в ходе обычной деятельности обрабатывает несколько категорий ПДн. Данные отправителя — ФИО, телефон, адрес — поступают при оформлении отправления. Данные получателя передаются отправителем в момент создания накладной: те же ФИО, адрес доставки, контактный телефон. Помимо этого, крупные операторы собирают геолокацию курьеров, историю перемещений транспортных средств и, при курьерской доставке с подтверждением, — скан паспорта или иного документа.

Геолокационные данные водителей и курьеров, фиксируемые GPS-трекерами, формально относятся к биографическим сведениям работников, однако при передаче третьим лицам (маркетплейсу, заказчику доставки) становятся предметом отдельного правового регулирования. Их обработка требует самостоятельного основания по ст. 6 ФЗ-152.

«Ст. 3 ФЗ-152 относит к персональным данным любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Адрес доставки в связке с ФИО и номером телефона — классический идентификатор, достаточный для идентификации субъекта.»

Отдельный вопрос — данные несовершеннолетних получателей. Если получатель — ребёнок, обработка его ПДн требует согласия законного представителя. На практике это требование в логистике почти не соблюдается: накладная заполняется отправителем, и оператор не верифицирует возраст получателя.

Кто является оператором: перевозчик, маркетплейс или агрегатор?

Вопрос о распределении ролей оператора и обработчика — центральный в логистическом комплаенсе. Маркетплейс собирает ПДн покупателя при оформлении заказа и передаёт их логистическому партнёру для доставки. Формально маркетплейс действует как оператор, а курьерская служба — как лицо, осуществляющее обработку по его поручению (ч. 3 ст. 6 ФЗ-152).

На практике крупные логистические операторы — СДЭК, Boxberry, Почта России — сами собирают ПДн при приёме отправлений в розницу, то есть действуют как самостоятельные операторы. Они обязаны уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152), опубликовать политику обработки и назначить ответственного по ст. 22.1 ФЗ-152.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Такой договор должен содержать перечень действий с ПДн, цели обработки и обязанность обеспечить конфиденциальность.»

Если транспортная компания обрабатывает ПДн без договора поручения или сверх его условий, она автоматически становится самостоятельным оператором — со всеми вытекающими обязанностями и рисками по ст. 13.11 КоАП.

Нужен аудит обработки ПДн в логистике?

Юрист транспортной компании часто сталкивается с ситуацией, когда роли оператора и обработчика не разграничены в договорах с маркетплейсами и агрегаторами. Это создаёт риски по ч. 1 и ч. 2 ст. 13.11 КоАП — от 150 тыс. до 700 тыс. ₽ за каждое нарушение. Аудит соответствия 152-ФЗ позволяет выявить пробелы до проверки РКН, а не после.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как правильно оформить согласие получателя на обработку ПДн?

Основная сложность логистики — получатель не является стороной договора между отправителем и перевозчиком. Его ПДн передаются оператору третьим лицом (отправителем) без его прямого участия. Правовым основанием для такой обработки служит не согласие получателя, а исполнение договора перевозки, в котором отправитель указывает получателя как существенное условие (п. 5 ч. 1 ст. 6 ФЗ-152).

Согласие получателя потребуется только в случаях, выходящих за рамки непосредственной доставки: направление рекламных рассылок, передача данных партнёрам для программ лояльности, сбор отзывов через CRM-систему. С 01.09.2025, после вступления в силу ФЗ-156, такое согласие оформляется отдельным документом — его нельзя включить в текст накладной или условия сервиса.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие на обработку ПДн с 01.09.2025 — отдельный документ. Объединение с офертой, накладной или пользовательским соглашением не допускается.»

Для SMS-уведомлений о статусе отправления отдельное согласие не требуется: такие сообщения — часть исполнения договора. Однако маркетинговые сообщения («ваш заказ доставлен — оцените курьера и получите скидку») требуют отдельного основания, и с 01.09.2025 — отдельного согласия.

Что подготовить юристу логистической компании

  • Выписку из реестра операторов ПДн на pd.rkn.gov.ru и актуальное уведомление по ст. 22 ФЗ-152 с корректными целями обработки
  • Договоры с маркетплейсами и агрегаторами с разделом о поручении обработки ПДн по ч. 3 ст. 6 ФЗ-152 (перечень действий, цели, обязанность конфиденциальности)
  • Политику обработки ПДн, опубликованную на сайте, с указанием целей, категорий ПДн и сроков хранения по ч. 2 ст. 18.1 ФЗ-152
  • Отдельные формы согласий на маркетинговые коммуникации с получателями по ст. 9 ФЗ-152 в редакции ФЗ-156
  • Регламент реагирования на утечку: процедура первичного уведомления РКН за 24 часа и отчёт за 72 часа по Приказу РКН №187

Какие риски создаёт геолокация курьеров и данные о маршрутах?

GPS-трекинг курьеров и водителей — распространённая практика в логистике. Работодатель вправе вести такой мониторинг в рабочее время на основании трудового договора и локальных актов. Однако автоматически это не означает право передавать геолокацию третьим лицам — заказчикам доставки, агрегаторам, маркетплейсам — без дополнительного основания.

Передача геолокации водителя маркетплейсу для отображения в интерфейсе «где мой заказ» требует либо согласия работника (что создаёт трудовые риски), либо включения такой передачи в договор поручения как описание технических мер. На практике компании часто обходят это, передавая не координаты конкретного курьера, а позицию транспортного средства с обезличенным идентификатором.

С 01.09.2025 методы обезличивания регулируются Приказом РКН: если идентификатор транспортного средства можно сопоставить с работником через внутреннюю систему, обезличивание считается ненадлежащим. Юристу важно проверить, действительно ли применяемый метод соответствует одному из пяти утверждённых методов (введение идентификаторов, изменение состава, декомпозиция, перемешивание, обобщение).

Как применяется ст. 13.11 КоАП при утечке данных получателей?

Утечки в логистике происходят по нескольким типовым сценариям: взлом CRM-системы с базой накладных, слив данных сотрудником пункта выдачи заказов, утечка через API-интеграцию с маркетплейсом. Санкции зависят от масштаба утечки.

По ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025) утечка от 1 000 до 10 000 субъектов влечёт штраф 3–5 млн ₽. Утечка 10 000–100 000 субъектов — 5–10 млн ₽ (ч. 13). Более 100 000 субъектов — 10–15 млн ₽ (ч. 14). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 11 КоАП: неуведомление или несвоевременное уведомление РКН об инциденте — штраф для юрлица 1–3 млн ₽. Срок — 24 часа с момента обнаружения утечки (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022). Срок не восстанавливается.»

Принципиально: оператор отвечает за утечку через подрядчика. Если данные получателей утекли из системы курьерской службы, которой маркетплейс поручил обработку, маркетплейс как оператор несёт ответственность по ст. 13.11 КоАП независимо от наличия договора поручения. Это подтверждает устойчивая судебная практика по принципу ответственности оператора за действия обработчика.

Если юрист компании выявил признаки утечки данных получателей — у оператора 24 часа на первичное уведомление РКН. Срок не восстанавливается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Юристы DATUM возьмут реагирование: первичное уведомление, расследование, отчёт за 72 часа.

Заказать аудит 152-ФЗ

Типовые сценарии нарушений в логистике: как это работает на практике

Сценарий 1. Передача базы получателей субподрядчику без договора поручения. Региональный логистический оператор передаёт базу накладных (ФИО, адреса, телефоны ~50 000 получателей) последней мили субподрядчику-ИП без заключения договора поручения по ч. 3 ст. 6 ФЗ-152. Субподрядчик не обеспечивает конфиденциальность. После жалобы получателя РКН проводит внеплановую проверку. Оператор привлекается по ч. 1 ст. 13.11 (обработка без надлежащего основания, 150–300 тыс. ₽) и ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов, 5–10 млн ₽). Стратегия защиты: заключить договор поручения, провести аудит всех субподрядчиков, подать ходатайство о применении ст. 4.1.1 КоАП при первичности нарушения.

Сценарий 2. Маркетинговая рассылка без отдельного согласия. Курьерская служба направляет SMS-рассылку с акцией всем получателям из базы за последние два года — ~200 000 номеров. Согласие на маркетинговые коммуникации не было получено: в накладной была только ссылка на «условия обслуживания». После 01.09.2025 такая практика нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. Риск: ч. 2 ст. 13.11 (обработка без надлежащего согласия) — 300–700 тыс. ₽ за одно нарушение; при повторности — ч. 2.1, штраф 1–1,5 млн ₽. Стратегия защиты: внедрить форму отдельного согласия на маркетинг, очистить базу рассылки от лиц, не дававших согласие.

Сценарий 3. Трансграничная передача данных через зарубежную TMS-систему. Компания использует систему управления транспортом (TMS) с серверами в Нидерландах. Данные получателей (ФИО, адреса) хранятся за рубежом. Требование локализации по ч. 5 ст. 18 ФЗ-152 нарушено: первичная запись, систематизация и хранение ПДн граждан РФ должны вестись на серверах в России. Риск: ч. 8 ст. 13.11 КоАП — 1–6 млн ₽; при повторности — ч. 9, 6–18 млн ₽. Дополнительно: трансграничная передача в Нидерланды без уведомления РКН нарушает ст. 12 ФЗ-152. Стратегия: перевести первичное хранение в российский контур, TMS использовать только как вторичный инструмент с данными, хранящимися локально.

Частые вопросы

1. Кто является оператором ПДн — ТСЖ или управляющая компания?

В логистическом контексте этот вопрос возникает при доставке по адресам с закрытым въездом. ТСЖ и управляющая компания, обрабатывающие ПДн собственников и жильцов для доступа на территорию, каждая является самостоятельным оператором по ст. 3 ФЗ-152. Передача данных жильцов курьерской службе (ФИО, код домофона) требует правового основания — договора с жильцом или его согласия. Без такого основания передача нарушает ч. 1 ст. 13.11 КоАП.

2. Освобождены ли СМИ от обязанности уведомлять РКН об обработке ПДн?

Частичное освобождение есть: п. 7 ч. 2 ст. 22 ФЗ-152 освобождает от уведомления в случаях, когда ПДн обрабатываются в соответствии с законодательством о СМИ — то есть в целях журналистской деятельности. Однако если СМИ собирает ПДн подписчиков, рекламодателей или сотрудников — это обычная обработка, и уведомление обязательно. Логистические компании, доставляющие периодику, при обработке ПДн подписчиков уведомление подавать должны.

3. Как оператор связи обязан передавать данные абонентов по запросу ФСБ?

Операторы связи обязаны обеспечивать техническую возможность оперативно-розыскных мероприятий по Федеральному закону об ОРД и Федеральному закону о связи. Передача данных абонентов осуществляется без уведомления субъекта и без его согласия — это законное основание по п. 3 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, предусмотренной федеральным законом). Для логистических компаний, использующих корпоративные SIM-карты, этот механизм применяется к их операторам связи, а не к ним напрямую.

4. Какие данные собирает каршеринг и какие риски это создаёт?

Каршеринговые сервисы собирают паспортные данные, данные водительского удостоверения, геолокацию в реальном времени, историю поездок и биометрию (фото лица для верификации). Это пересечение специальных категорий (документы) и биометрических ПДн. Обработка биометрии без письменного согласия нарушает ст. 11 ФЗ-152 и влечёт штраф по ч. 16 ст. 13.11 КоАП. Геолокация водителя вне рабочего времени — дополнительный риск при споре с субъектом. Аудит каршеринга требует отдельной проверки всех 18 частей ст. 13.11.

5. Что нужно хранить о собственниках помещений в реестре ПДн?

Для логистики это актуально при доставке юридическим лицам: нередко запрашиваются ПДн уполномоченного представителя или собственника для оформления доверенности. Минимально достаточный состав — ФИО, должность, контактный телефон, основание полномочий. Хранение копий паспортов без прямого законодательного основания создаёт риски по ч. 1 ст. 13.11 КоАП (обработка в объёме, превышающем цели). Срок хранения — не дольше необходимого для исполнения договора (принцип ст. 5 ФЗ-152).

Итог

Логистические компании обрабатывают ПДн получателей в рамках законного основания — исполнения договора, однако ответственность за надлежащее оформление передачи данных субподрядчикам, соблюдение требований локализации и разграничение маркетинговых рассылок лежит на операторе. Штрафы с 30.05.2025 выросли кратно: утечка базы из 100 000 получателей — минимум 10 млн ₽, повторная — оборотный штраф без верхнего предела ниже 20 млн ₽.

Практика DATUM включает аудит логистических операторов, разграничение ролей оператора и обработчика в договорах с маркетплейсами, подготовку ОРД с учётом требований ФЗ-156 и сопровождение при проверках РКН.

Услуги DATUM по теме

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

14 января 2030 года