Мобильное приложение интернет-магазина: ПДн
Мобильные приложения интернет-магазинов к 2026 году стали основным каналом продаж: по данным отраслевых исследований, более 60% заказов в российском e-commerce проходят через iOS и Android. Вместе с объёмом сделок растёт объём собираемых персональных данных — и объём ответственности. Шесть шагов ниже охватывают полный цикл: от классификации данных до реагирования на запрос субъекта.
Шаг 1. Определите, какие ПДн собирает приложение
Прежде чем готовить документы, составьте реестр обрабатываемых данных. Типичный набор для приложения интернет-магазина делится на четыре группы.
Идентификационные: имя, email, номер телефона, дата рождения — регистрация и профиль. Транзакционные: история заказов, адреса доставки, данные платёжного инструмента (последние четыре цифры карты, тип). Поведенческие: история просмотров, добавления в корзину, клики — как правило, собираются SDK аналитики. Технические идентификаторы: Advertising ID (GAID/IDFA), push-токен, IP-адрес, cookies и аналогичные трекеры.
Особое внимание — cookies. РКН с 2023 года квалифицирует файлы cookies как персональные данные при условии их привязки к конкретному устройству и пользователю. Использование cookies без баннера согласия образует состав по ч. 6 ст. 13.11 КоАП (штраф 50 000–100 000 ₽ за ненадлежащее хранение). Если маркетолог запускает ретаргетинг через сторонние пиксели — это отдельная передача ПДн третьему лицу, требующая правового основания.
Что подготовить на этапе инвентаризации
- Карта потоков данных: источник сбора — SDK/API — хранилище — получатели
- Перечень сторонних SDK с указанием страны регистрации вендора
- Категории ПДн по ст. 10 и ст. 11 ФЗ-152 (общие / специальные / биометрические)
- Правовое основание для каждой категории обработки по ст. 6 ФЗ-152
- Срок хранения каждой категории и порядок уничтожения
Шаг 2. Проверьте уведомление в реестре РКН
Оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки — ст. 22 ФЗ-152. Если приложение запущено без уведомления или уведомление устарело (не отражает новые категории данных или новых получателей), возникает состав по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽.
Проверить актуальность уведомления можно через реестр на pd.rkn.gov.ru. Сверьте следующее: указаны ли все категории ПДн, все правовые основания, все страны трансграничной передачи, корректно ли назначен ответственный за обработку по ст. 22.1 ФЗ-152. Если приложение появилось после последнего уведомления — подайте уведомление об изменении сведений по форме Приказа РКН №180.
Как оформить cookies в мобильном приложении: баннер и согласие
В мобильном приложении баннер cookies реализуется иначе, чем на сайте: всплывающий экран при первом запуске с явным описанием типов трекеров и кнопками «Принять» / «Настроить» / «Отклонить». Принятие по умолчанию (pre-checked) не образует согласия по ст. 9 ФЗ-152 — оно должно быть свободным, конкретным и информированным.
Cookies в приложении уже работают, а баннера нет?
Если аналитические или рекламные SDK инициализируются до получения согласия пользователя — каждая сессия формирует нарушение. С 30.05.2025 штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия — от 300 000 до 700 000 ₽. Юристы DATUM проведут аудит SDK-стека и подготовят техническое задание на корректный сценарий первого запуска.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Согласие на cookies для аналитических целей (например, Firebase Analytics) должно быть отдельным от согласия на маркетинговые рассылки. С 01.09.2025 (ФЗ-156) согласие на обработку ПДн оформляется отдельным документом — его нельзя встроить в пользовательское соглашение или политику конфиденциальности. Для приложения это означает: экран согласия должен быть самостоятельным, с перечнем ПДн, целями и сроком.
Технически: инициализация аналитических SDK должна происходить после подтверждения согласия. До получения согласия допустимы только технически необходимые cookies (авторизация, корзина). Логи согласий сохраняйте: при проверке РКН журнал подтвердит факт получения.
Шаг 4. Урегулируйте трансграничную передачу через GA4 и Firebase
Google Analytics 4 и Firebase Analytics передают данные на серверы Google LLC (США). США не входят в перечень стран с адекватным уровнем защиты ПДн по актуальному приказу РКН. Это означает: до начала передачи необходимо уведомить РКН по ст. 12 ФЗ-152.
Уведомление подаётся через pd.rkn.gov.ru с указанием страны получателя, наименования получателя, цели передачи и мер защиты (как правило, стандартные договорные условия — Standard Contractual Clauses или собственный DPA с Google). Если уведомление не подавалось — передача данных через GA4 незаконна с момента первого сеанса.
Альтернатива: перейти на российский аналог (Яндекс.Метрика, AppMetrica) или настроить GA4 в режиме server-side с обезличиванием до передачи. Второй вариант требует валидации: переданные данные должны быть обезличены по методам Приказа РКН о методах обезличивания (введение идентификаторов, обобщение и др.) до отправки на сервер Google. Простое удаление IP не считается достаточным обезличиванием по позиции РКН.
Те же правила применяются к Adjust, AppsFlyer, Amplitude, Braze и другим зарубежным SDK, обрабатывающим ПДн пользователей за рубежом.
Если маркетолог использует GA4, Firebase или зарубежные атрибуционные SDK — передача данных уже идёт. Уведомление РКН о трансграничной передаче подаётся до начала обработки: срок упущен, но подача сейчас снижает риск штрафа по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽) при проверке.
Заказать аудит 152-ФЗШаг 5. Разграничьте роли: маркетплейс, продавец и программа лояльности
В маркетплейсной модели вопрос о том, кто является оператором ПДн покупателя, принципиален для распределения ответственности. Три типичные ситуации.
Продавец на маркетплейсе (Wildberries, Ozon, Яндекс.Маркет): покупатель заключает договор с маркетплейсом, оператором по общему правилу выступает маркетплейс. Продавец получает только данные, необходимые для исполнения заказа (адрес, телефон для курьера), и действует как лицо, осуществляющее обработку по поручению оператора по ст. 6 ч. 3 ФЗ-152. Собственный сбор ПДн покупателей маркетплейса для собственной рассылки — отдельная обработка, требующая самостоятельного согласия.
Собственное приложение с витриной: владелец приложения — самостоятельный оператор. Вся цепочка — уведомление, политика, согласие, реестр субъектов — на нём.
Программа лояльности: если бонусная карта или кэшбек-механика интегрирована через стороннего провайдера (например, процессинговую платформу), провайдер является обработчиком по поручению. Договор поручения обработки (ст. 6 ч. 3 ФЗ-152) обязателен; ответственность за утечку у провайдера несёт оператор — владелец магазина. Это подтверждается общим принципом судебной практики: оператор отвечает за действия подрядчика.
Шаг 6. Обработайте права субъектов: запросы, рассылки, отзыв согласия
Пользователь мобильного приложения вправе в любой момент: запросить сведения об обработке своих ПДн (ст. 14 ФЗ-152), потребовать исправления недостоверных данных, потребовать уничтожения данных при достижении целей обработки, отозвать согласие на рассылку.
Срок ответа на запрос субъекта — 10 рабочих дней с момента обращения (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. В приложении необходимо реализовать механизм подачи запроса: раздел «Настройки конфиденциальности» с кнопкой «Запросить данные / удалить аккаунт». Невыполнение запроса субъекта в срок — штраф по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽).
Email-рассылки: подписка оформляется отдельным согласием с указанием типа сообщений (транзакционные, маркетинговые, персональные предложения). Отзыв подписки должен быть реализован в одно действие — ссылка «Отписаться» в каждом письме и кнопка в приложении. Хранение email в базе рассылки после отзыва согласия — нарушение принципа ограничения хранения (ст. 5 ФЗ-152). Push-уведомления: согласие запрашивается системным диалогом iOS/Android, но маркетинговые push требуют отдельного согласия по ст. 9 ФЗ-152, если содержат персонализированный контент.
Типовые ситуации: что происходит без надлежащей документации
Ситуация 1. Маркетолог запускает приложение с Firebase Analytics без баннера. SDK инициализируется при первом запуске, данные уходят на серверы Google в США. Отсутствует: баннер согласия, уведомление РКН о трансграничной передаче, договор DPA с Google. При проверке РКН фиксирует одновременно нарушение ч. 2 ст. 13.11 (обработка без согласия, до 700 000 ₽) и ч. 10 ст. 13.11 (неуведомление о трансгранике, до 300 000 ₽). Стратегия: немедленно инициализировать SDK только после согласия пользователя, подать уведомление о трансграничной передаче, получить или обновить DPA с вендором.
Ситуация 2. Продавец на маркетплейсе запускает собственную рассылку по базе, сформированной из данных маркетплейса. Покупатели давали согласие маркетплейсу, не продавцу. Самостоятельное использование этих данных для рассылки — обработка без правового основания по ст. 6 ФЗ-152 и без согласия по ст. 9. Вероятный исход: жалоба покупателя → проверка РКН → штраф по ч. 1 ст. 13.11 (150 000–300 000 ₽) + предписание об уничтожении базы. Стратегия: собирать собственную базу через форму подписки в приложении с отдельным согласием.
Ситуация 3. Пользователь через форму в приложении запрашивает удаление аккаунта; запрос игнорируется 20 рабочих дней. Нарушение ч. 5 ст. 13.11 КоАП — невыполнение требования субъекта об уничтожении данных в установленный срок (50 000–90 000 ₽). При повторности — ч. 5.1 (300 000–500 000 ₽). Стратегия: настроить автоматическую очередь обработки запросов субъектов с SLA 5 рабочих дней и уведомлением о получении.
Как это применяется на практике
Кейс 1. Интернет-магазин одежды (Приволжский ФО, лето 2025) получил предписание РКН по итогам мониторинга: аналитический SDK в iOS-приложении передавал Advertising ID и историю событий в США без уведомления о трансграничной передаче. Компания устранила нарушение за 30 дней — подала уведомление, перевела инициализацию SDK за барьер согласия, обновила политику конфиденциальности. Протокол по ч. 10 ст. 13.11 был составлен, однако суд учёл оперативность устранения и применил нижнюю границу санкции. Штраф составил сотни тысяч рублей против возможного максимума в 300 000 ₽ по данной части.
Кейс 2. Маркетолог федеральной сети бытовой техники (Центральный ФО, осень 2025) обнаружил, что форма подписки на push-уведомления в Android-приложении не содержала отдельного согласия на маркетинговые сообщения — только системный диалог ОС. После аудита юристы DATUM подготовили экран согласия с разделением на транзакционные и маркетинговые push, обновили пакет ОРД и уведомление в реестре РКН. Потенциальный штраф по ч. 2 ст. 13.11 до 700 000 ₽ был исключён до возбуждения дела.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка SDK-стека, политики, согласий и уведомлений в реестре
- Комплект ОРД под ключ — политика, согласия, договоры поручения для маркетплейсов и провайдеров
- Защита при штрафе в арбитраже — обжалование протокола по ст. 13.11 КоАП, применение ст. 4.1.1
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции РКН — да, если cookies позволяют идентифицировать конкретное физическое лицо (в совокупности с другими идентификаторами: Advertising ID, IP, профилем аккаунта). Аналитические и рекламные cookies в мобильных приложениях, привязанные к устройству и пользователю, квалифицируются как ПДн. Это означает: их обработка требует правового основания по ст. 6 ФЗ-152, как правило — согласия по ст. 9.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 не запрещено прямым нормативным актом. Однако передача данных на серверы Google в США является трансграничной передачей по ст. 12 ФЗ-152, требующей уведомления РКН до начала передачи. Дополнительно нужен договор DPA с Google и баннер согласия с описанием передачи. При выполнении этих условий использование GA4 правомерно.
3. Кто оператор: маркетплейс или продавец?
Зависит от модели взаимодействия. Если покупатель заключает договор с маркетплейсом — оператором является маркетплейс, продавец получает данные в рамках поручения обработки по ст. 6 ч. 3 ФЗ-152. Если продавец ведёт собственное приложение и самостоятельно собирает ПДн покупателей — он оператор в полном смысле ст. 3 ФЗ-152 со всеми вытекающими обязанностями.
4. Что грозит за отсутствие баннера cookies?
Прямого состава за отсутствие именно «баннера» в КоАП нет. Реальный риск — в том, что без баннера отсутствует согласие пользователя на обработку cookies как ПДн. Это образует состав по ч. 2 ст. 13.11 КоАП (обработка без согласия) — штраф от 300 000 до 700 000 ₽ для юридического лица в редакции с 30.05.2025. При повторности — до 1 500 000 ₽ по ч. 2.1.
5. Как оформить отзыв подписки на рассылку?
Отзыв согласия на маркетинговую рассылку должен быть реализован без дополнительных условий: ссылка «Отписаться» в каждом письме и кнопка в разделе настроек приложения. После отзыва — прекращение рассылки и удаление из базы (ст. 9 ч. 5 ФЗ-152). Хранить email в маркетинговом списке после отзыва нельзя. Журнал отзывов сохраняйте для подтверждения при проверке РКН.
Итог
Мобильное приложение интернет-магазина создаёт как минимум шесть точек регуляторного риска: инвентаризация ПДн, уведомление РКН, согласие на cookies, трансграничная передача через зарубежные SDK, разграничение ролей с маркетплейсом и выполнение прав субъектов. Каждая точка имеет конкретную норму и конкретный состав нарушения в ст. 13.11 КоАП.
Юристы DATUM сопровождают e-commerce-проекты по 152-ФЗ с 2014 года: аудит SDK-стека, подготовка ОРД для мобильных приложений, уведомления о трансграничной передаче, защита в арбитраже по ст. 13.11 КоАП.
10 января 2029 года