Перейти к содержанию
инструкция 24 января 2027 По состоянию на 24 января 2027

Политика обработки геолокации

Геолокация — персональные данные, требующие отдельной политики обработки по ст. 18.1 ФЗ-152 и уведомления в реестр РКН по ст. 22.
С 30.05.2025 нарушение порядка обработки ПДн грозит штрафом от 150 000 до 700 000 ₽ по ч. 1–2 ст. 13.11 КоАП в редакции ФЗ-420; повторное нарушение — до 1 500 000 ₽.
→ Если вы юрист компании, обрабатывающей геолокацию пользователей или курьеров — проверьте пять ключевых шагов ниже.

Геолокационные данные — координаты, маршруты, история перемещений — позволяют идентифицировать конкретного человека или отследить его поведение. По позиции Роскомнадзора они относятся к персональным данным в смысле ст. 3 ФЗ-152 и требуют полного комплекса ОРД: политики обработки, согласий, уведомления в реестр. С 01.09.2025 действует ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом. Ниже — инструкция для юриста по пяти шагам, которые закрывают риски проверки РКН.

Шаг 1. Определите правовое основание обработки геолокации

Геолокационные данные относятся к общим персональным данным по ст. 3 ФЗ-152. Обрабатывать их без правового основания по ст. 6 ФЗ-152 нельзя. На практике встречаются три основания: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора с субъектом (п. 5 ч. 1 ст. 6) и законный интерес оператора — последнее в российском праве применяется ограниченно и без прямой нормы в ФЗ-152 несёт правовой риск.

Если приложение или сервис собирает координаты для навигации, доставки или таргетинга — основанием служит согласие. Если геолокация нужна для исполнения договора с пользователем (например, агрегатор такси) — достаточно п. 5 ч. 1 ст. 6, однако согласие всё равно потребуется при обработке данных за рамками договора: история поездок для маркетинга, передача третьим лицам.

«Ст. 6 ФЗ-152 устанавливает одиннадцать оснований для обработки ПДн. Использование основания "согласие" при сборе геолокации — наиболее распространённый и безопасный выбор для интернет-сервисов и мобильных приложений.»

Зафиксируйте выбранное основание в политике обработки и в уведомлении РКН по форме Приказа РКН №180 от 28.10.2022. Несоответствие реальной обработки заявленному основанию — прямое нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

Шаг 2. Составьте политику обработки персональных данных с разделом о геолокации

Политика конфиденциальности — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Для геолокации в ней должны быть: цели сбора координат, перечень собираемых данных (широта, долгота, точность, временная метка), правовое основание, срок хранения, порядок передачи третьим лицам и технические меры защиты.

Недостаточно упомянуть геолокацию в общем перечне данных. Роскомнадзор при проверке проверяет соответствие фактической обработки тексту политики. Если приложение собирает историю перемещений, а политика указывает только «текущее местоположение для навигации» — это расхождение цели, нарушение ст. 5 ФЗ-152 и основание для протокола.

«Ст. 18.1 ч. 2 ФЗ-152 обязывает оператора публиковать документ, определяющий политику в отношении обработки ПДн, и обеспечивать к нему неограниченный доступ. Отсутствие политики или её недостаточное содержание — ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.»

Структура раздела о геолокации в политике: (1) что собирается и в каком формате, (2) цели с привязкой к конкретным функциям сервиса, (3) срок хранения с обоснованием, (4) передача третьим лицам — аналитика, рекламные SDK, картографические сервисы, (5) порядок отзыва согласия и удаления данных, (6) технические меры: шифрование при передаче, ограничение доступа.

Политика уже есть, но геолокация в ней не выделена отдельным разделом?

Юрист компании, который обнаружил расхождение политики и реальной обработки, работает в условиях правовой неопределённости. Следующая проверка РКН или жалоба субъекта превратит это расхождение в протокол. До 30.05.2025 суммы были символическими. Сегодня — до 700 000 ₽ за первичное нарушение по ч. 2 ст. 13.11 КоАП.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как составить согласие на обработку геолокации после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн обязано быть отдельным документом — его нельзя встраивать в текст договора, оферты или политики конфиденциальности (ФЗ-156 от 24.06.2025, поправки в ст. 9 ФЗ-152). Для геолокации это означает: отдельный чекбокс или отдельный экран приложения с явным акцептом, не связанным с принятием условий использования.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО или иной идентификатор субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн (в нашем случае — координаты, точность, время фиксации, идентификатор устройства), перечень действий с данными, срок действия согласия, способ отзыва. Согласие на обработку геолокации в фоновом режиме — отдельное от согласия на обработку в активном режиме приложения.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие субъекта ПДн оформляется отдельным документом, не объединяется с иными соглашениями. Ранее полученные согласия переоформлять не требуется — обратной силы у поправки нет.»

Если пользователь дал согласие до 01.09.2025 через единый чекбокс «принимаю условия» — оно действительно. При следующем обновлении приложения или при сборе новых категорий данных запросите отдельное согласие по новым требованиям. Бездействие при внедрении новой функции с геолокацией после 01.09.2025 без переработки согласия — нарушение ст. 9 ФЗ-152 согласие с 01.09.2025.

Шаг 4. Уведомьте Роскомнадзор об обработке геолокации

Обработка геолокационных данных требует включения оператора в реестр РКН по ст. 22 ФЗ-152 до начала обработки. Форма уведомления — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней с момента подачи уведомления.

В уведомлении отдельно указывают: категорию ПДн (общие), цели обработки, правовое основание по ст. 6 ФЗ-152, страны трансграничной передачи (если геолокация обрабатывается на серверах за рубежом — это трансграничная передача по ст. 12 ФЗ-152, требует отдельного уведомления). Если компания уже в реестре, но не указала геолокацию в перечне обрабатываемых данных — подаётся уведомление об изменении сведений.

«Ст. 22 ФЗ-152: оператор обязан направить уведомление до начала обработки. Неуведомление или несвоевременное уведомление — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽ в редакции с 30.05.2025.»

При трансграничной передаче геолокации (серверы AWS, Google Cloud, Yandex Cloud за рубежом) дополнительно потребуется уведомление о трансграничной передаче и оценка адекватности защиты страны-получателя. Перечень стран с адекватной защитой определён приказом РКН — для ряда стран ЕС адекватность подтверждена, для США — нет.

Что подготовить юристу по геолокации

  • Политика обработки ПДн с отдельным разделом о геолокации — цели, категории, сроки, третьи лица, меры защиты (ст. 18.1 ФЗ-152)
  • Отдельное согласие на сбор геолокации по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — с перечнем данных, целью, сроком, способом отзыва
  • Уведомление в реестр РКН по Приказу №180 или уведомление об изменении сведений, если компания уже в реестре
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с квалификационными требованиями
  • Договор-поручение с каждым подрядчиком, получающим геолокацию (картографические SDK, рекламные сети, аналитика) — ст. 6 ч. 3 ФЗ-152

Шаг 5. Назначьте ответственного и распределите обязанности по ст. 22.1 ФЗ-152

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Это требование применяется и при обработке геолокации. Ответственный обязан знать требования ФЗ-152, уметь реагировать на запросы субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152 и готовить ответы на запросы РКН.

В штатном расписании это может быть юрист, DPO или отдельный сотрудник. Назначение оформляется приказом руководителя. Отсутствие назначенного ответственного при проверке РКН — самостоятельное нарушение, которое усугубляет оценку проверяющих по всем остальным нарушениям. Ст. 22.1 ФЗ-152 описывает требования к ответственному 22.1 — в частности, он не должен быть одновременно лицом, непосредственно осуществляющим обработку.

«Ст. 22.1 ч. 4 ФЗ-152: ответственный за организацию обработки ПДн обязан контролировать соблюдение законодательства, организовывать приём и обработку обращений субъектов, осуществлять внутренний контроль.»

Если функцию DPO невозможно закрыть внутренним ресурсом — она передаётся на аутсорсинг. При DPO-аутсорсинге компания остаётся оператором и несёт ответственность; аутсорсер предоставляет квалификацию и процессы. Это законный способ выполнить требования ст. 22.1 ФЗ-152 без расширения штата.

Практические сценарии: как юристу работать с геолокацией

Сценарий 1. Мобильное приложение собирает координаты в фоне без отдельного согласия. Ситуация: приложение доставки запрашивает доступ к геолокации через общий экран «принятия условий». После 01.09.2025 такое согласие не отвечает требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Доказательная база РКН: скриншот интерфейса без отдельного чекбокса геолокации. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽. Стратегия: до обновления приложения — добавить отдельный экран согласия с полными реквизитами по ст. 9; переработать политику конфиденциальности с выделением геолокации.

Сценарий 2. Компания в реестре РКН, но геолокация добавлена в приложение после уведомления. Ситуация: CTO запустил функцию «карта курьеров» без уведомления юриста. В реестре данная категория не указана. Доказательная база: функционирующая функция в приложении при отсутствии геолокации в уведомлении. Вероятный исход: нарушение ч. 10 ст. 13.11 (несвоевременное уведомление), штраф 100 000–300 000 ₽, предписание об устранении. Стратегия: немедленно подать уведомление об изменении сведений через pd.rkn.gov.ru; задокументировать дату обнаружения несоответствия; добавить юриста в чек-лист запуска новых функций.

Сценарий 3. Геолокация передаётся рекламной сети без договора-поручения. Ситуация: SDK аналитики в приложении передаёт координаты на серверы в США. Договора-поручения с SDK-провайдером нет, уведомление о трансграничной передаче не подавалось. Доказательная база: трафик приложения, содержащий координаты, уходящий за рубеж. Вероятный исход: нарушение ч. 8 ст. 13.11 (локализация) и ч. 1 ст. 13.11 (обработка без основания). Совокупный штраф — от 1 250 000 ₽. Стратегия: заключить договор-поручение, подать уведомление о трансграничной передаче в РКН, рассмотреть переход на российский аналитический SDK.

Если в вашей компании геолокация собирается, но ОРД под неё не выстроен — каждый день без документов увеличивает риск. РКН проводит плановые и внеплановые проверки мобильных сервисов. Срок подготовки к проверке не восстанавливается.

Заказать аудит 152-ФЗ

Частые вопросы

1. Какие документы должны быть у оператора ПДн, обрабатывающего геолокацию?

Минимальный комплект: политика обработки ПДн с разделом о геолокации (ст. 18.1 ФЗ-152), отдельное согласие субъекта по ст. 9 ФЗ-152 с реквизитами по новым требованиям ФЗ-156 (если основание — согласие), уведомление в реестр РКН по Приказу №180, приказ о назначении ответственного по ст. 22.1 ФЗ-152, договоры-поручения с подрядчиками, получающими геолокацию. При трансграничной передаче — уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

2. Как составить политику обработки ПДн для геолокации?

Политика должна содержать: наименование оператора, цели сбора геолокации с привязкой к конкретным функциям сервиса, правовое основание по ст. 6 ФЗ-152, перечень обрабатываемых данных (координаты, маршруты, временные метки, идентификатор устройства), срок хранения с обоснованием, перечень третьих лиц с описанием цели передачи, меры технической защиты, порядок реализации прав субъекта по ст. 14 ФЗ-152. Шаблон из интернета без адаптации под конкретный сервис создаёт расхождение с реальной обработкой — и именно это становится основанием для протокола.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

По ст. 22.1 ФЗ-152 ответственный — это физическое лицо, назначенное оператором-юрлицом для организации обработки ПДн. Требования закона: не должен непосредственно осуществлять обработку, обязан контролировать соблюдение ФЗ-152 и организовывать ответы субъектам. Назначают юриста, сотрудника по ИБ или переводят функцию на аутсорсинг. При аутсорсинге оператор остаётся ответственным перед РКН, но функция выполняется внешним DPO.

4. Можно ли использовать шаблон политики из интернета?

Использование типового шаблона без адаптации несёт реальный риск. Политика должна отражать фактическую обработку конкретного оператора: цели, категории данных, сроки хранения, третьи лица. Шаблон с чужими формулировками при проверке РКН создаёт несоответствие между документом и реальностью — нарушение ст. 5 и ст. 18.1 ФЗ-152. Минимальная доработка шаблона — заполнить все переменные под ваш сервис; оптимальная — профессиональная разработка под конкретную архитектуру обработки.

5. Какие согласия нужны после 01.09.2025 для геолокации?

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку геолокации оформляется отдельным документом — его нельзя объединять с договором, офертой или политикой. В мобильных приложениях это отдельный экран или чекбокс, не связанный с принятием условий использования. Обязательные реквизиты по ст. 9 ФЗ-152: идентификатор субъекта, наименование оператора, цель, перечень данных (координаты, точность, время, идентификатор устройства), срок, способ отзыва. Согласие на сбор в фоновом режиме — отдельное от согласия на сбор в активном режиме.

Итог

Обработка геолокации требует полного комплекта ОРД: политика с отдельным разделом, согласие в формате ФЗ-156, уведомление в реестр РКН, назначение ответственного, договоры с подрядчиками. Нарушение любого из этих элементов — самостоятельный состав по ст. 13.11 КоАП, а при трансграничной передаче без уведомления — состав по ч. 8 ст. 13.11, штраф от 1 млн ₽.

Практика DATUM по документированию обработки ПДн для мобильных сервисов и интернет-платформ охватывает согласия, политики и уведомления РКН для операторов, работающих с геолокацией, адресными данными и поведенческой аналитикой.

Услуги DATUM по теме

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies, согласия в SaaS, политики конфиденциальности для мобильных приложений и маркетплейсов.

24 января 2027 года