инструкция 4 февраля 2027 По состоянию на 4 февраля 2027

Политика в мобильном приложении

Политика обработки персональных данных в мобильном приложении — обязательный документ по ч. 2 ст. 18.1 ФЗ-152 для каждого оператора, который собирает ПДн через приложение.

С 30.05.2025 за отсутствие опубликованной политики — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП. Если приложение собирает согласие пользователя на обработку, после 01.09.2025 оно должно быть оформлено отдельным документом по ФЗ-156 от 24.06.2025.

Если вы юрист, проверяющий комплаенс мобильного продукта, — инструкция ниже проведёт от структуры политики до уведомления Роскомнадзора и назначения ответственного.

Мобильное приложение собирает ПДн иначе, чем сайт: push-уведомления, геолокация, идентификатор устройства, биометрия для входа — всё это требует отдельных оснований по ст. 6 ФЗ-152 и специальной структуры политики. Роскомнадзор при проверках цифровых продуктов первым делом запрашивает политику конфиденциальности и согласие пользователя. Инструкция содержит шесть шагов: от аудита данных до публикации документа в магазинах приложений.

Шаг 1. Проведите инвентаризацию данных: что именно собирает приложение?

До написания политики необходимо установить полный перечень ПДн, которые приложение собирает, получает от третьих лиц или передаёт. Типичные категории для мобильного приложения:

идентификационные данные (имя, email, телефон при регистрации);
технические данные (IDFA/GAID, IP-адрес, версия ОС, модель устройства);
поведенческие данные (история действий в приложении, частота использования);
геолокация — если приложение запрашивает разрешение на местоположение;
биометрические данные — если используется Face ID, Touch ID или распознавание лица внутри приложения (ст. 11 ФЗ-152);
данные от сторонних SDK: аналитика (Firebase, AppMetrica), рекламные сети, платёжные системы.

Результат шага — таблица потоков данных: источник → категория ПДн → цель обработки → правовое основание → получатели (включая третьи лица за рубежом). Без этой карты политика будет неполной, и при проверке РКН оператор не сможет объяснить расхождение между реальной обработкой и тем, что написано в документе.

«Ст. 5 ФЗ-152 устанавливает принцип соответствия объёма ПДн заявленным целям: оператор не вправе собирать данные сверх того, что необходимо для конкретной цели обработки.»

Шаг 2. Определите правовые основания обработки по ст. 6 ФЗ-152

Каждая операция с ПДн в приложении должна опираться на одно из оснований ст. 6 ФЗ-152. Наиболее распространённые для мобильных приложений:

Согласие пользователя (п. 1 ч. 1 ст. 6) — для маркетинговых рассылок, персонализации рекламы, передачи данных рекламным SDK. После 01.09.2025 согласие по ФЗ-156 от 24.06.2025 оформляется отдельным документом — не встраивается в пользовательское соглашение или оферту.
Исполнение договора (п. 5 ч. 1 ст. 6) — обработка, необходимая для оказания услуги, которую пользователь заказал через приложение.
Обязанность оператора по закону (п. 2 ч. 1 ст. 6) — налоговые и бухгалтерские требования при платёжных функциях.

Если приложение использует геолокацию в фоне или рекламные SDK сторонних сетей — это, как правило, согласие, а не договор. Смешение оснований в политике создаёт риск по ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом): штраф 150 000–300 000 ₽ для юрлица с 30.05.2025.

«Ст. 6 ФЗ-152 содержит одиннадцать оснований обработки. Оператор обязан заранее определить, на каком основании осуществляется каждая операция, и отразить это в политике.»

Карту данных уже составили, но оснований обработки нет в документах?

Если юрист проверяет мобильный продукт и видит, что политика не отражает реальный перечень SDK и правовые основания, — любое расхождение фиксируется инспектором РКН как нарушение ч. 1 ст. 13.11 КоАП. Штраф за повторное нарушение — 300 000–500 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте политику обработки ПДн по обязательным требованиям ст. 18.1 ФЗ-152

Ч. 2 ст. 18.1 ФЗ-152 устанавливает обязательный состав политики. Применительно к мобильному приложению документ должен содержать следующие разделы:

Наименование и контакты оператора — полное юридическое наименование, адрес, email для обращений субъектов.
Цели обработки — конкретные, а не общие формулировки. «Предоставление сервиса» — недостаточно. «Аутентификация пользователя, доставка push-уведомлений, формирование отчётности» — приемлемо.
Перечень обрабатываемых ПДн — по категориям, включая данные, получаемые от SDK.
Правовые основания — по каждой категории данных или цели.
Сроки обработки и хранения — в привязке к цели. Технические логи — обычно до 3 лет; кадровые данные — 75 лет.
Порядок реализации прав субъектов — как подать запрос на доступ, исправление, удаление, как отозвать согласие. Срок ответа оператора — 10 рабочих дней (ст. 20 ФЗ-152) с возможностью продления на 5 рабочих дней при уведомлении субъекта.
Трансграничная передача — перечень стран и получателей, если SDK передают данные за рубеж (ст. 12 ФЗ-152).
Меры защиты — организационные и технические, без раскрытия конфиденциальных технических деталей.

Политика публикуется в открытом доступе — в приложении (раздел настроек), в магазинах App Store и Google Play (поле «Политика конфиденциальности»), а также на сайте оператора. Ссылка на политику должна быть доступна до начала сбора ПДн — то есть до экрана регистрации или первого запроса разрешений.

Как оформить согласие пользователя приложения после 01.09.2025?

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом. В мобильном приложении это означает следующее:

Согласие нельзя встроить в пользовательское соглашение, оферту или политику конфиденциальности — только отдельный экран или документ.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.
Для каждой цели, требующей согласия, — отдельное согласие (рассылка, реклама, геолокация в фоне).
Согласие, полученное до 01.09.2025, переоформлять не требуется — у ФЗ-156 нет обратной силы. Но если пользователь регистрируется в приложении после этой даты, форма согласия должна соответствовать новым требованиям.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта персональных данных оформляется документом, не объединённым с иными соглашениями. Обязательные реквизиты — перечень действий и способ отзыва.»

Технически в приложении это реализуется как отдельный экран с чекбоксом и текстом согласия, который не связан с принятием условий использования. Чекбокс по умолчанию — не активирован. Факт согласия фиксируется с timestamp и версией документа в системе оператора.

Если юрист проверяет, соответствуют ли экраны согласия требованиям после 01.09.2025, — DATUM соберёт пакет согласий по ФЗ-156 и проведёт аудит ОРД мобильного продукта. Срок: 10 рабочих дней.

Собрать ОРД под ключ

Шаг 5. Уведомите Роскомнадзор по ст. 22 ФЗ-152 и назначьте ответственного по ст. 22.1

До начала обработки ПДн в мобильном приложении оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн (ст. 22 ФЗ-152). Уведомление подаётся через pd.rkn.gov.ru с использованием ЕСИА или УКЭП по форме Приказа РКН №180 от 28.10.2022. Срок включения в реестр операторов — 30 дней.

Типичные ошибки при уведомлении для мобильного приложения:

В уведомлении не указаны все цели обработки — например, аналитика и реклама не упомянуты.
Трансграничная передача через зарубежные SDK не отражена, хотя по ст. 12 ФЗ-152 она требует отдельного уведомления.
Уведомление подано, но реальная обработка расширилась (добавили новые SDK) — изменения не сообщены в РКН. За несвоевременное уведомление об изменениях — штраф по ч. 10 ст. 13.11 КоАП 100 000–300 000 ₽.

По ст. 22.1 ФЗ-152 оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Это не просто формальный приказ: ответственный должен отвечать требованиям ч. 4 ст. 22.1 (квалификация), участвовать в разработке политики, контролировать работу с обращениями субъектов и взаимодействовать с РКН при проверках.

«Ст. 22 ФЗ-152: оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки. Ст. 22.1 ФЗ-152: оператор-юрлицо назначает лицо, ответственное за организацию обработки.»

Шаг 6. Опубликуйте политику и встройте её в приложение

После составления и согласования политика должна быть размещена в точках доступа, которые проверяет РКН:

В приложении — в разделе «Настройки» / «О приложении» / «Политика конфиденциальности». Ссылка должна открываться без авторизации.
В App Store и Google Play — в поле Privacy Policy при публикации приложения. Оба магазина требуют корректную ссылку как условие размещения.
На сайте оператора — в открытом разделе, индексируемом поисковиками. Это требование ч. 2 ст. 18.1 ФЗ-152: неограниченный доступ неопределённого круга лиц.

Дополнительно при регистрации или первом запуске приложение должно показывать ссылку на политику до экрана сбора ПДн. Если приложение запрашивает разрешения ОС (геолокация, камера, микрофон) — до запроса должна быть показана цель, для которой запрашивается разрешение, и ссылка на соответствующий раздел политики.

Что подготовить для комплаенса мобильного приложения

Карта потоков данных: все категории ПДн, цели, правовые основания, получатели (включая SDK).
Политика обработки ПДн со всеми обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная в приложении, App Store/Google Play и на сайте.
Отдельные согласия пользователей по ст. 9 ФЗ-152 в редакции ФЗ-156 (для операций, требующих согласия, — с 01.09.2025).
Уведомление РКН о намерении обрабатывать ПДн (ст. 22) и актуальные сведения в реестре операторов.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Как это применяется на практике

Кейс 1. Юрист e-commerce компании (Центральный ФО, начало 2026) при подготовке к плановой проверке РКН обнаружил, что в мобильном приложении используются три аналитических SDK, передающих данные в США, — но в уведомлении о намерении обрабатывать ПДн трансграничная передача не была отражена. Политика конфиденциальности также не упоминала зарубежных получателей. Юрист подал уведомление об изменении сведений в РКН до начала проверки и обновил политику. РКН выдал предписание об устранении, но штраф по ч. 10 ст. 13.11 КоАП применён не был — оператор устранил нарушение до завершения контрольного мероприятия.

Кейс 2. IT-компания (Сибирский ФО, осень 2025) опубликовала мобильное приложение для HR-автоматизации. При регистрации пользователь галочкой принимал пользовательское соглашение — внутри него был пункт о согласии на обработку ПДн. После 01.09.2025 такая конструкция нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Проверка РКН зафиксировала отсутствие отдельного документа согласия. Штраф по ч. 2 ст. 13.11 КоАП составил сумму в нижней части диапазона (300 000–700 000 ₽). Переработка форм согласия и повторная публикация обновлённой политики заняли четыре недели.

Типовые ситуации для юриста, проверяющего мобильный продукт

Ситуация 1 — SDK передаёт данные за рубеж, уведомление РКН не подавалось. Доказательства: перечень SDK в приложении, документация третьих лиц с указанием серверов за рубежом. Вероятный исход: нарушение ст. 12 ФЗ-152 (трансграничная передача без уведомления) и ч. 10 ст. 13.11 КоАП. Стратегия: подать уведомление об изменении сведений в РКН немедленно, обновить политику, зафиксировать дату устранения.

Ситуация 2 — Политика есть, но не отражает реальный состав SDK. Доказательства: декомпиляция приложения или анализ сетевого трафика показывают SDK, не упомянутые в политике. Вероятный исход: нарушение ч. 3 ст. 13.11 КоАП (неполная политика) и ч. 1 (обработка, не предусмотренная документами). Стратегия: аудит всех SDK, обновление политики, согласование правовых оснований по каждому.

Ситуация 3 — Нет уведомления в реестре РКН вовсе. Доказательства: запрос на pd.rkn.gov.ru не возвращает оператора. Вероятный исход: штраф по ч. 10 ст. 13.11 КоАП 100 000–300 000 ₽. Стратегия: подать уведомление через pd.rkn.gov.ru с использованием ЕСИА или УКЭП по форме Приказа РКН №180 немедленно, не дожидаясь проверки.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн в мобильном приложении по 38 пунктам.
Комплект ОРД под ключ — политика, согласия, приказы и регламенты для мобильного продукта.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Какие документы должны быть у оператора ПДн, использующего мобильное приложение?

Минимальный пакет: политика обработки ПДн (ч. 2 ст. 18.1 ФЗ-152), отдельные согласия пользователей по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156), уведомление в реестре РКН по ст. 22 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152. При трансграничной передаче через SDK — уведомление РКН по ст. 12 ФЗ-152 и документы с зарубежными получателями.

2. Как составить политику обработки ПДн для мобильного приложения?

Политика должна содержать все разделы по ч. 2 ст. 18.1 ФЗ-152: наименование оператора, цели и правовые основания, перечень ПДн, сроки хранения, порядок реализации прав субъектов, информацию о трансграничной передаче и принимаемых мерах защиты. Дополнительно для мобильного приложения — раздел о данных, собираемых через SDK сторонних поставщиков, и о технических разрешениях ОС (геолокация, камера, уведомления).

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 требует, чтобы назначенное лицо отвечало квалификационным требованиям ч. 4 той же статьи. На практике это юрист или специалист по ИБ с пониманием норм 152-ФЗ. Возможен аутсорсинг функции DPO — в этом случае оператор заключает договор с внешним исполнителем, который берёт на себя организацию обработки, взаимодействие с субъектами и сопровождение проверок РКН.

4. Можно ли использовать шаблон политики из интернета?

Готовый шаблон может покрыть структуру документа, но не заменит аудит реальных потоков данных конкретного приложения. Шаблон, не отражающий фактически используемые SDK, зарубежных получателей или специальные категории ПДн, создаёт риск по ч. 1 и ч. 3 ст. 13.11 КоАП. Политику необходимо адаптировать под конкретную архитектуру приложения и перечень обрабатываемых данных.

5. Какие согласия нужны после 01.09.2025 для мобильного приложения?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом — не встраивается в условия использования или политику конфиденциальности. В мобильном приложении это отдельный экран с обязательными реквизитами по ст. 9 ФЗ-152: цель, перечень данных и действий, срок, способ отзыва. Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет.

Итог

Политика в мобильном приложении — не формальный документ, а точка пересечения обязательств по ст. 18.1, ст. 22 и ст. 9 ФЗ-152. Отсутствие или неполнота политики, несоответствие согласий требованиям после 01.09.2025, незаявленная трансграничная передача через SDK — каждое из этих нарушений фиксируется при проверке РКН и влечёт штраф по ст. 13.11 КоАП.

DATUM сопровождает мобильные продукты в части 152-ФЗ с 2014 года: аудит потоков данных, разработка политики и согласий, уведомление РКН, назначение ответственного в формате DPO-аутсорсинга.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в мобильных приложениях и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

4 февраля 2027 года