Согласие на трекинг в приложении
Мобильные приложения для интернет-магазинов, маркетплейсов и программ лояльности собирают данные о поведении пользователей: страницы, клики, пуш-уведомления, геолокацию, рекламные идентификаторы. По позиции Роскомнадзора, идентификаторы устройств и поведенческие профили относятся к персональным данным. Это значит, что весь стек трекинга — GA4, AppMetrica, AppsFlyer, Firebase — попадает под ФЗ-152. В этой инструкции — шесть шагов для маркетолога: от аудита SDK до настройки отзыва согласия.
Шаг 1. Определите, какие данные собирает приложение и на каком основании
Первый шаг — технический инвентарь. Попросите у разработчика полный список SDK и трекеров, встроенных в приложение. Типичный состав для e-commerce приложения: аналитика поведения (GA4, AppMetrica, Mixpanel), атрибуция установок (AppsFlyer, Adjust), рекламные идентификаторы (IDFA/GAID), пуш-уведомления (Firebase, APNS), тепловые карты (UXCam, Smartlook), CRM-синхронизация (AmoCRM, Bitrix24 через API).
Для каждого SDK определите: какие данные передаются, в какую страну, на каком правовом основании по ст. 6 ФЗ-152. Большинство трекеров передают данные на серверы за пределами России — это трансграничная передача, требующая отдельного уведомления РКН по ст. 12 ФЗ-152. GA4 и Firebase принадлежат Google (США) и не входят в перечень стран с адекватной защитой.
Шаг 2. Разберитесь, какие категории данных требуют усиленного согласия
Не все данные одинаковы с точки зрения требований к согласию. Три категории требуют отдельной проработки.
Данные для распространения (ст. 10.1 ФЗ-152). Если приложение позволяет делиться отзывами, рейтингами или активностью в социальных лентах — это распространение ПДн. Требуется отдельное согласие. Молчание пользователя означает запрет на распространение.
Геолокация. Точная геолокация в сочетании с историей перемещений формирует профиль, позволяющий идентифицировать человека. По позиции РКН, это специальные категории ПДн в ряде сценариев (маршруты к медучреждениям, религиозным объектам). Согласие на геолокацию — отдельным чекбоксом.
Биометрические данные. Если в приложении есть авторизация по Face ID или Touch ID — это биометрические ПДн по ст. 11 ФЗ-152. Обработка требует письменного (электронного с УКЭП или аналогом) согласия.
Приложение уже запущено — согласия нет или оно в пользовательском соглашении?
Для маркетолога это типичная ситуация: трекинг настроен разработчиком, согласие встроено в оферту, баннера согласия нет. Штраф по ч. 1 ст. 13.11 КоАП за каждый факт — от 150 000 до 300 000 ₽, по ч. 2 — до 700 000 ₽ при отсутствии письменного согласия. С 30.05.2025 применяются новые нормы ФЗ-420. Юристы DATUM проведут аудит SDK-стека приложения, выявят нарушения по чек-листу из 38 пунктов и выдадут план устранения.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Составьте текст согласия по обязательным реквизитам ст. 9 ФЗ-152
С 01.09.2025 согласие на обработку ПДн не может быть частью пользовательского соглашения, оферты или политики конфиденциальности. Это требование ФЗ-156 от 24.06.2025 — согласие оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152.
Для согласия на трекинг в приложении обязательные реквизиты выглядят так:
- ФИО пользователя (или способ его идентификации в приложении)
- Контактные данные оператора: полное наименование, адрес, ИНН
- Цель обработки — конкретно: «анализ поведения для улучшения продукта», «персонализация рекламы», «атрибуция установок» — каждая цель отдельно
- Перечень данных: идентификатор устройства (IDFA/GAID), IP-адрес, события приложения, геолокация — перечислить по видам
- Перечень действий: сбор, запись, систематизация, накопление, передача третьим лицам (с перечнем: Google LLC, AppMetrica/Яндекс, AppsFlyer Inc.)
- Срок действия согласия или условие его прекращения
- Способ отзыва: «через Настройки приложения → Конфиденциальность → Отозвать согласие»
Согласие должно быть активным действием: нажатие кнопки «Принять» на отдельном экране при первом запуске до инициализации SDK. Предзаполненные чекбоксы недопустимы. Согласие на разные цели — на разные чекбоксы.
Шаг 4. Настройте баннер согласия и механизм отзыва
Технически согласие на трекинг реализуется через Consent Management Platform (CMP) или кастомный экран при первом запуске. Требования к реализации:
- SDK не инициализируются до получения согласия (никаких вызовов Firebase.init() или AppsFlyer.start() до нажатия «Принять»)
- Гранулярный выбор: «Аналитика», «Реклама», «Персонализация» — отдельные переключатели
- Кнопка «Отклонить всё» одного уровня с «Принять всё» — не мелким шрифтом, не серым на сером
- Повторный экран согласия доступен через настройки в любой момент
- Логирование: timestamp согласия, версия текста согласия, выборы пользователя — хранятся в базе данных с возможностью выгрузки для РКН
Для email-рассылок и пуш-уведомлений — отдельные согласия. Подписка через пуш-разрешение ОС (iOS/Android) не является согласием по ФЗ-152 на обработку ПДн для маркетинговых рассылок. Требуется дополнительный чекбокс внутри приложения.
Маркетолог настроил GA4 и AppsFlyer — передача данных в США идёт без уведомления РКН о трансграничной передаче. Штраф по ч. 11 ст. 13.11 КоАП за неуведомление об утечке и нарушение режима — до 3 000 000 ₽. Уведомление о трансграничной передаче подаётся до начала передачи данных.
Заказать аудит 152-ФЗШаг 5. Уведомите РКН о трансграничной передаче
Большинство трекеров, используемых в российских приложениях, передают данные в США или ЕС. США не входят в перечень стран с адекватной защитой ПДн. До начала передачи данных оператор обязан уведомить РКН по ст. 12 ФЗ-152.
Порядок уведомления:
- Авторизоваться на pd.rkn.gov.ru через ЕСИА или УКЭП
- Заполнить форму уведомления о трансграничной передаче: указать страны-получатели, перечень передаваемых данных, цели, наименования иностранных получателей (Google LLC, Meta Platforms, Appsflyer Inc.)
- Дождаться ответа РКН (типовой срок — до 10 рабочих дней) или отсутствия запрета
- Заключить соглашение с иностранным получателем о конфиденциальности (Data Processing Agreement)
Для GA4 ситуация сложнее: Google Analytics 4 передаёт данные на серверы Google в США. Официальный инструмент «Анонимизация IP» не устраняет проблему передачи идентификаторов сессий. Часть операторов переходит на Яндекс Метрику (серверы в России) или на self-hosted решения типа Matomo.
Шаг 6. Подготовьте документы и проведите аудит ОРД
Технические меры бесполезны без организационно-распорядительной документации. Для e-commerce приложения минимальный пакет документов по теме трекинга:
Что подготовить для соответствия требованиям по трекингу
- Политика конфиденциальности приложения — с отдельным разделом о трекинге, перечнем SDK и странах-получателях
- Форма согласия на обработку ПДн (отдельный документ по ст. 9 ФЗ-152 в ред. с 01.09.2025) с гранулярными чекбоксами по целям
- Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) с актуальным перечнем обрабатываемых данных
- Уведомление о трансграничной передаче для каждого иностранного получателя (GA4/Google, AppsFlyer, Firebase)
- Регламент реагирования на запросы субъектов — с указанием срока ответа 10 рабочих дней по ст. 20 ФЗ-152
Обновление документов требуется при каждом изменении SDK-стека, добавлении нового трекера или изменении целей обработки. Это не разовое мероприятие, а процесс управления изменениями.
Проверьте наличие документов через тест оператора ПДн или закажите полный аудит с отчётом по 38 пунктам у юристов DATUM.
Как это выглядит на практике: два сценария для маркетолога
Сценарий 1. Приложение запущено до 01.09.2025, согласие встроено в оферту. Ситуация: маркетолог e-commerce компании (Приволжский ФО) обнаружил, что согласие на трекинг находится в пользовательском соглашении на 14-й странице. SDK инициализируются при первом запуске до любого действия пользователя. Доказательства: скриншоты из App Store Connect, логи инициализации Firebase. Вероятный исход при проверке РКН: протокол по ч. 2 ст. 13.11 КоАП — отсутствие надлежащего письменного согласия на передачу данных третьим лицам (Google, AppsFlyer). Штраф для юрлица — от 300 000 до 700 000 ₽. Стратегия: переработать экран первого запуска, выделить согласие отдельным документом, провести уведомление о трансграничной передаче до следующей итерации приложения.
Сценарий 2. Маркетплейс использует данные продавцов-партнёров для рекламной аналитики. Ситуация: площадка маркетплейса (Центральный ФО) передаёт поведенческие данные покупателей (включая данные, привязанные к магазину конкретного продавца) в рекламную платформу для сегментации. Продавцы не давали согласия на это использование. Вероятный исход: РКН расценивает маркетплейс как оператора ПДн покупателей; продавца — как обработчика по поручению. Если поручение не оформлено по ст. 6 ч. 3 ФЗ-152 — нарушение у обоих. Стратегия: оформить договор поручения обработки с каждым продавцом, ограничить цели обработки в соглашении, получить отдельное согласие покупателей на передачу данных рекламным платформам.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка SDK-стека, согласий и ОРД по 38 пунктам
- Комплект ОРД под ключ — политика, согласия, уведомления РКН для приложения
- Защита при штрафе в арбитраже — обжалование протоколов по ч. 1–2 ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да. Cookie-файлы и аналогичные идентификаторы (рекламный ID устройства, fingerprint браузера) в совокупности с данными о поведении позволяют идентифицировать конкретного пользователя. РКН неоднократно указывал в методических разъяснениях, что такие данные подпадают под определение ПДн по ст. 3 ФЗ-152. Следствие: обработка cookies требует правового основания по ст. 6 ФЗ-152, чаще всего — согласия пользователя.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 формально возможно, но требует соблюдения ряда условий. Во-первых, уведомление РКН о трансграничной передаче в США до начала передачи данных (ст. 12 ФЗ-152). Во-вторых, отдельное согласие пользователей на передачу данных Google LLC. В-третьих, Data Processing Agreement с Google. На практике многие операторы переходят на Яндекс Метрику или self-hosted Matomo, чтобы исключить трансграничную передачу. Использование GA4 без уведомления РКН — нарушение, которое выявляется при плановой проверке.
3. Кто оператор: маркетплейс или продавец?
Маркетплейс — оператор ПДн покупателей, поскольку определяет цели и средства обработки. Продавец-партнёр, получающий данные покупателей через API маркетплейса, действует как обработчик по поручению (ст. 6 ч. 3 ФЗ-152). Поручение должно быть оформлено письменным договором с перечнем разрешённых действий. Если продавец использует данные покупателей в своих целях (например, для CRM-ретаргетинга) без отдельного согласия покупателя — он становится самостоятельным оператором и несёт полную ответственность по ФЗ-152.
4. Что грозит за отсутствие баннера cookies?
Отсутствие механизма получения согласия до инициализации трекеров квалифицируется по ч. 1 или ч. 2 ст. 13.11 КоАП в зависимости от того, требовалось ли письменное согласие. Для юрлиц в редакции с 30.05.2025: ч. 1 — от 150 000 до 300 000 ₽, ч. 2 — от 300 000 до 700 000 ₽. При повторном нарушении по ч. 2.1 — от 1 000 000 до 1 500 000 ₽. Отдельно — штраф за ненадлежащую политику конфиденциальности по ч. 3 ст. 13.11 — от 30 000 до 60 000 ₽.
5. Как оформить отзыв подписки?
Пользователь вправе в любой момент отозвать согласие на обработку ПДн (ст. 9 ФЗ-152). Отзыв согласия должен быть технически простым — не сложнее его получения. Для приложения: раздел «Настройки → Конфиденциальность → Управление согласиями» с переключателями по видам обработки. После отзыва оператор обязан прекратить обработку и уничтожить данные в срок, установленный в согласии (если иное не предусмотрено законом). Отзыв подписки на email-рассылку — через ссылку «Отписаться» в каждом письме, требования ФЗ «О рекламе» применяются параллельно.
6. Нужно ли переоформлять согласия, полученные до 01.09.2025?
Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы в отношении ранее полученных согласий. Согласия, полученные до 01.09.2025 и соответствовавшие требованиям ст. 9 ФЗ-152 на тот момент, остаются действительными. Требование об отдельном документе распространяется на согласия, запрашиваемые после 01.09.2025. Тем не менее рекомендуется аудит: нередко согласия до 2025 года не содержали всех обязательных реквизитов и изначально были оформлены с нарушениями.
Итог
Согласие на трекинг в приложении — это не баннер «принять cookies», а система: инвентарь SDK, гранулярные согласия по целям, уведомление РКН о трансграничной передаче, логирование выборов пользователей и полный пакет ОРД. С 01.09.2025 согласие — только отдельный документ, с 30.05.2025 за нарушения — штрафы до 700 000 ₽ за один факт и до 1 500 000 ₽ при повторном.
Практика DATUM охватывает аудит SDK-стека e-commerce приложений, подготовку согласий и ОРД, уведомление РКН о трансграничной передаче и защиту интересов операторов при проверках Роскомнадзора.