аналитика 4 февраля 2029 По состоянию на 4 февраля 2029

Такси-агрегаторы и ПДн

Такси-агрегатор — оператор персональных данных сразу двух категорий субъектов: пассажиров и водителей. Объём обрабатываемых сведений включает геолокацию в реальном времени, платёжные реквизиты и сведения о трудовой деятельности.

С 30.05.2025 утечка данных от 1 000 субъектов грозит штрафом от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП. При повторном нарушении — оборотный штраф до 500 млн ₽ по ч. 15 той же статьи.

Если вы юрист агрегатора или курируете комплаенс платформы — проверьте, соответствует ли документация нормам ФЗ-152 в редакции 2025 года. → Ниже — отраслевой разбор.

Такси-агрегаторы занимают особое место среди операторов ПДн: они обрабатывают сведения о пассажирах, водителях-партнёрах и сотрудниках одновременно, передают данные третьим сторонам (банкам-эквайерам, страховщикам, ФНС), хранят геолокационные треки и историю поездок. После вступления в силу ФЗ-420 от 30.11.2024 правовые риски агрегатора существенно выросли. В этом материале — структура обработки, правовые основания, типовые нарушения и практика регулятора.

Какие персональные данные обрабатывает такси-агрегатор?

Агрегатор формирует несколько отдельных массивов ПДн с разными субъектами и правовыми основаниями обработки.

Данные пассажиров. Имя, номер телефона, адрес подачи и назначения, история поездок, платёжные реквизиты (токенизированные данные карты), оценки водителей, устройство и IP-адрес. Геолокация при активном сеансе — непрерывный поток координат. Правовое основание обработки — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): пассажир акцептует оферту, заказывая поездку.

Данные водителей-партнёров. Паспортные данные, ИНН, водительское удостоверение, сведения об автомобиле, банковские реквизиты для выплат, фотография, геолокация во время смены, рейтинг, история заказов. Водитель-самозанятый или ИП — контрагент по договору-оферте, его данные обрабатываются на основании п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Фотография при верификации водителя может квалифицироваться как биометрические ПДн по ст. 11 ФЗ-152, если используется для идентификации личности, — это требует отдельного письменного согласия.

Данные штатных сотрудников. Кадровые ПДн обрабатываются на основании ст. 86–88 ТК РФ в совокупности с требованиями ст. 9 ФЗ-152 в редакции с 01.09.2025: согласия работников оформляются отдельным документом (ФЗ-156 от 24.06.2025).

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки ПДн. Исполнение договора, стороной которого является субъект ПДн, — одно из них. Согласие субъекта в этом случае не требуется, однако оператор обязан соблюдать принцип минимизации: объём обрабатываемых данных должен соответствовать целям договора (ст. 5 ФЗ-152).»

Как правильно оформить обработку геолокации пассажиров и водителей?

Геолокационные данные — ключевой актив агрегатора и одновременно наиболее уязвимая с точки зрения комплаенса категория. Позиция Роскомнадзора: геолокация в привязке к конкретному лицу и временному промежутку — персональные данные по ст. 3 ФЗ-152. Обезличенная агрегированная геолокация (без привязки к субъекту) регулируется ст. 13.1 ФЗ-152 и отдельным порядком РКН.

Пассажиры. Сбор геолокации при заказе поездки обоснован договором. Сбор геолокации в фоновом режиме после завершения поездки — нарушение принципа соответствия целям (ст. 5 ФЗ-152). Если агрегатор использует треки для маркетинговой аналитики или продажи рекламных профилей — необходимо отдельное согласие по ст. 9 ФЗ-152 с указанием конкретной цели.

Водители. Геолокация во время активной смены — условие исполнения договора, согласие не требуется. Геолокация после окончания смены или при выключенном приложении — за пределами договорного основания, требует согласия либо должна прекращаться.

Передача геолокационных треков третьим лицам (рекламным сетям, аналитическим платформам за рубежом) квалифицируется как трансграничная передача по ст. 12 ФЗ-152 и требует уведомления РКН до начала передачи.

Геолокация в приложении оформлена на основании договора — достаточно ли этого?

Договорное основание закрывает только обработку во время поездки. Фоновый сбор, передача аналитическим платформам и использование треков для профилирования — отдельные цели, каждая требует собственного правового основания. Ошибка в правовом основании — состав по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽), при повторном нарушении — до 500 тыс. ₽ по ч. 1.1. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что такое поручение обработки и как оно работает в модели агрегатора?

Такси-агрегатор выстраивает технологическую платформу, к которой подключены несколько категорий партнёров: таксопарки, отдельные водители, банки-эквайеры, колл-центры на аутсорсе. В этой цепочке разграничение ролей «оператор — обработчик» критично для корректного комплаенса.

Агрегатор как оператор. Агрегатор самостоятельно определяет цели и состав обрабатываемых ПДн — он оператор по ст. 3 ФЗ-152. Регистрация в реестре операторов РКН по ст. 22 ФЗ-152 обязательна до начала обработки. Неуведомление с 30.05.2025 влечёт штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Таксопарк как обработчик. Если агрегатор передаёт ПДн пассажиров и водителей таксопарку для формирования заказов — таксопарк действует по поручению оператора (п. 3 ст. 6 ФЗ-152). Требования: письменный договор поручения с перечнем разрешённых действий и обязательством конфиденциальности. Без договора передача — нарушение ч. 1 ст. 13.11. Ответственность за действия обработчика перед субъектом несёт оператор-агрегатор.

Банк-эквайер. Передача платёжных реквизитов банку-эквайеру обоснована исполнением договора (п. 5 ч. 1 ст. 6 ФЗ-152). Отдельного согласия пассажира не требуется, если обработка ПДн банком ограничена целью проведения платежа. Если банк использует данные для скоринга или формирования кредитных предложений — необходимо отдельное согласие.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Обработчик обязан соблюдать принципы и правила обработки, предусмотренные ФЗ-152. Ответственность перед субъектом за действия обработчика несёт оператор.»

Какие нарушения выявляет РКН при проверке такси-агрегатора?

На основании практики проверок и публичных материалов РКН типовые нарушения агрегаторов группируются в четыре блока.

Документация (ОРД). Отсутствие или неполнота политики обработки ПДн по ст. 18.1 ФЗ-152: нет раздела о геолокации, отсутствуют сведения об обработчиках, не указан срок хранения данных после удаления аккаунта. Штраф — 30–60 тыс. ₽ по ч. 3 ст. 13.11 КоАП.

Согласия. Согласие на обработку ПДн встроено в пользовательское соглашение или оферту единым текстом. С 01.09.2025 (ФЗ-156) согласие должно быть оформлено отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152. Нарушение — ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽.

Биометрия водителей. Верификация водителя через фотосверку без письменного согласия на обработку биометрических ПДн по ст. 11 ФЗ-152 — нарушение ч. 2 ст. 13.11 (или ч. 16 для составов, связанных с биометрией). Это один из наиболее часто фиксируемых РКН рисков в цифровых сервисах.

Локализация. Хранение ПДн российских пассажиров и водителей на серверах за рубежом или первичный сбор данных через зарубежную инфраструктуру — нарушение ч. 5 ст. 18 ФЗ-152. Штраф — 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП; при повторном нарушении — 6–18 млн ₽ по ч. 9.

Что проверить юристу агрегатора

Уведомление в реестре операторов РКН: актуальность сведений об обрабатываемых категориях ПДн и целях обработки (ст. 22 ФЗ-152).
Политика обработки ПДн: наличие разделов о геолокации, биометрии, сроках хранения и перечне обработчиков (ст. 18.1 ФЗ-152).
Согласия пассажиров и водителей: отдельный документ по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025.
Договоры поручения с таксопарками, колл-центрами, аналитическими платформами (п. 3 ст. 6 ФЗ-152).
Хранение ПДн российских субъектов: только в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152).

Как агрегатор должен реагировать на утечку данных пассажиров?

Утечка данных пассажиров и водителей — наиболее критичный сценарий для агрегатора с точки зрения штрафных рисков. Крупные платформы обрабатывают данные миллионов субъектов, поэтому инцидент почти неизбежно квалифицируется по ч. 13 или ч. 14 ст. 13.11 КоАП (от 5 до 15 млн ₽).

Порядок реагирования установлен ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187 от 14.11.2022. В течение 24 часов с момента обнаружения инцидента оператор обязан направить в РКН первичное уведомление. Через 72 часа — отчёт о результатах внутреннего расследования: причины, масштаб, принятые меры. Сроки не восстанавливаются. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП дополнительно к штрафу за саму утечку.

При повторной утечке (ранее привлекавшийся оператор) применяется оборотный штраф по ч. 15 ст. 13.11: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Для агрегатора с выручкой 10 млрд ₽ это 100–300 млн ₽.

Если юрист получил сигнал об инциденте с ПДн пассажиров или водителей — у компании 24 часа на уведомление РКН (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается. Юристы DATUM возьмут реагирование и подготовят первичное уведомление в рамках экстренного сопровождения.

Подготовиться к проверке РКН

Типовые сценарии для юриста агрегатора

Сценарий 1. Таксопарк-партнёр допустил утечку ПДн пассажиров. Ситуация: партнёрский таксопарк получает данные пассажиров через API агрегатора и хранит их на собственных серверах. В результате взлома таксопарка данные 15 000 пассажиров оказались в открытом доступе. Доказательства: логи API-запросов агрегатора, договор поручения (или его отсутствие), технические меры защиты таксопарка. Вероятный исход: агрегатор несёт ответственность как оператор по ч. 13 ст. 13.11 КоАП (5–10 млн ₽) вне зависимости от того, кто фактически допустил утечку. Стратегия: заключить договоры поручения с явным требованием к мерам защиты, провести аудит инфраструктуры обработчиков, фиксировать логи передачи данных.

Сценарий 2. Агрегатор использует зарубежный аналитический сервис для анализа поведения пассажиров. Ситуация: данные о поездках (маршрут, время, частота, платёжное поведение) передаются в облачную платформу американского вендора для построения маркетинговых сегментов. Доказательства: условия использования платформы, факт передачи данных, отсутствие уведомления РКН о трансграничной передаче. Вероятный исход: нарушение ч. 5 ст. 18 ФЗ-152 (если данные первично собираются в зарубежной базе) и ст. 12 ФЗ-152 (трансграничная передача без уведомления). Штраф — ч. 8 ст. 13.11 (1–6 млн ₽). Стратегия: перевести первичный сбор данных на российскую инфраструктуру, уведомить РКН о трансграничной передаче, рассмотреть замену вендора на российский аналог.

Сценарий 3. Проверка РКН инициирована по жалобе водителя. Ситуация: водитель-партнёр подал жалобу в РКН, указав, что агрегатор продолжает отслеживать его геолокацию после удаления аккаунта. РКН назначил внеплановую проверку. Доказательства: техническая документация о порядке удаления данных, политика обработки, журнал обращений субъектов. Вероятный исход: при подтверждении — нарушение ст. 5 (хранение дольше необходимого) и ст. 21 ФЗ-152 (неуничтожение данных). Штраф — ч. 5 ст. 13.11 (50–90 тыс. ₽), возможно ч. 1 (150–300 тыс. ₽) при системном характере. Стратегия: внедрить автоматическое удаление геолокационных треков после закрытия поездки, установить срок уничтожения данных водителей после расторжения договора, зафиксировать в политике обработки ПДн.

Практика: как это выглядело в реальных делах

Кейс 1. IT-платформа агрегации такси (Центральный ФО, лето 2025) не направила уведомление о намерении обрабатывать ПДн в РКН при запуске новой функции верификации водителей через фотосверку. РКН возбудил дело по ч. 10 ст. 13.11 КоАП. Компания устранила нарушение до рассмотрения дела, направила уведомление и обновила реестровые сведения. Назначен штраф в диапазоне нескольких сотен тысяч рублей. Ситуацию осложнило отсутствие письменного согласия водителей на биометрическую верификацию (ст. 11 ФЗ-152) — дополнительный состав по ч. 2 ст. 13.11. Юридическое сопровождение позволило разделить составы и обжаловать назначение штрафов как совокупности.

Кейс 2. Региональный агрегатор (Сибирский ФО, осень 2024) допустил утечку контактных данных и истории поездок около 8 000 пассажиров после взлома базы данных подрядчика, обслуживавшего CRM. Договора поручения обработки ПДн с подрядчиком не было. РКН квалифицировал нарушение по ч. 12 ст. 13.11 КоАП (старая редакция — утечка до 30.05.2025) и по основаниям несоблюдения требований к передаче данных обработчику. Итог — штраф в диапазоне штрафов по действовавшей редакции. Отсутствие договора поручения лишило агрегатора возможности предъявить регрессные требования к подрядчику.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн агрегатора по 38 пунктам.
Комплект ОРД под ключ — политика, согласия, договоры поручения, приказы и регламенты.
DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1 ФЗ-152.

Частые вопросы

1. Кто оператор ПДн в схеме агрегатор — таксопарк — водитель?

Оператор — агрегатор: он определяет цели и состав обработки данных пассажиров и водителей. Таксопарк действует по поручению агрегатора (п. 3 ст. 6 ФЗ-152) и является обработчиком. Водитель — субъект ПДн. Это трёхзвенная цепочка, где ответственность перед субъектами и РКН несёт агрегатор. Отсутствие договора поручения с таксопарком — нарушение ч. 1 ст. 13.11 КоАП.

2. Нужно ли отдельное согласие пассажира на обработку геолокации?

Зависит от цели. Геолокация для выполнения поездки — обоснована договором (п. 5 ч. 1 ст. 6 ФЗ-152), согласие не нужно. Геолокация для маркетинговой аналитики, профилирования, продажи рекламным платформам — отдельная цель. Для неё необходимо согласие по ст. 9 ФЗ-152 с указанием конкретной цели. С 01.09.2025 согласие оформляется только отдельным документом (ФЗ-156 от 24.06.2025).

3. Как агрегатору оформить верификацию водителя через фото?

Фотография водителя, используемая для идентификации личности (сравнение с документом или в режиме реального времени при каждом выходе на смену), — биометрические ПДн по ст. 11 ФЗ-152. Обработка допустима только с письменного согласия водителя. Согласие должно содержать цель верификации, перечень биометрических характеристик, срок хранения. Использование фото исключительно как «аватара профиля» без функции идентификации — не биометрия, согласие в письменной форме не требуется, но позиция РКН лучше уточнить при конкретном сценарии.

4. Что грозит агрегатору за хранение данных пассажиров после удаления аккаунта?

Хранение ПДн после достижения целей обработки или отзыва согласия нарушает ст. 5 и ст. 21 ФЗ-152. Субъект вправе потребовать уничтожения данных. На исполнение требования — 10 рабочих дней (ст. 21 ФЗ-152). Невыполнение — штраф 50–90 тыс. ₽ по ч. 5 ст. 13.11 КоАП; при повторном нарушении — 300–500 тыс. ₽ по ч. 5.1. Системное хранение данных без оснований может квалифицироваться и по ч. 1 ст. 13.11 (150–300 тыс. ₽).

5. Нужно ли уведомлять РКН о трансграничной передаче данных зарубежному аналитическому сервису?

Да. Передача ПДн российских пассажиров или водителей в страну, не включённую в перечень адекватной защиты по приказу РКН, требует предварительного уведомления регулятора по ст. 12 ФЗ-152. При этом первичный сбор и хранение данных российских граждан обязаны осуществляться в базах на территории РФ (ч. 5 ст. 18 ФЗ-152). Нарушение требования локализации — ч. 8 ст. 13.11 КоАП (1–6 млн ₽), при повторном — ч. 9 (6–18 млн ₽).

Итог

Такси-агрегатор — технологический оператор с высоким удельным весом ПДн: геолокация в реальном времени, биометрическая верификация, платёжные данные и история поведения миллионов субъектов. После вступления в силу ФЗ-420 цена ошибки выросла: утечка от 1 000 субъектов — штраф от 3 млн ₽, повторная — оборотный штраф до 500 млн ₽.

Практика DATUM по цифровым платформам и агрегаторам включает аудит цепочки обработки ПДн, сборку ОРД с учётом отраслевой специфики (геолокация, биометрия, поручение таксопаркам) и сопровождение взаимодействия с РКН.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

4 февраля 2029 года