Такси-агрегаторы и ПДн
Такси-агрегаторы обрабатывают данные трёх категорий субъектов одновременно: пассажиров (геолокация, платёжные реквизиты, маршруты), водителей (паспорт, ВУ, биометрия в части фотоверификации) и партнёрских таксопарков (данные руководителей и сотрудников). Масштаб обработки у крупного агрегатора — десятки миллионов субъектов. Это переводит компанию в зону максимальных санкций по ст. 13.11 КоАП уже при первой утечке. Ниже — нормы, риски и практика для финансового директора, который принимает решение о бюджете на комплаенс.
Какие персональные данные обрабатывает такси-агрегатор?
Пул обрабатываемых данных у агрегатора шире, чем у большинства операторов. Пассажир при регистрации передаёт имя, номер телефона, адрес электронной почты. В процессе поездки фиксируются геолокация в реальном времени, маршрут, история заказов. При безналичной оплате — данные банковской карты (токенизированные или полные, в зависимости от архитектуры). Геолокация пассажира в сочетании с историей маршрутов — уже достаточно, чтобы восстановить адрес проживания и работы. Роскомнадзор рассматривает такие связки как чувствительные, хотя формально они не относятся к специальным категориям по ст. 10 ФЗ-152.
Водители передают копии паспорта, водительского удостоверения, сведения об автомобиле. Фотоверификация в мобильном приложении — проверка водителя перед выходом на линию — фиксирует изображение лица. По ст. 11 ФЗ-152 изображение лица, используемое для идентификации личности, является биометрическими персональными данными. Обработка биометрии требует письменного согласия — отдельного документа, а не галочки в оферте. С 01.09.2025 это требование усилилось: по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется самостоятельным документом, не объединяемым с договором-офертой.
Партнёрские таксопарки передают агрегатору данные своих сотрудников в рамках поручения обработки (п. 3 ст. 6 ФЗ-152). Если договор поручения не оформлен или не содержит обязательных условий — оба лица несут риск нарушений самостоятельно.
Какова правовая база обработки: основания по ст. 6 ФЗ-152?
Агрегатор, как правило, использует несколько правовых оснований одновременно. Для пассажира — исполнение договора перевозки (п. 5 ч. 1 ст. 6 ФЗ-152): имя, телефон, адрес подачи необходимы для заключения и исполнения договора и согласия не требуют. Для маркетинговых рассылок, программ лояльности, передачи данных рекламным партнёрам — отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156.
Для водителей — два основания: исполнение трудового или гражданско-правового договора плюс согласие в части биометрии. Отсутствие отдельного согласия на фотоверификацию — это состав ч. 2 ст. 13.11 КоАП: штраф для юрлица от 300 тыс. до 700 тыс. ₽. При повторении — ч. 2.1, штраф 1–1,5 млн ₽.
Финдиректор: сколько стоит несоответствие по сравнению со стоимостью аудита?
Если вы финансовый директор агрегатора и бюджет на ИБ пока не утверждён — посчитайте: аудит соответствия 152-ФЗ стоит от 100 тыс. ₽. Штраф за утечку данных более 100 000 субъектов по ч. 14 ст. 13.11 КоАП — 10–15 млн ₽. Оборотный штраф при повторности по ч. 15 — от 20 млн ₽ и до 500 млн ₽. Разрыв в 100–5 000 раз — это аргумент для включения в бюджет.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как агрегаторы обрабатывают геолокацию и платёжные данные: риски локализации?
Геолокация сама по себе является персональными данными при возможности идентификации субъекта. Хранение треков маршрутов с привязкой к идентификатору пользователя — обработка ПДн граждан РФ. По ч. 5 ст. 18 ФЗ-152 первичные операции с ПДн граждан РФ (запись, систематизация, накопление, хранение, уточнение, извлечение) должны производиться в базах, расположенных на территории России. Это требование ужесточено с 01.07.2025 по ФЗ-233.
На практике агрегаторы часто используют облачные платформы зарубежных провайдеров — AWS, GCP, Azure — для обработки геоданных в реальном времени. С точки зрения регулятора это потенциальное нарушение локализации. Штраф по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽. При повторном нарушении (ч. 9) — 6–18 млн ₽.
Платёжные данные карт дополнительно регулируются требованиями национальной платёжной системы (ФЗ об НПС). Хранение полных номеров карт без выполнения требований PCI DSS при одновременном нарушении 152-ФЗ кратно увеличивает регуляторный риск. Для финансового директора это два независимых канала ответственности.
Что такое трансграничная передача у агрегаторов и когда она возникает?
Трансграничная передача возникает, когда агрегатор передаёт данные пассажиров и водителей зарубежным аффилированным лицам, зарубежным подрядчикам (аналитика, CRM, push-уведомления) или когда хранение происходит за рубежом. По ст. 12 ФЗ-152 передача в страну, не обеспечивающую адекватный уровень защиты ПДн, требует предварительного уведомления РКН. Перечень адекватных стран ведёт Роскомнадзор отдельным приказом.
Частая ситуация: агрегатор использует зарубежный сервис аналитики поведения пользователей (например, AmplitudeAnalytics или Mixpanel). Данные пользователей — идентификаторы устройств, хэши телефонов, история действий — уходят на сервера в США. Без уведомления РКН это нарушение ст. 12 ФЗ-152. Самостоятельный штраф за непредоставление уведомления — по ч. 10 ст. 13.11 КоАП: 100–300 тыс. ₽, плюс риск квалификации как нарушения локализации.
Если у агрегатора есть зарубежные подрядчики по аналитике или CRM — уведомление о трансграничной передаче, скорее всего, не подано. Это готовое основание для протокола при плановой или внеплановой проверке РКН. Юристы DATUM проверят цепочки передач и подготовят уведомление.
Заказать аудит 152-ФЗКакие нарушения выявляет РКН при проверке агрегаторов: практические сценарии
Сценарий 1. Биометрия водителя без письменного согласия. Компания внедрила фотоверификацию водителей перед выходом на линию. Согласие — встроено в оферту-пользовательское соглашение, отдельного документа нет. РКН при проверке квалифицирует это как нарушение ч. 2 ст. 13.11 КоАП: обработка биометрических ПДн без письменного согласия. Штраф 300–700 тыс. ₽. С 01.09.2025 к нарушению добавляется несоответствие требованиям ФЗ-156 об отдельном документе согласия. Стратегия: переработать форму согласия под требования ст. 9 ФЗ-152 и ст. 11 ФЗ-152 до начала проверки; при уже возбуждённом деле — применить ст. 4.1.1 КоАП (замена на предупреждение для первичных нарушений у субъектов МСП).
Сценарий 2. Реестр оператора не включает фактические направления обработки. Компания уведомила РКН по ст. 22 ФЗ-152 о намерении обрабатывать ПДн пассажиров. Обработку данных водителей (паспорт, ВУ, биометрия) и партнёрских организаций в уведомление не включила. РКН при анализе реестра и сайта выявляет расхождение — это основание для внеплановой проверки и протокола по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Доказательство: публичная оферта для водителей, где перечислены передаваемые документы. Стратегия: скорректировать уведомление через pd.rkn.gov.ru до получения предписания.
Сценарий 3. Утечка данных пассажиров и 24-часовой дедлайн. В результате атаки на инфраструктуру утекла база с 350 000 записей пассажиров. Инцидент обнаружен в 09:00 в понедельник. К 09:00 вторника (24 часа) необходимо направить первичное уведомление в РКН по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187. Через 72 часа — отчёт о результатах расследования. Срок не восстанавливается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Утечка от 100 000 субъектов — дополнительный штраф 10–15 млн ₽ по ч. 14. При наличии предыдущего дела по ст. 13.11 — оборотный штраф по ч. 15. Стратегия: уведомить в установленные сроки, зафиксировать меры реагирования — это влияет на итоговую квалификацию.
Что подготовить агрегатору для соответствия 152-ФЗ
- Обновлённые уведомления в реестре РКН с включением всех категорий субъектов: пассажиры, водители, сотрудники партнёров.
- Отдельные письменные согласия на обработку биометрии водителей по ст. 11 ФЗ-152 и ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025 — самостоятельный документ).
- Договоры поручения обработки ПДн с партнёрскими таксопарками по п. 3 ст. 6 ФЗ-152 с перечнем поручаемых действий и обязательствами о защите.
- Оценка маршрутов передачи данных зарубежным подрядчикам (аналитика, CRM, push) — и уведомления о трансграничной передаче по ст. 12 ФЗ-152.
- Регламент реагирования на инциденты с ПДн: порядок 24-часового уведомления РКН и 72-часового отчёта по Приказу РКН №187.
Как это применяется на практике
Кейс 1. Транспортный агрегатор (Сибирский ФО, 2025) прошёл внеплановую проверку РКН после жалобы бывшего водителя. Проверяющие установили: согласие на фотоверификацию включено в оферту, отдельного документа нет; договор поручения с таксопарком не содержит перечня действий с ПДн. Протоколы по ч. 2 ст. 13.11 (биометрия без согласия) и ч. 1 ст. 13.11 (обработка вне целей). Финансовый директор на стадии арбитражного обжалования привлёк юристов — штраф снизили, применив смягчающие обстоятельства по ст. 4.1 КоАП: компания устранила нарушения до вынесения постановления и первично не привлекалась. Итоговая сумма — в несколько раз ниже максимума.
Кейс 2. Средний агрегатор (Центральный ФО, осень 2025) выявил утечку базы данных пассажиров (около 40 000 записей) через скомпрометированный API партнёрского сервиса. Уведомление в РКН направили за 19 часов, отчёт о расследовании — за 68 часов. РКН возбудил дело по ч. 13 ст. 13.11 КоАП (10 000 — 100 000 субъектов, штраф 5–10 млн ₽). Финансовый директор инициировал сбор доказательной базы: зафиксированы инвестиции в ИБ за предшествующие 3 года. По ст. 4.1 КоАП (примечание 3.4-2) при подтверждении инвестиций ≥ 0,1% выручки размер штрафа снижается до 1/10 минимума, но не менее 15 млн ₽. В данном случае инвестиции оказались ниже порога — штраф назначен в нижней части диапазона с учётом оперативности уведомления.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн агрегатора по 38 пунктам.
- Комплект ОРД под ключ — согласия, договоры поручения, политика, регламент реагирования.
- Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП.
Частые вопросы
1. Можно ли отказать клиенту в обслуживании, если он не даёт согласие на обработку ПДн?
Частично — да. Данные, необходимые для исполнения договора перевозки (имя, телефон, адрес подачи), обрабатываются на основании п. 5 ч. 1 ст. 6 ФЗ-152 без согласия — отказ от их предоставления означает невозможность заключить договор. Но отказывать в заказе такси из-за нежелания клиента дать согласие на рекламную рассылку или передачу данных партнёрам — нельзя: это нарушение принципа соразмерности ст. 5 ФЗ-152. Аналогичная логика применяется к биометрии: отказ от фотоверификации водителя не может быть основанием для блокировки его аккаунта, если верификация не обязательна по закону.
2. Что грозит агрегатору за утечку данных водителей?
Водители — субъекты ПДн. Утечка их данных (паспорт, ВУ, биометрия) квалифицируется по тем же составам ст. 13.11 КоАП, что и утечка данных пассажиров. Если водителей в базе более 10 000 — ч. 13 (5–10 млн ₽). Если более 100 000 — ч. 14 (10–15 млн ₽). Утечка биометрических данных (фото лица при верификации) — дополнительно ч. 17 ст. 13.11 КоАП: 15–20 млн ₽. Оба состава могут вменяться одновременно, поскольку охватывают разные объекты. Помимо административной ответственности — риск уголовного дела по ст. 272.1 УК РФ (введена с 11.12.2024), если будет установлен умысел сотрудника.
3. Нужно ли агрегатору уведомлять РКН отдельно для каждой категории субъектов?
Нет, отдельных уведомлений не требуется. Уведомление по ст. 22 ФЗ-152 подаётся одним документом, но должно охватывать все цели обработки и все категории субъектов. Если агрегатор уведомил только об обработке данных пассажиров, а фактически обрабатывает данные водителей и партнёрских организаций — это расхождение фиксируется при проверке как нарушение ч. 1 ст. 13.11 КоАП. Уведомление корректируется через личный кабинет на pd.rkn.gov.ru.
4. Где должны храниться биометрические данные водителей — в ЕБС или у агрегатора?
Единая биометрическая система (ЕБС по ФЗ-572 от 29.12.2022) предназначена для финансовых услуг и государственных сервисов — банки, МФЦ, госорганы. Для транспортных агрегаторов обязанность хранить биометрию водителей именно в ЕБС законом не установлена. Агрегатор хранит биометрию в собственной ИСПДн при условии соответствия требованиям ст. 19 ФЗ-152 и Приказа ФСТЭК №21. Уровень защищённости ИСПДн с биометрией определяется по ПП РФ №1119 — как правило, УЗ-3 или УЗ-2 в зависимости от типа угроз и числа субъектов.
5. Как оспорить протокол РКН, если нарушение уже зафиксировано?
Протокол об административном правонарушении — не постановление. До вынесения постановления можно представить возражения, документы об устранении нарушений, доказательства инвестиций в ИБ. После вынесения постановления — обжалование в суде (с 28.12.2025 по ФЗ-508 дела рассматривают мировые судьи). Основания для снижения: ст. 4.1 КоАП (смягчающие обстоятельства), ст. 4.1.1 КоАП (замена штрафа предупреждением для МСП при первичном нарушении без вреда — не применяется к оборотным составам ч. 15 и ч. 18). При инвестициях в ИБ ≥ 0,1% выручки за 3 года применяется льгота по примечанию 3.4-2 к ст. 4.1 КоАП.
Итог
Такси-агрегатор — многосоставный оператор с одновременной обработкой данных пассажиров, водителей и партнёров. Каждый блок обработки несёт самостоятельный регуляторный риск: биометрия водителей, геолокация пассажиров, передача данных зарубежным аналитическим сервисам. С 30.05.2025 санкции по ст. 13.11 КоАП кратно выросли — и для агрегатора с десятками миллионов субъектов достижение максимальных порогов при утечке становится вопросом масштаба, а не вероятности.
DATUM сопровождает операторов ПДн в транспортном и смежных секторах с 2014 года в составе практики «Ветров и партнёры»: аудит, ОРД, представление интересов при проверках РКН, защита в арбитраже по ст. 13.11 КоАП.
13 января 2027 года