аналитика 1 июня 2026 По состоянию на 1 июня 2026

Велопрокат и ПДн

Велопрокат — оператор персональных данных с требованиями 152-ФЗ: согласия, уведомление РКН, защита от утечек и штрафов до 15 млн ₽.

Сервисы велопроката собирают ФИО, телефоны, платёжные данные и геолокацию. Это полноценная обработка ПДн с основаниями по ст. 6 и ст. 9 152-ФЗ. Утечка от 10 000 субъектов — штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП с 30.05.2025.

Если финдиректор велопрокатного сервиса не видит в бюджете расходов на комплаенс по ПДн — самое время оценить стоимость штрафа против стоимости аудита. → ниже

Рынок велопроката перешёл на мобильные приложения и безналичную оплату: сервис собирает данные каждого пользователя при регистрации, оплате, поездке. С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно — утечка базы в 10 000 клиентов обходится юрлицу минимум в 5 млн ₽. Для финдиректора это прямые убытки, не страхуемые без предварительного комплаенса. В материале — какие данные собирает велопрокат, на каких основаниях, какие риски несёт и как ими управлять.

Какие персональные данные собирает велопрокат и на каком основании?

При регистрации в приложении велопроката пользователь передаёт минимум три категории ПДн: идентификационные (ФИО, телефон, email), платёжные (номер карты через платёжного агента или банк) и поведенческие (геолокация во время поездки, история аренды). Все три категории подпадают под понятие персональных данных из ст. 3 152-ФЗ.

Основание обработки в большинстве случаев — исполнение договора аренды, который заключается через оферту в приложении (п. 5 ч. 1 ст. 6 152-ФЗ). Геолокация в реальном времени, рекламные рассылки и передача данных партнёрам требуют отдельного согласия субъекта по ст. 9 152-ФЗ. С 01.09.2025 это согласие оформляется отдельным документом — встроить его в пользовательское соглашение или оферту больше нельзя (ФЗ-156 от 24.06.2025).

«Ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку персональных данных оформляется в виде отдельного документа и не может объединяться с договором, офертой или политикой конфиденциальности.»

Если велопрокат передаёт данные страховой компании, банку-эквайеру или рекламной платформе — каждая такая передача требует либо самостоятельного правового основания, либо договора поручения обработки по п. 3 ст. 6 152-ФЗ. Отсутствие такого договора при проверке РКН — типовое нарушение, фиксируемое по ч. 1 ст. 13.11 КоАП.

Не уверены, на каком основании обрабатываете данные клиентов?

Если финдиректор велопрокатного сервиса не видит в бюджете строки «комплаенс по ПДн» — это сигнал: основания обработки не выстроены, согласия не актуализированы, договоры с подрядчиками не закрывают ответственность. Штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия — до 700 000 ₽ за каждый эпизод. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что изменилось в требованиях к операторам после 30.05.2025?

ФЗ-420 от 30.11.2024 радикально пересмотрел санкции по ст. 13.11 КоАП: статья расширена с 9 до 18 частей, введены оборотные штрафы за повторные утечки. Для велопрокатного сервиса с клиентской базой от 10 000 пользователей — а у городского велопроката она как правило именно такова — это меняет расчёт рисков.

Утечка данных от 1 000 до 10 000 субъектов влечёт штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Утечка от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Повторная утечка в течение года — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ч. 15 ст. 13.11 КоАП (в ред. с 30.05.2025): при повторном нарушении по ч. 12–14 штраф составляет от 1 до 3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽.»

Дополнительно: неуведомление РКН об утечке в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 152-ФЗ) — отдельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Велопрокатные платформы, как правило, не имеют выстроенного процесса реагирования на инциденты, что автоматически добавляет этот штраф к основному.

Что подготовить велопрокату для соответствия 152-ФЗ

Уведомление о намерении обрабатывать ПДн — подано в РКН через pd.rkn.gov.ru до начала обработки (ст. 22 152-ФЗ); неподача — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11
Политика конфиденциальности — опубликована на сайте и в приложении, содержит обязательные разделы по ч. 2 ст. 18.1 152-ФЗ; отсутствие — штраф 30–60 тыс. ₽ по ч. 3 ст. 13.11
Отдельные согласия на обработку ПДн — по форме ст. 9 152-ФЗ в редакции ФЗ-156, не встроенные в оферту; обязательно с 01.09.2025
Договоры поручения обработки — с каждым подрядчиком, получающим ПДн клиентов (эквайер, SMS-агрегатор, аналитика), по п. 3 ст. 6 152-ФЗ
Регламент реагирования на утечку — с фиксацией момента обнаружения и процедурой уведомления РКН за 24/72 часа по Приказу РКН №187

Как велопрокат соотносится с финтех-требованиями: БКИ, скоринг, ЕБС?

Крупные велопрокатные платформы всё чаще интегрируются с финансовыми инструментами: постоплата, кредитный лимит на поездки, интеграция с банковскими приложениями. Как только сервис начинает запрашивать данные из БКИ (даже через банк-партнёр) или использует скоринговые модели — он попадает в регуляторное поле финансовых операторов ПДн.

Скоринг на основе данных о поведении пользователя (частота поездок, география, история задолженностей) формально является автоматизированным принятием решений в отношении субъекта. Ст. 16 152-ФЗ обязывает оператора уведомить субъекта о таком решении и обеспечить право на возражение. Нарушение — основание для жалобы субъекта в РКН и возбуждения дела.

Если велопрокат использует биометрию для идентификации — например, сканирование лица при разблокировке велосипеда через приложение — это обработка биометрических ПДн по ст. 11 152-ФЗ. Без письменного согласия субъекта она запрещена. Нарушение с 30.05.2025 квалифицируется по ч. 16 ст. 13.11 КоАП. Хранение биометрии вне Единой биометрической системы (ЕБС) регулируется ФЗ-572 от 29.12.2022 — с 01.06.2023 исходная биометрия должна размещаться в ГИС ЕБС, оператором которой выступает АО «Центр Биометрических Технологий».

Если финдиректор видит в roadmap интеграцию с банком или скоринг — это точка входа в финтех-регулирование. Аудит ПДн до запуска обходится дешевле, чем штраф после проверки РКН. Срок включения в реестр операторов после уведомления — 30 дней (ч. 4 ст. 22 152-ФЗ); работать без уведомления нельзя.

Заказать аудит 152-ФЗ

Типовые сценарии нарушений и их последствия для велопроката

Практика проверок РКН показывает три устойчивых сценария для операторов с мобильными приложениями в сфере шеринговых сервисов.

Сценарий 1. Утечка базы через подрядчика. Велопрокатный сервис передаёт данные клиентов SMS-агрегатору без договора поручения. Агрегатор допускает утечку 15 000 записей. РКН возбуждает дело против велопроката как оператора — ответственность оператора за действия обработчика подтверждена судебной практикой. Квалификация — ч. 13 ст. 13.11 КоАП, штраф 5–10 млн ₽. Отсутствие договора поручения исключает возможность переложить ответственность на подрядчика. Стратегия: заключить договоры поручения до передачи данных, прописать обязанность подрядчика уведомлять об инцидентах.

Сценарий 2. Обработка геолокации без отдельного согласия. Приложение отслеживает геопозицию пользователя в фоновом режиме — данные используются для аналитики и таргетированной рекламы. Согласие встроено в оферту. С 01.09.2025 такое согласие недействительно по ФЗ-156. РКН по жалобе пользователя возбуждает дело по ч. 2 ст. 13.11 КоАП — штраф 300–700 тыс. ₽. При повторном нарушении (ч. 2.1) — 1–1,5 млн ₽. Стратегия: до 01.09.2025 переработать форму согласия, вынести её отдельным экраном в приложении.

Сценарий 3. Неуведомление РКН об утечке в 24 часа. Велопрокат обнаруживает утечку в пятницу вечером. Юриста нет, процедуры нет. Уведомление направляется в понедельник — спустя 60 часов. РКН фиксирует нарушение ч. 3.1 ст. 21 152-ФЗ. Штраф по ч. 11 ст. 13.11 КоАП — 1–3 млн ₽ дополнительно к штрафу за саму утечку. Срок 24 часа не восстанавливается. Стратегия: утвердить регламент реагирования с дежурным контактом юриста, подключить DPO-аутсорсинг.

Как это применяется на практике

Кейс 1. Шеринговый сервис (Центральный ФО, осень 2025) обнаружил утечку 8 200 записей клиентов через уязвимость в API мобильного приложения. Финдиректор оценил риск как минимальный — «только телефоны». РКН квалифицировал нарушение по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов). Штраф составил несколько миллионов рублей. Дополнительно возбуждено дело по ч. 11 за нарушение срока уведомления — уведомление поступило через 48 часов после обнаружения. Совокупные расходы превысили стоимость годового DPO-аутсорсинга в несколько раз.

Кейс 2. Городской велопрокат (Северо-Западный ФО, начало 2026) прошёл плановую проверку РКН. Компания заблаговременно провела аудит: актуализировала уведомление в реестре, переработала согласия по форме ФЗ-156, заключила договоры поручения с тремя подрядчиками. По итогам проверки РКН выдал предписание об устранении двух незначительных нарушений — отсутствовал журнал учёта обращений субъектов. Административного протокола не последовало. Финдиректор зафиксировал: расходы на подготовку составили менее 200 тыс. ₽, риск штрафа — до 10 млн ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, согласий, договоров с подрядчиками
Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП

Частые вопросы

1. Нужно ли велопрокату уведомлять РКН, если данные собираются только через приложение?

Да, обязательно. Ст. 22 152-ФЗ не делает исключений для канала сбора данных. Оператор обязан уведомить РКН до начала обработки ПДн вне зависимости от того, используется ли сайт, приложение или офлайн-форма. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП. Уведомление подаётся через pd.rkn.gov.ru с использованием УКЭП или через ЕСИА.

2. Что грозит сервису за утечку базы клиентов велопроката?

Размер штрафа зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 человек — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Более 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке в течение года — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Плюс отдельный штраф 1–3 млн ₽ за нарушение срока уведомления РКН (ч. 11).

3. Нужно ли отдельное согласие на геолокацию в приложении?

Да. Геолокация в реальном времени не вытекает из договора аренды — это самостоятельная цель обработки. С 01.09.2025 такое согласие оформляется отдельным документом по ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025. Встроить его в оферту или пользовательское соглашение нельзя. Обработка без надлежащего согласия — штраф 300–700 тыс. ₽ по ч. 2 ст. 13.11 КоАП.

4. Кто отвечает за утечку, если данные утекли через подрядчика?

Оператор — то есть велопрокатный сервис. Судебная практика подтверждает: передача данных обработчику не снимает ответственности с оператора. Единственный способ частично перераспределить риск — заключить договор поручения обработки по п. 3 ст. 6 152-ФЗ с условием об уведомлении оператора об инцидентах. Без такого договора передача данных подрядчику сама по себе является нарушением ч. 1 ст. 13.11 КоАП.

5. Как финдиректору рассчитать бюджет на комплаенс по ПДн?

Базовый расчёт: аудит соответствия 152-ФЗ — от 100 000 ₽, подготовка комплекта ОРД — от 45 000 ₽, DPO-аутсорсинг — от 30 000 ₽ в месяц. Совокупная стоимость готовности — 200–400 тыс. ₽ в год. Для сравнения: минимальный штраф при утечке базы от 1 000 субъектов по ч. 12 ст. 13.11 КоАП — 3 млн ₽. Оборотный штраф при повторной утечке — не менее 20 млн ₽. Арифметика бюджета однозначна.

Итог

Велопрокат — полноценный оператор персональных данных с типовым набором рисков: обработка без надлежащих оснований, устаревшие согласия, отсутствие договоров с подрядчиками, неготовность к реагированию на утечку. С 30.05.2025 штрафы по ст. 13.11 КоАП сделали эти риски финансово значимыми для любого масштаба бизнеса.

DATUM сопровождает операторов ПДн в сфере шеринговых и мобильных сервисов: от аудита до защиты в арбитраже при штрафе. Практика «Ветров и партнёры» по 152-ФЗ формируется с 2014 года.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

1 июня 2026 года