Обеспечение соответствия мобильного приложения требованиям 152-ФЗ (персональные данные)

TRUETECH занимается разработкой, поддержкой и обслуживанием мобильных приложений iOS, Android, PWA. Имеем большой опыт и экспертизу для публикации мобильных приложений в популярные маркеты Google Play, App Store, Amazon, AppGallery и другие.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Разработка и поддержка любых видов мобильных приложений:
Информационные и развлекательные мобильные приложения
Новостные приложения, игры, справочники, онлайн-каталоги, погодные, фитнес и здоровье, туристические, образовательные, социальные сети и мессенджеры, квиз, блоги и подкасты, форумы, агрегаторы
Мобильные приложения электронной коммерции
Интернет-магазины, B2B-приложения, маркетплейсы, онлайн-обменники, кэшбэк-сервисы, биржи, дропшиппинг-платформы, программы лояльности, доставка еды и товаров, платежные системы
Мобильные приложения для управления бизнес-процессами
CRM-системы, ERP-системы, управление проектами, инструменты для команды продаж, учет финансов, управление производством, логистика и доставка, управление персоналом, системы мониторинга данных
Мобильные приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, платформы предоставления электронных услуг, платформы кешбека, видеохостинги, тематические порталы, платформы онлайн-бронирования и записи, платформы онлайн-торговли

Это лишь некоторые из типы мобильных приложений, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента.

Предлагаемые услуги
Показано 1 из 1 услугВсе 1735 услуг
Обеспечение соответствия мобильного приложения требованиям 152-ФЗ (персональные данные)
Сложная
от 1 недели до 3 месяцев
Часто задаваемые вопросы
Наши компетенции:
Этапы разработки
Последние работы
  • image_mobile-applications_feedme_467_0.webp
    Разработка мобильного приложения для компании FEEDME
    756
  • image_mobile-applications_xoomer_471_0.webp
    Разработка мобильного приложения для компании XOOMER
    624
  • image_mobile-applications_rhl_428_0.webp
    Разработка мобильного приложения для компании RHL
    1054
  • image_mobile-applications_zippy_411_0.webp
    Разработка мобильного приложения для компании ZIPPY
    947
  • image_mobile-applications_affhome_429_0.webp
    Разработка мобильного приложения для компании Affhome
    862
  • image_mobile-applications_flavors_409_0.webp
    Разработка мобильного приложения для компании FLAVORS
    445
Показать больше работ

Обеспечение соответствия мобильного приложения требованиям 152-ФЗ

Роскомнадзор с 2023 года активно штрафует за нарушения 152-ФЗ — и речь не о крупных корпорациях. Мобильные приложения с российскими пользователями попадают под действие закона вне зависимости от юрисдикции разработчика. Ключевое требование, которое чаще всего нарушается технически: персональные данные российских граждан должны первично обрабатываться на серверах в РФ.

Локализация данных — технический аспект

«Первичная обработка на серверах в РФ» означает: запись, хранение, систематизация, накопление, уточнение, извлечение ПД должны происходить в российском дата-центре. Трансграничная передача после первичной обработки допускается — но только в страны с «адекватным уровнем защиты» или при наличии специальных оснований (ст. 12 152-ФЗ).

Для мобильного приложения это означает:

  • Firebase Realtime Database / Firestore с регионом europe-west — не соответствует. Google Cloud Platform в Финляндии — не РФ. Нужен Firebase + GCP us-central1 через VPN не поможет — физическое расположение серверов важно
  • AWS eu-central-1 (Франкфурт) — тоже нет
  • Подходит: Яндекс.Облако, VK Cloud, Сбер Облако, собственные серверы в российских ЦОД (Tier III и выше)

На практике многие команды делают data routing: при регистрации проверяем phone_number (7xx) или geolocation и направляем запрос в российский инстанс. Это рабочая схема, но требует тщательной реализации — данные не должны временно оседать на зарубежных серверах даже в процессе роутинга.

Согласие субъекта персональных данных

152-ФЗ требует явного письменного согласия на обработку ПД. В мобильном приложении «письменная форма» — это электронное согласие с возможностью отзыва. Технические требования:

  • Конкретный перечень обрабатываемых ПД (не «и иные данные»)
  • Цель обработки для каждой категории
  • Срок хранения
  • Перечень третьих лиц, которым передаются данные
  • Способ отзыва согласия

Типичная ошибка: одно большое согласие на всё. РКН считает, что согласие должно быть конкретным. Для продвинутой аналитики и рекламы — отдельное согласие, отдельная кнопка.

data class ConsentItem(
    val purposeCode: String,      // "analytics", "marketing", "profiling"
    val purposeDescription: String,
    val dataCategories: List<String>,
    val retentionDays: Int,
    val thirdParties: List<String>
)

Согласие хранится с timestamp и версией документа. При изменении условий — повторный запрос согласия.

Специальные категории ПД

152-ФЗ выделяет специальные категории, требующие отдельного (явного) согласия: медицинские данные, биометрия, религиозные и политические взгляды, расовая принадлежность, судимости.

Для приложений с биометрической аутентификацией (Face ID, сканер отпечатков) — биометрия используется локально через iOS LocalAuthentication / Android BiometricPrompt. На сервер биометрические шаблоны не уходят. Это важно прописать в Privacy Policy и технически проверить: LAContext.evaluatePolicy() и BiometricManager работают с данными, хранящимися в Secure Enclave / StrongBox — они физически не покидают устройство.

Уведомление РКН

С сентября 2022 года операторы ПД обязаны уведомить РКН до начала обработки персональных данных (ст. 22 152-ФЗ). Исключения есть (данные только для исполнения договора с субъектом), но они узкие. Подача через портал РКН — разовое действие, но при изменении целей обработки нужно обновлять уведомление.

SDK третьих сторон и передача данных

Каждый аналитический или рекламный SDK является третьим лицом — «лицом, осуществляющим обработку ПД по поручению оператора» (ст. 6 п. 3). Нужен договор-поручение с каждым таким партнёром, содержащий:

  • Цели обработки
  • Обязанность хранить ПД в РФ (если SDK передаёт данные за рубеж — отдельное основание)
  • Обязанность соблюдать конфиденциальность

AppMetrica от Яндекса хранит данные в РФ — подходит. Amplitude, Mixpanel — данные в US, нужно либо отдельное согласие с указанием трансграничной передачи, либо EU-инстанс с дополнительным обоснованием.

Права субъектов

Субъект имеет право:

  • Получить информацию об обрабатываемых данных — экран «Мои данные» с ответом в течение 30 дней
  • Уточнить или удалить данные — форма запроса + SLA 7 рабочих дней на ответ
  • Отозвать согласие — немедленно, без объяснения причин

В приложении: раздел «Персональные данные» в настройках профиля с кнопками «Запросить данные», «Исправить данные», «Удалить аккаунт».

Технические и организационные меры защиты

Приказ ФСТЭК №21 и рекомендации РКН требуют:

  • Шифрование ПД при хранении (AES-256) и передаче (TLS 1.2+)
  • Разграничение прав доступа к данным (RBAC на уровне API)
  • Журналирование доступа к ПД
  • Регулярные backup с проверкой восстановления
  • Процедура реагирования на инциденты (утечка → уведомление РКН в течение 24 часов с 2022 года)

В мобильном приложении шифрование sensitive данных в локальном хранилище — EncryptedSharedPreferences (Android) и kSecAttrAccessibleWhenUnlockedThisDeviceOnly в Keychain (iOS).

Сроки

Работы Срок
Аудит текущего состояния + gap analysis 2–3 дня
Consent UI + управление согласиями 3–4 дня
Роутинг данных в российский инстанс 3–7 дней (зависит от инфраструктуры)
Экраны прав субъектов + backend workflow 3–5 дней
Полный compliance с нуля 3–5 недель

Стоимость рассчитывается индивидуально после анализа текущей архитектуры и состава обрабатываемых данных.