Забезпечення відповідності мобільного додатку вимогам 152-ФЗ (персональні дані)

TRUETECH займається розробкою, підтримкою та обслуговуванням мобільних додатків iOS, Android, PWA. Маємо великий досвід та експертизу для публікації мобільних додатків до популярних маркетів Google Play, App Store, Amazon, AppGallery та інші.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та підтримка будь-яких видів мобільних додатків:

Інформаційні та розважальні мобільні програми
Новинки, ігри, довідники, онлайн-каталоги, погодні, фітнес та здоров'я, туристичні, освітні, соціальні мережі та месенджери, квіз, блоги та подкасти, форуми, агрегатори
Мобільні програми електронної комерції
Інтернет-магазини, B2B-додатки, маркетплейси, онлайн-обмінники, кешбек-сервіси, біржі, дропшиппінг-платформи, програми лояльності, доставка їжі та товарів, платіжні системи
Мобільні програми для управління бізнес-процесами
CRM-системи, ERP-системи, управління проектами, інструменти для команди продажів, облік фінансів, управління виробництвом, логістика та доставка, управління персоналом, системи моніторингу даних
Мобільні програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, платформи надання електронних послуг, платформи кешбеку, відеохостинги, тематичні портали, платформи онлайн-бронювання та запису, платформи онлайн-торгівлі

Це лише деякі з типів мобільних додатків, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Послуги, які ми пропонуємо
Показано 1 з 1Усі 1735 послуг
Забезпечення відповідності мобільного додатку вимогам 152-ФЗ (персональні дані)
Складний
від 1 тижня до 3 місяців
Часті запитання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_mobile-applications_feedme_467_0.webp
    Розробка мобільного додатка для компанії FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Розробка мобільного додатку для компанії XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Розробка мобільного додатку для компанії RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Розробка мобільного додатку для компанії ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Розробка мобільного додатку для компанії Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Розробка мобільного додатку для компанії FLAVORS
    495
Показати більше робіт

Забезпечення відповідності мобільного додатку вимогам 152-ФЗ

З 2023 року Роскомнадзор активно штрафує за нарушення 152-ФЗ — та мова не лише про великі корпорації. Мобільні додатки з російськими користувачами потрапляють під дію закону незалежно від юрисдикції розробника. Ключова вимога, яка найчастіше нарушається технічно: персональні дані російських громадян мають первинно обробляватися на серверах у РФ.

Локалізація даних — технічний аспект

«Первинна обробка на серверах у РФ» означає: запис, зберігання, систематизація, накопичення, уточнення, вилучення ПД мають відбуватися в російському дата-центрі. Трансграничная передача після первинної обробки допускається — але тільки в країни з «адекватним рівнем захисту» або при спеціальних основах (ст. 12 152-ФЗ).

Для мобільного додатку це означає:

  • Firebase Realtime Database / Firestore з регіоном europe-west — не відповідає. Google Cloud Platform у Фінляндії — не РФ. Потрібен Firebase + GCP us-central1 через VPN не допоможе — фізичне розташування серверів важливо
  • AWS eu-central-1 (Франкфурт) — теж ні
  • Підходять: Яндекс.Облако, VK Cloud, Сбер Облако, власні сервери в російських ЦОД (Tier III та вище)

На практиці багато команд роблять data routing: при реєстрації перевіряємо phone_number (7хх) або geolocation та спрямовуємо запит в російський інстанс. Це робочої схема, але вимагає ретельної реалізації — дані не мають тимчасово осідати на зарубіжних серверах навіть в процесі роутингу.

Згода суб'єкта персональних даних

152-ФЗ вимагає явної письмової згоди на обробку ПД. У мобільному додатку «письмова форма» — це електронне согласие з можливістю відозвання. Технічні вимоги:

  • Конкретний перелік оброблюваних ПД (не «та інші дані»)
  • Мета обробки для кожної категорії
  • Сроком зберігання
  • Перелік третіх осіб, яким передаються дані
  • Способ відозвання згоди

Типова помилка: одне велике согласие на все. РКН вважає, що согласие має бути конкретним. Для продвинутої аналітики та реклами — окремо согласие, окремо кнопка.

data class ConsentItem(
    val purposeCode: String,      // "analytics", "marketing", "profiling"
    val purposeDescription: String,
    val dataCategories: List<String>,
    val retentionDays: Int,
    val thirdParties: List<String>
)

Согласие зберігається з timestamp та версією документу. При зміні умов — повторний запит згоди.

Спеціальні категорії ПД

152-ФЗ виділяє спеціальні категорії, що вимагають окремого (явного) согласия: медичні дані, біометрія, релігійні та політичні погляди, расова приналежність, судимості.

Для додатків із біометричною аутентифікацією (Face ID, сканер відбитків) — біометрія використовується локально через iOS LocalAuthentication / Android BiometricPrompt. На сервер біометричні шаблони не йдуть. Це важливо прописати у Privacy Policy та технічно перевірити: LAContext.evaluatePolicy() та BiometricManager працюють з даними, що зберігаються в Secure Enclave / StrongBox — вони фізично не покидають пристрій.

Уведомлення РКН

З вересня 2022 року оператори ПД зобов'язані повідомити РКН до початку обробки персональних даних (ст. 22 152-ФЗ). Виключення є (дані тільки для виконання договору з суб'єктом), але вони вузькі. Подача через портал РКН — разова дія, але при зміні цілей обробки потрібно оновлювати повідомлення.

SDK третіх сторін та передача даних

Кожен аналітичний або рекламний SDK є третьою стороною — «особою, що здійснює обробку ПД за поручением оператора» (ст. 6 п. 3). Потрібен договір-поручение з кожним таким партнером, що містить:

  • Цілі обробки
  • Обов'язок зберігати ПД у РФ (якщо SDK передає дані за кордон — окремо основу)
  • Обов'язок дотримуватися конфіденційності

AppMetrica від Яндекса зберігає дані в РФ — підходить. Amplitude, Mixpanel — дані у US, потрібно або окремо согласие з указанием трансграничной передачи, або EU-інстанс з додатковим обґрунтуванням.

Права суб'єктів

Суб'єкт має право на:

  • Отримати інформацію про оброблювані дані — екран «Мої дані» з відповіддю протягом 30 днів
  • Уточнити або видалити дані — форма запиту + SLA 7 робочих днів на відповідь
  • Відозвати согласие — негайно, без пояснення причин

У додатку: розділ «Персональні дані» у настройках профілю з кнопками «Запросити дані», «Виправити дані», «Видалити аккаунт».

Технічні та організаційні заходи захисту

Наказ ФСТЕК №21 та рекомендації РКН вимагають:

  • Шифрування ПД при зберіганні (AES-256) та передачі (TLS 1.2+)
  • Розграничення прав доступу до даних (RBAC на рівні API)
  • Журналювання доступу до ПД
  • Регулярні backup з перевіркою відновлення
  • Процедура реагування на інциденти (витік → повідомлення РКН протягом 24 годин з 2022 року)

У мобільному додатку шифруємо чутливі дані в локальному сховищі — EncryptedSharedPreferences (Android) та kSecAttrAccessibleWhenUnlockedThisDeviceOnly у Keychain (iOS).

Терміни

Роботи Срок
Аудит поточного стану + gap analysis 2–3 дні
Consent UI + управління согласиями 3–4 дні
Роутинг даних в російський інстанс 3–7 днів (залежить від інфраструктури)
Екрани прав суб'єктів + backend workflow 3–5 днів
Повний compliance з нуля 3–5 тижнів

Стоимость рассчитывается індивідуально після аналізу поточної архітектури та складу оброблюваних даних.