В уведомлении указываются:
1. Категории субъектов
пользователи мобильного приложения (клиенты, заказчики, подписчики и др.);
сотрудники (если у них есть служебное приложение).
2. Категории данных
стандартные ПДн: ФИО, телефон, e-mail;
технические данные: IP-адрес, ID устройства, cookie-идентификаторы (приравниваются к ПДн);
биометрические данные (если есть фото, видео, голос).
3. Источник получения
«от субъектов через мобильное приложение (форма регистрации, личный кабинет, анкеты)».
4. Цели обработки
«предоставление доступа к сервису, обработка заказов, обратная связь, информирование пользователей»;
если используется аналитика и реклама — указать «маркетинг, проведение исследований и рассылок (на основании согласия субъекта)».
5. Основание обработки
согласие пользователя (галочка при установке приложения, политика конфиденциальности);
исполнение договора-оферты (если приложение — сервис).
6. Место хранения
сервер или дата-центр, где расположена база приложения (обязательно в РФ для граждан РФ);
если используется облачный хостинг — указать провайдера и адрес дата-центра.
7. Меры защиты
шифрование каналов связи (HTTPS, TLS);
авторизация и пароли;
двухфакторная аутентификация;
резервное копирование.
Обоснование по законодательству
- ФЗ-152, ст. 22: уведомление подаётся до начала обработки ПДн.
- ФЗ-152, ст. 12: локализация — данные граждан РФ должны храниться в России.
- ФЗ-152, ст. 6: требуется согласие субъекта или договор.
- ФЗ-152, ст. 19: оператор обязан обеспечивать безопасность ПДн, включая мобильные приложения.
Пример формулировки для уведомления
«Категории субъектов: пользователи мобильного приложения (клиенты).
Категории ПДн: ФИО, телефон, e-mail, IP-адрес, ID устройства, cookie.
Источник получения: мобильное приложение через формы регистрации и личный кабинет.
Цели обработки: регистрация и авторизация пользователей, предоставление услуг, обработка заказов, информирование о сервисе.
Основание: согласие субъектов ПДн, договор оферты.
Место хранения: дата-центр на территории РФ (г. Москва, …).
Меры защиты: шифрование каналов связи, пароли, ограничение доступа, резервное копирование.»
Пример из практики
Сервис доставки еды подал уведомление, указав «пользователи мобильного приложения» как отдельную категорию субъектов. В источниках написали «мобильное приложение (формы регистрации)». При проверке Роскомнадзор подтвердил корректность сведений.
Рекомендации и выводы
- Обязательно указывайте мобильное приложение как источник получения ПДн.
- Проверьте, что серверы хранят данные в России.
- В политике конфиденциальности в приложении укажите согласие на обработку ПДн.
- Для push-уведомлений и аналитики используйте отдельное согласие.
