Таргетинг по геолокации и биометрии в российском праве

Рекламные технологии становятся всё точнее. Если раньше маркетологи работали в основном с cookie и контекстной рекламой, то сегодня на первый план выходят данные о местоположении пользователей и даже биометрия.

Примеры знакомы каждому: включил навигатор — получил рекламу ближайшего кафе; открыл сайт с доступом к геолокации — увидел баннер магазина поблизости; искал «аптека возле дома» — и рекламные сети начали догонять баннерами.

Для бизнеса это выглядит как будущее рекламы, но для юристов это зона повышенного риска. В России геолокация приравнена к персональным данным, а биометрия — к особой категории, использование которой в коммерческих целях фактически заблокировано.

1. Геолокация: возможна, но с оговорками 1.1. Правовой статус

Федеральный закон № 152-ФЗ «О персональных данных» прямо не упоминает термин «геолокация». Однако в разъяснениях Роскомнадзора сведения о местоположении пользователя рассматриваются как персональные данные, так как они позволяют прямо или косвенно идентифицировать личность.

1.2. Условия обработки -Необходимо согласие субъекта (ст. 6, 9 152-ФЗ). -Согласие должно быть конкретным: «для показа рекламных сообщений с учётом вашего местоположения». -Если данные передаются сторонним рекламным сетям, это также должно быть отражено в согласии.

1.3. Практика использования Реальные сценарии применения геолокации в рекламе в России:

Навигаторы и карты (Яндекс.Карты, Google Maps) показывают рекламу ближайших сервисов и заведений.
Сайты и приложения используют геоданные при включённом доступе, чтобы персонализировать баннеры.
Cookies и рекламные идентификаторы (IDFA/GAID) позволяют связать поисковые запросы с локацией и подставлять релевантные объявления.

Эксперименты с Wi-Fi-аналитикой в торговых центрах или данными операторов есть, но массово бизнес работает через связку «куки + геолокация из приложений».

2. Биометрия: фактически запретная зона 2.1. Правовой статус Биометрические данные регулируются Федеральным законом № 152-ФЗ «О персональных данных». Существенные изменения внёс Федеральный закон от 29.12.2022 № 572-ФЗ, вступивший в силу с 1 марта 2023 года.

В законе закреплено, что биометрические данные относятся к особой категории персональных данных, а их обработка возможна только при выполнении жёстких условий. К ним относятся изображение лица, отпечатки пальцев, голос, радужка глаза и другие характеристики.

2.2. Требования

Только письменное согласие субъекта (ст. 9 152-ФЗ).

Хранение и обработка — преимущественно через Единую биометрическую систему (ЕБС), управляемую государством.

Использование в коммерческих целях (например, для рекламы) противоречит закону: цели должны быть социально значимыми — идентификация, безопасность, доступ к услугам.

2.3. Вывод

На практике биометрический таргетинг в рекламе в России невозможен. Даже при наличии согласия обработка должна идти через ЕБС, а для маркетинга такие данные использовать нельзя. Нарушение грозит административными штрафами (до 6 млн ₽) и гражданскими исками за вмешательство в частную жизнь.

3. Ответственность за нарушение правил обработки геолокации

Прямых публичных кейсов наказаний именно за таргетинг с использованием геолокации пока не было. Однако практика применения закона показывает:

Административная ответственность (ст. 13.11 КоАП РФ) — штрафы до 500 тыс. ₽ для юрлиц за обработку персональных данных без согласия.

Уголовная ответственность (ст. 272.1 УК РФ) — за неправомерный доступ к персональным данным, включая геолокацию, возможен штраф до 3 млн ₽ или лишение свободы до 4 лет.

Гражданско-правовая ответственность — иски пользователей за вмешательство в частную жизнь и незаконное распространение информации о местоположении.

Таким образом, даже без «громких» дел в сфере рекламы, использование геолокации без согласия несёт прямые юридические риски.

4. Утечки персональных данных: реальные примеры

4.1. Крупные кейсы -Ситимобил (2021) — утечка данных 6,7 млн клиентов, штраф 10–15 млн ₽【1】. -СберКлиник (2022) — утечка медицинских карт (специальная категория данных), штраф до 15 млн ₽【1】. -ДомКлик — утечка 17,5 млн записей. — «Билайн» — утечка 40 млн номеров, штраф 10–15 млн ₽【1】. — Альфа-Банк — попытка продажи кредитных историй 800 тыс. клиентов, штраф до 20 млн ₽【1】.

4.2. Новые размеры штрафов (с мая 2025)

До 5 млн ₽ за утечку до 10 тыс. записей.
До 10 млн ₽ — за 10–100 тыс. записей.
До 15 млн ₽ — за более 100 тыс. записей.
До 20 млн ₽ — за биометрию и медицинские данные【2】.

При повторных нарушениях возможны оборотные штрафы — от 1 % выручки, но не менее 20 млн ₽.

4.3. Утечка биометрии из НИИ «Восход»

В марте 2023 года СМИ сообщили о возможной утечке биометрических данных из НИИ «Восход» (подведомственного Минцифры), где хранится инфраструктура электронных паспортов. По слухам, затронуты данные, собираемые с 2006 года. Минцифры опровергло факт утечки, заявив, что биометрия хранится в зашифрованном виде, а ключи — в Гознаке. Тем не менее сам резонанс показал, насколько остро общество реагирует на риски с биометрией【3】.

5. Как компании защищаются

DLP-системы — контроль за утечками через почту, мессенджеры и носители.

Шифрование и анонимизация — обезличенные данные не подпадают под 152-ФЗ.

Политика доступа — минимизация числа сотрудников, работающих с «сырыми» данными.

Аудит и тестирование — проверки согласий, уязвимостей, пентесты.

Обучение персонала — до 70 % утечек связаны с ошибками сотрудников.

Документирование — наличие рабочих политик снижает санкции при проверках.

Заключение

Геолокационный таргетинг в России — инструмент условно допустимый, но при строгом соблюдении требований 152-ФЗ. Биометрический таргетинг остаётся в «красной зоне»: согласие не спасает, поскольку законодатель прямо ограничивает его использование.

Для бизнеса главный принцип звучит просто: нет согласия — нет таргетинга. И в ближайшие годы правила станут только жёстче, так что выигрывать будут те компании, кто изначально строит процессы в белую.

Источники:

1. 5corners.ru. Крупнейшие утечки персональных данных в России. URL: https://5corners.ru/bezopasnost_v_bitrix24/tpost/xg2kdckd81-krupneishie-utechki-personalnih-dannih-v

2. Pravo.ru. За утечку персональных данных компании будут платить до 20 млн ₽. URL: https://pravo.ru/news/258973/

3. Forbes.ru. Минцифры опровергло утечку данных из подведомственного НИИ «Восход». URL: https://www.forbes.ru/tekhnologii/485768-mincifry-oproverglo-utecku-dannyh-iz-podvedomstvennogo-nii-voshod