Защита персональных данных пользователей PropTech-сервиса: соответствие 152-ФЗ
PropTech-сервисы — платформы для аренды, купли-продажи недвижимости, управления объектами и ипотечного брокериджа — обрабатывают массивы чувствительных данных: паспортные сведения, финансовые показатели, геолокацию, поведенческие профили. Федеральный закон № 152-ФЗ «О персональных данных» устанавливает жёсткие требования к операторам, а Роскомнадзор с 2022 года резко усилил надзорную активность. Штрафы выросли кратно, а уголовная ответственность за утечки стала реальной. Статья разбирает, как PropTech-компании выстраивают соответствие закону, какие ошибки стоят дороже всего и какая стратегия защиты работает в российских реалиях.
Правовая основа: что именно регулирует 152-ФЗ применительно к PropTech
Закон № 152-ФЗ распространяется на любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. PropTech-платформа, собирающая данные при регистрации, верификации личности, оформлении сделки или ипотечной заявки, автоматически становится оператором персональных данных. Это влечёт полный объём обязанностей: от уведомления Роскомнадзора до обеспечения технической защиты.
Персональные данные в контексте PropTech охватывают несколько категорий. Стандартные — ФИО, дата рождения, паспортные реквизиты, адрес, телефон, e-mail. Специальные — сведения о финансовом положении, кредитной истории, источниках дохода. Биометрические — фотографии для верификации личности, данные Face ID. Каждая категория требует отдельного правового основания для обработки и различного уровня защиты. Смешение категорий в одной форме согласия — типичная ошибка, которая при проверке квалифицируется как нарушение статьи 9 закона.
Многие PropTech-операторы недооценивают, что закон применяется не только к российским гражданам, но и к любым физическим лицам, чьи данные обрабатываются на территории РФ. Иностранный гражданин, арендующий квартиру через российскую платформу, — субъект персональных данных в полном смысле закона. Неочевидный риск возникает при интеграции с зарубежными аналитическими сервисами: передача данных за рубеж требует соблюдения статьи 12 закона и отдельной оценки страны-получателя.
Ключевое разграничение, которое часто игнорируется: обработка данных в интересах третьего лица (например, агентства недвижимости, которому платформа передаёт контакты покупателя) требует либо прямого согласия субъекта на такую передачу, либо заключения договора поручения на обработку по статье 6 закона. Без этого документа платформа несёт солидарную ответственность за действия агентства с переданными данными.
Регистрация оператора и уведомление Роскомнадзора: процедура и подводные камни
Обязанность уведомить Роскомнадзор о намерении осуществлять обработку персональных данных установлена статьёй 22 закона. Уведомление подаётся до начала обработки — не после запуска платформы, не в момент первой сделки, а до. На практике большинство PropTech-стартапов запускают MVP, начинают собирать данные пользователей и только потом вспоминают об уведомлении. Это нарушение фиксируется при первой же проверке.
Форма уведомления включает описание целей обработки, перечень категорий данных, правовые основания, сроки хранения, меры защиты и сведения о трансграничной передаче. Частая ошибка — указывать цели обработки слишком широко («улучшение сервиса», «маркетинг») без конкретизации. Роскомнадзор при проверке сопоставляет реальную практику платформы с заявленными целями. Расхождение трактуется как обработка данных в целях, не предусмотренных уведомлением, — отдельный состав нарушения.
После подачи уведомления оператор вносится в реестр операторов персональных данных. Реестр публичен, и контрагенты — банки, страховщики, агентства — всё чаще проверяют наличие записи перед заключением партнёрских соглашений. Отсутствие в реестре стало де-факто репутационным риском для B2B-сегмента PropTech.
Изменение состава обрабатываемых данных, целей или способов обработки требует подачи уточнённого уведомления. Если платформа добавила биометрическую верификацию или начала передавать данные новому партнёру, реестровая запись должна быть обновлена. Многие операторы этого не делают, накапливая расхождения между реальной практикой и официальными сведениями.
Чтобы получить чек-лист по регистрации оператора персональных данных и уведомлению Роскомнадзора для PropTech-платформы, направьте запрос на info@vitvet.com.
Согласие на обработку данных: структура, форматы и типичные дефекты
Согласие субъекта персональных данных — центральный инструмент легализации обработки. Статья 9 закона предъявляет к нему конкретные требования: конкретность, информированность, сознательность, однозначность. Согласие должно содержать наименование оператора, цель обработки, перечень данных, перечень действий, срок действия и порядок отзыва. Галочка «Я согласен с политикой конфиденциальности» без раскрытия этих элементов не является надлежащим согласием.
PropTech-платформы используют несколько форматов согласия. Электронное согласие при регистрации — наиболее распространённый вариант. Оно допустимо, но должно быть реализовано так, чтобы пользователь мог однозначно идентифицировать, с чем именно он соглашается. Предзаполненная галочка, которую нужно снять для отказа, — нарушение принципа добровольности. Согласие на обработку биометрических данных требует письменной формы или её электронного эквивалента с квалифицированной электронной подписью.
Отдельного согласия требует обработка данных в целях прямого маркетинга — рассылки предложений об объектах, ипотечных продуктах, смежных услугах. Включение маркетинговых целей в общее согласие при регистрации допустимо, но пользователь должен иметь возможность отказаться от маркетинга, не теряя доступа к основному функционалу платформы. Увязывание маркетингового согласия с условием использования сервиса — нарушение статьи 9 закона, которое Роскомнадзор фиксирует при плановых проверках.
Срок хранения согласия и самих данных — отдельная проблема. Закон требует уничтожить данные по достижении цели обработки или по истечении срока, если иное не предусмотрено законом. Для PropTech это означает: данные пользователя, который зарегистрировался, но не совершил сделку, не могут храниться бессрочно. Отсутствие политики хранения и уничтожения данных — один из наиболее частых дефектов, выявляемых при проверках.
Технические и организационные меры защиты: требования и экономика соответствия
Статья 19 закона обязывает оператора принимать необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного доступа, изменения, распространения и уничтожения. Конкретизация этих мер содержится в Постановлении Правительства № 1119 и приказе ФСТЭК № 21. Для PropTech-платформ, обрабатывающих данные широкого круга пользователей, как правило, устанавливается уровень защищённости УЗ-3 или УЗ-2 в зависимости от категорий данных и числа субъектов.
Технические меры включают: шифрование данных при хранении и передаче, разграничение прав доступа, ведение журналов событий, регулярное резервное копирование, защиту от вредоносного программного обеспечения, использование сертифицированных средств криптографической защиты при обработке специальных категорий данных. Неочевидный риск: облачные решения зарубежных провайдеров (AWS, Google Cloud, Azure) формально не соответствуют требованиям об использовании сертифицированных СКЗИ без дополнительной настройки и документирования. Переход на российские облачные платформы или гибридную архитектуру — вынужденная мера для части операторов.
Организационные меры — назначение ответственного за организацию обработки персональных данных, разработка внутренних политик и регламентов, обучение сотрудников, проведение внутренних аудитов. Затраты на первичное выстраивание системы защиты для PropTech-платформы среднего масштаба составляют от 300 000 до 1 500 000 рублей в зависимости от сложности архитектуры и наличия специальных категорий данных. Ежегодное поддержание соответствия — от 150 000 рублей.
Экономика соответствия выглядит иначе, если сравнить её с ценой нарушения. Штраф за утечку персональных данных по статье 13.11 КоАП РФ после реформы 2024 года достигает 15 000 000 рублей для юридических лиц при первичном нарушении и 500 000 000 рублей — при повторном. Уголовная ответственность за незаконный оборот персональных данных введена статьёй 272.1 УК РФ. Инвестиции в соответствие окупаются уже при одном предотвращённом инциденте.
Чтобы получить чек-лист технических и организационных мер защиты персональных данных для PropTech-сервиса, направьте запрос на info@vitvet.com.
Трансграничная передача данных и работа с подрядчиками: зоны повышенного риска
PropTech-платформы активно используют сторонние сервисы: CRM-системы, аналитические инструменты, платёжные шлюзы, сервисы верификации личности, картографические API. Каждый такой сервис, получающий доступ к персональным данным пользователей, является поручителем по обработке в терминах статьи 6 закона. Договор поручения на обработку персональных данных — обязательный документ. Без него платформа несёт ответственность за действия подрядчика как за собственные.
Трансграничная передача данных — отдельный режим с повышенными требованиями. Статья 12 закона разделяет страны на те, которые обеспечивают адекватную защиту (перечень утверждён Роскомнадзором), и остальные. Для передачи данных в страну из второй группы требуется либо согласие субъекта с уведомлением о рисках, либо заключение договора с иностранным получателем, предусматривающего меры защиты, либо иное основание из закрытого перечня статьи 12. Использование зарубежных аналитических сервисов (даже в режиме анонимизированных данных) требует правовой оценки: достаточна ли анонимизация для вывода данных из-под действия закона.
Локализация данных — требование статьи 18.1 закона: при сборе персональных данных российских граждан первичная запись, систематизация, накопление, хранение, уточнение и извлечение должны осуществляться с использованием баз данных, расположенных на территории РФ. Это требование распространяется на PropTech-платформы с иностранными инвесторами или технической инфраструктурой за рубежом. Нарушение локализации — основание для включения в реестр нарушителей и блокировки, что для платформы с мобильным приложением означает удаление из российских магазинов приложений.
Три сценария для разных типов PropTech-бизнеса иллюстрируют различие рисков. Маркетплейс аренды жилья с верификацией через ЕСИА обрабатывает стандартные данные, риски умеренные, затраты на соответствие — от 300 000 рублей. Ипотечный брокер, передающий данные в банки и БКИ, работает со специальными категориями, риски высокие, затраты — от 700 000 рублей, обязателен договор поручения с каждым банком-партнёром. Платформа управления коммерческой недвижимостью с биометрической СКУД обрабатывает биометрические данные, риски максимальные, затраты — от 1 200 000 рублей, требуется письменное согласие каждого субъекта и сертифицированные СКЗИ.
Проверки Роскомнадзора и ответственность: как минимизировать последствия
Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных. Плановые проверки осуществляются на основании ежегодного плана, который публикуется на сайте ведомства. Внеплановые — по жалобам субъектов, по результатам мониторинга, после инцидентов с утечками. PropTech-платформы с большой пользовательской базой попадают в зону повышенного внимания: жалобы пользователей на нежелательные рассылки или несанкционированную передачу данных агентствам — наиболее частый триггер внеплановой проверки.
При обнаружении утечки персональных данных оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а в течение 72 часов — направить расширенное уведомление с результатами внутреннего расследования. Это требование введено поправками 2022 года и на практике выполняется плохо: многие операторы не имеют выстроенных процедур обнаружения и реагирования на инциденты. Пропуск срока уведомления — самостоятельный состав нарушения, который суммируется с ответственностью за саму утечку.
Административная ответственность по статье 13.11 КоАП РФ дифференцирована по составам. Обработка данных без согласия — до 300 000 рублей. Нарушение требований к согласию — до 150 000 рублей. Несоблюдение требований к локализации — до 18 000 000 рублей. Повторные нарушения влекут кратное увеличение санкций. Уголовная ответственность по статье 272.1 УК РФ предусматривает лишение свободы до 10 лет при наступлении тяжких последствий.
Стратегия минимизации рисков при проверке строится на трёх элементах. Первый — документальная готовность: наличие актуальной политики обработки персональных данных, внутренних регламентов, договоров поручения, журналов согласий. Второй — техническая готовность: выстроенные процессы реагирования на инциденты, журналы событий, подтверждающие соблюдение мер защиты. Третий — процедурная готовность: назначенный ответственный, обученный персонал, задокументированные проверки. Отсутствие любого из элементов превращает проверку в источник максимальных санкций.
Часто задаваемые вопросы
Нужно ли получать отдельное согласие на обработку данных, если пользователь авторизуется через Госуслуги (ЕСИА)?
Авторизация через ЕСИА не освобождает оператора от обязанности получить согласие на обработку данных в собственных целях платформы. ЕСИА передаёт данные для идентификации, но дальнейшая обработка — хранение, передача партнёрам, использование в маркетинге — требует самостоятельного правового основания. Согласие при регистрации через ЕСИА должно охватывать все цели, которые платформа преследует после верификации личности. Смешение оснований — «данные получены от ЕСИА, значит, согласие уже есть» — ошибка, которая регулярно фиксируется при проверках.
Можно ли хранить персональные данные пользователей после того, как они удалили аккаунт?
Удаление аккаунта является отзывом согласия на обработку данных в целях использования сервиса. После отзыва оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом или договором. Исключения: данные, которые оператор обязан хранить по требованиям налогового, бухгалтерского или антиотмывочного законодательства. Для PropTech это означает: финансовые документы по завершённым сделкам хранятся в установленные законом сроки, но поведенческие профили, история просмотров и маркетинговые данные подлежат уничтожению. Политика хранения должна разграничивать эти категории.
Что грозит платформе, если утечка данных произошла по вине подрядчика — например, CRM-системы?
Оператор несёт ответственность за действия поручителя, которому передал данные для обработки. Если договор поручения на обработку персональных данных не заключён, ответственность оператора максимальна — он отвечает как за собственные действия. Если договор заключён и в нём предусмотрены обязательства подрядчика по защите данных, оператор вправе предъявить регрессные требования к подрядчику. Однако перед Роскомнадзором и субъектами персональных данных ответственным остаётся оператор. Это означает, что выбор подрядчиков и аудит их систем защиты — часть обязательной due diligence, а не опциональная практика.
Итог: системный подход как единственная работающая стратегия
Соответствие 152-ФЗ для PropTech-сервиса — не разовый проект, а непрерывный процесс. Законодательство меняется: поправки 2022–2024 годов кардинально изменили санкционный режим, и следующий цикл изменений уже обсуждается. Платформа, которая выстроила соответствие «один раз», через год может оказаться в зоне нарушений без каких-либо изменений в собственной практике — только из-за новых требований регулятора.
Системный подход включает четыре уровня: правовой (актуальные документы, согласия, договоры поручения), организационный (назначенный ответственный, регламенты, обучение), технический (меры защиты, соответствующие уровню защищённости) и процедурный (мониторинг инцидентов, реагирование, уведомление регулятора). Слабость любого уровня создаёт уязвимость всей системы.
Упущенная выгода при неправильной стратегии измеряется не только штрафами. Банки и институциональные инвесторы при due diligence PropTech-платформ проверяют соответствие требованиям защиты данных как условие партнёрства. Отсутствие выстроенной системы блокирует привлечение финансирования и выход на корпоративный рынок.
Компания «Ветров и партнёры» сопровождает PropTech-операторов в выстраивании соответствия 152-ФЗ: от аудита текущей практики до защиты интересов при проверках Роскомнадзора и в судах. Практика включает споры о правомерности обработки данных, оспаривание предписаний регулятора и сопровождение инцидентов с утечками. Для получения консультации и чек-листа по соответствию требованиям 152-ФЗ для вашей платформы направьте запрос на info@vitvet.com.
Подписывайтесь на наш телеграм-канал.
Давид Гликштейн, менеджер. Пишу статьи, ищу интересную информацию и предлагаю способы ее практического использования. Верю, что благодаря качественной юридической аналитике клиенты приходят к юридической фирме, а не наоборот. Согласны?
27.03.2026
В случае, если Ваш судебный спор или иной спор, договорная работа или любая другая форма деятельности касается вопросов, рассмотренных в данной или ином нашем материале, рекомендуем проверить и убедиться, что Ваша правовая позиция соответствует последним изменениям практики и законодательству.
Мы будем рады оказать Вам юридическую помощь по поводу минимизации юридических рисков и имеющимся возможностям. Мы постараемся найти решение, подходящее именно для Вас.
Звоните по телефону +7 (383) 310-38-76 или пишите на адрес info@vitvet.com.
