Небольшая коробочка размером с роутер висит в магазине. Или в салоне красоты. Или в медицинском центре. Она молча считает людей, фиксирует, сколько времени они проводят у витрины и заходят ли внутрь, отслеживает, возвращаются ли они повторно. Звучит как шпионаж? Нет, это работает WiFi-Радар. Насколько это законно? Давайте разбираться.
Где проходит граница между полезной аналитикой и нарушением 152-ФЗ — и как не оказаться по не ту сторону этой границы?
Являются ли MAC-адреса персональными данными
Чтобы разобраться в этом вопросе, нужно сначала понять логику самого закона — а не пугаться формулировок.
Что говорит 152-ФЗ
Федеральный закон «О персональных данных» определяет ПДн как «любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу». Ключевое слово здесь — «определяемому». То есть закон смотрит не на то, что именно вы собираете, а на то, можно ли по этим сведениям вычислить конкретного человека. Именно эта формулировка определяет правовой статус MAC-адреса — и именно она объясняет, почему ответ зависит от контекста, а не от самого факта сбора.
Что такое MAC-адрес и как его улавливает WiFi-радар
MAC-адрес (Media Access Control Address) — уникальный аппаратный идентификатор сетевого интерфейса. Грубо говоря, это «серийный номер» сетевой карты вашего смартфона, планшета или ноутбука, который присваивается производителем на заводе.
Когда телефон ищет сеть, он постоянно отправляет в эфир короткие служебные сигналы — probe-запросы. В них как раз и содержится этот идентификатор. WiFi-радар пассивно «слушает» эфир и фиксирует такие сигналы. Никакого подключения к сети, никакого взаимодействия с владельцем гаджета не происходит — устройство просто находится в зоне покрытия, и радар это регистрирует.
Позиция Роскомнадзора и юристов
Позиция однозначная: MAC-адрес сам по себе персональными данными не является.
Логика простая. Оператор видит, что гаджет с адресом A4:C3:F0:XX:XX:XX был в торговом зале в среду в 14:23 — но понятия не имеет, кто его владелец, как его зовут и где он живёт. Хорошая аналогия — серийный номер на банкноте. Сам по себе он ничего не говорит о человеке, который держал купюру в руках. MAC-адрес идентифицирует гаджет, а не его хозяина.
Когда MAC-адрес всё-таки становится персональными данными
Вот здесь многие совершают ошибку, и важно не пропустить этот момент.
Аппаратный идентификатор превращается в ПДн в тот момент, когда оператор связывает его с другой информацией, позволяющей установить личность человека. Посмотрите на конкретные примеры:
WiFi-Радар в базовом режиме работает именно с последним вариантом: считает уникальные идентификаторы, измеряет частоту визитов, оценивает конверсию из проходящего трафика в реальных посетителей. Нет привязки к личности — нет и требований 152-ФЗ по обработке ПДн.
Два сценария — два разных правовых режима
Всё дальнейшее зависит от одного вопроса: как именно вы используете WiFi-радар?
Сценарий 1: чистая аналитика без привязки к личности
Если радар используется только для:
- подсчёта пешеходного трафика,
- измерения времени нахождения гаджетов в зоне покрытия,
- анализа частоты визитов,
- оценки конверсии,
— и при этом никакой связки с личностью посетителя нет — вы находитесь вне периметра 152-ФЗ. Оператором ПДн не являетесь. Регистрация в Роскомнадзоре не нужна.
Что нужно соблюдать на практике:
- Не создавать базы, где аппаратный идентификатор явно или неявно сопоставлен с личностью человека.
- Не передавать собранные сведения третьим лицам в форме, позволяющей кого-то идентифицировать.
- Работать с агрегированными отчётами — количество уникальных гаджетов за период, частота повторных визитов, конверсия — а не с индивидуальными профилями.
Кейс из практики
Хороший пример того, как радар может работать полностью в правовом поле, — проект Hot-WiFi совместно с парком беговых лыж. Задача была нестандартная: не внутренняя аналитика, а публичные данные о загруженности трасс в реальном времени прямо на сайте парка.
Радары поставили на въезде на парковку, у входных групп и на популярных трассах. Система фиксирует количество уникальных гаджетов в каждой зоне и показывает загруженность онлайн. Гость может проверить сайт, прежде чем ехать, и спланировать визит так, чтобы не попасть в толпу. Нагрузка на парк распределяется равномернее, лояльность растёт — и всё это без малейших пересечений с законодательством о персональных данных.
Сценарий 2: интеграция с гостевым WiFi и CRM
Ситуация меняется, как только MAC-адрес оказывается рядом с другой информацией о человеке. Достаточно сопоставить аппаратный идентификатор с номером телефона через SMS-авторизацию в гостевой сети, или с email и ФИО из формы регистрации — и вы уже оператор ПДн.
Здесь 152-ФЗ работает в полную силу, и вот что требуется:
1. Уведомить Роскомнадзор — регистрация подаётся через портал РКН до того, как вы начали обрабатывать личную информацию. Не после, не одновременно — до.
2. Разместить политику конфиденциальности — документ должен быть доступен в точке авторизации.
3. Получить явное согласие — при подключении к гостевому WiFi пользователь должен сам поставить галочку или нажать кнопку. Согласие «по умолчанию», без действия со стороны пользователя, закон не признаёт.
4. Обеспечить локализацию данных — личные сведения российских граждан должны храниться на серверах в РФ (ст. 18.1 152-ФЗ). Уточните у своего вендора, где физически находится серверная инфраструктура.
5. Зафиксировать срок хранения — во внутренних нормативных документах вашей компании. По истечении срока информация удаляется или обезличивается.
6. Назначить ответственного — внутри компании должен быть издан приказ о назначении лица, отвечающего за организацию работы с личной информацией граждан.
Как выглядит реальная проверка на соответствие закону
Работа с крупными объектами нередко требует документального подтверждения законности технологии ещё до монтажа оборудования.
Руководитель отдела развития Hot-WiFi Ирина Завгородняя поделилась типичной историей:
«Сеть магазинов Bosco при установке WiFi-радаров в торговых центрах столкнулась с типовым запросом: служба безопасности ТЦ потребовала документацию по собираемым сведениям перед тем, как дать разрешение на монтаж. Мы подготовили техническое описание работы радара — что именно фиксируется, в каком виде хранится, куда передаётся. Поскольку система работала в режиме обезличенной аналитики без привязки аппаратных идентификаторов к личности покупателя, у службы безопасности не возникло возражений. Документация была принята, оборудование установлено в штатном режиме».
Этот кейс хорошо показывает: правовая прозрачность технологии — не формальность, а реальный рабочий инструмент при взаимодействии с арендодателями, партнёрами и регуляторами.
Какие штрафы грозят за нарушение 152-ФЗ
После ужесточения законодательства в 2023–2024 годах суммы санкций выросли существенно, и игнорировать их уже не получится.
Практический чек-лист: проверьте себя прямо сейчас
Если вы уже используете WiFi-радар или только планируете — пройдитесь по этому списку.
1. Определите свой сценарий. Аппаратные идентификаторы используются только для аналитики трафика (сценарий 1) — или вы связываете их с телефоном, email, ФИО посетителей (сценарий 2)?
2. Проверьте, создаётся ли привязка к личности. Есть ли в системе таблица или поле, где MAC-адрес стоит рядом с именем или номером телефона конкретного человека? Если да — вы в сценарии 2.
3. Для сценария 1: убедитесь, что отчёты агрегированы. Количество уникальных гаджетов за период, частота повторных визитов, конверсия — да. Индивидуальные профили аппаратов — нет.
4. Для сценария 2: выполните весь регуляторный комплекс:
- подайте уведомление в РКН до старта обработки ПДн;
- разместите политику конфиденциальности в точке взаимодействия с пользователем;
- настройте форму явного согласия при авторизации;
- узнайте у вендора, где физически хранятся данные;
- зафиксируйте сроки хранения во внутренних документах;
- назначьте ответственного за обработку ПДн приказом по организации.
5. Подготовьте техническую документацию. Описание того, что фиксирует сенсор, как хранятся и куда передаются сведения — пригодится при взаимодействии с арендодателями, службами безопасности ТЦ и регуляторными проверками.
Главное, что нужно запомнить
152-ФЗ не запрещает WiFi-радар — он регулирует работу с информацией, которая позволяет «вычислить» конкретного человека. В базовом аналитическом сценарии MAC-адреса — это просто технические идентификаторы гаджетов для подсчёта трафика. Пока аппаратный адрес не связан с именем, телефоном или другим личным идентификатором — это техническая информация, и 152-ФЗ к ней не применяется. Как только такая связка появляется — вы становитесь оператором ПДн со всеми вытекающими обязательствами. Это не повод отказываться от расширенной функциональности — нужно просто грамотно выстроить архитектуру системы с самого начала.
Если вы не уверены, в каком сценарии работает ваш WiFi-радар, или хотите проверить текущую конфигурацию на соответствие закону — команда Hot-WiFi готова разобрать ваш кейс и помочь выстроить решение, которое даёт нужную аналитику и остаётся в правовом поле.