Privacy Policy для мобильного приложения — обязательный документ: без рабочей публичной ссылки на политику конфиденциальности Apple и Google не пропустят сборку в сторы. В документе описывают, какие данные собирает приложение, для чего, где они хранятся, кому передаются и как пользователь может их удалить — с учётом закона РК № 94-V и GDPR.

Команда Applications.kz с 2007 года вывела в App Store и Google Play более 300 проектов для рынков Казахстана, ОАЭ и Таиланда. Заметная доля отказов модерации, с которыми к нам приходят за помощью, связана не с кодом, а с приватностью: ссылка на политику не открывается, декларация данных не совпадает с реальным поведением SDK, нет кнопки удаления аккаунта. Разберём, как составить документ, который пройдёт ревью с первого раза и не создаст юридических рисков.

Почему без Privacy Policy приложение не опубликуют

С 2018 года Apple требует ссылку на политику конфиденциальности для каждого приложения в App Store Connect — даже если оно формально «ничего не собирает». Требование распространяется и на этап внешнего бета-тестирования в TestFlight: без URL политики внешнюю группу тестировщиков просто не отправить на ревью. Google Play действует так же: ссылка указывается в Play Console и обязана дублироваться внутри приложения.

Модераторы проверяют не только наличие ссылки. Документ должен:

  • открываться без авторизации, с любого устройства, не вести на PDF в облачном диске;
  • быть размещён на домене, который вы контролируете (не на бесплатном генераторе, который завтра закроется);
  • соответствовать тому, что приложение реально делает с данными — включая сторонние SDK аналитики, рекламы и крэш-репортов;
  • совпадать с декларациями App Privacy (Apple) и Data Safety (Google).

Несоответствие любого из пунктов — это отклонение по guideline 5.1.1 у Apple или предупреждение с дедлайном на исправление у Google, вплоть до удаления приложения из каталога.

Что обязательно должно быть в политике конфиденциальности

Универсального шаблона «на все случаи» не существует, но структура рабочего документа стабильна. Минимальный состав разделов:

  1. Оператор данных — юридическое лицо или ИП с реквизитами и контактом для запросов по персональным данным.
  2. Перечень собираемых данных — по категориям: идентификаторы (e-mail, телефон), данные устройства, геолокация, платёжные данные, контент пользователя, диагностика.
  3. Цели обработки — для каждой категории отдельно: авторизация, доставка push-уведомлений, аналитика, маркетинг.
  4. Правовое основание — согласие, исполнение договора, законное требование.
  5. Сторонние получатели — все SDK и сервисы: Firebase, AppMetrica, рекламные сети, платёжные шлюзы, с указанием, какие данные им уходят.
  6. Сроки хранения и география серверов — где физически лежат данные и когда удаляются.
  7. Права пользователя — доступ, исправление, удаление, отзыв согласия, и конкретный механизм реализации (форма, e-mail, кнопка в приложении).
  8. Данные несовершеннолетних — собираете или нет, и как проверяете возраст.
  9. Порядок изменений — как пользователи узнают о новой редакции.

Отдельный пункт, который чаще всего забывают: процедура удаления аккаунта. С июня 2022 года Apple отклоняет приложения с регистрацией, в которых нет инициируемого пользователем удаления аккаунта прямо из интерфейса. Политика должна описывать этот механизм, а приложение — содержать его.

Закон РК «О персональных данных и их защите»: что учесть

Базовый документ для казахстанского рынка — Закон РК от 21 мая 2013 года № 94-V. Если ваше приложение обрабатывает данные граждан Казахстана, ключевые требования такие.

Согласие на сбор и обработку

Согласие должно быть осознанным и подтверждённым действием пользователя: чекбокс при регистрации со ссылкой на политику, а не строчка мелким шрифтом «продолжая, вы соглашаетесь». Пользователь вправе отозвать согласие — в политике опишите, как именно это сделать и что произойдёт с данными после отзыва.

Локализация баз данных

Закон требует, чтобы база, содержащая персональные данные казахстанцев, хранилась на территории республики. На практике это означает: если бэкенд развёрнут на зарубежном облаке, для персональных данных пользователей из РК нужен сервер или реплика в казахстанском дата-центре. Этот момент стоит закладывать в архитектуру на старте — при разработке мобильных приложений мы проектируем хранение данных с учётом локализации ещё до первого спринта, потому что переезд готовой базы обходится заметно дороже.

Ответственность

Нарушения в сфере персональных данных караются по КоАП РК: для юридических лиц штрафы исчисляются сотнями МРП, а при утечках добавляются репутационные потери и предписания регулятора — уполномоченного органа в сфере защиты персональных данных при МЦРИАП. Для приложений банковской, медицинской и государственной тематики проверки строже.

GDPR: когда европейский регламент касается приложения из Казахстана

GDPR действует экстерриториально: он применяется, если вы предлагаете товары или услуги пользователям в ЕС либо отслеживаете их поведение — независимо от того, где зарегистрирована компания. Признаки, по которым регулятор определит «таргетинг на ЕС»: версии приложения на европейских языках, цены в евро, доставка в страны союза, маркетинг на европейскую аудиторию. Само по себе наличие приложения в европейском сторе ещё не означает применимость GDPR, но как только появляются устойчивые пользователи из ЕС — риски становятся реальными.

Что добавляет GDPR к требованиям казахстанского закона:

  • шесть правовых оснований обработки — и для каждой операции нужно выбрать одно конкретное;
  • расширенные права субъекта: переносимость данных, возражение против профилирования, «право быть забытым» в жёсткие сроки (до 30 дней на ответ);
  • уведомление надзорного органа об утечке в течение 72 часов;
  • privacy by design — настройки приватности по умолчанию должны быть максимально щадящими;
  • штрафы до 20 млн евро или 4% мирового оборота.

Практичный подход для приложения, которое выходит на несколько рынков: одна политика, написанная по самому строгому стандарту (GDPR), с разделами-дополнениями для юрисдикций — РК, ОАЭ, Таиланд (там действует собственный закон PDPA). Так документ не придётся переписывать при выходе в новый стор-регион.

Требования Apple и Google в 2026 году: сравнение

Критерий App Store Google Play
Ссылка на политику Обязательна для всех, поле в App Store Connect + внутри приложения Обязательна для всех, Play Console + внутри приложения
Декларация данных App Privacy («privacy labels») — заполняется при сабмите Data Safety — анкета в Play Console
Технический манифест Privacy Manifest (PrivacyInfo.xcprivacy) для приложения и SDK, обязателен с 2024 года Не требуется, но Google сканирует поведение приложения автоматически
Удаление аккаунта Обязательно из интерфейса, если есть регистрация Обязательно: в приложении и по веб-ссылке
Детская аудитория Отдельные правила категории Kids Политика Families, расширенные ограничения рекламы

Частые причины отказа модерации

  • ссылка на политику возвращает 404 или редиректит на главную сайта;
  • privacy labels заявляют «данные не собираются», а в сборке стоит Firebase Analytics или рекламный SDK;
  • в Privacy Manifest не задекларированы required reason API (например, доступ к UserDefaults);
  • политика есть только на английском, а приложение локализовано на русский и казахский — формально это не нарушение, но возражения пользователей и регулятора РК вероятны;
  • после добавления нового SDK декларации не обновили. Сверка политики и privacy-деклараций должна входить в чек-лист при каждом обновлении приложения в сторах — рассинхронизация копится незаметно и всплывает в самый неудобный момент.

Сколько стоит подготовка Privacy Policy в Казахстане

Ориентиры по рынку на 2026 год — вилки зависят от количества интеграций, юрисдикций и наличия чувствительных данных (платежи, медицина, геолокация):

Вариант Стоимость Кому подходит
Онлайн-генератор, шаблон 0 — 20 000 ₸ Пет-проекты без сбора данных; для коммерческих приложений рискованно
Адаптация шаблона под приложение 60 000 — 150 000 ₸ Простые приложения: один рынок, стандартные SDK
Индивидуальная политика (закон РК + GDPR) 150 000 — 400 000 ₸ Приложения с регистрацией, платежами, несколькими рынками
Полный privacy-пакет: политика, согласия, privacy labels, Data Safety, Privacy Manifest 300 000 — 600 000 ₸ Финтех, медицина, маркетплейсы, детские приложения

Экономика простая: один отказ модерации сдвигает релиз на дни, а предписание регулятора или блокировка приложения стоят несоизмеримо дороже аккуратно составленного документа. Корректные privacy labels к тому же работают на конверсию страницы приложения — пользователи всё чаще смотрят на блок «Конфиденциальность» перед установкой, и это уже фактор продвижения приложения, а не только комплаенса.

Applications.kz готовит privacy-пакет как часть выпуска приложения: мы знаем, какие данные реально собирает каждый SDK в вашей сборке, поэтому декларации совпадают с фактическим поведением кода. Напишите нам на +7 (707) 928-13-15 — посчитаем смету за 24 часа.

Частые вопросы

Можно ли использовать бесплатный онлайн-генератор политики?

Для прохождения модерации — иногда да, для юридической защиты — нет. Генераторы не знают про закон РК № 94-V, локализацию баз данных и ваш реальный набор SDK. Типичный сценарий: сгенерированный текст заявляет одно, приложение делает другое, и при первой жалобе пользователя или проверке регулятора расхождение оборачивается против вас. Для коммерческого продукта документ должен писаться под конкретную архитектуру.

Нужна ли политика, если приложение вообще не собирает данные?

Да. Apple и Google требуют ссылку на политику для каждого приложения без исключений. К тому же «не собирает» почти всегда иллюзия: крэш-репорты, идентификаторы устройства, IP-адреса в логах сервера — это уже обработка данных. Честная политика в таком случае получается короткой, но она обязана существовать и быть доступной по постоянному URL.

На каком языке писать политику для приложения в Казахстане?

Минимум — русский; для аудитории РК сильная практика — русский плюс казахский, для модерации сторов и зарубежных рынков добавляется английская версия. Версии должны быть синхронны по содержанию: расхождения между переводами создают юридическую неопределённость. В приложении и сторе указывайте ссылку на страницу с переключателем языков.

Где разместить политику, если у приложения нет сайта?

Достаточно одной статической страницы на собственном домене — её можно развернуть за день. Размещать документ на бесплатных конструкторах или в облачных документах не стоит: ссылка должна быть стабильной годами, открываться без авторизации и не зависеть от стороннего сервиса. Домен и страница политики — часть инфраструктуры релиза, как сертификаты и аккаунты разработчика.

Что будет, если политика не совпадает с реальным поведением приложения?

Три уровня последствий. Сторы: отклонение при ревью или удаление из каталога после жалобы. Регулятор РК: предписание и штраф по КоАП за обработку данных без надлежащего основания. GDPR-юрисдикции: расследование с потенциальными многомиллионными штрафами. Поэтому при каждом добавлении SDK или новой фичи со сбором данных политику и декларации сторов нужно актуализировать одновременно с релизом.