аналитика 28 января 2029 По состоянию на 28 января 2029

Аренда жилья (Авито, Циан) и ПДн

Q: Какое правовое основание обработки ПДн применяет банк при скоринге арендатора?

Банк, проводящий кредитный скоринг, опирается на несколько оснований. Запрос в БКИ — согласие субъекта по ФЗ-218, оформленное отдельно. Обработка в целях идентификации по ФЗ-115 — исполнение требований законодательства (п. 2 ст. 6 ФЗ-152), согласие не требуется. Автоматизированные решения при наличии юридических последствий для субъекта регулируются ст. 16 ФЗ-152: субъект вправе потребовать пересмотра решения человеком.

Платформы аренды жилья — Авито, Циан и их аналоги — обрабатывают персональные данные миллионов арендаторов и арендодателей: паспортные данные, телефоны, сведения о доходах, а в ряде случаев — скоринговые данные через интеграции с БКИ и банками.

С 30.05.2025 утечка данных от 1 000 субъектов означает штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП; повторное нарушение запускает оборотный штраф по ч. 15 — до 500 млн ₽. Финансовые директора платформ и финтех-сервисов в сегменте PropTech фиксируют новую строку в бюджете рисков.

→ Если вы финдиректор PropTech- или финтех-компании, работающей в сегменте аренды, и не уверены, что обработка ПДн выстроена под редакцию ФЗ-420, — ниже конкретные нормы, суммы и сценарии.

Рынок аренды жилья в России давно перешёл в цифру: Авито, Циан, Домклик и десятки меньших платформ обрабатывают персональные данные арендаторов при регистрации, верификации личности, кредитном скоринге и заключении договора. К этой цепочке подключены МФО, банки, БКИ и сервисы идентификации по ФЗ-115. Каждый из участников несёт самостоятельную ответственность оператора по ФЗ-152. С 30.05.2025 санкции за нарушения кратно выросли. В этом материале — правовая карта обработки ПДн в аренде и расчёт финансовых последствий для финдиректора.

Какие персональные данные обрабатываются при аренде жилья?

Стандартный цикл аренды через онлайн-платформу включает несколько слоёв обработки ПДн. При регистрации — имя, телефон, email, иногда паспортные данные. При верификации арендатора — паспорт, ИНН, СНИЛС, сведения о занятости и доходах. При интеграции с кредитным скорингом — запрос в БКИ по ФЗ-218, где согласие субъекта на запрос является самостоятельным правовым основанием. При подписании договора через УКЭП или ПЭП — данные для идентификации по ФЗ-63.

Отдельный блок — биометрия. Если платформа использует распознавание лица для верификации личности арендатора (сравнение с фото паспорта), это биометрические ПДн по ст. 11 ФЗ-152. Обработка биометрии без письменного согласия субъекта запрещена по общему правилу. Хранение биометрии вне Единой биометрической системы (ЕБС) для финансовых операций регулируется ФЗ-572 от 29.12.2022. Банк или МФО, интегрированные в платформу, обязаны размещать биометрию пользователей исключительно в ЕБС.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом. Ст. 572-ФЗ — финансовые организации обязаны использовать ЕБС для биометрической идентификации клиентов; хранение исходной биометрии вне ЕБС запрещено с 01.06.2023.»

Важно разграничить роли участников цепочки. Платформа (Авито, Циан) — оператор ПДн по ст. 3 ФЗ-152, определяющий цели и способы обработки. Банк или МФО, получающий данные для скоринга, — самостоятельный оператор. Если платформа передаёт данные банку по его запросу — это не поручение обработки по п. 3 ст. 6 ФЗ-152, а передача третьему лицу, требующая самостоятельного правового основания. Отсутствие такого основания — нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽.

Как ФЗ-218 о БКИ и ст. 16 ФЗ-152 о скоринге применяются в аренде?

Кредитный скоринг арендатора — распространённая практика на PropTech-платформах. Платформа или аффилированный банк запрашивает кредитную историю субъекта в БКИ для оценки платёжеспособности. По ФЗ-218 от 30.12.2004 запрос в БКИ требует письменного согласия субъекта, оформленного отдельно от иных согласий. Срок хранения кредитной истории в БКИ — 7 лет с момента последней записи.

Ст. 16 ФЗ-152 регулирует автоматизированные решения, принятые исключительно на основе обработки ПДн (в том числе скоринговые модели), которые влекут юридические последствия для субъекта. Если платформа автоматически отказывает арендатору в размещении объявления или в доступе к объекту на основе скоринга — субъект вправе потребовать рассмотрения решения человеком. Оператор обязан предусмотреть такую процедуру. Её отсутствие в документации — нарушение ст. 16, которое фиксируется при проверке РКН.

«Ст. 16 ФЗ-152 — если решение, влекущее юридические последствия для субъекта, принято исключительно на основе автоматизированной обработки ПДн (скоринг, алгоритмическая фильтрация), субъект вправе потребовать пересмотра с участием человека. Оператор обязан обеспечить такую возможность.»

Для МФО, интегрированных в PropTech-платформы, добавляется требование ФЗ-115 об идентификации клиентов. Объём собираемых ПДн при идентификации (паспорт, СНИЛС, ИНН, адрес регистрации) существенно шире, чем при стандартной регистрации арендатора. Правовым основанием обработки в этом случае служит не согласие, а исполнение требований законодательства (п. 2 ст. 6 ФЗ-152). Смешение оснований обработки в одном согласии до 01.09.2025 было типичной ошибкой; с вступлением в силу ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом и не может объединяться с договором или офертой.

Финдиректор: как посчитать стоимость риска по ПДн для PropTech-платформы?

Аудит соответствия 152-ФЗ показывает полный список нарушений с приоритизацией по размеру санкций. При утечке от 10 000 субъектов — штраф по ч. 13 ст. 13.11 составит от 5 до 10 млн ₽. При повторном инциденте — оборотный штраф по ч. 15 от 20 млн ₽ до 500 млн ₽. Стоимость аудита несопоставима с этими цифрами.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что изменилось с 30.05.2025: новые штрафы по ст. 13.11 КоАП для платформ

ФЗ-420 от 30.11.2024 кардинально пересобрал ст. 13.11 КоАП: с 30.05.2025 в ней 18 частей вместо прежних 9. Для PropTech-платформ и финтех-сервисов в сегменте аренды релевантны следующие составы.

Обработка ПДн без надлежащего правового основания или с нарушением заявленных целей — ч. 1 ст. 13.11, штраф для юрлица 150 000–300 000 ₽. Повторное нарушение того же состава — ч. 1.1, штраф 300 000–500 000 ₽. Обработка без письменного согласия, когда оно требуется (биометрия, данные из ЕБС), — ч. 2, штраф 300 000–700 000 ₽; повторно — ч. 2.1, штраф 1 000 000–1 500 000 ₽.

Утечки данных теперь квалифицируются отдельно в зависимости от масштаба: от 1 000 до 10 000 субъектов — ч. 12, штраф 3 000 000–5 000 000 ₽; от 10 000 до 100 000 субъектов — ч. 13, штраф 5 000 000–10 000 000 ₽; более 100 000 субъектов — ч. 14, штраф 10 000 000–15 000 000 ₽. Крупная PropTech-платформа, база которой содержит данные сотен тысяч пользователей, при утечке автоматически попадает под ч. 14.

«Ч. 15 ст. 13.11 КоАП (в ред. с 30.05.2025) — оборотный штраф при повторной утечке: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Льготная скидка 50% по ст. 32.2 КоАП к оборотным штрафам не применяется.»

Неуведомление РКН об утечке в 24-часовой срок (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187) квалифицируется по ч. 11 ст. 13.11 КоАП — штраф 1 000 000–3 000 000 ₽. Это самостоятельный состав, независимый от штрафа за саму утечку. Оба постановления могут быть вынесены одновременно.

Дополнительный уголовный риск с 11.12.2024 — ст. 272.1 УК РФ (введена ФЗ-421): незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. Максимальное наказание по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Для финансового директора это означает персональный уголовный риск при систематическом игнорировании требований ФЗ-152.

Биометрия в аренде: ЕБС, ФЗ-572 и штраф по ч. 8 ст. 14.8 КоАП

Онлайн-верификация арендаторов через биометрию — растущий тренд на рынке. Платформа или интегрированный банк может предложить арендатору пройти биометрическую идентификацию через ЕБС для подписания договора без личного визита. Здесь важны два правила.

Первое: согласно ФЗ-572, финансовые организации (банки, МФО) при биометрической идентификации клиента обязаны использовать ЕБС. Оператор ЕБС — АО «Центр Биометрических Технологий». Хранение исходной биометрии вне ЕБС для финансовых сервисов запрещено с 01.06.2023. Нарушение требований размещения биометрии в ЕБС квалифицируется по ст. 13.11.3 КоАП — штраф для юрлица 500 000–1 000 000 ₽.

Второе: ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, запрещает отказывать потребителю в обслуживании на том основании, что он не сдал биометрию в ЕБС. Платформа или банк, обусловливающий заключение договора аренды обязательным прохождением биометрической верификации через ЕБС и отказывающий тем, кто не прошёл, — нарушает данную норму. Штраф для юрлица — до 500 000 ₽.

Что финдиректору проверить в первую очередь

Включена ли компания в реестр операторов ПДн РКН (pd.rkn.gov.ru) с актуальными целями обработки, соответствующими реальной деятельности
Оформлены ли согласия пользователей как отдельный документ (требование ФЗ-156, действует с 01.09.2025) — отдельно от оферты, договора и политики конфиденциальности
Есть ли правовое основание передачи данных арендаторов третьим лицам (банкам, БКИ, МФО) — не смешано ли оно с согласием на обработку внутри платформы
Настроен ли процесс 24-часового уведомления РКН об инцидентах по Приказу РКН №187 — назначен ли ответственный, есть ли шаблон уведомления
Проведена ли оценка уровня защищённости ИСПДн (УЗ-1..4 по ПП РФ №1119) с учётом числа субъектов и категорий данных

Как применяются нормы на практике: три сценария для финдиректора

Ниже — типичные ситуации, которые фиксируются при аудитах PropTech- и финтех-компаний в сегменте аренды жилья.

Сценарий 1. Платформа передаёт данные арендаторов партнёрскому банку без отдельного правового основания. Ситуация: договор с банком предусматривает «информационный обмен», в оферте пользователя — общая формулировка о возможности передачи данных партнёрам. Доказательства: при проверке РКН устанавливает, что согласие субъекта не содержит перечня конкретных действий с ПДн и наименования банка-получателя, как того требует ст. 9 ФЗ-152. Исход: протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) плюс предписание об устранении. Стратегия: переоформить согласие с явным перечнем третьих лиц и целей передачи; заключить договор-поручение, если банк обрабатывает данные в интересах платформы.

Сценарий 2. Утечка базы арендаторов через уязвимость API. Ситуация: хакеры получили доступ к базе из 85 000 записей (ФИО, телефон, email, адрес объекта аренды). Доказательства: факт инцидента зафиксирован SIEM в 14:00; уведомление в РКН направлено через 31 час — срок нарушен. Исход: постановление по ч. 13 ст. 13.11 (5 000 000–10 000 000 ₽) плюс постановление по ч. 11 ст. 13.11 за нарушение срока уведомления (1 000 000–3 000 000 ₽). Совокупная санкция — 6–13 млн ₽. Стратегия: до инцидента — внедрить процедуру реагирования с назначенным ответственным и готовым шаблоном уведомления; после — немедленно обратиться за юридическим сопровождением для минимизации санкций в арбитраже.

Сценарий 3. МФО в составе PropTech-экосистемы не соблюдает требования к локализации ПДн. Ситуация: МФО использует CRM-систему на серверах в ЕС (Германия), где хранятся данные российских клиентов — арендаторов, получивших заём на депозит. Доказательства: при внеплановой проверке РКН устанавливает нарушение ч. 5 ст. 18 ФЗ-152 — первичный сбор и хранение данных граждан РФ ведётся за рубежом. Исход: протокол по ч. 8 ст. 13.11 КоАП — штраф 1 000 000–6 000 000 ₽. Стратегия: мигрировать первичные базы в РФ; для зарубежных инструментов (аналитика, email-рассылки) настроить работу в режиме, при котором первичный сбор происходит на российской инфраструктуре.

Если компания уже получила запрос РКН или зафиксирован инцидент — у вас 24 часа на первичное уведомление (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается. Юристы DATUM помогут подготовить уведомление и координировать расследование.

Заказать аудит 152-ФЗ

Как это применяется на практике: реальные случаи

Кейс 1. Финтех-компания (Приволжский ФО, осень 2025), предоставлявшая сервис проверки арендаторов через запросы в БКИ, получила предписание РКН по итогам плановой проверки. Нарушение: согласие на запрос в БКИ было включено в текст пользовательского соглашения, а не оформлено отдельным документом, как требует ФЗ-218 и новая редакция ст. 9 ФЗ-152 (с 01.09.2025). Штраф по ч. 2 ст. 13.11 — в диапазоне сотен тысяч рублей. После аудита и переработки документации компания выстроила раздельный документооборот согласий. Менеджер: актуальность кейса уточняется при публикации.

Кейс 2. В деле, ставшем прецедентом для PropTech-сегмента (Арбитражный суд региона, начало 2026), платформа аренды жилья оспорила постановление о штрафе по ч. 12 ст. 13.11 (утечка данных около 3 500 субъектов). Компания ссылалась на то, что утечка произошла через подрядчика — IT-интегратора. Суд применил принцип ответственности оператора за действия лиц, осуществляющих обработку по поручению: платформа как оператор несёт ответственность за обеспечение защиты данных вне зависимости от того, кто технически допустил инцидент. Штраф оставлен в силе. Стратегия: в договоры с подрядчиками включать меры технической и организационной защиты ПДн как обязательное условие. Конкретный номер дела уточняет менеджер при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка 38 параметров, отчёт с приоритизированным планом
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на инциденты
Защита при штрафе в арбитраже — обжалование постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420 от 30.11.2024, прямо запрещает отказывать потребителю в обслуживании на том основании, что он не прошёл биометрическую верификацию через ЕБС. Платформа или банк, обусловливающий заключение договора обязательной биометрией, нарушает эту норму. Штраф для юрлица — до 500 000 ₽. Биометрия может предлагаться как удобный способ идентификации, но не как единственно возможный.

2. Что грозит МФО за утечку данных арендаторов?

Зависит от масштаба утечки. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Если МФО ранее уже привлекалась к ответственности по ч. 12–14 и допустила повторную утечку, применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за несвоевременное уведомление РКН по ч. 11 ст. 13.11.

3. Какое правовое основание обработки ПДн применяет банк при скоринге арендатора?

Банк, проводящий кредитный скоринг по запросу платформы или при выдаче займа арендатору, опирается на несколько оснований. Запрос в БКИ — согласие субъекта по ФЗ-218, оформленное отдельно. Обработка в целях идентификации по ФЗ-115 — исполнение требований законодательства (п. 2 ст. 6 ФЗ-152), согласие не требуется. Автоматизированные решения на основе скоринга при наличии юридических последствий для субъекта — регулируются ст. 16 ФЗ-152: субъект вправе потребовать пересмотра решения человеком.

4. Где хранится биометрия пользователей — в ЕБС или у платформы?

Финансовые организации (банки, МФО) обязаны хранить биометрические данные клиентов исключительно в ЕБС (ФЗ-572 от 29.12.2022). Хранение исходной биометрии на серверах платформы или банка запрещено с 01.06.2023. Оператор ЕБС — АО «Центр Биометрических Технологий». Нефинансовые платформы (PropTech без банковской лицензии), использующие распознавание лица для верификации, работают в отдельном правовом режиме: они должны получить письменное согласие субъекта по ст. 11 ФЗ-152 и обеспечить меры защиты биометрии согласно ПП РФ №1119.

5. Как оспорить автоматический отказ в аренде на основе скоринга?

Ст. 16 ФЗ-152 даёт субъекту право потребовать от оператора пересмотра решения, принятого исключительно на основе автоматизированной обработки ПДн и влекущего юридические последствия. Оператор обязан рассмотреть такое требование и дать ответ. Если платформа не предусмотрела такую процедуру в своей документации — это нарушение ст. 16 ФЗ-152, на которое можно ссылаться при жалобе в РКН. Для компании как оператора отсутствие процедуры означает риск предписания и штрафа при проверке.

Итог

Обработка персональных данных в сегменте аренды жилья затрагивает несколько правовых режимов одновременно: общий — ФЗ-152, кредитный — ФЗ-218, биометрический — ФЗ-572, антиотмывочный — ФЗ-115. С 30.05.2025 санкции по ст. 13.11 КоАП кратно выросли: утечка базы из 100 000 арендаторов стоит от 10 до 15 млн ₽; повторный инцидент запускает оборотный штраф без потолка ниже 20 млн ₽. Финансовый директор PropTech- или финтех-компании, не выстроивший процесс обработки ПДн под новые нормы, несёт прямой бюджетный риск, не покрываемый страховкой.

DATUM сопровождает финтех-компании и PropTech-платформы по полному спектру требований ФЗ-152: от аудита и ОРД до защиты в арбитраже при получении постановления по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по ФЗ-218, скоринг и автоматизированные решения по ст. 16 ФЗ-152, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.