Билеты на мероприятия и ПДн
Рынок онлайн-продажи билетов на концерты, спортивные события и корпоративные мероприятия вырос в самостоятельный финтех-сегмент: платформы интегрируют скоринг покупателей, программы лояльности, рассрочку через МФО и банки-партнёры. Вместе с функциональностью растёт объём обрабатываемых персональных данных и — начиная с 30.05.2025 — финансовая ответственность за их ненадлежащую защиту. Настоящий материал разбирает правовые основания обработки ПДн в билетном бизнесе, зоны повышенного риска и экономику compliance-решения.
Какие персональные данные собирает билетная платформа и на каком основании?
Билетная транзакция порождает несколько категорий ПДн. При регистрации и оформлении заказа платформа получает идентификационные данные (ФИО, дату рождения при именных билетах), контактные (телефон, email), платёжные (номер карты, данные банковского счёта через платёжный шлюз) и поведенческие (история покупок, предпочтения). При интеграции с МФО или банком-партнёром для рассрочки добавляется финансовая история субъекта, которая в части кредитной истории регулируется ФЗ-218.
Правовое основание обработки определяется ст. 6 ФЗ-152. Для стандартной транзакции основанием служит исполнение договора с субъектом (п. 5 ч. 1 ст. 6): покупатель принимает оферту, платформа выдаёт билет. Согласие по ст. 9 ФЗ-152 требуется отдельно — для маркетинговых рассылок, передачи данных партнёрам в рекламных целях и при использовании данных для профилирования за рамками конкретной сделки. С 01.09.2025 в силу ФЗ-156 от 24.06.2025 такое согласие оформляется исключительно отдельным документом: включить его в условия оферты или политику конфиденциальности больше нельзя.
Передача ПДн покупателя организатору мероприятия — отдельная правовая ситуация. Если платформа действует как агент организатора, она выступает лицом, осуществляющим обработку по поручению (ч. 3 ст. 6 ФЗ-152), и обязана заключить договор поручения с перечнем допустимых действий, целей и мер защиты. Отсутствие такого договора означает, что передача данных организатору происходит без законного основания — это состав ч. 1 ст. 13.11 КоАП со штрафом 150 000–300 000 ₽ для юрлица.
Ваш бюджет на комплаенс рассчитан или нет?
Финансовый директор, который не видел аудита обработки ПДн, работает с незакрытым риском. Минимальный штраф при утечке от 1 000 субъектов — 3 млн ₽ по ч. 12 ст. 13.11 КоАП. Стоимость аудита соответствия 152-ФЗ — от 100 000 ₽. Разрыв очевиден. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как финтех-интеграции в билетных платформах создают дополнительные риски по ПДн?
Интеграция рассрочки или «купи сейчас — заплати потом» (BNPL) через МФО или банк-партнёр превращает билетную платформу в участника цепочки финансовой обработки данных. Здесь возникает несколько специфических рисков.
Первый — скоринг и автоматизированные решения. Ст. 16 ФЗ-152 запрещает принимать решения, порождающие правовые последствия для субъекта, исключительно на основании автоматизированной обработки его ПДн без его согласия или прямого указания закона. Если платформа или её МФО-партнёр отказывает в рассрочке по результатам скоринга — субъект вправе потребовать, чтобы такое решение было пересмотрено с участием человека. Непредоставление этой возможности создаёт основание для жалобы в РКН.
Второй — биометрия при верификации. Часть платформ внедряет биометрическую верификацию личности на входе в зону мероприятия (распознавание лица). Биометрические ПДн по ст. 11 ФЗ-152 обрабатываются только с письменного согласия субъекта. При этом отказать в обслуживании тому, кто не прошёл биометрическую верификацию через ЕБС, нельзя: ч. 8 ст. 14.8 КоАП устанавливает штраф за подобный отказ. Хранение биометрических шаблонов вне ЕБС (ФЗ-572 от 29.12.2022) образует отдельный состав нарушения.
Третий — идентификация по 115-ФЗ. Если платформа предлагает финансовые инструменты (электронные кошельки, предоплаченные карты для покупки билетов), она подпадает под требования об идентификации клиентов по 115-ФЗ. Это влечёт обязанность запрашивать и хранить документы, удостоверяющие личность, — то есть расширяет состав обрабатываемых ПДн и требования к их защите.
Четвёртый — трансграничная передача. Международные платёжные системы, облачные CRM (Salesforce, HubSpot) и аналитические сервисы (GA4, Amplitude) исторически хранили данные российских пользователей на зарубежных серверах. С 01.07.2025 в связи с ужесточением требований ч. 5 ст. 18 ФЗ-152 первичный сбор, систематизация и хранение ПДн граждан РФ допустимы только в базах на территории России. Использование иностранных SaaS без локализации — потенциальный штраф по ч. 8 ст. 13.11 КоАП в диапазоне 1–6 млн ₽.
Что проверить финансовому директору по ПДн в билетном бизнесе
- Наличие уведомления в реестре операторов ПДн на pd.rkn.gov.ru и его соответствие реальному составу обрабатываемых данных
- Договоры поручения с организаторами мероприятий, МФО и банками-партнёрами на обработку ПДн по ч. 3 ст. 6 ФЗ-152
- Отдельные согласия субъектов на маркетинговые коммуникации и профилирование в редакции ФЗ-156 (требование с 01.09.2025)
- Локализация баз данных: CRM, платёжные данные, аналитика — только на серверах в РФ (ч. 5 ст. 18 ФЗ-152)
- Регламент реагирования на утечку: 24 часа на первичное уведомление РКН, 72 часа на отчёт (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187)
Каковы реальные финансовые последствия нарушений для билетного оператора?
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних семи. Для финансового директора ключевые составы выглядят так.
Утечка данных покупателей масштабируется по числу субъектов: от 1 000 до 10 000 — штраф 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13); свыше 100 000 — 10–15 млн ₽ (ч. 14). Платформа среднего размера с базой в 50 000 зарегистрированных пользователей при утечке попадает в ч. 13 автоматически.
Неуведомление РКН об утечке в течение 24 часов — отдельный состав по ч. 11 ст. 13.11: штраф 1–3 млн ₽. Обе санкции (за саму утечку и за несвоевременное уведомление) назначаются одновременно и не поглощают друг друга. Нарушение требований к согласию — ч. 2 ст. 13.11: 300 000–700 000 ₽; при повторном нарушении по ч. 2.1 — 1–1,5 млн ₽.
Отдельно стоит уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024 (действует с 11.12.2024). Незаконное использование, передача или хранение компьютерной информации с ПДн грозит лишением свободы до 10 лет по ч. 5 при наступлении тяжких последствий. Это риск не только для технических сотрудников, но и для руководства, принявшего решение об аутсорсинге обработки данных без надлежащего оформления.
Как выглядит практика — типовые сценарии для финансового директора
Ниже три ситуации, характерных для финтех-сегмента билетного рынка. Каждая описывает логику от факта до последствия.
Сценарий 1. Утечка через подрядчика по рассылкам. Платформа передаёт базу email-адресов покупателей сервису email-маркетинга без договора поручения и без уведомления субъектов. Сервис подвергается атаке; база появляется в открытом доступе. РКН фиксирует утечку, возбуждает дело по ч. 13 ст. 13.11 (более 10 000 субъектов). Дополнительно — ч. 1 за передачу данных без законного основания. Итог: два состава, штраф от 5 млн ₽ плюс предписание об устранении. Применение ВС РФ принципа «оператор отвечает за утечку через подрядчика» исключает ссылку на вину третьего лица.
Сценарий 2. Биометрическая верификация на входе без ЕБС. Организатор крупного фестиваля внедряет систему распознавания лиц через интегрированную в платформу систему контроля доступа. Согласия на обработку биометрии нет; данные хранятся на локальном сервере организатора, а не в ЕБС. Жалоба одного из посетителей — и РКН проводит внеплановую проверку. Состав: ч. 16 ст. 13.11 (нарушение ст. 11 ФЗ-152), а также нарушение ФЗ-572. Штраф по ч. 16 — диапазон верифицируется перед публикацией; параллельно — предписание об уничтожении биометрических шаблонов.
Сценарий 3. Платформа не подала уведомление в РКН. Стартап запустил продажу билетов, работает второй год, обрабатывает ПДн 30 000 покупателей. Уведомление в реестре операторов по ст. 22 ФЗ-152 не подавалось — «не знали». РКН в рамках плановой проверки выявляет отсутствие записи в реестре. Штраф по ч. 10 ст. 13.11 — 100 000–300 000 ₽. Параллельно — проверка документации: нет политики конфиденциальности (ч. 3), нет договоров поручения (ч. 1), нет согласий на рассылку (ч. 2). Общая сумма составов — от 600 000 ₽ при первичном нарушении с возможностью замены штрафов на предупреждение для микропредприятий по ст. 4.1.1 КоАП (неприменимо к ч. 15 и ч. 18).
Если вы финансовый директор и в бюджете нет строки на комплаенс по 152-ФЗ — штрафы по ч. 12–14 ст. 13.11 КоАП начинаются от 3 млн ₽ при утечке от 1 000 субъектов. Срок подачи уведомления РКН об утечке не восстанавливается: 24 часа с момента обнаружения. Юристы DATUM соберут полный пакет ОРД и помогут выстроить процесс реагирования.
Заказать аудит 152-ФЗКак организовать защиту ПДн в билетном бизнесе: что реально снижает штраф
Ст. 4.1 КоАП содержит примечание, которое напрямую влияет на сумму оборотного штрафа: если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 и ч. 18 ст. 13.11 снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это прямой аргумент для финансового директора: расходы на ИБ — не затраты, а страховой инструмент.
Организационные меры, которые снижают вероятность штрафа или его размер при наступлении инцидента: уведомление РКН по ст. 22 ФЗ-152 с актуальным составом обрабатываемых данных; политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1; приказ о назначении ответственного за обработку ПДн по ст. 22.1; договоры поручения со всеми партнёрами, получающими доступ к данным субъектов; регламент реагирования на инцидент с чёткой цепочкой уведомления за 24/72 часа.
Технические меры определяются уровнем защищённости ИСПДн по ПП РФ №1119. Для платформы с базой более 100 000 субъектов и общими ПДн (не специальными) при угрозах 3-го типа — это УЗ-3. Конкретный состав мер — Приказ ФСТЭК №21: 109 мер в 15 группах. Минимальный базовый набор для УЗ-3 включает идентификацию и аутентификацию, управление доступом, антивирусную защиту, обнаружение вторжений и резервное копирование.
Кейсы из практики
Кейс 1. Финтех-платформа продажи билетов (Центральный ФО, осень 2025) не имела договора поручения с агрегатором рассылок. После хакерской атаки на агрегатора в открытый доступ попали данные около 40 000 покупателей. РКН возбудил дело по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов). Финансовый директор компании инициировал привлечение юристов на стадии получения запроса РКН — удалось подготовить документацию, подтверждающую инвестиции в ИБ, и добиться назначения штрафа в нижней части диапазона.
Кейс 2. Небольшой агрегатор мероприятий (Приволжский ФО, начало 2026) работал без уведомления в реестре РКН и без политики конфиденциальности. После жалобы субъекта РКН провёл внеплановую проверку. Выявлены нарушения по ч. 1, ч. 3 и ч. 10 ст. 13.11 КоАП. Поскольку компания являлась микропредприятием и нарушение было первичным, арбитражный суд заменил штрафы по ч. 1 и ч. 3 на предупреждения по ст. 4.1.1 КоАП. По ч. 10 (неуведомление о намерении обрабатывать) штраф составил около 100 000 ₽.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — чек-лист 38 пунктов, отчёт с планом устранения
- Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент инцидента
- Защита при штрафе в арбитраже — оспаривание протокола, применение ст. 4.1 и 4.1.1 КоАП
Частые вопросы
1. Можно ли отказать клиенту в продаже билета, если он не прошёл биометрическую верификацию?
Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказ в обслуживании потребителю на основании того, что он не предоставил биометрические данные для внесения в ЕБС. За такой отказ предусмотрен штраф. Биометрическая верификация через ЕБС — добровольная процедура; отсутствие согласия субъекта не может быть основанием для отказа в продаже или допуска на мероприятие.
2. Что грозит МФО-партнёру билетной платформы за утечку данных покупателей?
МФО как самостоятельный оператор несёт ответственность по ст. 13.11 КоАП наравне с платформой. При утечке через инфраструктуру МФО данных, переданных платформой, обе стороны могут получить протоколы: платформа — за передачу без надлежащего договора поручения (ч. 1), МФО — за недостаточную защиту (ч. 12–14 в зависимости от масштаба). Разграничение ответственности возможно только при наличии корректного договора поручения по ч. 3 ст. 6 ФЗ-152.
3. На каком основании банк или МФО обрабатывает ПДн покупателя билета в рамках рассрочки?
Основание — исполнение договора с субъектом (п. 5 ч. 1 ст. 6 ФЗ-152): покупатель оформляет рассрочку, что является самостоятельным договорным отношением. Для запроса в БКИ по ФЗ-218 требуется отдельное согласие субъекта. Для скоринговых моделей, порождающих автоматизированное решение об отказе, — обязанность обеспечить субъекту право на пересмотр решения с участием человека (ст. 16 ФЗ-152).
4. Где физически хранится биометрия — в системе платформы или в ЕБС?
С 01.06.2023 исходные биометрические данные (шаблоны изображений лиц, голоса) обязаны храниться в Единой биометрической системе, оператором которой является АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). Хранение исходной биометрии на серверах платформы или организатора мероприятия прямо запрещено. Платформа может использовать только результат верификации — подтверждение или отказ — через API ЕБС.
5. Как покупатель может оспорить автоматический отказ в рассрочке на билеты?
Ст. 16 ФЗ-152 предоставляет субъекту право потребовать пересмотра решения, принятого исключительно на основании автоматизированной обработки его ПДн, с участием уполномоченного представителя оператора. Покупатель направляет письменное требование оператору (МФО или платформе). Оператор обязан рассмотреть его и предоставить ответ в срок, установленный ст. 20 ФЗ-152 (10 рабочих дней с возможностью продления до 5 рабочих дней).
Итог
Билетный бизнес с финтех-интеграциями обрабатывает данные в объёмах, при которых любая утечка с высокой вероятностью попадает в ч. 13 или ч. 14 ст. 13.11 КоАП — диапазоны штрафов от 5 до 15 млн ₽. Добавление МФО-рассрочки, биометрии и международных SaaS-инструментов формирует четыре дополнительных зоны риска, каждая с самостоятельным составом нарушения. С 30.05.2025 суммарный потенциальный штраф за типовой набор нарушений среднего оператора превышает стоимость полноценного комплаенс-проекта в 15–20 раз.
Практика DATUM по ФЗ-152 охватывает финтех-платформы, МФО и операторов с финансовыми инструментами: от аудита обработки до сопровождения проверок РКН и защиты от штрафа в арбитражном суде.