аналитика 3 июня 2026 По состоянию на 3 июня 2026

БКИ и 152-ФЗ: правовая основа (ФЗ-218)

Бюро кредитных историй — оператор персональных данных по 152-ФЗ, а ФЗ-218 устанавливает специальный режим их обработки поверх общих норм.

Финдиректор, который считает штрафы по ст. 13.11 КоАП как чужую проблему, рискует ошибиться: утечка кредитных историй от 10 000 субъектов — это 5–10 млн ₽ по ч. 13, а повторность даёт оборотный штраф от 20 млн ₽.

→ Если ваша компания передаёт данные в БКИ или получает кредитные отчёты — проверьте правовые основания обработки прямо сейчас.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, оборотный штраф за повторную утечку. Для финансового сектора это означает, что соответствие одновременно ФЗ-218, 152-ФЗ и 115-ФЗ перестало быть задачей только юридической службы — это статья бюджета. В этом материале — как устроена правовая конструкция обработки ПДн в экосистеме БКИ, какие риски несут банки, МФО и финтех-платформы и как финдиректору оценить реальные затраты на комплаенс.

Как соотносятся ФЗ-218 и 152-ФЗ: кто главнее?

Закон о кредитных историях (ФЗ-218 от 30.12.2004) — специальный по отношению к 152-ФЗ. Там, где ФЗ-218 устанавливает конкретное правило, оно применяется вместо общей нормы 152-ФЗ. Там, где ФЗ-218 молчит, применяется 152-ФЗ в полном объёме.

Практически это означает следующее. Согласие субъекта на запрос кредитной истории в БКИ регулируется ФЗ-218: оно должно быть выражено в письменной форме или в электронном виде с подтверждением через ЕСИА. Срок согласия — не более двух месяцев. Но требования к реквизитам самого согласия — минимальный перечень сведений о субъекте, операторе, целях — определяются ст. 9 152-ФЗ, в редакции, действующей с 01.09.2025 по ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом и не может быть встроено в кредитный договор или оферту.

БКИ — самостоятельный оператор персональных данных. Банк или МФО, передающие сведения в БКИ, действуют как источники формирования кредитной истории. При этом они остаются операторами в отношении тех же данных у себя. Отношения банка с БКИ — это не поручение по ст. 6 ч. 3 152-ФЗ, а самостоятельное основание обработки, предусмотренное ФЗ-218.

«Ст. 5 ФЗ-218: источники формирования кредитных историй обязаны передавать в БКИ сведения о заёмщиках при наличии согласия последних. Передача происходит в рамках специального правового основания, отличного от ст. 6 152-ФЗ.»

Срок хранения кредитной истории в БКИ составляет семь лет с момента последнего изменения сведений. По истечении срока БКИ обязано аннулировать историю — это требование ФЗ-218, которое корреспондирует с принципом п. 7 ст. 5 152-ФЗ об уничтожении ПДн при достижении цели обработки.

Ваша компания передаёт данные в БКИ — есть ли правовые основания?

Если финдиректор не уверен, что договор с БКИ, согласия заёмщиков и уведомление в реестре РКН соответствуют редакции 152-ФЗ с 01.09.2025 — это три отдельных риска по ст. 13.11 КоАП. Штрафы по ч. 1 (обработка без оснований) и ч. 2 (обработка без надлежащего согласия) суммируются. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какое правовое основание обработки ПДн применяют банки и МФО?

Банки и МФО работают одновременно с несколькими основаниями из ст. 6 152-ФЗ. Для целей исполнения кредитного договора применяется п. 5: обработка необходима для выполнения договора, стороной которого является субъект. Для передачи в БКИ — отдельное согласие по ФЗ-218. Для целей 115-ФЗ (противодействие отмыванию доходов и финансированию терроризма) — п. 2: исполнение обязанности, возложенной законодательством на оператора.

Критичная ошибка, которую фиксируют проверки РКН: организации объединяют все три основания в одном универсальном согласии, встраивая его в текст договора. После 01.09.2025 такая форма недействительна по ч. 1 ст. 9 152-ФЗ в редакции ФЗ-156. Каждая цель, требующая согласия, — отдельный документ.

Скоринговые модели создают дополнительную правовую проблему. Ст. 16 152-ФЗ регулирует права субъекта при принятии решений, основанных исключительно на автоматизированной обработке его данных. Субъект вправе потребовать пересмотра такого решения с участием человека. Если банк или МФО отказывает в кредите по результатам скоринга без участия сотрудника — это потенциальное нарушение ст. 16, а субъект вправе оспорить решение в судебном порядке.

«Ст. 16 152-ФЗ: оператор обязан разъяснить субъекту порядок принятия автоматизированного решения и его возможные последствия. По требованию субъекта оператор пересматривает такое решение с участием ответственного лица.»

Для МФО дополнительный риск — меньший масштаб юридической службы при сопоставимом объёме обработки ПДн. По данным РКН за 2024 год, зафиксировано свыше 135 случаев утечек с суммарным объёмом более 710 млн записей — финансовый сектор в числе лидеров по числу инцидентов.

Биометрия в банке: ФЗ-572 и ЕБС — что изменилось для финдиректора?

С принятием ФЗ-572 от 29.12.2022 хранение биометрических данных клиентов банками вне Единой биометрической системы (ЕБС) ограничено. Оператором ЕБС назначено АО «Центр Биометрических Технологий». С 01.06.2023 банки обязаны прекратить формирование собственных биометрических баз и использовать ЕБС для идентификации клиентов.

Нарушения при размещении биометрии в ЕБС регулирует отдельная ст. 13.11.3 КоАП — до 1 млн ₽ для юридических лиц. Если же банк незаконно обрабатывает биометрию вне ЕБС без письменного согласия по ст. 11 152-ФЗ — применяется ч. 16 ст. 13.11 КоАП. Утечка биометрических ПДн — ч. 17 ст. 13.11 КоАП: 15–20 млн ₽. Повторность переводит дело под ч. 18 с оборотным штрафом.

Принципиальный момент для финдиректора: ч. 8 ст. 14.8 КоАП запрещает банкам, МФО и иным организациям отказывать клиенту в обслуживании на основании отсутствия биометрии в ЕБС. Санкция — штраф до 500 тыс. ₽. Таким образом, с одной стороны, банк обязан использовать ЕБС для дистанционной идентификации, с другой — не может делать её условием оказания любой услуги.

Что финдиректору проверить по теме ФЗ-218 и 152-ФЗ

Договор с БКИ: содержит ли он условие об ответственности за утечку на стороне БКИ и распределение ролей операторов
Согласия заёмщиков на запрос в БКИ: соответствуют ли новым реквизитам ст. 9 152-ФЗ в редакции с 01.09.2025 (отдельный документ, не встроен в договор)
Уведомление в реестре РКН: указаны ли БКИ как получатели и передача кредитных историй как цель обработки
Скоринговые решения: есть ли процедура пересмотра по ст. 16 152-ФЗ с участием сотрудника
Биометрия: прекращено ли хранение вне ЕБС, подключена ли система к АО «ЦБТ» по ФЗ-572

Как выглядит матрица рисков для финансовых организаций

Финансовый сектор — зона повышенного внимания РКН: кредитные истории содержат как общие (ФИО, паспорт), так и специальные (сведения о судимостях) категории ПДн по ст. 10 152-ФЗ. Ниже три типовых сценария, с которыми сталкиваются банки и МФО.

Сценарий 1. МФО без актуального уведомления в реестре РКН. Компания обрабатывает данные заёмщиков, включая передачу в БКИ, но уведомление не обновлялось три года. Реальная обработка шире заявленной: добавились SMS-рассылки, аналитика по скорингу, передача коллекторскому агентству. При проверке РКН фиксирует несоответствие по ст. 22 152-ФЗ — штраф по ч. 10 ст. 13.11 КоАП 100–300 тыс. ₽, плюс предписание об устранении. Стратегия: ежегодный пересмотр уведомления при изменении целей или получателей данных.

Сценарий 2. Утечка данных скоринговой платформы. Финтех-компания использует облачный скоринговый сервис — данные заёмщиков обрабатываются на стороне подрядчика. Утечка затрагивает 15 000 субъектов. Оператор — финтех, а не подрядчик: ответственность по ч. 13 ст. 13.11 КоАП (10 000–100 000 субъектов) составляет 5–10 млн ₽. Принцип ответственности оператора за действия подрядчика подтверждён судебной практикой. Стратегия: договор с подрядчиком должен содержать поручение на обработку по ст. 6 ч. 3 152-ФЗ с конкретными обязательствами по защите.

Сценарий 3. Банк отказал клиенту в обслуживании без биометрии в ЕБС. Отделение кредитной организации установило требование: для открытия счёта необходима регистрация биометрии. Клиент отказался. Банк отказал в обслуживании. Нарушение ч. 8 ст. 14.8 КоАП — штраф до 500 тыс. ₽. Параллельно Роспотребнадзор вправе возбудить дело по ЗоЗПП. Стратегия: внутренние регламенты обслуживания клиентов не должны содержать биометрию как обязательное условие.

Если финдиректор видит в этих сценариях свою организацию — риск уже материализован. Стоимость аудита 152-ФЗ для финансовой организации составляет от 100 000 ₽. Штраф по ч. 13 ст. 13.11 при утечке от 10 000 субъектов — 5–10 млн ₽. Арифметика однозначная.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО Приволжского федерального округа (осень 2025) прошла плановую проверку РКН после того, как в даркнете появилась база заёмщиков объёмом около 8 000 записей — ФИО, паспортные данные, суммы займов. Первичное уведомление об инциденте было направлено в РКН через 31 час после обнаружения (просрочка 7 часов). Возбуждено дело по ч. 11 ст. 13.11 КоАП (неуведомление в 24 часа) с санкцией 1–3 млн ₽. Параллельно — дело по ч. 12 (утечка от 1 000 до 10 000 субъектов, 3–5 млн ₽). По итогам проверки выдано предписание о переработке согласий и обновлении уведомления в реестре РКН. Совокупный штраф составил несколько миллионов рублей. Обжалование снизило итоговую сумму, однако не устранило предписание.

Кейс 2. Региональный банк (Центральный федеральный округ, начало 2026) получил жалобу заёмщика: решение об отказе в кредите принято исключительно скоринговой системой, сотрудник к рассмотрению не привлекался, разъяснений по ст. 16 152-ФЗ предоставлено не было. РКН возбудил дело по ч. 4 ст. 13.11 (невыполнение обязанности предоставить информацию субъекту) — 40–80 тыс. ₽. Заёмщик параллельно подал иск о пересмотре решения. Суд обязал банк провести повторную оценку кредитоспособности с участием уполномоченного сотрудника. Репутационные издержки оказались выше административного штрафа.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, согласий, уведомления РКН для финансовых организаций
Комплект ОРД под ключ — политика, согласия заёмщиков, поручения на обработку для БКИ и скоринговых платформ
Защита при штрафе в арбитраже — обжалование постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать в обслуживании потребителю, который не зарегистрировал биометрию в ЕБС. Санкция для юридического лица — штраф до 500 тыс. ₽. Биометрия может использоваться для дистанционной идентификации как дополнительный канал, но не как обязательное условие получения услуги.

2. Что грозит МФО за утечку данных заёмщиков?

Ответственность зависит от масштаба утечки. При компрометации от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. Свыше 100 000 — ч. 14, штраф 10–15 млн ₽. При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — штраф по ч. 11 за несвоевременное уведомление РКН в 24 часа: 1–3 млн ₽.

3. Какое правовое основание обработки ПДн применяет банк при оценке кредитоспособности?

При исполнении кредитного договора — п. 5 ст. 6 152-ФЗ (обработка необходима для выполнения договора с субъектом). Для запроса в БКИ — отдельное согласие по ФЗ-218. Для целей 115-ФЗ — п. 2 ст. 6 152-ФЗ (исполнение обязанности, возложенной законом). Объединение этих оснований в одном документе с 01.09.2025 недопустимо по ст. 9 152-ФЗ в редакции ФЗ-156.

4. Где хранится биометрия — в банке или в ЕБС?

После 01.06.2023 — только в ЕБС, оператором которой является АО «Центр Биометрических Технологий». Банки обязаны прекратить формирование собственных биометрических баз и передать данные в ЕБС. Хранение исходной биометрии вне ЕБС — нарушение ФЗ-572 от 29.12.2022. За нарушения при размещении в ЕБС применяется ст. 13.11.3 КоАП (до 1 млн ₽ для юрлиц).

5. Как заёмщик может оспорить отказ в кредите, принятый автоматически?

Ст. 16 152-ФЗ даёт субъекту право потребовать от оператора пересмотра решения, принятого исключительно на основе автоматизированной обработки, с участием ответственного сотрудника. Оператор обязан разъяснить порядок принятия решения и его возможные последствия. Требование направляется в письменной форме. Отказ в рассмотрении или отсутствие ответа — нарушение ч. 4 ст. 13.11 КоАП (40–80 тыс. ₽) и основание для иска в суд.

Итог

Правовая конструкция обработки ПДн в экосистеме БКИ — это пересечение минимум трёх федеральных законов: 152-ФЗ как общей нормы, ФЗ-218 как специального режима кредитных историй и ФЗ-572 как регулятора биометрии. Ошибка в любом из трёх слоёв — самостоятельный состав по ст. 13.11 КоАП. С 30.05.2025 санкции выросли кратно, а оборотный штраф при повторности делает утечку экзистенциальным риском для организации с выручкой свыше 1 млрд ₽.

Практика DATUM по финансовому сектору охватывает банки, МФО и финтех-платформы: аудит оснований обработки по ФЗ-218 × 152-ФЗ, переработку согласий под требования ФЗ-156 с 01.09.2025, сопровождение при проверках РКН и защиту в арбитраже по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

3 июня 2026 года