Перейти к содержанию
аналитика 1 сентября 2026 По состоянию на 1 сентября 2026

Black list и ПДн

Внесение клиента в чёрный список — это обработка персональных данных по ст. 3 ФЗ-152. Без надлежащего правового основания это нарушение, штраф по ч. 1 ст. 13.11 КоАП — до 300 000 ₽, при повторности — до 500 000 ₽.
Финансовые компании работают с тремя источниками «чёрных списков»: внутренними базами скоринга, данными БКИ по ФЗ-218 и реестрами по 115-ФЗ. У каждого — своё основание обработки, свои сроки и свои риски для бюджета.
Если финдиректор планирует или согласовывает внедрение скоринговой системы, проверьте: есть ли основание по ст. 6 ФЗ-152, оформлено ли согласие на запрос в БКИ, зарегистрирован ли оператор в реестре РКН. → Разбор по каждому блоку — ниже.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей: штрафы за нарушения при обработке ПДн выросли в разы, а оборотный штраф за повторную утечку (ч. 15) достигает 500 млн ₽. Для финансовых компаний — банков, МФО, страховщиков, финтех-платформ — риск особенно высок: они обрабатывают ПДн на нескольких правовых основаниях одновременно, используют биометрию, передают данные в БКИ и применяют автоматизированные решения по ст. 16 ФЗ-152. Эта статья разбирает, что именно является нарушением при ведении чёрных списков, какие нормы применяются и во что это обходится бюджету.

Что такое black list в контексте 152-ФЗ и каковы правовые основания обработки?

Чёрный список в финансовой компании — это база данных субъектов, которым отказывают в обслуживании или ограничивают его. Формально это обработка ПДн: сбор, хранение, систематизация, использование при принятии решений. По ст. 6 ФЗ-152 обработка допустима только при наличии одного из 11 оснований.

Для внутреннего скоринга применяется п. 5 ч. 1 ст. 6 ФЗ-152 — исполнение договора с субъектом. Для передачи данных в БКИ — отдельное согласие по ст. 9 ФЗ-152 в совокупности с ФЗ-218. Для реестра по 115-ФЗ (лица с признаками подозрительных операций) — выполнение требования закона (п. 2 ч. 1 ст. 6). Смешивать эти основания нельзя: ст. 5 ФЗ-152 запрещает объединение баз с несовместимыми целями.

«Ст. 5 ФЗ-152: не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.»

На практике это означает: внутренняя база «отказников» по кредитному скорингу и список лиц из реестра Росфинмониторинга по 115-ФЗ — это два разных массива ПДн с двумя разными целями. Ведение их в одной таблице — формальное нарушение ст. 5 ФЗ-152, даже если компания «просто удобно хранит».

Финансовая компания использует единую базу «нежелательных клиентов»?

Если финдиректор согласовал систему, где скоринговые отказники, клиенты из реестра 115-ФЗ и лица с просроченными долгами хранятся в одной таблице — это три разных основания обработки, три разных цели и три потенциальных нарушения ст. 5 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП — до 300 000 ₽ за каждое. Аудит покажет, где граница между допустимым и нарушением.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работает ФЗ-218 о БКИ и какие ПДн туда передаются?

Бюро кредитных историй — операторы ПДн по ФЗ-218. Банк или МФО передаёт в БКИ сведения о заёмщике: персональные данные, информацию об обязательствах, о просрочках. Срок хранения кредитной истории — 7 лет с момента последнего изменения.

Согласие на запрос в БКИ — отдельный документ. По ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, с 01.09.2025 согласие на обработку ПДн не может быть встроено в договор или оферту: оно оформляется самостоятельно. Согласие на запрос кредитной истории в БКИ, вставленное в кредитный договор в «стандартном» чекбоксе, с 01.09.2025 не соответствует требованиям ст. 9 ФЗ-152. Это основание для штрафа по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025, ФЗ-156): согласие субъекта на обработку ПДн оформляется в виде отдельного документа, не объединяемого с иными документами.»

Содержательно кредитная история — это данные о поведении субъекта при исполнении финансовых обязательств. Фактически это основа black list: если субъект отражён в нескольких БКИ с просрочками, ни один банк или МФО не выдаст кредит. Юридически отказ правомерен, если основан на данных из БКИ, полученных с надлежащим согласием. Если согласие оформлено с нарушениями — оператор получает двойной риск: нарушение 152-ФЗ и потенциальную жалобу субъекта в РКН.

Как ст. 16 ФЗ-152 регулирует автоматизированный скоринг и отказ в кредите?

Ст. 16 ФЗ-152 регулирует принятие решений исключительно на основе автоматизированной обработки ПДн, если такое решение порождает юридические последствия для субъекта или существенно затрагивает его интересы. Отказ в кредите — типичный случай.

По ст. 16 ФЗ-152 субъект вправе требовать пересмотра такого решения с участием человека. Оператор обязан уведомить субъекта о том, что решение принято автоматизированно, и предоставить возможность возражений. Если этого не сделано — нарушение ст. 16, которое квалифицируется по ч. 1 ст. 13.11 КоАП.

Для скоринговых моделей, обученных на ПДн клиентов, отдельный вопрос — обезличивание для ML. С 01.09.2025 действуют требования к методам обезличивания по приказу РКН: пять методов (введение идентификаторов, изменение состава, декомпозиция, перемешивание, обобщение). Если модель обучена на не обезличенных данных — это самостоятельное нарушение ст. 5 и ст. 19 ФЗ-152.

Биометрия в ЕБС и ч. 8 ст. 14.8 КоАП: когда отказ клиенту становится нарушением?

ФЗ-572 от 29.12.2022 создал Единую биометрическую систему (ЕБС). Оператор ЕБС — АО «Центр Биометрических Технологий». С 01.06.2023 банки обязаны направлять биометрические данные клиентов, которые дали согласие, в ЕБС и не вправе хранить исходную биометрию вне ЕБС.

Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, устанавливает штраф для банков за отказ в обслуживании клиенту, который не предоставил биометрию для ЕБС. Штраф — до 500 000 ₽. Иными словами, биометрия в банке добровольна для клиента: нельзя сделать её условием получения услуги. Если банк ввёл обязательную биометрическую идентификацию через ЕБС для выдачи кредита или открытия счёта — это нарушение ч. 8 ст. 14.8 КоАП.

«ФЗ-572: биометрические данные клиентов банков хранятся в ЕБС; исходная биометрия вне ЕБС с 01.06.2023 не хранится. Ч. 8 ст. 14.8 КоАП: отказ в обслуживании без биометрии — штраф до 500 000 ₽.»

При этом нарушение требований к обработке биометрических ПДн — отдельный состав. Утечка биометрии влечёт штраф по ч. 17 ст. 13.11 КоАП: от 15 до 20 млн ₽. Это не оборотный, но и не мелкий — биометрия защищается строже, чем обычные категории.

Если финдиректор согласовал систему биометрической идентификации для доступа к продуктам — проверьте, не создаёт ли она автоматический black list «без биометрии». Нарушение ч. 8 ст. 14.8 и ч. 16 ст. 13.11 — два отдельных штрафа, которые суммируются. Юристы DATUM проведут аудит за 10 рабочих дней.

Заказать аудит 152-ФЗ

Типичные ситуации: как финансовые компании получают штрафы за black list

Ситуация 1. МФО ведёт внутренний список «нежелательных заёмщиков» без основания. МФО отказывает клиентам, которые фигурируют во внутреннем реестре просроченных долгов, собранном из данных нескольких партнёров. Правовое основание — отсутствует: ни договор с субъектом, ни его согласие, ни требование закона к такой обработке не оформлены. При проверке РКН фиксирует нарушение ст. 6 ФЗ-152. Состав — ч. 1 ст. 13.11 КоАП, штраф 150–300 000 ₽. Если МФО до этого уже получала аналогичное постановление — применяется ч. 1.1: 300–500 000 ₽. Стратегия: до формирования такой базы — получить согласие субъекта или обосновать обработку через п. 5 ч. 1 ст. 6 ФЗ-152 и включить цель в уведомление РКН по ст. 22.

Ситуация 2. Банк передаёт ПДн в БКИ на основании согласия, встроенного в договор. До 01.09.2025 такая практика была распространена: галочка «согласен на передачу данных в БКИ» включалась в кредитный договор. С 01.09.2025 ФЗ-156 требует отдельного документа согласия. Банк не переоформил формы. Субъект подаёт жалобу в РКН: согласие недействительно, передача в БКИ — без основания. Состав — ч. 2 ст. 13.11 КоАП: 300–700 000 ₽. При повторности — ч. 2.1: 1 000 000–1 500 000 ₽. Доказательство нарушения — сам текст договора и дата его подписания после 01.09.2025. Стратегия: обновить все формы согласий до 01.09.2025 (для новых договоров) и проверить, нужно ли переоформить действующие (ФЗ-156 обратной силы не имеет, но новые согласия с той же датой — уже должны соответствовать новым требованиям).

Ситуация 3. Финтех-платформа автоматически отказывает клиентам без уведомления о природе решения. Платформа использует ML-скоринг: решение об отказе принимается без участия человека и без уведомления клиента. Клиент требует разъяснений — ему не могут объяснить основания, потому что процесс полностью автоматизирован и не задокументирован. Состав — нарушение ст. 16 ФЗ-152: субъект не уведомлён об автоматизированном решении, не предоставлена возможность оспорить его. Квалификация — ч. 1 ст. 13.11. Дополнительно: если модель обучена на ПДн без обезличивания — ст. 5 и 19 ФЗ-152. Стратегия: задокументировать процесс скоринга, ввести обязательное уведомление клиента, добавить процедуру пересмотра с участием сотрудника.

Что проверить финдиректору перед согласованием скоринговой системы

  • Основание обработки ПДн по ст. 6 ФЗ-152 для каждого источника данных (договор, согласие, 115-ФЗ, 218-ФЗ)
  • Согласие на запрос в БКИ — отдельный документ по требованиям ст. 9 ФЗ-152 в ред. с 01.09.2025
  • Уведомление субъекта об автоматизированном решении по ст. 16 ФЗ-152 и процедура оспаривания
  • Разделение баз данных: скоринг, 115-ФЗ, внутренние «отказники» — не объединяются (ст. 5 ФЗ-152)
  • Биометрия в ЕБС: добровольность для клиента, запрет на отказ в обслуживании без биометрии (ч. 8 ст. 14.8 КоАП)

Как складывается практика штрафов в финансовом секторе?

Кейс 1. МФО в Сибирском федеральном округе (зима 2025–2026) получила предписание РКН по результатам плановой проверки: внутренний реестр «нежелательных заёмщиков» вёлся без надлежащего основания по ст. 6 ФЗ-152. Помимо этого, согласия на передачу в БКИ были встроены в кредитные договоры и не переоформлены после изменения требований. Протокол составлен по ч. 1 и ч. 2 ст. 13.11 КоАП. Штраф по двум составам — в сотни тысяч рублей. До проверки руководство считало, что согласие «в договоре» — нормально. Юристы DATUM подключились на стадии обжалования, добились применения ст. 4.1.1 КоАП по ч. 1 (первичное нарушение, микропредприятие) и снизили итоговую сумму. ⚠️ Конкретные параметры дела — менеджер уточняет при публикации.

Кейс 2. По данным публичной практики, в деле АС Москвы № А40-351064/2025 (кейс case_S1_rosh) суд применил ч. 14 ст. 13.11 КоАП за утечку более 100 000 субъектов, но снизил штраф до 400 000 ₽ с учётом статуса организации как микропредприятия и расчёта по правилам ст. 4.1.2 КоАП. Этот прецедент показывает: даже при крупной утечке суды готовы применять смягчающие инструменты — если представление интересов грамотное. Для финансовой компании с выручкой выше порога микропредприятия снижение такого масштаба невозможно, но механизмы ст. 4.1 КоАП (инвестиции в ИБ ≥ 0,1% выручки за 3 года) снижают оборотный штраф до 1/10 минимума, но не менее 15 млн ₽.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Можно отказать в конкретной биометрической услуге (например, в удалённом открытии счёта через ЕБС), но нельзя отказать в базовом банковском обслуживании только потому, что клиент не сдал биометрию в ЕБС. Ч. 8 ст. 14.8 КоАП прямо запрещает использовать отсутствие биометрии как основание для отказа в предоставлении банковских услуг. Штраф для юрлица — до 500 000 ₽.

2. Что грозит МФО за утечку базы заёмщиков?

Зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП: 3–5 млн ₽. От 10 000 до 100 000 — ч. 13: 5–10 млн ₽. Свыше 100 000 — ч. 14: 10–15 млн ₽. При повторности — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно: ненаправление уведомления в РКН в 24 часа — ч. 11 ст. 13.11: 1–3 млн ₽.

3. Какое основание обработки ПДн в банке при скоринге?

Для скоринга в рамках рассмотрения кредитной заявки — п. 5 ч. 1 ст. 6 ФЗ-152 (обработка необходима для заключения договора по инициативе субъекта). Для передачи данных в БКИ — отдельное согласие субъекта по ст. 9 ФЗ-152 и ФЗ-218. Для ведения реестра по 115-ФЗ — п. 2 ч. 1 ст. 6 ФЗ-152 (выполнение требований законодательства). Смешивать эти основания в одной базе запрещено ст. 5 ФЗ-152.

4. Где хранится биометрия клиентов банка?

С 01.06.2023 — только в Единой биометрической системе (ЕБС). Оператор ЕБС — АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). Банки обязаны направлять биометрию в ЕБС и не вправе хранить исходные биометрические данные локально. Утечка биометрии влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП, а не по общим составам об утечке.

5. Как клиент может оспорить автоматический отказ в кредите?

По ст. 16 ФЗ-152 субъект вправе требовать пересмотра решения, принятого на основе исключительно автоматизированной обработки его ПДн. Оператор обязан рассмотреть возражение с участием человека. Если банк или МФО отказывает в пересмотре или не уведомил клиента об автоматизированном характере решения — это нарушение ст. 16 ФЗ-152, которое субъект вправе обжаловать в РКН. Регулятор проверит наличие процедуры оспаривания.

Итог

Чёрные списки в финансовом секторе — это не административная таблица, а многоуровневая система обработки ПДн с пересекающимися правовыми основаниями по ст. 6 ФЗ-152, требованиями ФЗ-218 к БКИ, ограничениями ст. 16 ФЗ-152 для автоматизированных решений и запретами ФЗ-572 для биометрии. Каждый уровень — самостоятельный штраф при нарушении. Цена ошибки в бюджете: от 150 000 ₽ за единичное нарушение до 500 млн ₽ за повторную утечку.

Практика DATUM в финансовом секторе включает сопровождение банков, МФО и финтех-платформ при взаимодействии с РКН, аудит оснований обработки ПДн в скоринговых системах и защиту от штрафов по ст. 13.11 КоАП в арбитраже.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

1 сентября 2026 года