аналитика 11 января 2029 По состоянию на 11 января 2029

DATUM-аудит биометрических систем банка

Биометрические данные клиентов — специальная категория ПДн, обработка которых без надлежащего основания влечёт штраф от 15 до 20 млн ₽ по ч. 17 ст. 13.11 КоАП, а при повторном нарушении — оборотный штраф до 500 млн ₽ по ч. 18.

С 01.06.2023 банки обязаны хранить биометрию исключительно в ГИС ЕБС; собственные локальные базы лиц и голосов под запретом. Параллельно действует ст. 16 ФЗ-152, ограничивающая автоматизированный скоринг без участия человека, и ч. 8 ст. 14.8 КоАП, запрещающая отказывать клиенту в обслуживании из-за отсутствия биометрии в ЕБС.

Если вы финансовый директор банка или МФО и ещё не провели аудит биометрической инфраструктуры — риск штрафа существенно выше, чем стоимость превентивной проверки. → Подробнее ниже.

К началу 2026 года Роскомнадзор зафиксировал более 118 случаев компрометации баз данных с персональными данными за 2025 год, причём доля финансового сектора в общем объёме утечек остаётся значительной. Для финансового директора банка биометрический комплаенс — это не абстрактная юридическая задача, а прямая строка риска в бюджете: штраф по ч. 17 ст. 13.11 КоАП начинается от 15 млн ₽, а оборотный — от 20 млн ₽ при повторном инциденте. В этом материале — разбор нормативной базы, типовых нарушений в банковских биометрических системах и логика DATUM-аудита, позволяющего оценить реальный профиль риска до прихода инспектора РКН.

Что регулирует обработку биометрии в банке и МФО?

Биометрические персональные данные — это физиологические и биологические характеристики, позволяющие установить личность: изображение лица, голос, отпечатки пальцев, радужная оболочка глаза. Ст. 11 ФЗ-152 устанавливает: обработка биометрии допускается только при наличии письменного согласия субъекта, а перечень исключений строго ограничен.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн без письменного согласия субъекта запрещена, кроме случаев, прямо предусмотренных федеральным законом: осуществление правосудия, государственная безопасность, оперативно-розыскная деятельность и ряд других.»

Для банков ключевым специальным законом является ФЗ-572 от 29.12.2022 о единой биометрической системе. С 01.06.2023 кредитные организации, осуществляющие идентификацию через биометрию, обязаны использовать ГИС ЕБС, оператором которой выступает АО «Центр Биометрических Технологий». Хранение «сырой» биометрии вне ЕБС — прямое нарушение закона. Параллельно действует ФЗ-218 о кредитных историях: согласие на запрос в БКИ является отдельным правовым основанием по ст. 6 ФЗ-152 и должно быть оформлено самостоятельным документом, а не включено в общий договор.

Ещё один пласт — ч. 115-ФЗ об идентификации клиентов в целях противодействия легализации доходов. Банки обязаны идентифицировать клиента при открытии счёта и проведении операций выше пороговых значений. Когда банк использует биометрию для целей 115-ФЗ, возникает пересечение двух режимов: антиотмывочного и персональных данных. Согласие на обработку биометрии, собранное для целей ПДн, не покрывает автоматически обработку в контуре 115-ФЗ — цели должны совпадать с теми, под которые получено согласие (ст. 5 ФЗ-152, принцип соответствия целей).

Как работает ЕБС и где банки нарушают требования ФЗ-572?

Единая биометрическая система функционирует по следующей схеме: банк снимает биометрию клиента (лицо + голос) и передаёт вектор в ЕБС через защищённый канал. При последующей идентификации банк направляет запрос в ЕБС, получает подтверждение или отказ. Исходные биометрические шаблоны хранятся исключительно в ЕБС — не на серверах банка, не в облаке кредитной организации, не у подрядчика.

«ФЗ-572 от 29.12.2022 — оператор ЕБС (АО "ЦБТ") отвечает за хранение и обработку биометрических векторов. Банк выступает агентом по сбору и не вправе хранить исходные биометрические данные самостоятельно.»

На практике аудиты выявляют несколько типовых нарушений. Первое — параллельная база: банк исторически накапливал фотографии клиентов в CRM или АБС для нужд внутреннего контроля. После введения ФЗ-572 эти базы формально стали незаконными хранилищами биометрии. Второе — использование биометрии в системах видеоаналитики на входных группах офисов без отдельного письменного согласия клиентов; большинство банков не разграничивают видеонаблюдение как функцию безопасности и распознавание лиц как биометрическую идентификацию. Третье — привлечение подрядчиков (интеграторов, дата-центров) без надлежащего поручения по п. 3 ст. 6 ФЗ-152: договор есть, но обязательного перечня мер защиты и ответственности за утечку нет.

Отдельно стоит ч. 8 ст. 14.8 КоАП, введённая в пакете с ФЗ-572. Норма запрещает отказывать потребителю в обслуживании по причине отсутствия биометрии в ЕБС. Для финансового директора это означает: менеджер операционного офиса, потребовавший от клиента сдать биометрию как условие открытия счёта, создаёт административное дело. Штраф для юридического лица — ориентировочно до 500 тыс. ₽; точный диапазон менеджер сверяет по актуальному тексту КоАП перед публикацией.

Финансовый директор банка: когда аудит биометрии экономически оправдан?

Если в IT-ландшафте банка присутствует система видеоаналитики, модуль голосового ИИ или CRM с фотографиями клиентов — вероятность выявления нарушений по ст. 11 ФЗ-152 и ФЗ-572 при проверке РКН близка к 100%. Штраф по ч. 17 ст. 13.11 КоАП начинается от 15 млн ₽. Стоимость аудита — от 100 000 ₽. Это арифметика бюджета, а не юридическая абстракция.

Юристы DATUM проведут аудит обработки биометрических ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое скоринг по ст. 16 ФЗ-152 и почему это риск для МФО?

Статья 16 ФЗ-152 регулирует принятие решений, основанных исключительно на автоматизированной обработке персональных данных и порождающих юридические последствия для субъекта или иным образом затрагивающих его права. Кредитный скоринг — классический пример: алгоритм анализирует ПДн заёмщика и выносит решение об одобрении или отказе в займе без участия человека.

«Ст. 16 ФЗ-152 — оператор не вправе принимать решения, влекущие правовые последствия для субъекта, на основании исключительно автоматизированной обработки ПДн без письменного согласия субъекта либо в случаях, прямо предусмотренных федеральным законом.»

Для МФО это означает: согласие на автоматизированный скоринг должно быть получено явно, содержать указание на то, что решение принимается автоматически, и предусматривать право клиента потребовать проверки этого решения с участием уполномоченного лица оператора. На практике большинство МФО встраивают «согласие на скоринг» в общие условия договора займа — без выделения отдельным документом. После 01.09.2025 (ФЗ-156 от 24.06.2025) это нарушение стало очевидным: согласие оформляется отдельным документом, не объединяясь с договором или офертой.

Для банков риск сложнее: они используют не только внутренние скоринговые модели, но и данные из БКИ по ФЗ-218. Запрос в БКИ требует отдельного согласия (срок хранения кредитной истории — 7 лет), которое должно содержать конкретное наименование БКИ. Если банк запрашивает несколько БКИ, согласие должно охватывать каждое из них. Аудиты регулярно фиксируют ситуацию, когда согласие выдано на одно БКИ, а банк запрашивает три — это нарушение ст. 6 ФЗ-152 по основанию согласия.

Что подготовить к аудиту биометрических систем банка

Реестр всех систем, обрабатывающих биометрию: АБС, CRM, системы видеоаналитики, голосовые ИИ-сервисы, СКУД с распознаванием лиц — с указанием правового основания обработки по ст. 6 / ст. 11 ФЗ-152.
Договоры с подрядчиками (интеграторы, облачные провайдеры, ЦОД) с проверкой наличия поручения на обработку по п. 3 ст. 6 ФЗ-152 и перечня мер защиты.
Образцы согласий клиентов на обработку биометрии, скоринг по ст. 16 ФЗ-152 и запросы в БКИ по ФЗ-218 — оформленных отдельными документами (требование с 01.09.2025).
Документацию по интеграции с ЕБС: протоколы передачи векторов, договор с АО «ЦБТ», подтверждение отсутствия локальных копий биометрических шаблонов.
Журналы инцидентов и обращений субъектов за последние 12 месяцев, включая запросы об оспаривании автоматизированных решений по ст. 16 ФЗ-152.

Какие сценарии проверки РКН наиболее вероятны для финансового сектора?

Сценарий 1. Плановая проверка с биометрическим индикатором риска. РКН формирует план проверок на основе индикаторов: наличие в реестре оператора указания на обработку биометрических ПДн автоматически повышает категорию риска. Банк получает уведомление за 24 часа (для плановых — за 3 дня). Инспектор запрашивает перечень систем, формы согласий и документацию по ЕБС. Если аудита до проверки не было — типовой исход: протокол по ч. 2 ст. 13.11 (отсутствие надлежащего согласия на биометрию, штраф 300–700 тыс. ₽) и по ч. 10 ст. 13.11 (сведения в реестре расходятся с реальным объёмом обработки, штраф 100–300 тыс. ₽). Стратегия: провести аудит и устранить нарушения до уведомления о проверке.

Сценарий 2. Жалоба клиента на отказ в обслуживании без биометрии. Клиент обратился в банк, сотрудник потребовал сдачу биометрии как обязательное условие. Клиент подал жалобу в РКН. Внеплановая проверка по конкретному обращению: РКН устанавливает факт нарушения ч. 8 ст. 14.8 КоАП. Одновременно инспектор проверяет наличие согласий на биометрию у других клиентов. Стратегия: актуализировать скрипты операционных сотрудников, убедиться, что биометрия везде добровольна, наличие явного отказа от ЕБС фиксируется без последствий для клиента.

Сценарий 3. Утечка биометрических данных через подрядчика. Интегратор, имевший доступ к биометрической инфраструктуре банка, допустил утечку. Банк как оператор несёт ответственность за действия лица, осуществляющего обработку по поручению, — это устойчивая позиция судебной практики. С момента обнаружения: 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152), 72 часа на отчёт о расследовании (Приказ РКН №187). Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Сама утечка биометрии — штраф 15–20 млн ₽ по ч. 17 ст. 13.11. При повторности — оборотный штраф по ч. 18. Стратегия: договор с интегратором с детализированными мерами защиты и правом аудита, процедура реагирования в течение 24 часов встроена в операционный регламент ИБ.

Если финансовый директор оценивает бюджетный риск по ст. 13.11 — 15 млн ₽ за первую утечку биометрии и от 20 млн ₽ за повторную. Юристы DATUM готовы провести аудит биометрического контура и собрать пакет ОРД для финансовой организации.

Заказать аудит 152-ФЗ

Как применяется практика по ст. 13.11 КоАП в финансовом секторе?

Кейс 1. В финансовой организации Приволжского ФО (осень 2025) аудит выявил, что система видеоаналитики в офисах использовала распознавание лиц клиентов для формирования профилей посещаемости. Письменных согласий на обработку биометрии не было. После внеплановой проверки РКН вынес протокол по ч. 2 ст. 13.11 КоАП (отсутствие согласия на биометрию). Штраф составил сотни тысяч рублей. Параллельно выявлено отсутствие поручения подрядчику — интегратору видеосистемы. Совокупные расходы на устранение нарушений и оплату штрафа превысили стоимость превентивного аудита в несколько раз. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. МФО в Сибирском ФО (начало 2026) применяло полностью автоматизированный скоринг на основе биометрической верификации клиента при онлайн-заявке. Согласие на автоматизированное принятие решений по ст. 16 ФЗ-152 было включено в общие условия договора, а не оформлено отдельным документом. После жалобы клиента, получившего отказ в займе, РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Дополнительно установлено нарушение порядка работы с БКИ: МФО запрашивало три бюро, тогда как согласие охватывало одно. Штраф — в диапазоне 300–700 тыс. ₽; применение ст. 4.1.1 КоАП (замена на предупреждение) было исключено ввиду наличия последствий для субъекта. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — полный анализ биометрической инфраструктуры банка, отчёт с планом устранения нарушений
Комплект ОРД под ключ — разработка согласий на биометрию, скоринг, запросы БКИ, поручения подрядчикам
Защита при штрафе в арбитраже — оспаривание протоколов по ч. 2, ч. 17, ч. 18 ст. 13.11 КоАП, применение ст. 4.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в банковских услугах по причине отсутствия биометрии в ЕБС. Сдача биометрии — добровольная процедура. Отказ фиксируется без негативных последствий для клиента. Нарушение влечёт штраф для юридического лица ориентировочно до 500 тыс. ₽; точный диапазон следует сверять по актуальной редакции КоАП.

2. Что грозит МФО за утечку клиентских данных, включая биометрию?

За утечку биометрических ПДн предусмотрен штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025). При повторном нарушении применяется ч. 18 — оборотный штраф: 1–3% совокупной годовой выручки, но не более 500 млн ₽. Дополнительно — ответственность за неуведомление РКН в течение 24 часов: штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Если утечку допустил подрядчик, МФО как оператор несёт ответственность за его действия.

3. Какое правовое основание обработки биометрии в банке?

По общему правилу ст. 11 ФЗ-152 — письменное согласие субъекта. Для целей идентификации клиентов в рамках ФЗ-572 банк действует в рамках требований этого закона, однако согласие на передачу биометрии в ЕБС должно быть получено отдельно и содержать обязательные реквизиты по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие не может быть частью договора или общих условий.

4. Где физически хранится биометрия клиента банка?

Исключительно в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». С 01.06.2023 хранение биометрических шаблонов на серверах банка, в его облаке или у подрядчика запрещено ФЗ-572. Банк вправе хранить только идентификатор субъекта в ЕБС, но не сами биометрические векторы. Наличие локальных копий — самостоятельное основание для привлечения к ответственности.

5. Как клиент вправе оспорить автоматизированный отказ в кредите?

Ст. 16 ФЗ-152 предоставляет субъекту право потребовать, чтобы решение, принятое исключительно на основе автоматизированной обработки ПДн, было пересмотрено с участием уполномоченного лица оператора. Банк или МФО обязаны предусмотреть этот порядок в своей документации и уведомить клиента о праве на пересмотр в момент вынесения автоматизированного решения. Отсутствие такого порядка — нарушение ст. 16 ФЗ-152, которое фиксируется при проверке РКН.

Итог

Биометрический комплаенс в банке охватывает как минимум четыре нормативных пласта одновременно: ст. 11 ФЗ-152 (письменное согласие), ФЗ-572 (хранение исключительно в ЕБС), ст. 16 ФЗ-152 (скоринг с участием человека при оспаривании), ФЗ-218 (отдельные согласия для каждого БКИ). Несоответствие хотя бы одному из них при проверке РКН автоматически формирует протокол — и штраф начинается от 300 тыс. ₽ за нарушение согласия, достигая 15–20 млн ₽ за утечку биометрии.

DATUM сопровождает финансовые организации в аудите биометрических систем начиная с анализа IT-ландшафта и заканчивая разработкой ОРД и представлением интересов при проверках РКН. Практика Ветров и партнёры по 152-ФЗ работает с 2014 года.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

11 января 2029 года