аналитика 11 апреля 2029 По состоянию на 11 апреля 2029

DATUM-аудит БКИ

Аудит соответствия БКИ и финансовых операторов по 152-ФЗ — это проверка правовых оснований обработки ПДн, порядка работы с кредитными историями по ФЗ-218, корректности скоринга по ст. 16 ФЗ-152 и соответствия требованиям ЕБС по ФЗ-572.

С 30.05.2025 утечка данных от 10 000 субъектов обходится финансовой компании от 5 до 500 млн ₽ — в зависимости от масштаба инцидента и повторности нарушения (ст. 13.11 КоАП в ред. ФЗ-420).

→ Если вы финансовый директор и не знаете, какие нормы 152-ФЗ нарушает ваша компания прямо сейчас — читайте дальше.

Финтех-компании, банки и МФО обрабатывают персональные данные в объёме, недоступном большинству других отраслей: кредитные истории через БКИ, биометрия в ЕБС, скоринговые решения по ст. 16 ФЗ-152, идентификация по 115-ФЗ. Каждый из этих процессов порождает отдельные обязательства перед субъектами и регулятором. Стоимость аудита соответствия — от 100 000 ₽. Стоимость штрафа за утечку от 10 000 субъектов — от 5 млн ₽; при повторности — оборотный, до 500 млн ₽. В этом материале — что проверяет DATUM-аудит применительно к финансовым операторам, какие нормы наиболее уязвимы и что должен знать финдиректор до прихода РКН.

Что такое DATUM-аудит БКИ и кому он нужен?

DATUM-аудит БКИ — это структурированная проверка практики обработки персональных данных в финансовых организациях, которые взаимодействуют с бюро кредитных историй, используют биометрическую идентификацию через ЕБС или принимают автоматизированные решения на основе скоринга. Аудит охватывает три уровня: нормативный (соответствие ФЗ-152, ФЗ-218, ФЗ-572, 115-ФЗ), документарный (наличие и корректность ОРД) и технический (уровень защищённости ИСПДн по ПП РФ №1119).

Аудит актуален для банков, МФО, страховщиков, скоринговых платформ и финтех-сервисов, обрабатывающих ПДн клиентов в рамках кредитного процесса. По данным РКН, в 2024 году зафиксировано свыше 135 случаев утечек с более чем 710 млн записей — финансовый сектор устойчиво входит в топ пострадавших отраслей.

Для финансового директора аудит решает прежде всего задачу оценки финансового риска: насколько велика вероятность штрафа, каков его потенциальный размер и что нужно сделать, чтобы снизить его до нуля или минимума.

«Ст. 16 ФЗ-152 — автоматизированное принятие решений, порождающих правовые последствия для субъекта (отказ в кредите, изменение условий), допускается только при наличии явного согласия субъекта или прямого указания закона. Субъект вправе требовать пересмотра такого решения с участием человека.»

Какие нормы ФЗ-152 чаще всего нарушают финансовые компании?

Практика проверок РКН и судебная статистика по ст. 13.11 КоАП позволяют выделить пять наиболее уязвимых точек у финансовых операторов.

Отсутствие отдельного согласия на скоринг. Автоматизированное принятие решений по ст. 16 ФЗ-152 требует явного согласия субъекта. В большинстве банков и МФО это согласие либо объединено с кредитным договором, либо отсутствует вовсе. С 01.09.2025 по ФЗ-156 согласие на обработку ПДн оформляется отдельным документом — не в составе договора или политики.

Нарушения при работе с БКИ по ФЗ-218. Запрос кредитной истории требует отдельного согласия субъекта по ст. 6 ФЗ-152 (п. 1). Срок хранения кредитной истории — 7 лет. Передача сведений в БКИ без надлежащего правового основания образует состав по ч. 1 ст. 13.11 КоАП.

Биометрия вне ЕБС. ФЗ-572 от 29.12.2022 запретил хранение исходной биометрии вне Государственной информационной системы ЕБС с 01.06.2023. Банки, продолжающие вести собственные биометрические базы, нарушают требования ст. 11 ФЗ-152 и ФЗ-572 одновременно. Штраф по ч. 17 ст. 13.11 КоАП за утечку биометрии — 15–20 млн ₽.

Передача данных сторонним скоринговым платформам. Взаимодействие с внешними аналитическими сервисами без надлежащего поручения по п. 3 ст. 6 ФЗ-152 и без уведомления РКН о трансграничной передаче (если платформа расположена за рубежом) — системная проблема финтеха.

Идентификация по 115-ФЗ и обработка ПДн. Процедуры ПОД/ФТ требуют обработки данных, которые по ФЗ-152 считаются специальными категориями. Основание обработки — не согласие, а прямое требование закона (ст. 6 ч. 1 п. 2 ФЗ-152). Ошибка в правовом основании делает всю обработку незаконной по ч. 1 ст. 13.11.

Ваша компания взаимодействует с БКИ или ЕБС — когда последний раз проверяли правовые основания?

Большинство нарушений в финансовом секторе обнаруживаются только при проверке РКН или после утечки. К этому моменту штраф по ч. 12–14 ст. 13.11 КоАП уже неизбежен. Аудит DATUM позволяет зафиксировать риски до их реализации — по чек-листу из 38 пунктов с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как работает скоринг по ст. 16 ФЗ-152 — и где нарушение?

Скоринг в финансовом секторе — это типичный пример автоматизированного принятия решений по ст. 16 ФЗ-152. Норма устанавливает два условия правомерности: либо наличие явного согласия субъекта на такое решение, либо прямое указание в законе. Банковское и микрофинансовое законодательство такого указания не содержит — значит, требуется согласие.

Практика показывает три типичные ошибки. Первая — согласие на скоринг включено в общий текст договора, не выделено как отдельный документ (нарушение ФЗ-156 с 01.09.2025). Вторая — субъект не уведомляется о том, что решение принято автоматически, без участия человека. Третья — компания не предусматривает механизм оспаривания автоматизированного решения, хотя ст. 16 ФЗ-152 прямо предоставляет субъекту такое право.

Штраф за нарушение ст. 16 в части отсутствия согласия квалифицируется по ч. 2 ст. 13.11 КоАП: 300 000 – 700 000 ₽ за первое нарушение, 1 000 000 – 1 500 000 ₽ — за повторное.

«Ч. 8 ст. 14.8 КоАП — отказ в обслуживании потребителя, обусловленный непредоставлением биометрических данных в ЕБС, влечёт административную ответственность для юрлица. ФЗ-572 устанавливает добровольность сдачи биометрии.»

Что проверяет DATUM-аудит БКИ: пять блоков

Аудит структурирован по пяти функциональным блокам, каждый из которых соответствует отдельному регуляторному риску.

Что входит в DATUM-аудит для финансовых операторов

Правовые основания обработки ПДн — по каждому бизнес-процессу: скоринг, передача в БКИ, идентификация по 115-ФЗ, программы лояльности, маркетинг
Документарный пакет ОРД — политика, согласия по ФЗ-156 (отдельный документ с 01.09.2025), приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент реагирования на утечки
Биометрия и ЕБС — соответствие ФЗ-572: наличие или отсутствие собственных биометрических баз, порядок направления в ГИС ЕБС, запрет отказа в обслуживании по ч. 8 ст. 14.8 КоАП
Трансграничная передача — скоринговые API за рубежом, облачные CRM и аналитические платформы, уведомление РКН по ст. 12 ФЗ-152
Технические меры — уровень защищённости ИСПДн по ПП РФ №1119 (УЗ-1..4), соответствие мер защиты Приказу ФСТЭК №21

Результат аудита — отчёт с ранжированием нарушений по вероятности и тяжести последствий, план устранения с указанием ответственных и сроков, шаблоны недостающих документов.

Типичные ситуации: три сценария для финансового директора

Ниже — три сценария, которые DATUM фиксирует при работе с финансовыми операторами.

Сценарий 1. МФО передаёт данные заёмщиков в зарубежную скоринговую платформу. Ситуация: российская МФО использует облачный скоринговый API, сервер которого расположен в ЕС. Передача данных происходит без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Риски: нарушение ч. 8 ст. 13.11 КоАП (локализация, 1–6 млн ₽) в сочетании с нарушением ч. 1 ст. 13.11 (отсутствие правового основания). Стратегия: провести аудит маршрутов передачи данных, направить уведомление в РКН, оформить соглашение с обработчиком.

Сценарий 2. Банк хранит биометрию клиентов во внутренней базе данных. Ситуация: с 01.06.2023 действует запрет ФЗ-572 на хранение исходной биометрии вне ЕБС. Банк продолжает вести собственный репозиторий. При утечке — штраф по ч. 17 ст. 13.11 КоАП: 15–20 млн ₽. При повторной утечке — оборотный штраф по ч. 18: до 500 млн ₽. Стратегия: мигрировать данные в ЕБС, уничтожить локальные копии, обновить ОРД.

Сценарий 3. Финдиректор оценивает бюджет на комплаенс после прихода запроса от РКН. Ситуация: компания получила запрос РКН о предоставлении документов по обработке ПДн. ОРД не актуализировался 3 года. Согласия — в тексте договоров. Уведомление в реестре операторов устарело. Вероятный исход: штраф по ч. 1 ст. 13.11 (150 000–300 000 ₽) + по ч. 3 (30 000–60 000 ₽) + по ч. 10 (100 000–300 000 ₽). Итого до 660 000 ₽ в рамках одной проверки. Стратегия: подключить юриста до ответа на запрос, собрать ОРД под ключ, актуализировать уведомление.

Если финдиректор получил запрос РКН или планирует аудит — срок на ответ субъекту или регулятору не восстанавливается. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО из Сибирского федерального округа (осень 2025) передавала данные заёмщиков сторонней аналитической платформе без поручения по п. 3 ст. 6 ФЗ-152. РКН инициировал внеплановую проверку. Финансовый директор обратился в DATUM после получения уведомления о проверке. Аудит выявил семь нарушений: отсутствие уведомления о трансграничной передаче, скоринговое согласие в тексте договора, устаревший реестр операторов. По итогам защиты в ходе проверки три нарушения были устранены до составления протокола; итоговый штраф составил существенно меньше потенциального максимума по всем составам.

Кейс 2 (из практики). Банк Северо-Западного федерального округа (начало 2026) прошёл плановую проверку РКН после аудита DATUM, проведённого за шесть месяцев до неё. К моменту проверки был обновлён полный пакет ОРД, согласия на скоринг оформлены отдельными документами по ФЗ-156, уведомление в реестре операторов приведено в соответствие с реальными процессами. РКН не выявил нарушений, требующих возбуждения дела.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с приоритизированным планом
Комплект ОРД под ключ — политика, согласия по ФЗ-156, приказы, регламенты
Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. ФЗ-572 устанавливает добровольность сдачи биометрических данных в ЕБС. Отказ в обслуживании потребителя, обусловленный непредоставлением биометрии, образует состав административного правонарушения по ч. 8 ст. 14.8 КоАП. Банки и МФО обязаны предлагать альтернативные способы идентификации.

2. Что грозит МФО за утечку данных заёмщиков?

Штраф зависит от масштаба утечки. Утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП). От 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13). Более 100 000 субъектов — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Все нормы в редакции ФЗ-420, действуют с 30.05.2025.

3. Какое правовое основание обработки ПДн в банке по умолчанию?

Зависит от процесса. Исполнение договора — п. 5 ч. 1 ст. 6 ФЗ-152 (кредитный договор, счёт). Идентификация по 115-ФЗ — исполнение обязанности, возложенной законом, п. 2 ч. 1 ст. 6 ФЗ-152. Скоринг и маркетинг — только согласие (п. 1 ч. 1 ст. 6) в виде отдельного документа по ФЗ-156 с 01.09.2025. Ошибка в основании — нарушение ч. 1 ст. 13.11, штраф 150 000–300 000 ₽.

4. Где хранится биометрия — в банке или в ЕБС?

После 01.06.2023 — только в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». ФЗ-572 запрещает хранение исходных биометрических данных вне ЕБС. Банки, ведущие собственные биометрические репозитории, нарушают ФЗ-572 и ст. 11 ФЗ-152 одновременно. Утечка биометрии из такой базы — штраф по ч. 17 ст. 13.11 КоАП: 15–20 млн ₽.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 предоставляет субъекту право требовать пересмотра автоматизированного решения с участием уполномоченного сотрудника. Оператор обязан обеспечить такую процедуру и уведомить субъекта о его праве на оспаривание. Отсутствие механизма оспаривания — нарушение ст. 16, квалифицируемое по ч. 1 ст. 13.11 КоАП.

Итог

Финансовый сектор — зона повышенного регуляторного риска по 152-ФЗ: объём и категории обрабатываемых ПДн здесь максимальны, а надзор РКН за БКИ, банками и МФО нарастает. С 30.05.2025 штрафная нагрузка по ст. 13.11 КоАП существенно выросла — оборотный штраф при повторной утечке составляет до 500 млн ₽. DATUM-аудит позволяет финансовому директору перевести абстрактный регуляторный риск в конкретный перечень нарушений и стоимость их устранения до прихода РКН.

Практика DATUM сопровождает финансовых операторов по 152-ФЗ с 2014 года: аудиты банков, МФО, скоринговых платформ, работа с уведомлениями о трансграничной передаче и с требованиями ЕБС.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по ФЗ-218, скоринг по ст. 16 ФЗ-152, биометрия в ЕБС (ФЗ-572), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.

11 апреля 2029 года