аналитика 13 января 2029 По состоянию на 13 января 2029

DATUM по финтех-направлению

Финтех-компании обрабатывают четыре категории персональных данных — общие, биометрические, специальные (кредитная история) и данные платёжных инструментов. Каждая категория влечёт свой режим защиты и самостоятельный состав административного правонарушения.

С 30.05.2025 действует обновлённая ст. 13.11 КоАП в редакции ФЗ-420: за повторную утечку от 100 000 субъектов оборотный штраф составит 1–3% совокупной выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Для банка с выручкой 10 млрд ₽ это означает от 100 до 300 млн ₽.

→ Если вы финансовый директор и ещё не включили расходы на 152-ФЗ в бюджет — ниже анализ норм, цифр и рисков, которые определяют стоимость несоответствия.

Финтех в России регулируется пересечением трёх массивов норм: ФЗ-152 «О персональных данных», ФЗ-218 «О кредитных историях» и ФЗ-572 «О единой биометрической системе». С декабря 2024 года добавилась уголовная ответственность по ст. 272.1 УК за незаконное использование компьютерной информации, содержащей ПДн. Для финансового директора это означает три независимых центра риска: административные штрафы до 500 млн ₽, уголовное преследование сотрудников до 10 лет лишения свободы и репутационные потери при публичной утечке. В материале — структура регулирования, расчёт рисков и аналитика применимости норм к банкам, МФО и платёжным сервисам.

Как ФЗ-152 применяется к финтех-компаниям: какие основания обработки используются в банке?

Банк, МФО или платёжный сервис выступают оператором персональных данных по ст. 3 ФЗ-152 в момент, когда собирают хотя бы имя и телефон потенциального клиента. Правовое основание обработки определяется целью: для исполнения договора банковского счёта применяется п. 5 ч. 1 ст. 6 ФЗ-152 — согласие не требуется. Для скоринга по кредитной заявке, где решение принимается автоматически, подключается ст. 16 ФЗ-152: субъект вправе потребовать, чтобы окончательное решение принял человек, а не алгоритм. Это требование часто игнорируется — и создаёт самостоятельный риск жалобы в РКН.

Для маркетинговых рассылок, передачи данных партнёрам и аффилированным компаниям требуется отдельное согласие по ст. 9 ФЗ-152. С 01.09.2025 согласие не может быть включено в текст договора или оферты — ФЗ-156 от 24.06.2025 требует оформлять его отдельным документом. Банки, которые вшивали согласие в кредитный договор, с указанной даты нарушают ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽ за первичное нарушение).

«Ст. 16 ФЗ-152 — запрет принятия решений, порождающих правовые последствия для субъекта, исключительно на основе автоматизированной обработки ПДн, без права субъекта на оспаривание и требование участия человека.»

ФЗ-218 дополняет режим обработки: запрос кредитной истории в БКИ требует отдельного согласия субъекта, срок хранения кредитной истории — 7 лет с даты последнего изменения. Передача данных между банком и БКИ — это поручение обработки по п. 3 ст. 6 ФЗ-152 с обязательным договором, где прописаны цели и перечень действий.

Ваш бюджет на 152-ФЗ рассчитан по старым нормам?

С 30.05.2025 штрафы за утечку выросли кратно: от 3 млн ₽ за 1 000 субъектов до оборотного штрафа при повторности. Финансовому директору финтех-компании нужен расчёт реального риска — до того, как придёт запрос РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений и финансовой оценкой рисков.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что финтех-компании нарушают чаще всего по данным РКН и судебной практики?

По данным InfoWatch за 2025 год, финансовый сектор входит в тройку отраслей по числу утечек. Типовые нарушения, которые РКН фиксирует при проверках финтех-операторов, делятся на три группы.

Первая группа — согласия. Согласие на обработку ПДн в целях скоринга и маркетинга вшито в стандартный кредитный договор без выделения в отдельный документ. До 01.09.2025 это была серая зона; после принятия ФЗ-156 — явное нарушение ч. 2 ст. 13.11 КоАП.

Вторая группа — поручение обработки подрядчикам. Колл-центры, IT-аутсорсеры и маркетинговые агентства получают доступ к клиентским базам без надлежащего договора поручения по ст. 6 ФЗ-152. При утечке через подрядчика ответственность несёт оператор — банк или МФО. Судебная практика ВС РФ подтверждает: оператор не освобождается от ответственности, ссылаясь на действия третьего лица.

Третья группа — уведомление РКН. Финтех-компании нередко не включены в реестр операторов ПДн либо уведомление устарело — не отражает актуальный перечень обрабатываемых категорий. Неуведомление о намерении обрабатывать ПДн влечёт штраф по ч. 10 ст. 13.11 КоАП в размере 100 000–300 000 ₽. С 30.05.2025 этот состав выделен отдельно и больше не поглощается другими нарушениями.

«Ч. 10 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн: штраф для юридического лица 100 000–300 000 ₽ (редакция с 30.05.2025).»

Что подготовить финтех-компании для проверки РКН

Актуальное уведомление в реестре операторов ПДн (pd.rkn.gov.ru) с полным перечнем категорий и целей обработки
Отдельные согласия клиентов на скоринг, маркетинг и передачу в БКИ — оформленные по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025
Договоры поручения обработки с колл-центрами, IT-подрядчиками и аналитическими платформами по ст. 6 ФЗ-152
Политика обработки ПДн, опубликованная на сайте, с разделами по ч. 2 ст. 18.1 ФЗ-152
Регламент реагирования на утечки с порядком уведомления РКН за 24 и 72 часа по Приказу РКН №187

Где хранится биометрия — в ЕБС и что это означает для банка?

С 01.06.2023 банки обязаны размещать биометрические данные клиентов в Единой биометрической системе (ГИС ЕБС), оператором которой является АО «Центр Биометрических Технологий». Хранение исходной биометрии вне ЕБС после этой даты — нарушение ФЗ-572 от 29.12.2022. Для банков, которые сохранили локальные биометрические базы, это создаёт риск по специальной норме — ст. 13.11.3 КоАП, которая предусматривает штраф до 1 млн ₽ за нарушение порядка размещения биометрии в ЕБС.

Параллельно действует общая норма ч. 16 ст. 13.11 КоАП — за обработку биометрических ПДн с нарушением ст. 11 ФЗ-152: без письменного согласия, с превышением целей или с передачей ненадлежащим получателям. Ч. 17 ст. 13.11 предусматривает штраф 15 000 000–20 000 000 ₽ за утечку биометрических данных. При повторности применяется ч. 18 — оборотный штраф.

«Ч. 17 ст. 13.11 КоАП — утечка биометрических персональных данных (за исключением случаев ст. 13.11.3): штраф для юридического лица 15 000 000–20 000 000 ₽ (редакция с 30.05.2025).»

Отдельный вопрос — принуждение клиентов к сдаче биометрии. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, устанавливает ответственность за отказ в обслуживании потребителя без биометрии в ЕБС. Для финансового директора это создаёт нетривиальную задачу: банк обязан предлагать сдачу биометрии, но не вправе делать её условием получения услуги.

Как рассчитать финансовый риск по 115-ФЗ и ПДн одновременно?

Финтех-компании часто смешивают два режима идентификации: по 115-ФЗ «О противодействии легализации» и по ФЗ-152. Это разные правовые конструкции с разными последствиями. Идентификация по 115-ФЗ — это обязанность банка, и её исполнение не требует отдельного согласия субъекта (п. 2 ч. 1 ст. 6 ФЗ-152). Однако паспортные данные, собранные для идентификации по 115-ФЗ, нельзя без отдельного согласия использовать для скоринга или маркетинга — это нарушение ст. 5 ФЗ-152 (принцип несовместимости целей).

Для НПС (национальная платёжная система) добавляется ещё один слой: данные о транзакциях — это не ПДн в строгом смысле, но в совокупности с именем и реквизитами они становятся ПДн и подпадают под режим ФЗ-152. Платёжные сервисы, которые передают агрегированные транзакционные данные зарубежным аналитическим платформам, фактически осуществляют трансграничную передачу ПДн без уведомления РКН — риск по ч. 8 ст. 13.11 КоАП (локализация) составляет 1 000 000–6 000 000 ₽ при первичном нарушении.

Совокупный расчёт финансового риска для среднего банка (выручка 3 млрд ₽/год) выглядит так: утечка от 10 000 субъектов — штраф 5 000 000–10 000 000 ₽ по ч. 13 ст. 13.11; плюс неуведомление РКН за 24 часа — до 3 000 000 ₽ по ч. 11; плюс нарушение локализации — до 6 000 000 ₽ по ч. 8. Итого в одном инциденте — до 19 000 000 ₽ без учёта оборотного штрафа при повторности.

Если финансовый директор не видит этих рисков в бюджете — аудит 152-ФЗ переводит их в конкретные цифры. DATUM проводит аудит финтех-операторов с выдачей отчёта по 38 контрольным точкам, включая оценку рисков в денежном выражении.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО в Сибирском федеральном округе (осень 2025) прошла проверку РКН по индикатору риска — жалоба заёмщика на маркетинговую рассылку после погашения займа. Инспектор установил, что согласие на рассылку было вшито в договор займа без выделения в отдельный документ. По итогам составлен протокол по ч. 2 ст. 13.11 КоАП. Юристы добились снижения штрафа с учётом ст. 4.1.1 КоАП — первичность нарушения и отсутствие вреда субъекту. Компания переработала форму согласия и вышла из реестра нарушителей без повторных предписаний.

Кейс 2. Региональный банк (Уральский федеральный округ, начало 2026) допустил утечку данных примерно 15 000 клиентов через уязвимость в мобильном приложении. Команда реагирования направила первичное уведомление в РКН в течение 20 часов и подготовила 72-часовой отчёт с описанием технических мер. Квалификация — ч. 13 ст. 13.11 КоАП (10 000–100 000 субъектов). Оперативное уведомление и готовый пакет документации позволили применить смягчающие обстоятельства по ст. 4.1 КоАП; штраф назначен в нижней части диапазона.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 контрольным точкам с финансовой оценкой рисков
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на утечки
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, запрещает отказывать потребителю в обслуживании на основании отсутствия биометрических данных в ЕБС. Банк вправе предлагать сдать биометрию, но не вправе делать это условием получения кредита, открытия счёта или иной услуги. Нарушение влечёт штраф для юридического лица до 500 000 ₽.

2. Что грозит МФО за утечку персональных данных?

Размер штрафа зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 человек — 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5 000 000–10 000 000 ₽ по ч. 13. Свыше 100 000 субъектов — 10 000 000–15 000 000 ₽ по ч. 14. При повторности применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — штраф до 3 000 000 ₽ за неуведомление РКН в 24 часа по ч. 11 ст. 13.11.

3. Какое правовое основание обработки применяется в банке?

Для исполнения договора банковского счёта или кредитного договора — п. 5 ч. 1 ст. 6 ФЗ-152 (согласие не требуется). Для идентификации по 115-ФЗ — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, предусмотренной законом). Для скоринга, маркетинга и передачи данных партнёрам — согласие по ст. 9 ФЗ-152, с 01.09.2025 оформляемое отдельным документом согласно ФЗ-156.

4. Где хранится биометрия после сдачи в банке?

С 01.06.2023 исходные биометрические данные хранятся исключительно в Единой биометрической системе (ГИС ЕБС) под управлением АО «Центр Биометрических Технологий». Банк не вправе хранить исходную биометрию локально. Нарушение этого требования регулируется ст. 13.11.3 КоАП — штраф для юридического лица до 1 000 000 ₽. Порядок размещения определяется ФЗ-572 от 29.12.2022.

5. Как оспорить отказ в кредите, принятый алгоритмом?

Ст. 16 ФЗ-152 даёт субъекту право потребовать, чтобы окончательное решение, принятое исключительно на основе автоматизированной обработки ПДн и порождающее правовые последствия, было пересмотрено с участием человека. Субъект вправе подать письменное заявление оператору; срок рассмотрения — 10 рабочих дней по ст. 20 ФЗ-152. При отказе оператора рассмотреть заявление — жалоба в РКН по ст. 17 ФЗ-152.

Итог

Финтех-сектор находится под действием четырёх независимых правовых режимов: ФЗ-152, ФЗ-218, ФЗ-572 и 115-ФЗ. Каждый создаёт самостоятельные основания для проверки РКН и отдельные составы административных правонарушений. Совокупный штраф в одном инциденте для среднего банка может превысить 19 млн ₽ без учёта оборотного состава при повторности.

DATUM сопровождает финтех-операторов по всем четырём режимам: аудит соответствия 152-ФЗ, комплектация ОРД для финансового сектора, защита от штрафов по ст. 13.11 КоАП в арбитраже, подготовка к проверкам РКН.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.