аналитика 1 июня 2026 По состоянию на 1 июня 2026

DATUM по платёжным системам

Платёжные системы, банки и МФО обрабатывают три категории персональных данных одновременно: общие, биометрические и данные кредитной истории — каждая со своим правовым режимом.

С 30.05.2025 утечка от 10 000 субъектов влечёт штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП, повторная — до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ по оборотному составу ч. 15. Биометрическая утечка — 15–20 млн ₽ отдельно по ч. 17.

→ Если вы финансовый директор и считаете бюджет на комплаенс по ФЗ-152: стоимость аудита составляет от 100 000 ₽, стоимость первой же утечки — от 3 млн ₽ и уголовное дело на топ-менеджера по ст. 272.1 УК.

Финансовый директор платёжного сервиса или банка несёт ответственность за то, что выглядит технической проблемой: соответствие обработки персональных данных требованиям ФЗ-152, ФЗ-218 о кредитных историях и ФЗ-572 об Единой биометрической системе. С 30.05.2025 штрафы по ст. 13.11 КоАП изменились кардинально: появились 18 составов вместо семи, оборотный штраф и уголовная ответственность по ст. 272.1 УК с 11.12.2024. В этом материале — карта рисков для финтеха, структура обязательств и экономика комплаенса.

Какие правовые основания нужны банку для обработки персональных данных?

Банк, МФО и платёжный сервис используют несколько оснований одновременно. Согласие по ст. 9 ФЗ-152 — лишь одно из одиннадцати оснований ст. 6; для большинства операций по исполнению договора оно не требуется. Обработка, необходимая для заключения и исполнения кредитного договора, опирается на п. 5 ч. 1 ст. 6 ФЗ-152. Соблюдение требований 115-ФЗ об идентификации клиента — на п. 2 ч. 1 ст. 6. Запрос в бюро кредитных историй по ФЗ-218 требует отдельного письменного согласия субъекта, так как передача в БКИ выходит за рамки исполнения договора.

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки ПДн без согласия. Исполнение договора, стороной которого является субъект, — самостоятельное основание (п. 5). Передача в БКИ, скоринг третьих лиц и реклама под это основание не подпадают.»

Скоринг на основе автоматизированной обработки данных регулируется ст. 16 ФЗ-152: если решение принимается автоматически без участия человека и влечёт правовые последствия для субъекта — банк обязан уведомить клиента, разъяснить порядок оспаривания и по запросу субъекта пересмотреть решение с участием человека. Требование действует с 2024 года и массово не выполняется.

Отдельный правовой режим — биометрия. По ст. 11 ФЗ-152 биометрические ПДн (изображение лица, голос, отпечатки, радужка) обрабатываются только при наличии письменного согласия субъекта. ФЗ-572 обязал банки с 01.06.2023 хранить биометрические шаблоны исключительно в Единой биометрической системе — самостоятельные биометрические базы вне ЕБС запрещены. Оператор ЕБС — АО «Центр Биометрических Технологий».

Финансовый директор считает бюджет: аудит или штраф?

Аудит соответствия 152-ФЗ для финтех-компании — от 100 000 ₽. Штраф за утечку от 10 000 субъектов — 5–10 млн ₽ по ч. 13 ст. 13.11. Штраф за повторную утечку — до 3% годовой выручки, не менее 20 млн ₽. Арифметика однозначна: проверить сейчас дешевле, чем защищаться потом.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что изменилось в ст. 13.11 КоАП с 30.05.2025 для платёжного сектора?

ФЗ-420 от 30.11.2024 пересобрал ст. 13.11 КоАП с семи составов до восемнадцати. Для финтех-компании ключевые изменения — в составах за утечки и за нарушение работы с биометрией.

Утечки теперь квалифицируются по объёму: от 1 000 до 10 000 субъектов — ч. 12 (3–5 млн ₽ для юрлица), от 10 000 до 100 000 — ч. 13 (5–10 млн ₽), свыше 100 000 — ч. 14 (10–15 млн ₽). Банк с базой в несколько миллионов клиентов при любой реальной утечке попадает в диапазон ч. 14. При повторности — ч. 15: оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Применяется при повторном совершении нарушений по ч. 12–14, 16–18 или самой ч. 15. Скидка 50% по ст. 32.2 КоАП за досрочную уплату к оборотному составу не применяется.»

Биометрические данные выделены в отдельный состав: утечка биометрии — ч. 17 ст. 13.11, штраф 15–20 млн ₽ для юрлица. Нарушение правил работы с биометрией без утечки (обработка без письменного согласия, хранение вне ЕБС) — ч. 16. Отдельно существует ст. 13.11.3 КоАП для банков, нарушающих правила размещения биометрии в ЕБС: штраф 500 тыс. — 1 млн ₽. Принудить клиента предоставить биометрию для получения услуги — ч. 8 ст. 14.8 КоАП, штраф до 500 тыс. ₽.

Неуведомление или несвоевременное уведомление РКН об утечке в 24-часовой срок — ч. 11 ст. 13.11, штраф 1–3 млн ₽. Для финансовой организации, обнаружившей инцидент в пятницу вечером, 24 часа — нереальный срок без заранее подготовленного процесса реагирования.

Какие риски несёт МФО при обработке данных заёмщиков?

МФО работают с данными, для которых большинство малых и средних финтех-компаний не выстраивает полноценного комплаенса. Скоринговая модель использует данные из БКИ — для каждого запроса нужно отдельное письменное согласие субъекта по ФЗ-218. Согласие встроено в форму заявки, но с 01.09.2025 оно должно быть оформлено отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Типовые нарушения МФО: согласие совмещено с договором займа — нарушение ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025; отсутствие уведомления в реестре РКН — ч. 10 ст. 13.11 (100–300 тыс. ₽ при отсутствии вреда); передача данных коллекторам без соответствующего поручения по ст. 6 ФЗ-152; обработка данных о просрочках через сторонний сервис без договора поручения обработки.

Что подготовить финансовой организации для соответствия ФЗ-152

Уведомление в реестре операторов РКН с актуальным перечнем категорий ПДн и целей обработки (pd.rkn.gov.ru)
Отдельные согласия на обработку ПДн, запрос в БКИ и распространение — по новым реквизитам ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025
Договоры поручения обработки со скоринговыми сервисами, облачными провайдерами, коллекторами, колл-центрами
Регламент реагирования на инциденты с уведомлением РКН за 24 часа по Приказу РКН №187 от 14.11.2022
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием его полномочий

Объём данных МФО невелик по сравнению с банком, однако состав — чувствительный: сведения о доходах, месте работы, документы, удостоверяющие личность. При утечке базы МФО с 5 000 записей состав по ч. 12 ст. 13.11 (3–5 млн ₽) — минимум. При утечке базы свыше 100 000 клиентов — ч. 14 (10–15 млн ₽). Для МФО с годовой выручкой в 200 млн ₽ это критическая сумма.

Если вы финансовый директор МФО или банка и ещё не проверяли соответствие 152-ФЗ после 30.05.2025 — риски уже действуют. Юристы DATUM оценят разрыв между фактической практикой и требованиями закона за 5 рабочих дней.

Заказать аудит 152-ФЗ

Как применяются нормы на практике: три типичных сценария

Сценарии ниже описывают ситуации, характерные для финтех-сектора в 2025–2026 годах. В каждой — стандартная последовательность событий, правовая квалификация и вероятный исход.

Сценарий 1. МФО без уведомления в реестре РКН. Ситуация: МФО работает три года, уведомление в реестре РКН не подано. Плановая проверка выявила нарушение. Доказательства: отсутствие записи в реестре операторов ПДн на pd.rkn.gov.ru. Исход: протокол по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽) плюс предписание устранить нарушение. Стратегия: уведомить РКН немедленно, зафиксировать дату подачи уведомления — это смягчающее обстоятельство по ст. 4.1 КоАП. При первичном нарушении и статусе малого предприятия — возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП.

Сценарий 2. Банк — утечка через подрядчика по скорингу. Ситуация: данные 80 000 заёмщиков утекли через стороннюю скоринговую платформу. Банк обнаружил инцидент через 36 часов. Доказательства: журналы подрядчика, факт передачи данных без надлежащего договора поручения по ст. 6 ФЗ-152. Исход: протокол по ч. 13 ст. 13.11 (5–10 млн ₽), отдельно протокол по ч. 11 за нарушение 24-часового срока уведомления (1–3 млн ₽). Позиция ВС РФ: оператор отвечает за действия подрядчика, которому поручена обработка. Стратегия: для минимизации по ч. 13 — доказать оперативность мер после обнаружения; по ч. 11 — зафиксировать точное время обнаружения инцидента (не предполагаемое время утечки).

Сценарий 3. Платёжный сервис — биометрия вне ЕБС. Ситуация: сервис использует распознавание лица при авторизации, биометрические шаблоны хранятся в собственной базе данных на сервере в России. ФЗ-572 с 01.06.2023 обязал хранить шаблоны в ЕБС. Доказательства: наличие собственной биометрической базы. Исход: ст. 13.11.3 КоАП (500 тыс. — 1 млн ₽) и/или ч. 16 ст. 13.11 за нарушение ст. 11 ФЗ-152. Стратегия: переход на интеграцию с ЕБС, уничтожение собственных шаблонов с документальным подтверждением — до проверки.

Как это выглядит на реальных кейсах

Кейс 1. Финтех-компания Приволжского ФО (осень 2025) обрабатывала данные заёмщиков через три сторонних сервиса без договоров поручения обработки. При плановой проверке РКН инспектор выявил передачу данных 45 000 субъектов без правового основания. Финансовый директор был проинформирован об инциденте за месяц до проверки, но документация не была приведена в порядок. Арбитражный суд региона назначил штраф в диапазоне нескольких миллионов рублей по ч. 13 ст. 13.11 КоАП. После подключения DATUM в апелляции — частичное снижение за счёт применения смягчающих обстоятельств по ст. 4.1 КоАП.

Кейс 2. МФО Сибирского ФО (начало 2026) получила протокол по ч. 2 ст. 13.11 КоАП: согласие на обработку ПДн заёмщиков было совмещено с договором займа, без выделения в отдельный документ. Нарушение выявлено после жалобы субъекта в РКН. Поскольку МФО имела статус малого предприятия и нарушение было первичным — суд применил ст. 4.1.1 КоАП и заменил штраф (диапазон для юрлица по ч. 2 — 300–700 тыс. ₽) на предупреждение. Финансовый директор получил предписание переоформить все согласия в течение 30 дней.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн в финтехе по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия, договоры поручения, регламенты
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту, если он не предоставил биометрию?

Нет. По ч. 8 ст. 14.8 КоАП отказ в предоставлении услуги потребителю, не сдавшему биометрические ПДн в ЕБС, является административным правонарушением. Штраф для юридического лица — до 500 тыс. ₽. Банк вправе предлагать биометрическую идентификацию как дополнительный инструмент, но не вправе делать её условием обслуживания.

2. Что грозит МФО за утечку базы заёмщиков?

Размер штрафа определяется числом субъектов в утечке. Утечка от 1 000 до 10 000 заёмщиков — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 — ч. 13, штраф 5–10 млн ₽. Свыше 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — ч. 11 за неуведомление РКН в 24 часа (1–3 млн ₽). Если утечка квалифицируется по ст. 272.1 УК РФ — уголовная ответственность физических лиц до 10 лет лишения свободы (ч. 5).

3. Какое правовое основание использует банк для обработки данных при выдаче кредита?

Основным основанием является п. 5 ч. 1 ст. 6 ФЗ-152 — обработка необходима для исполнения договора, стороной которого выступает субъект ПДн. Для запроса кредитной истории в БКИ по ФЗ-218 — отдельное письменное согласие субъекта. Для идентификации по 115-ФЗ — п. 2 ч. 1 ст. 6 (исполнение обязанности, предусмотренной законом). Согласие как таковое для выдачи кредита не требуется, однако часто используется как дополнительное основание для смежных операций (реклама, скоринг третьих лиц).

4. Где хранится биометрия клиентов банка — в ЕБС или у банка?

С 01.06.2023 биометрические шаблоны клиентов финансовых организаций должны храниться исключительно в Единой биометрической системе (ГИС ЕБС) в соответствии с ФЗ-572 от 29.12.2022. Хранение исходных биометрических данных и шаблонов в собственных базах банков запрещено. Нарушение — состав ст. 13.11.3 КоАП (500 тыс. — 1 млн ₽) и/или ч. 16 ст. 13.11. Оператор ЕБС — АО «Центр Биометрических Технологий».

5. Как клиент может оспорить автоматический отказ в кредите?

По ст. 16 ФЗ-152 субъект ПДн вправе потребовать пересмотра решения, принятого исключительно на основе автоматизированной обработки его данных, если это решение влечёт правовые последствия или существенно затрагивает его интересы. Банк обязан обеспечить возможность такого обжалования, проинформировать клиента о праве на оспаривание и пересмотреть решение с участием человека. Отказ предоставить такую возможность — нарушение ст. 16 ФЗ-152 и основание для жалобы в РКН.

Итог

Платёжные системы, банки и МФО работают в условиях трёх накладывающихся правовых режимов: ФЗ-152 (общий), ФЗ-218 (кредитные истории) и ФЗ-572 (биометрия в ЕБС). С 30.05.2025 штрафная нагрузка за утечки выросла в 10–100 раз по сравнению с режимом до ФЗ-420. Экономика проста: аудит стоит от 100 000 ₽, первая утечка — от 3 млн ₽, повторная — от 20 млн ₽ оборотного штрафа.

DATUM сопровождает финтех-компании по полному циклу: от первичного аудита и сборки ОРД до защиты в арбитраже при получении протокола по ст. 13.11 КоАП. Практика включает МФО, платёжные сервисы, банки и страховщиков.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.