Перейти к содержанию
аналитика 14 января 2029 По состоянию на 14 января 2029

DATUM-сопровождение МФО и БКИ

МФО и бюро кредитных историй работают в зоне повышенного регуляторного риска: три федеральных закона — 152-ФЗ, 218-ФЗ и 572-ФЗ — пересекаются в каждом кредитном решении.
С 30.05.2025 штраф за утечку клиентских данных МФО начинается от 3 млн ₽ по ч. 12 ст. 13.11 КоАП, а повторное нарушение переходит в оборотный — до 500 млн ₽ по ч. 15.
Если вы финансовый директор и утечка уже произошла или РКН запросил документы — у вас ограниченное время на реакцию. → Оценить риски по 152-ФЗ

МФО и БКИ обрабатывают данные заёмщиков на каждом этапе: при заявке, скоринге, передаче в бюро, при взыскании. Финансовый директор отвечает за бюджет — и именно штрафы по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 превратились в статью расходов, которая не поддаётся планированию без предварительного аудита. В этом материале — нормативная карта обязательств МФО и БКИ, типовые сценарии нарушений и расчёт экономики риска.

Какие законы регулируют обработку персональных данных в МФО?

Для МФО действует трёхуровневая нормативная рамка. Первый уровень — ФЗ-152 «О персональных данных»: определяет правовые основания обработки, требования к согласию, сроки ответа субъекту, обязанности при утечке. Второй уровень — ФЗ-218 «О кредитных историях»: устанавливает обязанность передавать данные хотя бы в одно БКИ, регулирует согласие на запрос в бюро, срок хранения кредитной истории — 7 лет. Третий уровень — ФЗ-572 «О единой биометрической системе»: с 01.06.2023 хранить исходную биометрию вне ЕБС запрещено; оператором ГИС ЕБС является АО «Центр Биометрических Технологий».

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки персональных данных. Для МФО ключевые — согласие субъекта (п. 1), исполнение договора займа (п. 5) и исполнение обязанностей по 218-ФЗ (п. 2). Автоматизированные решения о выдаче займа подпадают под ст. 16 ФЗ-152: субъект вправе потребовать рассмотрения заявки без автоматизации.»

Важен и ФЗ-115 «О противодействии легализации доходов»: идентификация клиента при выдаче займа создаёт отдельный массив персональных данных, который хранится по требованиям Росфинмониторинга. Пересечение оснований обработки по 152-ФЗ и 115-ФЗ требует аккуратного разграничения в политике конфиденциальности — иначе РКН квалифицирует объединение баз с несовместимыми целями как нарушение ст. 5 ФЗ-152.

Платёжные данные в рамках НПС (Национальная платёжная система) добавляют требования ЦБ РФ по защите информации — 382-П. Это означает, что МФО с собственным мобильным приложением де-факто работает под двойным регулированием: РКН проверяет 152-ФЗ, ЦБ — 382-П.

Финдиректор МФО: когда бюджет на ИБ становится обязательным?

Стоимость аудита соответствия 152-ФЗ — от 100 000 ₽. Стоимость минимального штрафа за утечку данных заёмщиков — 3 млн ₽ по ч. 12 ст. 13.11 КоАП. При повторном нарушении оборотный штраф по ч. 15 составляет 1–3% совокупной годовой выручки, но не менее 20 млн ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что изменилось для БКИ с принятием ФЗ-420 и оборотных штрафов?

До 30.05.2025 БКИ, как и МФО, штрафовали по старой редакции ст. 13.11 КоАП с максимальным штрафом 100 000 ₽ для юридических лиц. С вступлением в силу ФЗ-420 от 30.11.2024 шкала изменилась радикально. Основание для оборотного штрафа — повторная утечка данных.

«Ч. 12 ст. 13.11 КоАП (в ред. с 30.05.2025): утечка персональных данных от 1 000 до 10 000 субъектов — штраф для юрлица 3–5 млн ₽. Ч. 13: от 10 000 до 100 000 субъектов — 5–10 млн ₽. Ч. 14: более 100 000 субъектов — 10–15 млн ₽. Ч. 15 (повторность по ч. 12–14): 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽.»

БКИ хранят кредитные истории миллионов граждан. Утечка базы бюро автоматически попадает под ч. 14 (более 100 000 субъектов) — 10–15 млн ₽ при первом инциденте. При повторном нарушении оборотный штраф для крупного БКИ с выручкой 1 млрд ₽ составит 10–30 млн ₽, для системообразующего — на порядок больше.

Отдельный состав — ч. 11 ст. 13.11: неуведомление РКН об утечке в течение 24 часов влечёт штраф 1–3 млн ₽. БКИ, обнаружившее взлом в пятницу вечером, обязано уведомить регулятора до воскресенья утра. Процесс реагирования должен быть отлажен заранее и прописан в регламенте — иначе к штрафу за утечку добавляется штраф за несвоевременное уведомление.

Подсудность дел по ст. 13.11 КоАП с 28.12.2025 вернулась к мировым судьям (ФЗ-508 от 28.12.2025). До этой даты дела рассматривали арбитражные суды. Практика мировых судей по новым нормам только формируется — это означает повышенную неопределённость при оценке вероятного исхода без юридической поддержки.

Как работает скоринг по ст. 16 ФЗ-152 и какие риски несёт МФО?

Статья 16 ФЗ-152 регулирует автоматизированную обработку персональных данных, влекущую юридические последствия для субъекта. Для МФО это скоринг: решение об отказе или выдаче займа принимается алгоритмом без участия сотрудника. Субъект вправе потребовать, чтобы решение пересмотрел человек, — и МФО обязана обеспечить эту возможность.

Нарушение ст. 16 ФЗ-152 пока не выделено в отдельный состав КоАП, однако РКН квалифицирует его как обработку ПДн в случаях, не предусмотренных законом — ч. 1 ст. 13.11 (150–300 тыс. ₽). При повторности — ч. 1.1 (300–500 тыс. ₽). Субъект также вправе обратиться в суд с требованием об убытках и компенсации морального вреда.

«Ст. 16 ФЗ-152: оператор, принимающий решения на основании исключительно автоматизированной обработки персональных данных, влекущие юридические последствия для субъекта, обязан разъяснить ему порядок такой обработки и предоставить возможность возражения. Субъект вправе требовать проверки принятого решения с участием сотрудника оператора.»

Практический риск: МФО, которая использует модели ML для скоринга, должна фиксировать факт разъяснения в клиентском договоре или отдельном документе. Если разъяснение не дано — каждый отказ потенциально оспорим.

Что подготовить МФО и БКИ для проверки РКН

  • Уведомление о намерении обрабатывать ПДн в реестре РКН (pd.rkn.gov.ru) — актуальная запись с реальными целями обработки
  • Политика обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте и в приложении
  • Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — включая согласие на запрос в БКИ и на автоматизированный скоринг
  • Регламент реагирования на инциденты с ПДн — с указанием ответственных, сроков (24/72 часа) и каналов уведомления РКН по Приказу №187
  • Договоры поручения с подрядчиками, обрабатывающими ПДн заёмщиков (колл-центры, верификаторы, CRM-провайдеры)

Биометрия в финтехе: ЕБС, ч. 8 ст. 14.8 КоАП и реальные риски для МФО

С принятием ФЗ-572 в декабре 2022 года биометрическая идентификация клиентов финансовых организаций централизована в ГИС ЕБС. МФО, которые использовали собственные биометрические системы, обязаны были перейти на ЕБС или отказаться от биометрии к 01.06.2023. Хранение исходных биометрических слепков вне ЕБС с этой даты незаконно.

Ключевой риск для финансовой организации — требование об обязательном принятии биометрии. Ч. 8 ст. 14.8 КоАП запрещает отказывать клиенту в обслуживании на основании того, что он не разместил биометрические данные в ЕБС. Это означает: МФО не вправе сделать сдачу биометрии условием получения займа. Штраф для юридического лица — до 500 тыс. ₽.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только с письменного согласия субъекта, за исключением случаев, предусмотренных законом (идентификация при судопроизводстве, оперативно-разыскная деятельность и ряд иных). ФЗ-572: исходные биометрические данные граждан должны храниться исключительно в ГИС ЕБС.»

Утечка биометрических данных — отдельный и более дорогостоящий состав: ч. 17 ст. 13.11 КоАП — 15–20 млн ₽. При повторности — оборотный штраф по ч. 18. Для МФО с небольшой клиентской базой, которая хранила фото документов и селфи в собственных системах (не в ЕБС), это означает, что любой взлом CRM автоматически создаёт риск по ч. 17.

Если финдиректор МФО обнаружил, что биометрические данные хранятся не в ЕБС или подрядчик имеет доступ к клиентским ПДн без договора поручения — срок на устранение ограничен: РКН вправе провести внеплановую проверку по индикаторам риска. Юристы DATUM соберут 38-документный пакет ОРД и приведут обработку в соответствие с требованиями.

Заказать аудит 152-ФЗ

Типовые сценарии нарушений и их стоимость для МФО и БКИ

Сценарий 1. МФО без актуального уведомления в реестре РКН. Ситуация: МФО обрабатывает данные заёмщиков — заявки, скоринг, передача в БКИ. В реестре операторов ПДн либо нет записи, либо цели обработки не отражают фактическую деятельность (скоринг, взыскание, маркетинг). РКН при плановой проверке или по жалобе заёмщика запрашивает подтверждение. Доказательства нарушения: уведомление отсутствует или устарело, фактические цели шире заявленных. Вероятный исход: протокол по ч. 1 ст. 13.11 (150–300 тыс. ₽) и одновременно по ч. 10 (неуведомление о намерении обрабатывать, 100–300 тыс. ₽). Стратегия: подать актуальное уведомление до проверки, привести политику в соответствие с реальными целями, применить ст. 4.1.1 КоАП для смягчения при первичном нарушении.

Сценарий 2. Утечка данных заёмщиков через CRM-подрядчика. Ситуация: МФО передала доступ к клиентской базе (имена, телефоны, суммы займов) внешнему коллекторскому агентству без договора поручения по п. 3 ст. 6 ФЗ-152. После взлома подрядчика данные 15 000 субъектов оказались в даркнете. Доказательства нарушения: отсутствует договор поручения, МФО не уведомила РКН в течение 24 часов. Вероятный исход: ч. 13 ст. 13.11 (5–10 млн ₽ за утечку от 10 000 до 100 000 субъектов) + ч. 11 (1–3 млн ₽ за неуведомление). Общий штраф — 6–13 млн ₽. Стратегия: немедленно подать первичное уведомление в РКН через pd.rkn.gov.ru, провести внутреннее расследование, подготовить отчёт за 72 часа, заключить ретроактивный договор поручения и применить ст. 4.1 КоАП для снижения.

Сценарий 3. БКИ: автоматический отказ без возможности пересмотра. Ситуация: БКИ предоставляет финансовым организациям скоринговый балл, который формируется алгоритмически. Гражданин оспаривает отказ в займе и обнаруживает, что в кредитной истории — ошибочные данные. БКИ не предоставило механизм оспаривания автоматизированного решения. Доказательства нарушения: нет разъяснения порядка обработки по ст. 16 ФЗ-152, нет процедуры пересмотра с участием сотрудника. Вероятный исход: жалоба в РКН → протокол по ч. 1 ст. 13.11 + иск субъекта о компенсации морального вреда. Стратегия: добавить в клиентский договор раздел о праве субъекта по ст. 16, назначить ответственного за разбор апелляций, внести корректировки в политику обработки ПДн.

Как применяется практика 2025–2026 годов к финтеху?

Кейс 1. МФО из Сибирского федерального округа (осень 2025) получила предписание РКН по итогам плановой проверки. Причина: политика конфиденциальности не содержала раздела об автоматизированном принятии решений по ст. 16 ФЗ-152, согласия заёмщиков были включены в текст договора займа, а не оформлены отдельным документом. Регулятор возбудил дело по ч. 2 ст. 13.11 (обработка без надлежащего согласия, штраф 300–700 тыс. ₽). Компания заключила договор с DATUM, юристы подготовили полный пакет ОРД, переоформили согласия и представили возражения. Итог: штраф снижен до минимального порога, предписание исполнено в срок.

Кейс 2 (из реестра практики). В деле АС Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026 от 10.03.2026) цифровая платформа инвестпроектов допустила утечку около 70 000 субъектов — ФИО, должности, служебные email и телефоны — после хакерской атаки. Квалификация — ч. 14 ст. 13.11 КоАП (утечка более 100 000 записей-идентификаторов). Суд применил смягчающие обстоятельства. Аналогичная ситуация реализуема для любого финтех-оператора с клиентской базой: даже если число субъектов невелико, количество идентификаторов (телефон + email + сумма займа + ИНН) может перевести дело в более тяжкий состав.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП запрещает финансовой организации отказывать в обслуживании на основании того, что клиент не сдал биометрию в ЕБС. МФО обязана предложить альтернативный способ идентификации — например, личное присутствие с паспортом. Штраф за нарушение этого запрета для юридического лица — до 500 тыс. ₽.

2. Что грозит МФО за утечку данных заёмщиков?

Размер штрафа зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в ред. с 30.05.2025). Если при этом МФО не уведомила РКН в течение 24 часов — дополнительно 1–3 млн ₽ по ч. 11. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

3. Какое правовое основание для обработки данных заёмщика в банке или МФО?

Основных оснований три по ст. 6 ФЗ-152: согласие субъекта (п. 1) — для маркетинга и скоринга; исполнение договора займа (п. 5) — для операционной обработки; исполнение обязанности по 218-ФЗ (п. 2) — для передачи в БКИ. Смешение оснований без чёткого разграничения в политике конфиденциальности создаёт риск квалификации как обработки с несовместимыми целями по ст. 5 ФЗ-152.

4. Где хранится биометрия клиентов финансовых организаций?

Исключительно в ГИС ЕБС (Единой биометрической системе) — с 01.06.2023 по требованиям ФЗ-572. Оператором ЕБС является АО «Центр Биометрических Технологий». Финансовая организация вправе использовать биометрию только через интерфейсы ЕБС, хранить исходные биометрические данные в собственных системах запрещено. Нарушение этого требования квалифицируется по ст. 11 ФЗ-152.

5. Как заёмщик может оспорить автоматический отказ в займе?

По ст. 16 ФЗ-152 субъект вправе потребовать, чтобы решение, принятое исключительно на основании автоматизированной обработки его данных, пересмотрел сотрудник оператора. МФО обязана обеспечить эту процедуру и разъяснить порядок обращения. Если разъяснения не было — заёмщик вправе обратиться с жалобой в РКН или в суд с иском о компенсации вреда.

Итог

МФО и БКИ находятся под одновременным действием 152-ФЗ, 218-ФЗ, 572-ФЗ и 115-ФЗ — каждый из которых формирует самостоятельные обязательства по обработке персональных данных. Штрафная вилка по ст. 13.11 КоАП в редакции с 30.05.2025 превратила несоответствие требованиям в материальный риск с нижней границей 3 млн ₽ за единичную утечку и верхней — 500 млн ₽ при повторном нарушении.

DATUM сопровождает финтех-операторов в части 152-ФЗ с охватом всего цикла: от аудита и подготовки ОРД до защиты в арбитраже при получении протокола по ст. 13.11 КоАП. Практика «Ветров и партнёры» по финансовому сектору накоплена с 2014 года.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 января 2029 года