Перейти к содержанию
аналитика 14 апреля 2027 По состоянию на 14 апреля 2027

DATUM-сопровождение МФО и страховщиков

МФО и страховые компании обрабатывают специальные категории персональных данных, биометрию и кредитные истории — три наиболее регулируемых направления в 152-ФЗ.
С 30.05.2025 утечка данных от 10 000 субъектов влечёт штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП; повторная — оборотный штраф до 500 млн ₽ по ч. 15. Для финансового директора это прямое бюджетное обязательство.
→ Если вы финдиректор МФО или страховщика — оцените, покрыт ли комплаенс по 152-ФЗ в части БКИ, ЕБС и скоринга.

Регуляторная нагрузка на МФО и страховщиков в части персональных данных нарастала поэтапно с 2015 года — через локализацию, требования к биометрии в ЕБС (ФЗ-572 от 29.12.2022), поправки к скорингу и автоматизированным решениям, а также новые составы ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Для финансового директора финтех-компании это означает конкретный бюджетный риск: недостаточный комплаенс переходит в штраф быстрее, чем в других отраслях, — потому что данные клиентов в этом секторе объёмнее и чувствительнее.

Какие нормы регулируют обработку ПДн в МФО и страховых компаниях?

МФО и страховщики работают в пересечении нескольких правовых режимов одновременно. Основа — ФЗ-152 «О персональных данных» с его принципами (ст. 5), основаниями обработки (ст. 6) и требованиями к согласию (ст. 9). Поверх накладываются специальные режимы.

Первый — ФЗ-218 «О кредитных историях». МФО обязаны передавать сведения в бюро кредитных историй и получать согласие субъекта на запрос в БКИ. Согласие — отдельное правовое основание, оно не может быть вшито в договор займа с 01.09.2025 (ФЗ-156 от 24.06.2025 установил требование оформлять согласие отдельным документом). Срок хранения кредитной истории — 7 лет с даты последней записи.

Второй — ст. 16 ФЗ-152, регулирующая автоматизированные решения (скоринг). Субъект вправе потребовать, чтобы решение, влекущее правовые последствия (отказ в кредите, размер ставки), было проверено человеком. Оператор обязан разъяснить логику автоматизированного решения. Игнорирование этого требования — самостоятельный состав нарушения.

Третий — ФЗ-572 «О государственной информационной системе ЕБС». С 01.06.2023 хранение биометрических данных вне ЕБС для банков, а фактически — для большинства финансовых организаций, проводящих идентификацию, создаёт риски. Требование по ст. 11 ФЗ-152 — письменное согласие на обработку биометрии — сохраняется вне зависимости от режима ЕБС.

Четвёртый — 115-ФЗ «О противодействии легализации...». Идентификация клиентов по ПВК формирует базы ПДн, которые подпадают под 152-ФЗ в части хранения и защиты. Это особенно актуально для МФО, работающих с массовой аудиторией через мобильные приложения.

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки ПДн. Для МФО ключевые — исполнение договора займа (п. 5) и согласие субъекта (п. 1). Для страховщиков — исполнение договора страхования (п. 5) и обработка спецкатегорий по ст. 10 ФЗ-152 (состояние здоровья при медицинском страховании).»

Финдиректор считает стоимость риска — считали ли вы бюджет комплаенса?

Аудит соответствия 152-ФЗ для МФО или страховщика стоит от 100 000 ₽. Штраф за утечку от 10 000 субъектов — от 5 000 000 ₽ по ч. 13 ст. 13.11 КоАП, без учёта репутационных потерь и требований субъектов о компенсации. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов с учётом специфики финансового сектора: БКИ, ЕБС, скоринг, 115-ФЗ.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что меняет ФЗ-420 для МФО и страховщиков с 30.05.2025?

До 30.05.2025 максимальный штраф за нарушение 152-ФЗ для юрлица составлял 300 000 ₽ — сумму, которую операционный бюджет финансовой компании поглощал без заметного ущерба. С вступлением в силу ФЗ-420 картина изменилась принципиально.

Новая ст. 13.11 КоАП насчитывает 18 частей. Для МФО и страховщиков наиболее релевантны следующие составы:

  • Ч. 2 — обработка без письменного согласия (когда оно требуется) или с нарушением его состава: 300 000 – 700 000 ₽. Актуально для согласий на БКИ, биометрию, обработку медданных при страховании жизни.
  • Ч. 8 — нарушение локализации по ч. 5 ст. 18 ФЗ-152: 1 000 000 – 6 000 000 ₽. Актуально при облачных CRM зарубежного происхождения.
  • Ч. 11 — неуведомление РКН об утечке в 24 часа: 1 000 000 – 3 000 000 ₽.
  • Ч. 12–14 — утечка от 1 000 субъектов: 3 000 000 – 15 000 000 ₽ в зависимости от объёма.
  • Ч. 15 — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽.
  • Ч. 17 — утечка биометрических ПДн: 15 000 000 – 20 000 000 ₽.

Параллельно с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421). Незаконное использование, передача, сбор или хранение компьютерной информации с ПДн — уголовная ответственность физического лица до 10 лет (ч. 5, тяжкие последствия). Это означает, что сотрудник МФО, передавший базу клиентов конкуренту, несёт не административную, а уголовную ответственность — и руководство компании в зоне риска соучастия, если процессы не выстроены.

«Ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушений по ч. 12–14 лицом, уже привлекавшимся по этим же или по ч. 15–18 составам. Инвестиции в ИБ от 0,1% совокупной выручки за 3 года снижают оборотный штраф до 1/10 минимума, но не менее 15 млн ₽ (ст. 4.1 КоАП, примечание 3.4-2).»

Как работает биометрия в финансовом секторе и почему это риск?

ЕБС — единая биометрическая система (ГИС, оператор — АО «Центр Биометрических Технологий») — централизовала хранение биометрических шаблонов клиентов банков и МФО. С 01.06.2023 хранить исходные биометрические данные вне ЕБС запрещено для организаций, обязанных размещать биометрию в системе.

Проблема не в самой ЕБС, а в трёх смежных точках риска. Первая — согласие. Ст. 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн. С 01.09.2025 оно должно быть оформлено отдельным документом. Вшить его в договор вклада или кредитный договор — нарушение ч. 2 ст. 13.11 КоАП. Вторая — отказ обслуживать без биометрии. Ч. 8 ст. 14.8 КоАП (введена ФЗ-420) устанавливает ответственность за отказ оказать услугу потребителю, не предоставившему биометрию в ЕБС. Санкция для юрлица — до 500 000 ₽. Это прямо запрещает делать биометрию обязательным условием получения кредита. Третья — утечка биометрии. Ч. 17 ст. 13.11 — отдельный состав с санкцией 15–20 млн ₽, не поглощаемый общими составами ч. 12–14.

Что подготовить финансовой компании для соответствия 152-ФЗ

  • Уведомление в реестре операторов РКН: проверить актуальность сведений на pd.rkn.gov.ru — реальный объём обработки не должен превышать заявленный.
  • Согласия клиентов: отдельные документы для обработки биометрии (ст. 11 ФЗ-152), запроса в БКИ (ФЗ-218), обработки спецкатегорий (ст. 10 ФЗ-152) — по форме, действующей с 01.09.2025.
  • Политика обработки ПДн: опубликована на сайте, содержит все обязательные разделы по ч. 2 ст. 18.1 ФЗ-152, отражает обработку через подрядчиков и трансграничную передачу.
  • Регламент реагирования на утечку: 24-часовой дедлайн уведомления РКН по Приказу №187, назначен ответственный по ст. 22.1 ФЗ-152.
  • Поручения обработки: договоры со скоринговыми бюро, колл-центрами, облачными провайдерами — оформлены по п. 3 ст. 6 и ст. 6 ч. 3 ФЗ-152.

Типовые сценарии нарушений: как это происходит в МФО и страховых компаниях

Следующие три сценария — типичные ситуации для финансового директора, получившего протокол РКН или запрос о нарушении.

Сценарий 1. Скоринговая система приняла автоматизированное решение без уведомления субъекта. МФО использует внешнюю скоринговую модель. Клиент получает отказ без объяснений. По ст. 16 ФЗ-152 субъект вправе потребовать проверки решения человеком и объяснения логики. Если МФО не обеспечила такую возможность, РКН возбуждает дело по ч. 1 ст. 13.11 КоАП (150 000 – 300 000 ₽). Если нарушение повторное — ч. 1.1 (300 000 – 500 000 ₽). Стратегия: до внедрения скоринга прописать процедуру ручной проверки, закрепить её в ОРД, настроить уведомление клиента об автоматизированном характере решения.

Сценарий 2. Страховщик передал базу клиентов маркетинговому агентству без поручения на обработку. Агентство делало рассылки по базе клиентов страховой компании. Соглашения об обработке ПДн нет, согласия клиентов на передачу третьим лицам в маркетинговых целях нет. РКН возбуждает дело по ч. 1 ст. 13.11 (нарушение принципов ст. 5 — несовместимость целей) и по ч. 2 (обработка без согласия). Принцип ответственности оператора за действия подрядчика применяется судами последовательно: незнание действий агентства не освобождает страховщика. Стратегия: оформить поручение по п. 3 ст. 6 ФЗ-152, проверить, есть ли у клиентов согласие на распространение (ст. 10.1 ФЗ-152).

Сценарий 3. МФО получила уведомление РКН о плановой проверке — обнаружила, что биометрические согласия устарели. МФО хранила согласия на биометрию в составе договоров займа, подписанных до 01.09.2025. С вступлением в силу ФЗ-156 форма не соответствует требованиям к отдельному документу. Исход зависит от того, получены ли новые данные после 01.09.2025: если да — согласие на их обработку должно было быть оформлено по новым правилам. Если вся база собрана до 01.09.2025 — обратной силы нет, старые согласия действительны. Стратегия: разграничить периоды сбора, провести аудит, при необходимости переоформить согласия для активных пользователей.

Если МФО или страховщик уже получил протокол РКН или запрос о проверке — 30 дней до вынесения постановления. Юристы DATUM оценят позицию и подготовят возражения по ст. 4.1 КоАП, в том числе для замены на предупреждение по ст. 4.1.1.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. МФО (Приволжский ФО, осень 2025) подверглась внеплановой проверке РКН после жалобы клиента на отказ в займе без объяснений. Проверяющие выявили: скоринговая система не уведомляла субъектов об автоматизированном характере решения (нарушение ст. 16 ФЗ-152), согласие на запрос в БКИ входило в текст договора займа (нарушение ч. 2 ст. 13.11 в части состава согласия). Компания оспорила постановление в арбитражном суде региона, ссылаясь на добросовестное устранение нарушений в ходе проверки и отсутствие вреда субъекту. Суд применил ст. 4.1.1 КоАП, заменив штраф на предупреждение. Ключевым аргументом стал факт, что на момент подачи жалобы нарушение уже устранялось. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Страховая компания (Центральный ФО, начало 2026) допустила утечку клиентских данных через подрядчика — процессинговый сервис без поручения на обработку ПДн. Затронуто около 15 000 субъектов. Квалификация — ч. 13 ст. 13.11 КоАП (штраф 5 000 000 – 10 000 000 ₽). Финансовый директор компании получил инструктаж от юристов в первые часы: первичное уведомление РКН направлено за 22 часа, отчёт о расследовании — за 68 часов. В качестве смягчающих обстоятельств суд учёл оперативность реагирования и инвестиции в ИБ за предшествующие 3 года. Штраф назначен ближе к минимуму диапазона. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420 от 30.11.2024, прямо запрещает отказывать потребителю в предоставлении услуги на основании того, что он не передал биометрические данные в ЕБС. Санкция для юрлица — до 500 000 ₽. МФО и страховщики вправе предлагать биометрическую идентификацию как один из способов, но не вправе делать её единственным условием доступа к продукту.

2. Что грозит МФО за утечку клиентских данных?

Зависит от объёма. За утечку от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3 000 000 – 5 000 000 ₽. От 10 000 до 100 000 субъектов — ч. 13, штраф 5 000 000 – 10 000 000 ₽. Более 100 000 субъектов — ч. 14, штраф 10 000 000 – 15 000 000 ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽. Дополнительно: ч. 11 за неуведомление РКН за 24 часа — 1 000 000 – 3 000 000 ₽.

3. Какое правовое основание обработки ПДн в МФО при выдаче займа?

Основное — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Это покрывает идентификацию, оценку кредитоспособности, обслуживание займа. Отдельные согласия требуются для: запроса в БКИ (ФЗ-218), обработки биометрии (ст. 11 ФЗ-152), передачи данных третьим лицам в маркетинговых целях (ст. 10.1 ФЗ-152). С 01.09.2025 каждое такое согласие — отдельный документ.

4. Где хранится биометрия клиентов банков и МФО — в самой организации или в ЕБС?

По общему правилу, установленному ФЗ-572 от 29.12.2022, биометрические шаблоны хранятся в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». Хранить исходные биометрические данные вне ЕБС финансовым организациям, обязанным размещать биометрию, запрещено с 01.06.2023. Финансовая организация получает из ЕБС результат верификации (совпадение/несовпадение), а не сами шаблоны.

5. Как клиент МФО может оспорить отказ в кредите, принятый автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать от оператора проверки любого автоматизированного решения, влекущего правовые последствия, с участием человека, а также объяснения принятого решения. МФО обязана предоставить такую возможность и прописать её в договоре или публичной оферте. Отсутствие механизма — нарушение ч. 1 ст. 13.11 КоАП, которое субъект вправе обжаловать в РКН или суд.

Итог

МФО и страховщики сталкиваются с наиболее многоуровневым регулированием в сфере ПДн: 152-ФЗ пересекается с ФЗ-218, ФЗ-572, 115-ФЗ и ст. 13.11 КоАП в новой редакции. Ошибка в любом звене — согласии на БКИ, форме биометрического согласия, регламенте реагирования на утечку — конвертируется в штраф от 3 млн ₽ и выше.

Практика DATUM по финансовому сектору включает аудиты МФО и страховых компаний, разработку пакетов ОРД с учётом специфики автоматизированных решений и биометрической идентификации, а также арбитражную защиту по ст. 13.11 КоАП в редакции с 30.05.2025.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 апреля 2027 года