Перейти к содержанию
аналитика 14 апреля 2029 года По состоянию на 14 апреля 2029 года

DATUM-сопровождение работы с ЕБС

Единая биометрическая система (ЕБС) по ФЗ-572 — обязательная инфраструктура идентификации для банков, МФО и финтех-платформ. Работа с ней порождает сразу три правовых риска: штрафы до 20 млн ₽ за утечку биометрии, оборотные санкции по ч. 15 ст. 13.11 КоАП при повторности и уголовная ответственность по ст. 272.1 УК.
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, отдельные составы для биометрии (ч. 16–18), отдельный запрет принуждать клиента к сдаче биометрии (ч. 8 ст. 14.8 КоАП). Финансовый директор несёт прямую ответственность за бюджетные последствия несоответствия.
→ Если вы финдиректор и ещё не считали стоимость регуляторного риска по ЕБС — этот материал даёт опорные цифры и правовые ориентиры.

Работа финансовой организации с ЕБС — не только технический процесс размещения биометрических шаблонов. Это точка пересечения четырёх регуляторных режимов: ФЗ-152 (персональные данные), ФЗ-572 (единая биометрическая система), ФЗ-218 (кредитные истории) и 115-ФЗ (противодействие отмыванию). Каждый режим добавляет к обычному комплаенс-профилю банка или МФО дополнительные требования к согласиям, хранению данных, срокам уведомления регулятора и документированию. В 2024 году РКН зафиксировал более 710 млн записей в утечках; доля финансового сектора по данным F6 Threat Intelligence сохраняется выше среднего по рынку. Ниже — структура обязательств, карта рисков и логика сопровождения.

Что регулирует ФЗ-572 и при чём здесь ФЗ-152?

ФЗ-572 от 29.12.2022 установил ГИС ЕБС как единственное легальное место хранения биометрических шаблонов, собранных банками и МФЦ для дистанционной идентификации. Оператор ЕБС — АО «Центр Биометрических Технологий». С 01.06.2023 хранение исходной биометрии вне ЕБС запрещено: данные должны быть переданы в систему или уничтожены.

Параллельно действует ст. 11 ФЗ-152: биометрические персональные данные (изображение лица, голос, ДНК, отпечатки пальцев, радужка) обрабатываются только с письменного согласия субъекта. Исключения ст. 11 ч. 2 — узкий перечень (судопроизводство, транспортная безопасность, оперативно-розыскная деятельность). Для финансовой организации правило одно: нет письменного согласия — нет законной обработки биометрии.

Важно разграничение: ФЗ-572 регулирует порядок размещения в ЕБС и взаимодействие с системой, ФЗ-152 регулирует правовые основания сбора и все действия с данными до передачи в ЕБС. Нарушения в зоне ФЗ-152 квалифицируются по ст. 13.11 КоАП, нарушения порядка размещения в ЕБС — по ст. 13.11.3 КоАП (для юрлиц: 500 тыс. — 1 млн ₽).

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных допускается только с письменного согласия субъекта, если иное прямо не установлено законом. Ст. 13.11 ч. 16–18 КоАП (ред. с 30.05.2025) — нарушение требований к биометрии влечёт штраф до 20 млн ₽ за утечку (ч. 17) и оборотный штраф при повторности (ч. 18).»

Для финансового директора принципиально одно: штраф по ч. 17 ст. 13.11 КоАП за утечку биометрических данных составляет 15–20 млн ₽. При повторной утечке применяется ч. 18 — оборотный штраф: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

Считаете бюджет на регуляторный риск по ЕБС?

Если вы финдиректор и оцениваете стоимость несоответствия — ключевые параметры: штраф за утечку биометрии 15–20 млн ₽ по ч. 17 ст. 13.11, оборотный до 500 млн ₽ при повторности. Аудит соответствия выявляет разрывы до того, как их обнаружит РКН. Стоимость аудита — от 100 000 ₽; стоимость непроведённого аудита — в разы выше.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие основания обработки ПДн применяют банки и МФО?

Ст. 6 ФЗ-152 содержит 11 оснований обработки персональных данных. Для финансового сектора актуальны три основные группы.

Первая — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): обработка необходима для заключения или исполнения договора, стороной которого является субъект. Кредитный договор, договор вклада, договор расчётно-кассового обслуживания — все они дают банку основание обрабатывать данные клиента в объёме, нужном для исполнения обязательств. МФО — аналогично по договору займа.

Вторая — исполнение законодательного требования (п. 2 ч. 1 ст. 6): обработка необходима для выполнения обязанности, возложенной законом. Идентификация клиента по 115-ФЗ, передача данных в БКИ по ФЗ-218, отчётность перед ЦБ — эти действия не требуют отдельного согласия субъекта. Основание — сам закон.

Третья — согласие субъекта (п. 1 ч. 1 ст. 6): необходима при обработке данных, выходящей за рамки договора и законодательного требования. Маркетинговые рассылки, скоринговые модели на основе поведенческих данных, передача данных аффилированным структурам — без отдельного согласия незаконны. С 01.09.2025 согласие должно быть оформлено отдельным документом по требованиям ФЗ-156 от 24.06.2025: его нельзя встраивать в договор, оферту или политику.

«Ст. 16 ФЗ-152 — автоматизированное принятие решений (скоринг), которое порождает правовые последствия для субъекта, допускается только при его согласии или в случаях, прямо предусмотренных федеральным законом. Субъект вправе потребовать пересмотра такого решения.»

Скоринг — отдельный правовой вопрос. Ст. 16 ФЗ-152 ограничивает автоматизированную обработку ПДн, если она порождает для субъекта юридически значимые последствия (отказ в кредите, установление лимита). Банк обязан по запросу субъекта обеспечить рассмотрение результата скоринга с участием человека. Нарушение этого требования — отдельное основание для жалобы в РКН и административного производства.

Что запрещает ч. 8 ст. 14.8 КоАП и почему это касается финдиректора?

Одна из норм ФЗ-420 от 30.11.2024 ввела ч. 8 ст. 14.8 КоАП: запрет отказывать потребителю в обслуживании по причине отсутствия его биометрии в ЕБС. Иными словами, клиент вправе получить банковскую услугу без сдачи биометрии — и банк не вправе обусловливать обслуживание её предоставлением. Штраф для юрлица — до 500 тыс. ₽.

На практике это означает: скрипты продаж, в которых биометрия преподносится как обязательное условие открытия счёта или получения кредита, создают прямой регуляторный риск. Жалоба одного клиента в Роспотребнадзор или ЦБ запускает проверку. Финансовый директор в рамках управления операционным риском обязан учитывать этот штраф в реестре потенциальных санкций.

Принудительный сбор биометрии также пересекается с требованиями ст. 9 ФЗ-152: согласие должно быть добровольным. Если субъект фактически не имеет выбора — подписанное согласие может быть признано полученным под принуждением и, следовательно, недействительным. Это делает всю последующую обработку биометрии незаконной со всеми вытекающими последствиями по ч. 16 ст. 13.11 КоАП.

Что подготовить финансовой организации для работы с ЕБС

  • Отдельные письменные согласия на сбор и размещение биометрии в ЕБС — по ст. 9 и ст. 11 ФЗ-152; с 01.09.2025 согласие не может быть частью договора или оферты.
  • Документальное подтверждение добровольности сбора биометрии: форма отказа, журнал фиксации отказов, отсутствие в скриптах продаж обязательного условия сдачи биометрии.
  • Регламент уведомления РКН об инциденте с биометрическими ПДн: 24 часа на первичное уведомление, 72 часа на отчёт (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).
  • Соглашение с АО «ЦБТ» о порядке взаимодействия с ЕБС и распределении ответственности при инциденте.
  • Актуальная запись в реестре операторов ПДн РКН с указанием биометрических данных как обрабатываемых категорий (ст. 22 ФЗ-152).

Как ФЗ-218 и 115-ФЗ соотносятся с режимом ПДн в финансовом секторе?

ФЗ-218 «О кредитных историях» обязывает банки и МФО передавать сведения о заёмщиках хотя бы в одно бюро кредитных историй. Согласие субъекта на запрос в БКИ — самостоятельное основание по ст. 6 ФЗ-152; передача данных в БКИ, напротив, осуществляется на основании законодательного требования (п. 2 ч. 1 ст. 6). Срок хранения кредитной истории в БКИ — 7 лет с момента последнего изменения. Финансовый директор должен понимать: требование субъекта об уничтожении его персональных данных (ст. 9 ч. 2 ФЗ-152) не распространяется на данные в БКИ, обрабатываемые на основании закона.

115-ФЗ требует идентификации клиента до начала обслуживания. Это законное основание для сбора паспортных данных, ИНН, сведений о занятости. Проблема возникает, когда сведения, собранные для идентификации по 115-ФЗ, впоследствии используются для иных целей — маркетинга, скоринга, передачи партнёрам. Здесь принцип ст. 5 ФЗ-152 о несовместимости целей обработки нарушается напрямую. Объединение баз с разными целями — нарушение п. 2 ч. 1 ст. 5 ФЗ-152, самостоятельный состав по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлица).

Если финансовый директор обнаружил, что данные из 115-ФЗ-идентификации используются в маркетинге или скоринге без отдельного согласия — это нарушение ст. 5 ФЗ-152 прямо сейчас. Юристы DATUM проведут аудит оснований обработки и выявят разрывы до протокола РКН.

Заказать аудит 152-ФЗ

Как выглядят типовые ситуации регуляторного риска?

Ситуация 1. МФО с устаревшим согласием. МФО собирала согласия на обработку ПДн в форме пункта договора займа. С 01.09.2025 такие согласия не соответствуют требованиям ФЗ-156: согласие должно быть отдельным документом. Проверка РКН, инициированная жалобой заёмщика, выявила порядка 12 000 действующих договоров с некорректными согласиями. Доказательства — сами договоры, реестр клиентской базы. Вероятный исход — протокол по ч. 2 ст. 13.11 КоАП: штраф 300–700 тыс. ₽. Стратегия: переход на отдельные формы согласий, уведомление клиентов, фиксация факта переоформления до вынесения протокола для использования как смягчающего обстоятельства.

Ситуация 2. Банк и утечка биометрии через подрядчика. Региональный банк передал биометрические шаблоны (изображения лица) ИТ-подрядчику для доработки мобильного приложения без надлежащего соглашения об обработке по поручению (ст. 6 ч. 3 ФЗ-152). Подрядчик допустил утечку: данные порядка 8 000 клиентов оказались в открытом доступе. РКН возбудил дело по ч. 17 ст. 13.11 (утечка биометрии) и по ч. 11 ст. 13.11 (неуведомление об инциденте в 24 часа). Совокупный риск — свыше 16 млн ₽ штрафов. Практика ВС РФ подтверждает: оператор отвечает за действия обработчика так же, как за свои собственные. Стратегия: заключение соглашения с подрядчиком, аудит всех цепочек передачи биометрии, выстраивание процесса уведомления РКН за 24 часа.

Ситуация 3. Финтех-платформа и скоринг на поведенческих данных. Финтех-платформа использовала данные о транзакциях и геолокации пользователей для автоматизированного скорингового отказа в кредите. Согласие на автоматизированную обработку по ст. 16 ФЗ-152 в форме отдельного документа отсутствовало — было встроено в общую политику конфиденциальности. Пользователь подал жалобу в РКН после отказа и потребовал пересмотра решения. Основание для проверки — нарушение ст. 16 ФЗ-152. Стратегия: выделение согласия на скоринг в отдельный документ, обеспечение процедуры пересмотра с участием человека, обновление уведомления в реестре РКН с указанием цели «автоматизированное принятие решений».

Как реагировать на инцидент с ПДн в финансовой организации?

Финансовый сектор по числу хранимых записей и чувствительности данных остаётся приоритетной целью для атак. По данным F6 Threat Intelligence, в 2025 году в публичный доступ попало 767 млн строк данных — рост 67,6% к 2024 году. При инциденте финансовая организация обязана действовать по следующей последовательности.

Ч. 3.1 ст. 21 ФЗ-152 устанавливает: с момента обнаружения утечки у оператора 24 часа на первичное уведомление РКН через портал pd.rkn.gov.ru. В уведомлении указываются: категории и приблизительное число затронутых субъектов, предполагаемая причина, принятые меры. Через 72 часа — развёрнутый отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Срок 24 часов не приостанавливается и не восстанавливается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Параллельно: уведомление ЦБ РФ по требованиям об операционной надёжности, уведомление клиентов при высоком риске для их прав, взаимодействие с правоохранительными органами при наличии признаков преступления по ст. 272.1 УК (введена ФЗ-421 от 30.11.2024, максимум по ч. 5 — 10 лет лишения свободы за тяжкие последствия).

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024) прямо запрещает обусловливать обслуживание потребителя наличием его биометрии в ЕБС. Штраф для юрлица — до 500 тыс. ₽. Клиент вправе получить любую банковскую или финансовую услугу без сдачи биометрии. Согласие на размещение в ЕБС должно быть добровольным по смыслу ст. 9 ФЗ-152: принудительно полученное согласие недействительно, а вся последующая обработка биометрии — незаконна.

2. Что грозит МФО за утечку персональных данных заёмщиков?

Зависит от объёма утечки. От 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14). Если МФО ранее привлекалась к ответственности по ч. 12–14, при повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Всё это — в редакции с 30.05.2025.

3. Какое правовое основание даёт банку право обрабатывать ПДн клиента?

Для обработки данных, необходимых для исполнения кредитного договора или договора вклада — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора), дополнительное согласие не нужно. Для идентификации по 115-ФЗ — п. 2 ч. 1 ст. 6 (исполнение законодательной обязанности). Для маркетинга, скоринга на поведенческих данных, передачи партнёрам — п. 1 ч. 1 ст. 6 (согласие субъекта), с 01.09.2025 оформленное отдельным документом по ФЗ-156. Смешивать основания и цели обработки нельзя — это нарушение ст. 5 ФЗ-152.

4. Где физически хранится биометрия — в банке или в ЕБС?

С 01.06.2023 исходные биометрические шаблоны хранятся только в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий»). Хранение биометрии вне ЕБС запрещено ФЗ-572 от 29.12.2022. Банк вправе хранить только технические идентификаторы для запроса верификации, но не сами биометрические данные. Нарушение порядка размещения в ЕБС квалифицируется по ст. 13.11.3 КоАП (500 тыс. — 1 млн ₽ для юрлица). Нарушение требований ст. 11 ФЗ-152 при обработке до передачи в ЕБС — по ч. 16 ст. 13.11 КоАП.

5. Как оспорить автоматизированный отказ в кредите?

Ст. 16 ФЗ-152 предоставляет субъекту право потребовать пересмотра автоматизированного решения с участием человека, если оно создаёт для него правовые последствия. Для этого субъект подаёт заявление оператору. Оператор обязан рассмотреть его в течение 10 рабочих дней (ст. 20 ФЗ-152) и сообщить субъекту о принятом решении. Отказ рассматривать такое заявление — основание для жалобы в РКН и административного производства. Параллельно субъект вправе запросить у кредитной организации сведения о наличии записи в БКИ и ознакомиться с кредитной историей бесплатно дважды в год.

Итог

Работа с ЕБС в финансовом секторе — это пересечение четырёх регуляторных слоёв, каждый из которых генерирует самостоятельный риск штрафа или уголовной ответственности. Для финансового директора ключевые ориентиры: штраф за утечку биометрии 15–20 млн ₽ (ч. 17 ст. 13.11 КоАП), запрет принуждать к биометрии (ч. 8 ст. 14.8 КоАП), обязанность уведомить РКН за 24 часа при любом инциденте, и отдельные согласия по всем основаниям обработки с 01.09.2025.

DATUM сопровождает финансовые организации — банки, МФО, финтех-платформы — в части соответствия ФЗ-152, ФЗ-572 и смежного регулирования: аудит оснований обработки, подготовка ОРД, выстраивание процесса реагирования на инциденты, защита при административном производстве по ст. 13.11 КоАП.

Смотрите также

Нужна оценка регуляторного риска по ЕБС и ФЗ-152?

Заказать аудит 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · Telegram · +7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 апреля 2029 года