аналитика 11 марта 2029 года По состоянию на 11 марта 2029 года

Доставка и ПДн получателя

Каждая доставка — это обработка персональных данных получателя: имя, адрес, телефон, а в ряде случаев биометрия и сведения из БКИ.

С 30.05.2025 штраф за утечку данных от 1 000 субъектов составляет от 3 до 5 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторная утечка переводит компанию в режим оборотного штрафа — до 500 млн ₽ по ч. 15.

Если вы финансовый директор и оцениваете бюджетные риски по персональным данным в логистике и финтехе — этот материал даёт расчёт и нормативную базу.

Доставка финансовых продуктов — карт, договоров, наличных — объединяет логистику и финансовый комплаенс. Курьер, банк, МФО и сторонний агент обрабатывают данные получателя по разным основаниям и с разной ответственностью. Ошибка в определении роли оператора стоит от 150 тыс. до 500 млн ₽. В этой статье разобраны: правовые основания обработки ПДн при доставке, специфика финансового сектора по ФЗ-218, ФЗ-572 и ст. 16 ФЗ-152, риски для финансового директора и способы их снизить до публикации отчётности.

Какие персональные данные обрабатываются при доставке финансового продукта?

При доставке банковской карты, кредитного договора или наличных курьерской службой оператор одновременно обрабатывает несколько категорий данных получателя. Первая группа — идентификационные: ФИО, паспортные реквизиты, адрес доставки, телефон. Вторая — финансовые: номер договора, сумма, продукт. Третья — в ряде сценариев — биометрические: изображение лица при идентификации курьером через мобильное приложение.

Идентификационные и финансовые данные относятся к общей категории ПДн по ст. 3 ФЗ-152. Биометрические данные — отдельная категория по ст. 11 ФЗ-152: их обработка требует письменного согласия, кроме случаев прямого указания в законе. Передача изображения лица в систему идентификации без надлежащего согласия — нарушение ст. 11, ответственность по ч. 16 ст. 13.11 КоАП.

«Ст. 11 ФЗ-152 — биометрические персональные данные (изображение лица, голос, отпечатки пальцев, радужная оболочка) обрабатываются только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом.»

Важно: при доставке через агентскую сеть (курьерскую компанию) банк остаётся оператором ПДн, а агент — лицом, осуществляющим обработку по поручению. Это означает, что ответственность за утечку данных получателя несёт банк, даже если утечка произошла на стороне курьерской службы. Принцип подтверждён практикой Верховного суда РФ.

Типовой состав передаваемых данных при доставке финпродукта включает не менее 5–7 атрибутов субъекта. При базе доставок от 10 000 в месяц один инцидент с базой курьерской службы автоматически попадает под ч. 13 ст. 13.11 КоАП с минимальным штрафом 5 млн ₽.

Как ФЗ-218, ФЗ-572 и ст. 16 ФЗ-152 влияют на обработку ПДн при доставке?

Финансовый директор банка или МФО управляет тремя специальными режимами обработки ПДн, которые накладываются на общий режим ФЗ-152.

ФЗ-218 и бюро кредитных историй. Передача данных заёмщика в БКИ — отдельное правовое основание, предусмотренное ФЗ-218. Согласие субъекта на запрос кредитной истории оформляется отдельно по ст. 6 ФЗ-152. Срок хранения кредитной истории — 7 лет. При доставке кредитного продукта данные получателя формируют новую запись в БКИ: имя, адрес, паспорт, сумма обязательства. Несогласованная передача этих сведений третьим лицам — нарушение ФЗ-218 и ч. 1 ст. 13.11 КоАП одновременно.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются только в базах данных, расположенных на территории РФ.»

ФЗ-572 и ЕБС. Единая биометрическая система (ГИС ЕБС) с 01.06.2023 — единственное легальное место хранения биометрии для целей финансовой идентификации. Банки и МФО не вправе хранить исходные биометрические данные клиентов локально. При дистанционной доставке с биометрической верификацией курьерское приложение обращается к ЕБС через API. Если банк хранит биометрию вне ЕБС — нарушение требований ФЗ-572 и ст. 11 ФЗ-152 с риском штрафа по ч. 17 ст. 13.11 КоАП от 15 до 20 млн ₽.

Ст. 16 ФЗ-152 и скоринг. Автоматизированные решения — скоринговые модели, определяющие условия доставки или отказ в ней, — относятся к автоматизированной обработке по ст. 16 ФЗ-152. Субъект вправе потребовать проверки такого решения человеком. Отсутствие процедуры пересмотра — нарушение ст. 16, которое при проверке РКН фиксируется как отсутствие локального акта.

Финансовый директор оценивает бюджет на комплаенс по 152-ФЗ?

Стоимость аудита соответствия — от 100 000 ₽. Минимальный штраф за утечку от 1 000 субъектов с 30.05.2025 — 3 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторная утечка — оборотный штраф до 500 млн ₽. Арифметика бюджета однозначна. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что означает запрет отказывать клиенту без биометрии по ч. 8 ст. 14.8 КоАП?

С принятием ФЗ-572 и введением ч. 8 ст. 14.8 КоАП банки и финансовые организации, обязанные участвовать в ЕБС, не вправе отказывать потребителю в обслуживании только на основании отказа от предоставления биометрии. Штраф для юридического лица — до 500 тыс. ₽ за каждый зафиксированный факт отказа.

На практике это означает следующее: если курьерское приложение требует обязательной биометрической верификации для получения доставки и не предусматривает альтернативного способа идентификации (паспорт), — это нарушение ч. 8 ст. 14.8 КоАП. Для финансового директора это скрытый операционный риск: каждая жалоба клиента в РКН или ФАС может повлечь проверку и штраф.

Допустимая схема: биометрия — один из способов верификации, наравне с паспортом. Недопустимая: биометрия — единственный способ. Это требование распространяется на все точки взаимодействия, включая курьерский сервис как агента банка.

Как работает 115-ФЗ и идентификация при доставке?

Федеральный закон о противодействии легализации преступных доходов (115-ФЗ) обязывает банки и МФО идентифицировать клиента до начала обслуживания. При доставке финансового продукта идентификация происходит в момент вручения — курьер фиксирует паспортные данные получателя.

Данные идентификации хранятся в АМЛ-системе банка не менее 5 лет после прекращения отношений с клиентом по требованию 115-ФЗ. Эти же данные являются ПДн по ст. 3 ФЗ-152, и их обработка подчиняется обоим законам одновременно. Отдельного согласия по ст. 6 ФЗ-152 для идентификации в целях 115-ФЗ не требуется: правовое основание — исполнение обязанностей, возложенных законом.

Ключевой риск для финансового директора: данные идентификации, собранные при доставке, нередко попадают в CRM-систему и используются в маркетинге. Это объединение баз с несовместимыми целями — нарушение принципа ст. 5 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП — от 150 до 300 тыс. ₽, при повторном нарушении — от 300 до 500 тыс. ₽ по ч. 1.1.

Что проверить финансовому директору перед проверкой РКН

Наличие договора поручения с курьерской службой — перечень передаваемых ПДн, ограничения на субпоручение, обязательства по защите.
Отдельные согласия на биометрию по ст. 11 ФЗ-152 — подтверждение, что приложение курьера не сохраняет изображения локально.
Проверка участия в ЕБС: биометрия хранится только в ГИС ЕБС, прямое хранение на серверах банка отсутствует.
Наличие альтернативного способа идентификации при доставке (паспорт как опция) — соответствие ч. 8 ст. 14.8 КоАП.
Разграничение баз: данные из 115-ФЗ идентификации не попадают в маркетинговую CRM без отдельного согласия.

Какие сценарии нарушений наиболее вероятны для финансовой компании?

Анализ трёх типичных ситуаций позволяет оценить вероятный исход и бюджетный эффект.

Сценарий 1. Утечка через курьерское приложение. МФО передала базу активных заявок (имена, телефоны, адреса, суммы займов) стороннему курьерскому агрегатору без надлежащего договора поручения. Агрегатор был взломан; утекло 15 000 записей. Квалификация: ч. 13 ст. 13.11 КоАП (10 000–100 000 субъектов) — штраф от 5 до 10 млн ₽. Дополнительно: нарушение ч. 1 ст. 13.11 (отсутствие договора поручения) — ещё от 150 до 300 тыс. ₽. Совокупный риск превышает 10 млн ₽ при отсутствии смягчающих. Стратегия: договор поручения с чётким перечнем ПДн, технические меры на стороне агрегатора, аудит до инцидента.

Сценарий 2. Скоринг без процедуры пересмотра. Банк использует автоматизированную скоринговую модель для определения условий доставки (экспресс-доставка только клиентам с рейтингом выше порогового). Клиент потребовал пересмотра решения человеком по ст. 16 ФЗ-152; банк не смог предоставить процедуру. РКН зафиксировал отсутствие локального акта. Штраф по ч. 4 ст. 13.11 — от 40 до 80 тыс. ₽; предписание об устранении. При неустранении в срок — повторный штраф и репутационный ущерб. Стратегия: разработать и утвердить регламент пересмотра автоматизированных решений, назначить ответственное лицо.

Сценарий 3. Биометрия вне ЕБС. Банк-партнёр логистической платформы хранил шаблоны лиц клиентов локально на серверах для ускорения верификации при доставке. Проверка РКН установила нарушение ФЗ-572 и ст. 11 ФЗ-152. Квалификация: ч. 17 ст. 13.11 КоАП — штраф от 15 до 20 млн ₽ за утечку биометрии. Даже без фактической утечки само хранение вне ЕБС — нарушение ч. 16 ст. 13.11. Стратегия: провести инвентаризацию хранилищ биометрии, мигрировать в ЕБС, удалить локальные копии с документальным подтверждением.

Если финансовый директор выявил один из этих сценариев в своей компании — у вас есть время подготовиться до следующей проверки РКН. Юристы DATUM соберут комплект ОРД и проведут аудит по 38 контрольным точкам.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО в Сибирском федеральном округе (осень 2025) передала данные заёмщиков (имена, телефоны, суммы займов) курьерскому агрегатору без договора поручения. После взлома агрегатора утекло около 12 000 записей. Финансовый директор обратился в DATUM после получения уведомления о возбуждении дела. Юристы сформировали позицию по ч. 13 ст. 13.11 КоАП, подготовили доказательства принятия мер защиты и смягчающих обстоятельств. Итог: штраф назначен в нижней трети диапазона; предписание выполнено в срок.

Кейс 2. Банк в Центральном федеральном округе (начало 2026) хранил биометрические шаблоны клиентов локально для курьерского приложения. Проверка РКН установила нарушение требований ФЗ-572 к хранению биометрии вне ЕБС. Финансовый директор банка привлёк DATUM для сопровождения. Юристы подготовили план миграции в ЕБС, документальное подтверждение удаления локальных копий, возражения на акт проверки. Штраф по ч. 16 ст. 13.11 был снижен с учётом принятых мер; предписание закрыто в установленный срок.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн в логистике и финтехе по 38 контрольным точкам.
Комплект ОРД под ключ — договор поручения, политика, согласия, регламент реагирования на утечку.
Защита при штрафе в арбитраже — оспаривание протоколов по ч. 12–17 ст. 13.11 КоАП.

Частые вопросы

1. Можно ли отказать клиенту в доставке без биометрии?

Нет, если биометрия — единственный способ верификации. По ч. 8 ст. 14.8 КоАП финансовая организация не вправе отказывать в обслуживании только на основании отказа клиента от предоставления биометрических данных. Банк или МФО обязаны предоставить альтернативный способ идентификации — например, предъявление паспорта. За нарушение — штраф до 500 тыс. ₽ для юридического лица.

2. Что грозит МФО за утечку данных заёмщиков?

Ответственность зависит от числа пострадавших субъектов. Утечка данных от 1 000 до 10 000 человек — штраф от 3 до 5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 субъектов — от 5 до 10 млн ₽ по ч. 13. Более 100 000 — от 10 до 15 млн ₽ по ч. 14. Повторная утечка переводит МФО в режим оборотного штрафа по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

3. Какое правовое основание обработки ПДн у банка при доставке карты?

Основное основание — исполнение договора по п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора банковского обслуживания, стороной которого является субъект. Для передачи данных в БКИ — отдельное основание по ФЗ-218. Для биометрической верификации — письменное согласие по ст. 11 ФЗ-152 либо обращение к ЕБС через API без хранения исходных данных. Идентификация по 115-ФЗ — законная обязанность, согласия не требует.

4. Где хранится биометрия клиентов банка — в ЕБС или у самого банка?

С 01.06.2023 по требованиям ФЗ-572 исходные биометрические данные клиентов для целей финансовой идентификации хранятся только в ГИС ЕБС. Оператор ЕБС — АО «Центр Биометрических Технологий». Банки обращаются к ЕБС через защищённый API; хранить биометрические шаблоны локально — нарушение ФЗ-572 и ст. 11 ФЗ-152, ответственность по ч. 16–17 ст. 13.11 КоАП.

5. Как клиент может оспорить автоматизированное решение (скоринг) по ст. 16 ФЗ-152?

По ст. 16 ФЗ-152 субъект вправе требовать проверки автоматизированного решения, принятого в отношении него, уполномоченным сотрудником организации. Оператор обязан предоставить такую процедуру и зафиксировать её в локальном акте. Клиент направляет письменное обращение; оператор обязан ответить в течение 10 рабочих дней по ст. 20 ФЗ-152. Отсутствие процедуры пересмотра — нарушение, выявляемое при проверке РКН.

Итог

Доставка финансового продукта — это полноценный цикл обработки персональных данных, подчинённый одновременно ФЗ-152, ФЗ-218, ФЗ-572 и 115-ФЗ. Ошибки в разграничении ролей оператора и обработчика, хранение биометрии вне ЕБС, объединение баз 115-ФЗ и маркетинга, отсутствие альтернативы биометрической верификации — каждый из этих пунктов создаёт отдельное основание для штрафа по ст. 13.11 КоАП от 40 тыс. до 20 млн ₽ и выше.

Практика DATUM по 152-ФЗ в финансовом секторе включает сопровождение банков, МФО и их логистических партнёров: аудит обработки ПДн, формирование договорной базы с агентами, защиту от штрафов в арбитраже.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

11 марта 2029 года