Каршеринг и ПДн арендатора

Каршеринг занял промежуточное положение между транспортным сервисом и финансовым продуктом: верификация личности через БКИ и ЕБС, скоринг по поведению водителя, удержание средств с карты, подключение к НПС — каждый из этих процессов создаёт отдельный правовой режим обработки персональных данных. Для финансового директора это означает прямую зависимость между несоответствием 152-ФЗ и операционными потерями: штрафы по новым нормам ФЗ-420 от 30.11.2024 исчисляются миллионами, а не десятками тысяч рублей.

Какие персональные данные собирает каршеринговый оператор?

Каршеринговый оператор де-факто работает с несколькими категориями ПДн одновременно. Регистрация требует паспортных данных и данных водительского удостоверения — это общие ПДн по ст. 3 ФЗ-152. Верификация лица при регистрации и разблокировке автомобиля связана с фотографией или видеозаписью лица: по позиции Роскомнадзора изображение лица, используемое для идентификации, относится к биометрическим ПДн по ст. 11 ФЗ-152 и требует письменного согласия субъекта.

Геолокация в реальном времени — отдельная категория: сама по себе координата не является ПДн, однако в связке с идентификатором арендатора она позволяет установить его местонахождение и маршруты. РКН последовательно квалифицирует такие связанные данные как ПДн. Финансовые данные — номер карты, история транзакций, страховые случаи — обрабатываются на основании исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152) без отдельного согласия, но с соблюдением минимизации объёма по ст. 5.

Скоринг поведения водителя — ускорения, торможения, нарушения ПДД, время суток поездок — формирует профиль, по которому принимаются автоматизированные решения: повышение тарифа, блокировка аккаунта, отказ в аренде. Такие решения регулируются ст. 16 ФЗ-152: субъект вправе потребовать пересмотра решения с участием человека. Игнорирование этого требования — самостоятельное нарушение.

Как каршеринг взаимодействует с БКИ и ЕБС?

Ряд крупных каршеринговых платформ запрашивает кредитную историю через бюро кредитных историй перед допуском к автомобилю. Запрос в БКИ по ФЗ-218 от 30.12.2004 допустим только при наличии согласия субъекта. Согласие должно быть оформлено как отдельный документ — с 01.09.2025 по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 согласие не может объединяться с пользовательским соглашением или офертой.

Единая биометрическая система (ЕБС) по ФЗ-572 от 29.12.2022 создавалась прежде всего для банковского сектора, однако финтех-платформы с лицензией или партнёрскими интеграциями с банками могут использовать ЕБС для верификации клиента. Хранение исходных биометрических шаблонов вне ЕБС с 01.06.2023 запрещено для операторов, подпадающих под действие ФЗ-572. Каршеринг, не имеющий банковской лицензии, в прямую обязанность размещать данные в ЕБС не включён, но при сборе биометрии обязан соблюдать ст. 11 ФЗ-152 — письменное согласие и отдельные меры защиты.

Отдельный риск — интеграция с банком-партнёром для авторизации платежей. Такая интеграция создаёт цепочку поручения обработки по п. 3 ч. 1 ст. 6 ФЗ-152: каршеринг остаётся оператором и несёт ответственность за действия банка-партнёра перед субъектом. Если банк допустит утечку — штраф придёт оператору.

Какие основания обработки действуют в каршеринге?

Правовые основания обработки в каршеринге распределяются по нескольким статьям ФЗ-152. Исполнение договора аренды транспортного средства (п. 5 ч. 1 ст. 6) покрывает паспортные данные, данные ВУ, финансовые данные и геолокацию в пределах, необходимых для аренды. Согласие субъекта (п. 1 ч. 1 ст. 6) требуется для биометрии, маркетинговых коммуникаций, скоринга поведения, запроса в БКИ и передачи данных третьим лицам.

Проблема большинства каршеринговых операторов — избыточность согласия. Единый документ «согласие на обработку ПДн» покрывает все цели разом: аренду, скоринг, маркетинг, аналитику, БКИ. С 01.09.2025 по ФЗ-156 это недопустимо: согласие должно быть отдельным документом, а не частью оферты. При разных целях — разные документы. Старые формы согласий, включённые в текст пользовательского соглашения, перестали соответствовать закону.

Что грозит каршеринговому оператору за нарушения 152-ФЗ с 30.05.2025?

С вступлением в силу ФЗ-420 от 30.11.2024 санкционный режим для операторов ПДн изменился кардинально. Ст. 13.11 КоАП теперь содержит 18 частей; для каршеринга актуальны несколько из них.

Обработка биометрии без письменного согласия или с нарушением требований ст. 11 ФЗ-152 — ч. 16 ст. 13.11. Утечка биометрических ПДн — ч. 17: штраф для юридического лица составляет 15–20 млн ₽. Утечка общих ПДн от 1 000 до 10 000 арендаторов — ч. 12: 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13: 5–10 млн ₽. Свыше 100 000 субъектов — ч. 14: 10–15 млн ₽. Повторная утечка, если ранее компания уже привлекалась по ч. 12–14, — ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Неуведомление РКН об утечке в течение 24 часов — отдельный состав по ч. 11 ст. 13.11: штраф 1–3 млн ₽ за каждый случай. Ненаправление отчёта через 72 часа фиксируется дополнительным протоколом. Два штрафа за один инцидент — стандартная практика проверок 2025–2026 годов.

С 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024): незаконное использование, передача или хранение компьютерной информации, содержащей ПДн. Максимальная санкция по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Уголовная ответственность персонифицирована: под неё попадает конкретный сотрудник или директор.

Как выглядят типовые ситуации для каршеринговых операторов?

Ситуация 1. Скоринг через автоматизированную систему без права на пересмотр. Каршеринговый оператор блокирует аккаунт водителя на основании алгоритмической оценки стиля вождения. Субъект обращается с требованием разъяснить основание — оператор ссылается на «закрытый алгоритм». Ст. 16 ФЗ-152 обязывает оператора по требованию субъекта пересмотреть решение с участием человека и разъяснить логику. Отказ — нарушение ч. 4 ст. 13.11 КоАП (штраф 40–80 тыс. ₽) плюс жалоба в РКН и внеплановая проверка. Стратегия: закрепить в регламенте процедуру ручного пересмотра с назначенным ответственным лицом.

Ситуация 2. Утечка базы арендаторов через подрядчика — аналитическую платформу. Оператор передал обезличенные, по его мнению, данные подрядчику для анализа поведения. Подрядчик использовал внешние идентификаторы, позволявшие деобезличить записи. В результате взлома подрядчика в открытый доступ попали данные более 50 000 арендаторов. По позиции судебной практики оператор несёт ответственность за действия обработчика перед субъектами. Квалификация — ч. 13 ст. 13.11 КоАП: штраф 5–10 млн ₽. Неуведомление РКН за 24 часа — дополнительно ч. 11: ещё 1–3 млн ₽. Стратегия: договор поручения с прямым запретом деобезличивания, аудит подрядчика до начала обработки, регламент реагирования с чёткими сроками.

Ситуация 3. Каршеринг использует данные арендатора для партнёрских рассылок. При регистрации пользователь дал согласие «на обработку в целях оказания услуг каршеринга». На основании этого согласия оператор передаёт email и телефон страховому партнёру для прямой рекламной рассылки. Это нарушение ст. 5 ФЗ-152 (несовместимость целей) и ст. 10.1 ФЗ-152 (для распространения требуется отдельное согласие). Состав по ч. 1 ст. 13.11 КоАП: штраф 150–300 тыс. ₽. При повторности — ч. 1.1: 300–500 тыс. ₽. Стратегия: разграничить согласия по целям, получить отдельное согласие на передачу партнёрам.

Как применяется 115-ФЗ и НПС в каршеринге?

Каршеринг как небанковская организация не подпадает под прямое действие 115-ФЗ «О противодействии легализации». Однако при интеграции с платёжными сервисами и банками-партнёрами идентификация пользователя проводится по требованиям НПС — Национальной платёжной системы. Хранение и обработка платёжных данных регулируются одновременно 152-ФЗ и требованиями ЦБ к платёжным агентам: персональные данные плательщика не могут передаваться за пределы платёжной цепочки без отдельного правового основания.

Для МФО, которые используют каршеринговую аналитику как дополнительный источник скоринга (совместные программы лояльности, интеграции через API), возникает отдельный правовой вопрос: является ли такая передача данных поручением обработки или самостоятельной передачей третьему лицу. Если МФО получает данные без статуса обработчика и использует их в собственных целях — это самостоятельная обработка, требующая собственного основания по ст. 6 ФЗ-152. Смешение ролей оператора и обработчика — типичное нарушение, которое выявляется при проверке РКН.

Практика: как штрафуют операторов в 2025–2026 годах

Кейс 1. Оператор цифровой платформы (Северо-Западный ФО, начало 2026) допустил утечку данных около 70 000 субъектов — ФИО, служебные контакты, должности — после хакерской атаки. Арбитражный суд региона квалифицировал нарушение по ч. 14 ст. 13.11 КоАП (более 100 000 идентификаторов), применил смягчающие обстоятельства, включая оперативное уведомление РКН и сотрудничество с регулятором. Штраф назначен ниже минимального диапазона с учётом ст. 4.1 КоАП. Это дело АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 от 10.03.2026 — одно из первых под новыми нормами ФЗ-420.

Кейс 2. Финтех-платформа (Сибирский ФО, осень 2025) передала данные арендаторов — включая геолокацию и финансовую историю — маркетинговому агентству без заключённого договора поручения. После жалобы субъекта РКН инициировал внеплановую проверку. Выявлено нарушение ч. 1 ст. 13.11 (обработка без правового основания для маркетинговых целей) и отсутствие опубликованной политики конфиденциальности — ч. 3 ст. 13.11. Совокупный штраф для юридического лица составил штраф в диапазоне нескольких сотен тысяч рублей. Финансовый директор компании впоследствии инициировал полный аудит ОРД — стоимость составила около 120 000 ₽, что оказалось вдвое меньше уже уплаченных санкций.

Услуги DATUM по теме

• Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с приоритизированным планом
• Комплект ОРД под ключ — политика, согласия, приказы, договоры поручения
• Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11

Частые вопросы

1. Можно ли отказать клиенту каршеринга без предоставления биометрии?

Отказать в предоставлении услуги по причине непредоставления биометрических данных каршеринговый оператор вправе, если биометрия является обязательным элементом процесса верификации, предусмотренного договором. Однако если сервис предлагает альтернативный способ верификации личности (предъявление документа оператору, верификация через ЕСИА), принудительное требование биометрии без альтернативы может быть оспорено. В банковском секторе прямой запрет на отказ в обслуживании без биометрии в ЕБС закреплён в ч. 8 ст. 14.8 КоАП; для каршеринга аналогичного запрета нет, но принцип минимизации по ст. 5 ФЗ-152 требует использовать наименее инвазивный способ верификации.

2. Что грозит МФО за утечку данных, переданных от каршеринга?

Если МФО получила данные арендаторов от каршеринга и допустила их утечку, ответственность по ст. 13.11 КоАП наступает для МФО как самостоятельного оператора. Размер штрафа зависит от числа затронутых субъектов: от 3–5 млн ₽ (ч. 12, более 1 000 субъектов) до 10–15 млн ₽ (ч. 14, более 100 000 субъектов). Одновременно каршеринговый оператор, передавший данные без надлежащего правового основания или без договора поручения, несёт самостоятельную ответственность по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и по ст. 272.1 УК РФ, если передача квалифицирована как незаконная.

3. Какое основание обработки действует при скоринге арендатора?

Скоринг поведения водителя, влияющий на тарифы или блокировку аккаунта, требует отдельного правового основания помимо исполнения договора. Если скоринг используется для принятия решений, существенно затрагивающих права субъекта, применяется ст. 16 ФЗ-152: автоматизированная обработка для таких решений допустима только с согласия субъекта или при прямом указании в законе. Согласие на скоринг должно быть отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156, действующей с 01.09.2025.

4. Где должна храниться биометрия, собранная каршерингом?

Каршеринговый оператор, не являющийся банком или иной организацией, подпадающей под ФЗ-572, не обязан размещать биометрию в ЕБС. Однако он обязан соблюдать требования ст. 11 ФЗ-152: письменное согласие субъекта и организационно-технические меры защиты биометрических ПДн в соответствии с уровнем защищённости, определённым по ПП РФ № 1119. Хранение биометрии за пределами РФ недопустимо в силу требований локализации по ч. 5 ст. 18 ФЗ-152. Утечка биометрических ПДн влечёт штраф по ч. 17 ст. 13.11 КоАП: 15–20 млн ₽.

5. Как оспорить отказ в аренде на основании автоматизированного скоринга?

Субъект вправе потребовать пересмотра решения, принятого исключительно на основании автоматизированной обработки, с участием человека — это прямое право по ст. 16 ФЗ-152. Оператор обязан рассмотреть требование в течение 10 рабочих дней и уведомить субъекта о результатах (ст. 20 ФЗ-152). При отказе оператора субъект подаёт жалобу в РКН через портал pd.rkn.gov.ru. РКН вправе инициировать внеплановую проверку по факту жалобы, что для оператора означает проверку всего комплаенса, а не только оспариваемого решения.

Итог

Каршеринговый оператор — многопрофильный оператор персональных данных: биометрия, геолокация, финансовые данные, скоринг, взаимодействие с БКИ и банками-партнёрами создают матрицу из нескольких десятков правовых оснований и потоков данных. Несоответствие 152-ФЗ по любому из них с 30.05.2025 — это штрафы от сотен тысяч до сотен миллионов рублей в зависимости от масштаба утечки и повторности.

Юристы DATUM сопровождают финтех-операторов и каршеринговые платформы по вопросам соответствия 152-ФЗ: от аудита оснований обработки до защиты в арбитраже при оспаривании протоколов РКН. Практика по финансовому сектору и цифровым продуктам — с 2014 года.