Карточные данные (PCI DSS) и 152-ФЗ
Финтех-компания, работающая с банковскими картами, попадает под двойное регулирование: международный стандарт PCI DSS требует защиты данных держателей карт, а ФЗ-152 обязывает обрабатывать персональные данные на законных основаниях. С 2025 года оба режима ужесточились одновременно — вступил в силу PCI DSS 4.0 и заработала обновлённая ст. 13.11 КоАП. Ниже разобраны точки пересечения стандартов, актуальные основания обработки ПДн в финансовом секторе (ФЗ-218, ФЗ-572, ст. 16 ФЗ-152), типовые риски для МФО и банков и арифметика бюджета.
Где карточные данные становятся персональными данными по ФЗ-152?
PCI DSS регулирует данные держателей карт (CHD): номер карты (PAN), срок действия, имя держателя, сервисный код. Сами по себе эти данные могут не идентифицировать конкретного человека — PAN без привязки к ФИО и адресу не является персональными данными в понимании ст. 3 ФЗ-152.
Проблема возникает, когда финтех-компания связывает PAN с ФИО, телефоном, адресом, датой рождения или сведениями о транзакциях. Такая связка однозначно образует персональные данные. В банковском процессинге, системах лояльности и скоринге это происходит по умолчанию: заявка на карту содержит имя, паспортные данные и контакты заявителя. С этого момента весь массив обрабатываемых сведений подпадает под ФЗ-152.
Практическое следствие: финтех-компания, хранящая PCI DSS-данные совместно с ФИО клиентов, обязана выполнять требования обоих режимов. Разделение хранилищ (PAN в токенизированной среде, ФИО в CRM) — один из способов минимизировать область пересечения, но не устраняет обязательства по ФЗ-152 полностью.
Какие основания обработки ПДн применяются в финансовом секторе?
Ст. 6 ФЗ-152 устанавливает исчерпывающий перечень оснований обработки. Для банков, МФО и платёжных сервисов применимы три основных основания.
Исполнение договора (п. 5 ч. 1 ст. 6). Обработка ПДн клиента в рамках договора банковского счёта, кредитного договора или договора эмиссии карты возможна без отдельного согласия — достаточно самого договора. Это снимает необходимость собирать согласие на обработку данных, уже переданных при заключении договора. Однако основание действует строго в рамках цели договора: передача данных третьим лицам для маркетинга требует отдельного согласия по ст. 9 ФЗ-152.
Обязательства по закону (п. 2 ч. 1 ст. 6). Банк обязан передавать данные в БКИ по ФЗ-218, идентифицировать клиентов по 115-ФЗ и сообщать сведения в ФНС, ЦБ РФ, Росфинмониторинг. Эти операции не требуют согласия субъекта — обработка прямо предусмотрена законом.
Согласие субъекта (п. 1 ч. 1 ст. 6, ст. 9 ФЗ-152). С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом, не включается в текст договора или правил обслуживания. Банки, встраивавшие согласие на маркетинговую рассылку в договор о карте, обязаны перейти на отдельные формы согласия для новых клиентов.
Ваш банк или МФО выдаёт карты — а согласия клиентов ещё в договоре?
С 01.09.2025 согласие на обработку ПДн в тексте договора не соответствует требованиям ФЗ-156. Каждое такое согласие — основание для штрафа до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. Если финансовый директор не уверен в актуальности форм, пора провести аудит до первой проверки РКН.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Биометрия в банке: ФЗ-572, ЕБС и что грозит за отказ клиенту?
С принятием ФЗ-572 от 29.12.2022 банки получили право проводить удалённую идентификацию клиентов через Единую биометрическую систему (ГИС ЕБС). Оператором ЕБС является АО «Центр Биометрических Технологий». Хранение исходных биометрических шаблонов вне ЕБС с 01.06.2023 запрещено.
Ключевое ограничение — клиент вправе отказаться от предоставления биометрии. Банк не может обусловить открытие счёта или выдачу карты обязательной сдачей биометрических данных. Нарушение этого правила образует состав по ч. 8 ст. 14.8 КоАП — отказ обслужить потребителя без биометрии в ЕБС. Штраф для юридического лица — до 500 тыс. ₽.
Для внутренних систем контроля доступа (СКУД) биометрия сотрудников регулируется иначе: ст. 11 ФЗ-152 требует письменного согласия работника. Исключения — прямо поименованы в п. 2 ст. 11 и к банковскому СКУД не относятся. Принудительное снятие отпечатков как условие трудоустройства — нарушение.
Скоринг по ст. 16 ФЗ-152 и автоматизированные решения: что изменилось?
Ст. 16 ФЗ-152 ограничивает принятие решений, основанных исключительно на автоматизированной обработке ПДн, если такие решения порождают юридические последствия для субъекта или существенно затрагивают его интересы. Кредитный скоринг подпадает под это ограничение напрямую: отказ в кредите по алгоритму без участия сотрудника — типовой случай.
По ст. 16 ФЗ-152 оператор обязан: уведомить субъекта о том, что решение принято автоматически, и по требованию субъекта обеспечить рассмотрение решения с участием человека. Это право субъекта не зависит от того, нравится ли банку такой запрос. Срок рассмотрения — 10 рабочих дней с момента обращения (ст. 20 ФЗ-152).
МФО, использующие скоринговые модели на основе данных БКИ, должны одновременно соблюдать ФЗ-218 (получение кредитного отчёта только с согласия субъекта) и ст. 16 ФЗ-152 (информирование об автоматизированном решении). Несоблюдение — штраф по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ за нарушение условий обработки).
Что подготовить финансовой компании для соответствия 152-ФЗ
- Актуальное уведомление в реестре РКН с указанием всех категорий ПДн и целей обработки (ст. 22 ФЗ-152, форма по Приказу РКН №180).
- Отдельные формы согласий на обработку ПДн в маркетинговых целях и передачу третьим лицам — в соответствии с требованиями ФЗ-156 от 24.06.2025 (для согласий, получаемых с 01.09.2025).
- Документы на передачу данных в БКИ, ФНС, ЦБ РФ, Росфинмониторинг — со ссылкой на законное основание (ФЗ-218, 115-ФЗ, п. 2 ч. 1 ст. 6 ФЗ-152).
- Политика обработки персональных данных, опубликованная на сайте, с разделами по ч. 2 ст. 18.1 ФЗ-152 — включая порядок работы с автоматизированными решениями по ст. 16.
- Регламент реагирования на инциденты с ПДн: первичное уведомление РКН за 24 часа, отчёт о расследовании за 72 часа (Приказ РКН №187).
Как соотносятся риски PCI DSS и 152-ФЗ для финансового директора?
С точки зрения бюджета риска оба стандарта создают разные типы потерь. Нарушение PCI DSS влечёт штрафы от платёжных систем (Visa, Mastercard) и потерю права на эквайринг. Нарушение 152-ФЗ — административный штраф от Роскомнадзора, а при утечке — штраф по ст. 13.11 КоАП и уголовный риск по ст. 272.1 УК РФ для конкретных должностных лиц.
Оборотный штраф по ч. 15 ст. 13.11 КоАП при повторной утечке — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Для банка с выручкой 10 млрд ₽ нижняя граница фактического штрафа — 100 млн ₽. Стоимость аудита соответствия 152-ФЗ — от 100 000 ₽. Это ≤0,1% от минимального оборотного штрафа при средней выручке.
Практика 2025–2026 годов показывает, что суды применяют новые нормы осторожно: по данным InfoWatch, в 2025 году назначено 6 штрафов по новой редакции ст. 13.11 на общую сумму около 570 тыс. ₽. Однако прецеденты РЭШ (дело А40-351064/2025, ч. 14 ст. 13.11) и ПКР Аналитика (А56-4733/2026) показывают: крупные утечки уже квалифицируются по максимальным составам. Для финтех-компании с базой клиентов более 10 000 субъектов риск попасть в зону ч. 13–14 ст. 13.11 — реальный.
Типовые сценарии нарушений в финтехе
Сценарий 1. Утечка данных кредитных заявок через процессинговый подрядчик. МФО передала базу заявителей (ФИО, телефон, сумма займа, скоринговый балл) на обработку стороннему IT-подрядчику без оформления договора поручения по п. 3 ст. 6 ФЗ-152. Подрядчик допустил утечку 15 000 записей. Оператор — МФО — несёт ответственность за действия подрядчика: штраф по ч. 13 ст. 13.11 КоАП (5–10 млн ₽). Отсутствие договора поручения лишает МФО возможности переложить ответственность. Стратегия: оформить договор поручения со всеми подрядчиками, имеющими доступ к ПДн, и включить в него ответственность за инцидент.
Сценарий 2. Банк использует GA4 и рекламный пиксель с передачей данных на серверы Meta за рубеж. Данные о действиях зарегистрированных пользователей интернет-банка (идентификаторы сессий, IP, хэши email) передаются на серверы в США без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. С 01.07.2025 ужесточены требования локализации (ФЗ-233): первичный сбор ПДн граждан РФ должен осуществляться в базах на территории РФ. Штраф за нарушение локализации — ч. 8 ст. 13.11 КоАП (1–6 млн ₽). Стратегия: провести аудит всех трекеров и сторонних скриптов на сайте, настроить server-side tracking на российской инфраструктуре.
Сценарий 3. Финдиректор получает запрос РКН о плановой проверке. Уведомление в реестре операторов подано три года назад и не обновлялось: компания с тех пор запустила скоринг на основе ИИ-модели и начала передавать данные в новое БКИ. Фактическая обработка выходит за рамки заявленного. Штраф за несоответствие реестра фактической обработке — по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Дополнительно РКН выдаст предписание об устранении. При выявлении несоответствия на проверке — вероятно составление нескольких протоколов по разным частям ст. 13.11. Стратегия: актуализировать уведомление до проверки.
Если финансовый директор получил уведомление о проверке РКН или обнаружил признаки инцидента — у компании есть 24 часа на первичное уведомление об утечке (ч. 3.1 ст. 21 ФЗ-152). Этот срок не восстанавливается; пропуск грозит отдельным штрафом 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.
Заказать аудит 152-ФЗКак это выглядит на практике
Кейс 1. Региональный банк (Приволжский ФО, лето 2025) провёл аудит соответствия 152-ФЗ перед плановой проверкой РКН. Аудит выявил: договоры поручения с тремя IT-подрядчиками не оформлены, формы согласий на маркетинговые рассылки встроены в договор банковского обслуживания (нарушение ФЗ-156), уведомление в реестре не обновлялось 4 года. Компания устранила нарушения в течение 6 недель. Проверка РКН завершилась предписанием без штрафа. Стоимость аудита и корректирующих мер — в сотни тысяч рублей, что несопоставимо с потенциальными штрафами по нескольким составам ст. 13.11 КоАП.
Кейс 2. МФО (Сибирский ФО, осень 2025) допустила утечку базы клиентов (около 12 000 записей) через уязвимость в API. Первичное уведомление РКН направлено за 20 часов, отчёт о расследовании — за 68 часов. Суд первой инстанции квалифицировал нарушение по ч. 13 ст. 13.11 КоАП (утечка от 10 000 субъектов). С учётом оперативного уведомления и отсутствия повторности суд назначил штраф в нижней части диапазона. Формальное соблюдение сроков по Приказу РКН №187 стало ключевым смягчающим обстоятельством.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка обработки ПДн в финтехе по 38-пунктному чек-листу с планом устранения.
- Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования на инциденты.
- Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Частые вопросы
1. Можно ли отказать клиенту в обслуживании без предоставления биометрии?
Нет. ФЗ-572 закрепляет право клиента отказаться от сдачи биометрических данных в ЕБС. Обусловить открытие счёта, выдачу карты или иное банковское обслуживание обязательной сдачей биометрии запрещено. Нарушение образует состав по ч. 8 ст. 14.8 КоАП — штраф для юридического лица до 500 тыс. ₽. Банк обязан предложить альтернативный способ идентификации.
2. Что грозит МФО за утечку базы заёмщиков?
Размер штрафа зависит от числа субъектов, чьи данные утекли. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП (3–5 млн ₽); от 10 000 до 100 000 — ч. 13 (5–10 млн ₽); свыше 100 000 — ч. 14 (10–15 млн ₽). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽. Дополнительно — риск уголовной ответственности по ст. 272.1 УК РФ для должностных лиц.
3. Какое правовое основание обработки ПДн использует банк при выдаче карты?
Основное основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Это покрывает обработку в рамках эмиссии и обслуживания карты. Для передачи данных в БКИ применяется п. 2 ч. 1 ст. 6 — обязательство по ФЗ-218. Для маркетинговых рассылок и передачи данных партнёрам требуется отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156.
4. Где физически хранится биометрия клиентов банка?
Исходные биометрические шаблоны (изображение лица, голос) хранятся исключительно в ГИС ЕБС — Государственной информационной системе «Единая биометрическая система». Оператор системы — АО «Центр Биометрических Технологий». С 01.06.2023 хранение исходных биометрических данных вне ЕБС запрещено по ФЗ-572. Банк хранит только токен — ссылку на запись в ЕБС, без биометрического шаблона.
5. Как клиент может оспорить автоматический отказ в кредите?
По ст. 16 ФЗ-152 субъект вправе потребовать, чтобы решение, принятое исключительно автоматически и влекущее правовые последствия, было пересмотрено с участием человека. Заявление подаётся оператору (банку или МФО) в свободной форме. Оператор обязан рассмотреть его в течение 10 рабочих дней (ст. 20 ФЗ-152) и уведомить клиента об итоге. Отказ рассматривать — нарушение ч. 4 ст. 13.11 КоАП (40–80 тыс. ₽).
Итог
Карточные данные попадают под 152-ФЗ в момент их связки с ФИО держателя — и с этого момента финтех-компания несёт полный объём обязательств оператора ПДн. PCI DSS и 152-ФЗ не заменяют, а дополняют друг друга: технические контроли PCI DSS снижают вероятность утечки, но не освобождают от организационных требований ФЗ-152 — уведомления РКН, оформления согласий, договоров поручения и регламента реагирования на инциденты.
Юристы DATUM специализируются на финансовом секторе: банки, МФО, платёжные сервисы и финтех-стартапы. Аудит соответствия 152-ФЗ с учётом специфики ФЗ-218, ФЗ-572 и требований скоринга — от 100 000 ₽.