аналитика 13 апреля 2029 По состоянию на 13 апреля 2029

Кейсы предписаний РКН по БКИ

БКИ, банки и МФО — операторы ПДн с расширенной нормативной нагрузкой: ФЗ-218 о кредитных историях, ФЗ-152 об обработке данных, ФЗ-572 о биометрии в ЕБС.

С 30.05.2025 действуют оборотные штрафы до 500 млн ₽ по ч. 15 ст. 13.11 КоАП. РКН выносит предписания по результатам проверок и требует устранить нарушения в установленные сроки.

Если вы финансовый директор и оцениваете бюджет на комплаенс — эта аналитика о реальных основаниях предписаний и стоимости нарушений для финансового сектора.

Роскомнадзор проверяет финансовые организации по плановому графику и по жалобам субъектов. Бюро кредитных историй, банки, МФО и страховщики попадают под двойной контроль: как операторы ПДн по ФЗ-152 и как участники специализированных систем — ЕБС, НБКИ, ЕГИСЗ. По итогам 2024 года РКН зафиксировал более 710 млн скомпрометированных записей. С 30.05.2025 за повторную утечку применяется оборотный штраф по ч. 15 ст. 13.11 КоАП. Для финансового директора это бюджетный вопрос: стоимость аудита соответствия — от 100 000 ₽, стоимость предписания с последующим штрафом — от 3 млн ₽ и выше.

Какие нарушения становятся основанием предписаний РКН в финансовом секторе?

Предписание по ст. 23 ФЗ-152 — это обязательное к исполнению требование регулятора устранить нарушение в срок. За неисполнение — административная ответственность дополнительно к основному составу. В финансовом секторе РКН систематически выявляет несколько групп нарушений.

Первая группа — обработка ПДн без надлежащего правового основания. Банки и МФО нередко собирают данные сверх объёма, необходимого для заключения договора. Ст. 6 ФЗ-152 допускает обработку без согласия только в объёме, необходимом для исполнения договора с субъектом. Запрос дополнительных категорий — работодатель, состав семьи, данные о родственниках — требует отдельного согласия по ст. 9 ФЗ-152.

Вторая группа — нарушения при работе с кредитными историями по ФЗ-218. БКИ хранит данные субъектов 7 лет с момента последней записи. Передача сведений из кредитной истории третьим лицам без согласия субъекта или без законного основания — типичный предмет предписания. РКН рассматривает несанкционированный доступ к базе БКИ как нарушение ст. 7 ФЗ-152 о конфиденциальности.

Третья группа — отсутствие или несоответствие требованиям политики обработки ПДн по ч. 2 ст. 18.1 ФЗ-152. Организации публикуют формальный документ без обязательных разделов: цели обработки, перечень третьих лиц, порядок реагирования на запросы субъектов. Это самостоятельный состав по ч. 3 ст. 13.11 КоАП — штраф для юрлица 30–60 тыс. ₽.

«Ст. 6 ФЗ-152 устанавливает одиннадцать оснований для обработки ПДн. Обработка в целях исполнения договора с субъектом допустима без его согласия только в объёме, необходимом для этой цели. Расширенный сбор — отдельное основание, требующее согласия по ст. 9.»

Финансовый директор получил запрос от РКН — что это означает для бюджета?

Предписание РКН влечёт обязательные расходы: устранение нарушений, юридическое сопровождение, возможный штраф. Если организация не устраняет нарушения в срок — следует повторный протокол. При повторной утечке с 30.05.2025 применяется оборотный штраф по ч. 15 ст. 13.11 КоАП: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Стоимость превентивного аудита — от 100 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как РКН применяет ст. 16 ФЗ-152 к скорингу и автоматизированным решениям в банках?

Ст. 16 ФЗ-152 регулирует автоматизированные решения, которые порождают юридические последствия для субъекта. Кредитный скоринг — прямой случай применения этой нормы. Отказ в кредите, назначение процентной ставки, установление лимита на основе автоматического анализа данных — всё это решения по ст. 16.

Норма обязывает оператора по запросу субъекта раскрыть логику автоматизированного решения и предоставить возможность оспорить результат. На практике банки нередко отказывают в такой информации, ссылаясь на коммерческую тайну скоринговой модели. РКН в ходе проверок квалифицирует это как нарушение прав субъекта. Предписание обязывает организацию разработать и внедрить процедуру ответа на запросы субъектов по ст. 16.

Важен и вопрос обработки данных третьих лиц при скоринге. Если модель использует данные о родственниках, соседях или коллегах субъекта — это обработка ПДн третьих лиц без их согласия. Ст. 6 ФЗ-152 не предоставляет банку оснований для такой обработки в рамках договора с заёмщиком.

«Ст. 16 ФЗ-152 устанавливает запрет на принятие решений исключительно на основе автоматизированной обработки, если они влекут юридические последствия, — без права субъекта оспорить такое решение и потребовать его пересмотра с участием человека.»

Что меняет ФЗ-572 о биометрии в ЕБС для банков и МФО?

ФЗ-572 от 29.12.2022 установил единый порядок работы с биометрическими данными в финансовом секторе. Оператором Единой биометрической системы назначено АО «Центр Биометрических Технологий». С 01.06.2023 действует запрет на хранение исходных биометрических данных вне ЕБС для организаций, осуществляющих биометрическую идентификацию клиентов.

Банки, которые собирали биометрию до введения ЕБС и хранили её в собственных базах, обязаны были перенести данные в ЕБС или уничтожить. РКН проверяет исполнение этого требования. Нарушение порядка обработки биометрических ПДн по ст. 11 ФЗ-152 влечёт ответственность по ч. 16 ст. 13.11 КоАП, а утечка биометрии — по ч. 17: штраф для юрлица 15–20 млн ₽. При повторном нарушении применяется оборотный состав по ч. 18.

Отдельный аспект — ч. 8 ст. 14.8 КоАП. Эта норма, введённая ФЗ-420, запрещает отказывать клиенту в обслуживании по причине отсутствия его биометрии в ЕБС. Для финансового директора это означает: нельзя делать биометрическую идентификацию через ЕБС обязательным условием получения услуги.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта. ФЗ-572 устанавливает, что хранение исходной биометрии вне ЕБС с 01.06.2023 не допускается для организаций, осуществляющих идентификацию через ЕБС.»

Что финансовой организации подготовить к проверке РКН

Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обработке
Политику обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152: цели, основания, перечень третьих лиц, порядок реагирования на запросы субъектов
Документы о передаче данных в БКИ: основание, согласие субъекта или договорная необходимость по ФЗ-218
Процедуру ответа на запросы субъектов по ст. 16 ФЗ-152 об автоматизированных решениях
Документацию о соответствии требованиям ФЗ-572: порядок работы с биометрией, статус миграции в ЕБС

Как РКН реагирует на утечки в МФО и страховых компаниях?

МФО работают с данными заёмщиков, в том числе с документами, удостоверяющими личность, сведениями о доходах, контактными данными. Ч. 3.1 ст. 21 ФЗ-152 обязывает оператора уведомить РКН об утечке в течение 24 часов с момента её обнаружения. Через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН №187.

В практике проверок МФО РКН фиксирует два типичных нарушения. Первое — отсутствие процедуры фиксации инцидентов: организация не может подтвердить момент обнаружения утечки, что лишает её возможности доказать соблюдение 24-часового срока. Второе — неполное уведомление: в первичном сообщении не указываются категории затронутых ПДн, предполагаемое число субъектов, предпринятые меры. РКН квалифицирует неполное уведомление как несвоевременное.

Страховые компании дополнительно обрабатывают специальные категории ПДн по ст. 10 ФЗ-152 — данные о состоянии здоровья при страховании жизни и здоровья. Обработка таких данных требует явного согласия субъекта, и на практике страховщики нередко включают это согласие в общий пакет договорных документов. После 01.09.2025 такой подход нарушает требование ФЗ-156 об отдельном документе согласия.

«Ч. 3.1 ст. 21 ФЗ-152 — при обнаружении утечки оператор уведомляет РКН в течение 24 часов. Через 72 часа направляет отчёт о расследовании. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.»

Если финансовый директор оценивает риски утечки для бюджета: ч. 12 ст. 13.11 за утечку от 1 000 субъектов — штраф 3–5 млн ₽, при повторности — оборотный до 500 млн ₽. Аудит покажет реальный уровень риска.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Региональный банк (Приволжский ФО, осень 2025) прошёл плановую проверку РКН. Инспекторы установили: скоринговая система банка принимала решения об отказе в кредите без процедуры ответа на запросы субъектов по ст. 16 ФЗ-152. Банк также хранил согласия клиентов в составе кредитных договоров без выделения в отдельный документ — нарушение требований ФЗ-156, действующих с 01.09.2025. РКН выдал предписание об устранении двух нарушений в течение 30 дней и составил протокол по ч. 2 ст. 13.11 КоАП. Штраф для юрлица по этой части — 300 000–700 000 ₽. Банк обратился к юристам после получения предписания; в ходе сопровождения удалось зафиксировать смягчающие обстоятельства и снизить итоговую сумму санкции.

Кейс 2. МФО (Сибирский ФО, начало 2026) уведомила РКН об инциденте: хакерская атака затронула базу действующих заёмщиков объёмом около 15 000 записей. Первичное уведомление направлено в течение 20 часов. Через 72 часа представлен отчёт с описанием мер защиты и плана устранения уязвимости. РКН квалифицировал инцидент по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) — штраф для юрлица 3–5 млн ₽. Поскольку МФО оперативно уведомила регулятора и представила план устранения, в арбитражном суде применены смягчающие обстоятельства по ст. 4.1 КоАП. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн в финансовой организации по чек-листу 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на утечки
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, прямо запрещает отказывать клиенту в предоставлении финансовой услуги по причине отсутствия его биометрических данных в ЕБС. Биометрическая идентификация через ЕБС — добровольная для клиента. Нарушение этого запрета влечёт административную ответственность для банка или МФО.

2. Что грозит МФО за утечку базы заёмщиков?

Ответственность зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф для юрлица 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. Более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — неуведомление РКН в 24 часа: штраф 1–3 млн ₽ по ч. 11 ст. 13.11.

3. Какое основание обработки ПДн используется в банке при выдаче кредита?

Основное основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Обработка данных в объёме, необходимом для скоринга и принятия кредитного решения, подпадает под этот пункт. Если банк запрашивает данные сверх необходимого объёма или передаёт их третьим лицам в маркетинговых целях — требуется отдельное согласие по ст. 9 ФЗ-152, с 01.09.2025 оформленное отдельным документом по ФЗ-156.

4. Где хранится биометрия клиентов банков — в ЕБС или у самого банка?

С 01.06.2023 исходные биометрические данные, используемые для идентификации клиентов, хранятся в Единой биометрической системе (ЕБС). Оператор ЕБС — АО «Центр Биометрических Технологий». Банки не вправе хранить исходную биометрию в собственных базах, если они используют ЕБС для идентификации. Нарушение порядка хранения биометрии квалифицируется по ст. 11 ФЗ-152 и влечёт ответственность по ч. 16 ст. 13.11 КоАП. Ст. 13.11.3 КоАП регулирует нарушения непосредственно при размещении биометрии в ЕБС.

5. Как субъект может оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 предоставляет субъекту право требовать пересмотра автоматизированного решения с участием человека и получить разъяснение логики такого решения. Банк обязан рассмотреть это требование в течение 10 рабочих дней (ст. 20 ФЗ-152). Отказ в предоставлении объяснений или в пересмотре решения является нарушением ФЗ-152 и основанием для жалобы в РКН. Это отдельное основание для предписания и протокола по ч. 4 ст. 13.11 КоАП — штраф для юрлица 40–80 тыс. ₽.

Итог

Предписания РКН в финансовом секторе формируются вокруг нескольких устойчивых оснований: несоответствие объёма обработки целям по ст. 6 ФЗ-152, нарушения при работе с автоматизированными решениями по ст. 16, несоблюдение требований ФЗ-572 к биометрии в ЕБС, отсутствие процедур реагирования на утечки по ст. 21 ФЗ-152. С 30.05.2025 каждое повторное нарушение в области утечек переходит в оборотный состав по ч. 15 ст. 13.11 КоАП.

Для финансового директора ключевой вывод — бюджетный: стоимость предписания с последующим протоколом кратно превышает стоимость превентивного аудита. DATUM сопровождает финансовые организации при проверках РКН, проводит аудит соответствия с приоритизацией нарушений и представляет интересы в арбитраже при оспаривании штрафов по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

13 апреля 2029 года