Перейти к содержанию
аналитика 1 января 2029 По состоянию на 1 января 2029

МФО и принцип ст. 15 152-ФЗ (минимизация)

Принцип минимизации по ст. 5 ФЗ-152 требует, чтобы объём собираемых персональных данных строго соответствовал заявленным целям обработки. Для МФО это означает: запрашивать только те данные, без которых невозможно принять решение о займе.
С 30.05.2025 нарушение принципа минимизации — обработка ПДн в объёме, превышающем необходимый, — квалифицируется по ч. 1 ст. 13.11 КоАП с максимальным штрафом до 300 000 ₽ для юридического лица; при повторном нарушении — до 500 000 ₽ по ч. 1.1. При утечке избыточно собранных данных от 1 000 субъектов — от 3 до 15 млн ₽ в зависимости от масштаба по ч. 12–14 ст. 13.11.
Если вы финансовый директор МФО и утверждаете бюджет на комплаенс — оцените: сколько категорий ПДн собирает ваша анкета и каждая ли из них обоснована целью скоринга или обязательной идентификацией по 115-ФЗ. → Запросите аудит обработки ПДн.

Микрофинансовые организации — одни из крупнейших операторов персональных данных в розничном кредитовании. Скоринговая анкета стандартной МФО содержит от 30 до 80 полей: паспортные данные, СНИЛС, ИНН, контакты родственников, данные о занятости, сведения из социальных сетей. Часть этих полей предусмотрена законом — идентификация по 115-ФЗ, запрос в БКИ по ФЗ-218, биометрия в ЕБС по ФЗ-572. Другая часть — сложившаяся практика, не подкреплённая правовым основанием. Именно этот разрыв создаёт риск нарушения принципа минимизации. В 2025–2026 годах Роскомнадзор переориентировался на проверку обоснованности состава данных — не только факта наличия согласия, но и соответствия объёма ПДн декларируемым целям.

Что такое принцип минимизации и как он закреплён в законе?

Принцип минимизации персональных данных прямо закреплён в ст. 5 ФЗ-152. Норма устанавливает, что обрабатываемые данные должны соответствовать заявленным целям по объёму и составу, а также быть достаточными и не избыточными применительно к этим целям. Проще говоря: нельзя собирать то, что не нужно для конкретной операции.

Для МФО принцип минимизации пересекается с несколькими специальными режимами. Идентификация заёмщика по 115-ФЗ («О противодействии легализации доходов») требует проверки паспортных данных и отдельных сведений о финансовых операциях — это обязательный объём. Запрос кредитной истории в БКИ регулируется ФЗ-218 и требует отдельного согласия субъекта. Сбор биометрии для удалённой идентификации через Единую биометрическую систему регулируется ФЗ-572. Всё, что выходит за рамки этих режимов и целей кредитного договора, должно быть обосновано самостоятельной целью и правовым основанием.

«Ст. 5 ФЗ-152 — обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Оператор обязан прекратить обработку данных или обеспечить их уничтожение при достижении целей либо при утрате необходимости в их достижении.»

Практическая проблема МФО состоит в том, что скоринговые модели исторически строились по принципу «чем больше данных — тем точнее решение». Это противоречит принципу минимизации: точность модели не является правовым основанием для сбора избыточных ПДн. РКН при проверках анализирует анкету на соответствие задекларированным целям в уведомлении реестра операторов (ст. 22 ФЗ-152) и в политике обработки ПДн (ст. 18.1 ФЗ-152).

Анкета МФО содержит избыточные поля — как это повлияет на бюджет?

Если финансовый директор видит, что МФО собирает данные о родственниках заёмщика, сведения из социальных сетей или информацию о работодателях третьих лиц — это потенциальные нарушения принципа минимизации. Каждое такое поле может стать основанием для протокола по ч. 1 ст. 13.11 КоАП. При утечке эти же поля увеличивают масштаб инцидента и переводят дело в ч. 12–14 той же статьи с минимальным штрафом от 3 млн ₽. Аудит обработки ПДн по чек-листу из 38 пунктов позволяет выявить избыточные поля до проверки РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как соотносятся принцип минимизации и обязательная идентификация по 115-ФЗ?

Федеральный закон 115-ФЗ устанавливает перечень сведений, которые МФО обязана получить при идентификации клиента. Этот перечень закрытый: ФИО, дата и место рождения, гражданство, реквизиты удостоверяющего документа, адрес регистрации, ИНН при наличии. Сведения, необходимые для оценки кредитного риска и не входящие в этот перечень, требуют самостоятельного правового основания.

На практике МФО нередко объединяют в одной форме данные для 115-ФЗ, данные для скоринга и данные для маркетинговых коммуникаций. С 01.09.2025 такая практика нарушает ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие на обработку ПДн должно быть оформлено отдельным документом, не встроенным в договор или иной документ. Финансовому директору важно понимать: нарушение требований к форме согласия при скоринге — это ч. 2 ст. 13.11 КоАП, штраф 300 000 – 700 000 ₽.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — с 01.09.2025 согласие субъекта на обработку персональных данных оформляется отдельным документом, не объединённым с договором, офертой, политикой или иным документом. Согласие, полученное до 01.09.2025 по старым требованиям, переоформлению не подлежит.»

Скоринговые данные из внешних источников — оценки из социальных сетей, геолокационные данные, поведенческие паттерны — требуют отдельного обоснования. Ст. 16 ФЗ-152 устанавливает ограничения на принятие решений исключительно на основании автоматизированной обработки ПДн, если такое решение влечёт правовые последствия для субъекта (отказ в займе). Субъект вправе оспорить такое решение и потребовать проверки с участием человека.

Что проверяет РКН у МФО по принципу минимизации в 2025–2026 году?

По итогам 2025 года РКН сформировал несколько индикаторов риска для финтех-компаний, включая МФО. В числе ключевых — несоответствие состава собираемых ПДн задекларированным целям в реестре операторов, отсутствие обоснования сбора дополнительных категорий данных, а также использование данных, полученных для одной цели, в других целях (например, передача скоринговых данных партнёрам для маркетинговых рассылок).

Проверка обычно начинается с запроса политики обработки ПДн (ст. 18.1 ФЗ-152) и сопоставления её с реальной анкетой заёмщика. Если анкета содержит поля, не упомянутые в политике, или цели обработки в политике сформулированы размыто («для целей деятельности компании»), инспектор составляет протокол.

Что финансовому директору МФО проверить до прихода РКН

  • Выписка из реестра операторов ПДн (pd.rkn.gov.ru) — актуальность сведений о целях и категориях обрабатываемых данных.
  • Анкета заёмщика — сопоставление каждого поля с правовым основанием: 115-ФЗ, ФЗ-218 (БКИ), ФЗ-572 (ЕБС), ст. 6 ФЗ-152 (договор), согласие по ст. 9 ФЗ-152.
  • Отдельные согласия на обработку ПДн (с 01.09.2025 — самостоятельный документ по ФЗ-156) для скоринга, маркетинга, запроса в БКИ.
  • Политика обработки ПДн — соответствие перечня целей и категорий фактическому составу анкеты.
  • Договоры с подрядчиками (скоринговые бюро, IT-интеграторы) — наличие поручения на обработку ПДн по ч. 3 ст. 6 ФЗ-152.

Отдельный вопрос — биометрические данные. Если МФО использует фотографию паспорта или селфи только для верификации документа (техническое сравнение), а не для идентификации по ЕБС — это биометрические данные по ст. 11 ФЗ-152. Обработка возможна только с письменного согласия. Хранение биометрии вне ЕБС после 01.06.2023 нарушает ФЗ-572. Нарушение требований к биометрии — ч. 16 ст. 13.11 КоАП.

Если финансовый директор МФО получил запрос от РКН или уведомление о плановой проверке — срок на подготовку исчисляется днями. Юристы DATUM проведут экспресс-аудит анкеты и ОРД и помогут устранить избыточные поля до начала проверки.

Подготовиться к проверке РКН

Как это выглядит на практике: разбор типовых ситуаций

Ситуация 1. МФО собирает данные о контактных лицах заёмщика. Анкета содержит поля «Контактное лицо 1» и «Контактное лицо 2» с именем и телефоном. Эти лица субъектами договора не являются и согласия не давали. Правовое основание — отсутствует: ст. 6 ФЗ-152 не предоставляет оператору право обрабатывать ПДн третьих лиц без их согласия только потому, что они названы заёмщиком. Вероятный исход при проверке РКН — протокол по ч. 1 ст. 13.11 КоАП (150 000 – 300 000 ₽). Стратегия: исключить поля из анкеты либо получить отдельные согласия от контактных лиц с указанием цели.

Ситуация 2. МФО использует скоринговую модель на основе поведенческих данных из внешних агрегаторов. Компания приобретает у агрегатора «скоринговый балл», вычисленный на основе геолокации и активности в мессенджерах. На этом основании автоматически отклоняется заявка. Ст. 16 ФЗ-152 требует, чтобы при принятии автоматизированного решения с правовыми последствиями для субъекта оператор уведомил его об этом и предоставил возможность оспорить решение. Отсутствие такой процедуры — нарушение, которое фиксируется как при проверке РКН, так и по жалобе заёмщика. Вероятный исход: предписание РКН об устранении + протокол по ч. 1 ст. 13.11. Стратегия: внедрить процедуру рассмотрения возражений субъекта по ст. 16 ФЗ-152, раскрыть факт автоматизированного принятия решений в согласии.

Ситуация 3. Утечка БД заёмщиков МФО — 15 000 субъектов. В результате атаки на IT-подрядчика (скоринговое бюро по ч. 3 ст. 6 ФЗ-152) в открытый доступ попали анкетные данные. У МФО — 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 и 72 часа на отчёт о результатах расследования по Приказу РКН №187. Одновременно запускается оценка масштаба: 15 000 субъектов — ч. 13 ст. 13.11 КоАП, штраф 5 000 000 – 10 000 000 ₽. Если в утечку попали данные, которые МФО вообще не должна была хранить (избыточные поля), — это дополнительное основание для протокола по ч. 1 ст. 13.11. Стратегия: параллельный запуск уведомительной процедуры и внутреннего расследования; фиксация принятых мер защиты как смягчающих обстоятельств по ст. 4.1 КоАП.

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

По общему правилу — нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, устанавливает запрет на отказ в обслуживании потребителя только на том основании, что он не предоставил биометрические данные для размещения в ЕБС. Это правило распространяется на банки и МФО, оказывающие услуги физическим лицам. Исключение составляют случаи, когда идентификация через ЕБС предусмотрена как единственно допустимый способ самим законом для конкретного продукта — но таких случаев для стандартного займа МФО в действующем законодательстве нет. Штраф за нарушение — для юридического лица до 500 000 ₽.

2. Что грозит МФО за утечку персональных данных заёмщиков?

Санкция зависит от масштаба утечки. По ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов) — от 3 000 000 до 5 000 000 ₽. По ч. 13 (от 10 000 до 100 000 субъектов) — от 5 000 000 до 10 000 000 ₽. По ч. 14 (более 100 000 субъектов) — от 10 000 000 до 15 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11 — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Отдельно — штраф по ч. 11 за неуведомление РКН об инциденте в течение 24 часов: от 1 000 000 до 3 000 000 ₽. Все нормы действуют в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

3. Какое правовое основание обработки ПДн заёмщика в банке или МФО?

Основное основание — исполнение договора займа, стороной которого является субъект (п. 5 ч. 1 ст. 6 ФЗ-152). Это покрывает сбор данных, необходимых для заключения и исполнения договора. Идентификация по 115-ФЗ — исполнение правовой обязанности оператора (п. 2 ч. 1 ст. 6 ФЗ-152). Запрос кредитной истории в БКИ по ФЗ-218 требует отдельного согласия субъекта — это самостоятельное основание. Маркетинговые коммуникации и скоринг на основе внешних данных требуют согласия по ст. 9 ФЗ-152 в виде отдельного документа с 01.09.2025.

4. Где хранится биометрия — в ЕБС или у самой МФО?

С 01.06.2023 хранение биометрических данных физических лиц, используемых для удалённой идентификации, допускается только в Единой биометрической системе (ГИС ЕБС) по ФЗ-572. Оператором ЕБС выступает АО «Центр Биометрических Технологий». МФО не вправе самостоятельно хранить биометрический шаблон — только направлять запрос в ЕБС через авторизованные каналы. Фотография паспорта или селфи, используемые для разового технического сравнения, формально могут квалифицироваться как биометрические ПДн по ст. 11 ФЗ-152, если из них извлекаются биологические характеристики. После завершения верификации такие изображения подлежат уничтожению.

5. Как заёмщик может оспорить отказ в кредите, основанный на автоматизированном скоринге?

Ст. 16 ФЗ-152 предоставляет субъекту право потребовать от оператора проверки решения, принятого исключительно на основании автоматизированной обработки ПДн, если оно влечёт правовые последствия или существенно затрагивает интересы субъекта. Оператор обязан рассмотреть возражение и предоставить субъекту возможность изложить свою позицию. МФО, не имеющая задокументированной процедуры для таких обращений, нарушает ст. 16 ФЗ-152 и рискует получить предписание РКН. Субъект также вправе обратиться с жалобой в РКН, что может инициировать внеплановую проверку.

Итог

Принцип минимизации — не формальное требование, а прямой финансовый риск для МФО. Избыточные поля анкеты увеличивают потенциальный масштаб утечки и переводят дело из ч. 1 ст. 13.11 (до 300 000 ₽) в ч. 13–14 (до 15 000 000 ₽). Неурегулированные вопросы по биометрии, БКИ и автоматизированному скорингу создают дополнительные основания для протоколов по нескольким частям статьи одновременно.

DATUM сопровождает МФО и банки в вопросах соответствия 152-ФЗ: от аудита анкеты заёмщика и ОРД до защиты в арбитраже при штрафах по ст. 13.11 КоАП. Практика «Ветров и партнёры» по финансовому сектору — с 2014 года.

Услуги DATUM по теме

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.