аналитика 17 января 2027 По состоянию на 17 января 2027

МФО как оператор ПДн: уведомление РКН

МФО — оператор персональных данных по ст. 3 ФЗ-152. Без уведомления Роскомнадзора до начала обработки — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 рублей.

С 30.05.2025 нарушения в сфере ПДн влекут оборотный штраф до 500 млн рублей при повторной утечке. Для МФО с портфелем от 5 000 займов это уже реальный диапазон риска, а не абстракция.

Если вы финансовый директор МФО и не уверены, все ли уведомления в РКН актуальны — это материал для вас. → Проверьте статус оператора прямо сейчас.

МФО обрабатывают персональные данные на каждом этапе жизненного цикла займа: при идентификации заёмщика по 115-ФЗ, при запросе в бюро кредитных историй по ФЗ-218, при автоматизированном скоринге по ст. 16 ФЗ-152, при взаимодействии с Единой биометрической системой по ФЗ-572. Каждый из этих процессов порождает самостоятельные требования к правовому основанию, составу уведомления в РКН и комплекту ОРД. Ниже — практическая карта соответствия для финансового директора, который отвечает за бюджет риска и должен понимать, какое нарушение во сколько обходится.

Почему МФО обязана уведомить РКН до начала обработки персональных данных?

Обязанность оператора направить уведомление в Роскомнадзор до начала обработки персональных данных установлена ст. 22 ФЗ-152. Исключения перечислены в ч. 2 той же статьи — и ни одно из них не охватывает стандартную деятельность МФО по выдаче займов физическим лицам.

МФО обрабатывает ПДн минимум по четырём самостоятельным целям: заключение и исполнение договора займа, противодействие легализации доходов по 115-ФЗ, формирование кредитной истории по ФЗ-218, взыскание задолженности. Каждая цель должна быть отражена в уведомлении отдельно. Если в реестре на pd.rkn.gov.ru указана только одна цель, а фактически обрабатываются ПДн для четырёх — это квалифицируется как обработка, несовместимая с заявленными целями, по ч. 1 ст. 13.11 КоАП.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки. Неуведомление или несвоевременное уведомление — ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000–300 000 рублей (в редакции с 30.05.2025).»

Уведомление подаётся через личный кабинет на pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Форма утверждена Приказом РКН № 180 от 28.10.2022. После подачи РКН включает оператора в реестр в течение 30 дней. До включения формально запрещено начинать обработку — на практике МФО часто начинают раньше, что создаёт окно риска.

Для финансового директора важно понимать: уведомление — не разовое действие. При изменении целей обработки, состава данных, трансграничной передаче или смене адреса обработчика МФО обязана направить уведомление об изменении сведений. Актуальность записи в реестре РКН — это операционный комплаенс-индикатор, который проверяется при плановых и внеплановых проверках.

Реестр РКН не обновлялся с момента регистрации МФО?

Если финансовый директор не помнит, когда последний раз проверяли запись в реестре операторов ПДн — с высокой вероятностью там устаревшие цели, отсутствует упоминание ЕБС или БКИ, и нет сведений о трансграничной передаче. Каждое расхождение — отдельный состав по ст. 13.11 КоАП. Штраф по ч. 1 начинается от 150 000 рублей, по ч. 10 за неуведомление — от 100 000 рублей. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как МФО работает с бюро кредитных историй и что требует ФЗ-218?

Запрос в бюро кредитных историй — обязательный элемент скоринга в МФО. По ФЗ-218 МФО является источником формирования кредитной истории и обязана направлять сведения хотя бы в одно БКИ. Это создаёт самостоятельное основание обработки ПДн и отдельное требование к согласию заёмщика.

Согласие на запрос кредитной истории и на передачу сведений в БКИ — отдельный документ. После вступления в силу ФЗ-156 от 24.06.2025 с 01.09.2025 все согласия на обработку ПДн оформляются отдельным документом, не объединяются с договором займа или офертой. Это означает, что формы МФО, где согласие на обработку ПДн было встроено в текст договора или заявки, после 01.09.2025 не соответствуют требованиям ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку ПДн с 01.09.2025 оформляется отдельным документом. Согласие в составе договора займа — основание для штрафа по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 рублей.»

Срок хранения кредитной истории — 7 лет с даты последнего изменения (ФЗ-218). МФО как источник формирования обязана соблюдать этот срок и обеспечить уничтожение ПДн за его пределами. Нарушение сроков хранения — нарушение принципа ст. 5 ФЗ-152 о хранении не дольше необходимого.

Передача данных заёмщика в БКИ квалифицируется как передача третьим лицам. В уведомлении РКН должны быть указаны получатели данных. Если МФО работает с несколькими БКИ, но в уведомлении указано только одно — расхождение с реальностью обработки создаёт риск по ч. 1 ст. 13.11.

Что такое скоринг по ст. 16 ФЗ-152 и какие риски он несёт для МФО?

Автоматизированный скоринг в МФО — типичный пример принятия решений, влекущих правовые последствия, исключительно на основании автоматизированной обработки ПДн. Ст. 16 ФЗ-152 запрещает такие решения без согласия субъекта или в случаях, прямо предусмотренных федеральным законом.

На практике это означает: если МФО автоматически отказывает в займе на основании скорингового балла без участия сотрудника в принятии решения — требуется либо явное согласие заёмщика на автоматизированную обработку, либо законодательное основание. Отсутствие такого согласия или нарушение его формы — самостоятельный состав нарушения.

Заёмщик вправе потребовать пересмотра автоматизированного решения с участием человека и получить разъяснение логики скоринга. МФО обязана ответить на такой запрос в течение 10 рабочих дней по ст. 20 ФЗ-152. Игнорирование запроса — нарушение ч. 4 ст. 13.11 КоАП, штраф от 40 000 до 80 000 рублей. Повторное нарушение по ч. 5.1 — от 300 000 до 500 000 рублей.

«Ст. 16 ФЗ-152 — запрет автоматизированных решений, влекущих правовые последствия, без согласия субъекта. Ст. 20 ФЗ-152 — 10 рабочих дней на ответ по запросу субъекта. Нарушение — ч. 4 ст. 13.11 КоАП, штраф 40 000–80 000 рублей.»

Если финансовый директор МФО не знает, как в компании оформлено согласие на автоскоринг и есть ли процедура пересмотра — это пробел в ОРД, который РКН найдёт при проверке. Юристы DATUM соберут документацию под ключ.

Собрать ОРД под ключ

Биометрия в МФО: ФЗ-572, ЕБС и штраф за принуждение

МФО всё чаще используют удалённую идентификацию клиентов через Единую биометрическую систему (ЕБС). Правовая основа — ФЗ-572 от 29.12.2022. Оператор ЕБС — АО «Центр Биометрических Технологий». Хранение исходной биометрии вне ЕБС запрещено с 01.06.2023.

Ключевое ограничение для МФО: нельзя отказывать в обслуживании клиенту только на том основании, что он не предоставил биометрию для ЕБС. Такой отказ квалифицируется по ч. 8 ст. 14.8 КоАП, введённой ФЗ-420. Штраф для юрлица — до 500 000 рублей. Это прямой операционный риск для МФО, которые настроили процесс выдачи займа исключительно через биометрическую идентификацию без альтернативы.

Обработка биометрических ПДн без письменного согласия субъекта нарушает ст. 11 ФЗ-152 и влечёт штраф по ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — ч. 17 ст. 13.11, штраф от 15 000 000 до 20 000 000 рублей. Это один из самых дорогих составов в новой редакции.

«ФЗ-572 — хранение биометрии только в ЕБС с 01.06.2023. Ч. 8 ст. 14.8 КоАП — запрет отказа в обслуживании без биометрии, штраф до 500 000 рублей. Ч. 17 ст. 13.11 КоАП — утечка биометрии, штраф 15–20 млн рублей.»

Что грозит МФО при утечке персональных данных клиентов?

С 30.05.2025 штрафы за утечку ПДн определяются масштабом инцидента. Для МФО с базой от 10 000 заёмщиков любая утечка автоматически попадает как минимум в ч. 13 ст. 13.11 КоАП — от 5 000 000 до 10 000 000 рублей. Для компаний с портфелем свыше 100 000 субъектов — ч. 14, от 10 000 000 до 15 000 000 рублей.

При повторном инциденте применяется ч. 15 — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 000 000 рублей, не более 500 000 000 рублей. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

Помимо административной ответственности МФО, с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421). Должностное лицо, виновное в незаконной передаче ПДн, может понести уголовную ответственность до 10 лет лишения свободы по ч. 5 при наступлении тяжких последствий. Для финансового директора это означает персональный риск, не покрываемый корпоративным страхованием.

Дополнительный обязательный элемент реагирования: при выявлении утечки МФО обязана направить первичное уведомление в РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187). Через 72 часа — отчёт о результатах внутреннего расследования. Нарушение сроков — ч. 11 ст. 13.11 КоАП, штраф от 1 000 000 до 3 000 000 рублей.

Практические сценарии: три ситуации МФО и их правовые последствия

Сценарий 1. МФО запустилась без уведомления РКН. Ситуация: небольшая МФО начала выдавать займы через мобильное приложение. Уведомление в РКН не направлялось. Через 8 месяцев — плановая проверка. Доказательства: журнал обработки данных, CRM-система, договоры займа — всё это фиксирует факт обработки. Исход: штраф по ч. 10 ст. 13.11 от 100 000 до 300 000 рублей плюс предписание. Если за это время проводился скоринг — добавляется ч. 1 за обработку без уведомления. Стратегия: немедленно направить уведомление, подготовить ОРД, в суде ходатайствовать о замене на предупреждение по ст. 4.1.1 КоАП для микропредприятий.

Сценарий 2. Утечка базы заёмщиков через подрядчика-коллектора. Ситуация: МФО передала базу просроченных займов коллекторскому агентству без надлежащего договора поручения и согласия субъектов. Данные попали в открытый доступ. Объём — 18 000 субъектов. Доказательства: публикация в даркнете, жалобы заёмщиков в РКН. Исход: ч. 13 ст. 13.11 КоАП — штраф 5–10 млн рублей. Оператор отвечает за действия обработчика (принцип из судебной практики). Стратегия: зафиксировать инцидент, направить уведомление РКН в 24 часа, подготовить отчёт за 72 часа, параллельно оспаривать размер штрафа через ст. 4.1 КоАП — документировать инвестиции в ИБ за 3 предшествующих года. При подтверждённых расходах на ИБ не менее 0,1% выручки суд вправе снизить оборотный штраф до 1/10 минимального, но не менее 15 млн рублей.

Сценарий 3. Автоскоринг без согласия на автоматизированное решение. Ситуация: МФО использует ML-модель для принятия решений об отказе в займе. Заёмщик обратился с жалобой в РКН и потребовал разъяснения. МФО не ответила в установленный срок. Доказательства: жалоба субъекта с датой, отсутствие ответа. Исход: ч. 4 ст. 13.11 КоАП — штраф 40 000–80 000 рублей. Дополнительно — проверка по ст. 16 ФЗ-152: если согласие на автоматизированное решение отсутствует — ч. 1 ст. 13.11, 150 000–300 000 рублей. Стратегия: ввести процедуру пересмотра с участием сотрудника, включить согласие на скоринг в обновлённую форму по ФЗ-156.

Что подготовить финансовому директору МФО для комплаенса по 152-ФЗ

Актуальная запись в реестре операторов ПДн на pd.rkn.gov.ru — все цели обработки, получатели, трансграничка.
Отдельные согласия заёмщиков на обработку ПДн по ст. 9 ФЗ-152 (в редакции ФЗ-156 с 01.09.2025) — не в составе договора займа.
Договор поручения обработки с каждым подрядчиком (коллекторы, верификаторы, облачные сервисы) по п. 3 ст. 6 ФЗ-152.
Отдельное согласие на автоматизированный скоринг по ст. 16 ФЗ-152 и процедура пересмотра решения с участием человека.
Регламент реагирования на инцидент с ПДн: назначен ответственный, прописан порядок уведомления РКН за 24 и 72 часа по Приказу РКН № 187.

Частые вопросы

1. Можно ли отказать клиенту в займе, если он не предоставил биометрию?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказ в обслуживании потребителя на основании непредоставления биометрических данных для ЕБС. Штраф для юрлица — до 500 000 рублей. МФО обязана сохранить альтернативный способ идентификации клиента без использования биометрии.

2. Что грозит МФО за утечку базы данных заёмщиков?

Зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн рублей. От 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн рублей. Свыше 100 000 — ч. 14, штраф 10–15 млн рублей. При повторном инциденте — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн рублей. Плюс уголовная ответственность должностных лиц по ст. 272.1 УК (действует с 11.12.2024).

3. Какое правовое основание для обработки ПДн в банке и МФО?

Основное — исполнение договора займа (п. 5 ч. 1 ст. 6 ФЗ-152). Для запроса в БКИ и формирования кредитной истории — согласие субъекта плюс обязанность по ФЗ-218. Для скоринга с автоматизированным решением — отдельное согласие по ст. 16 ФЗ-152. Для идентификации по 115-ФЗ — исполнение требований федерального закона (п. 2 ч. 1 ст. 6 ФЗ-152).

4. Где хранится биометрия клиентов МФО — у самой МФО или в ЕБС?

Только в ЕБС. С 01.06.2023 по ФЗ-572 хранение исходных биометрических данных вне Единой биометрической системы запрещено. МФО не вправе создавать и вести собственные биометрические базы. Оператор ЕБС — АО «Центр Биометрических Технологий». Нарушение — ч. 16 ст. 13.11 КоАП.

5. Как клиент МФО может оспорить отказ в займе, принятый автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать пересмотра автоматизированного решения с участием человека. МФО обязана ответить в течение 10 рабочих дней по ст. 20 ФЗ-152. Игнорирование запроса — ч. 4 ст. 13.11 КоАП. Параллельно заёмщик вправе подать жалобу в РКН, что запускает внеплановую проверку МФО.

Итог

МФО как оператор ПДн несёт полный объём обязательств по ФЗ-152: уведомление РКН, раздельные согласия по ФЗ-156 с 01.09.2025, соблюдение ст. 16 при автоскоринге, ограничения по биометрии из ФЗ-572, реагирование на утечки за 24 и 72 часа. Новая редакция ст. 13.11 КоАП с 30.05.2025 делает стоимость нарушений несопоставимой с затратами на комплаенс.

DATUM сопровождает МФО и финтех-компании в части 152-ФЗ: аудит обработки, подготовка ОРД, обновление согласий по ФЗ-156, сопровождение взаимодействия с РКН, защита при штрафах по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим все цели обработки, согласия и уведомление РКН.
Комплект ОРД под ключ — согласия по ФЗ-156, договоры поручения, регламент реагирования.
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП.

Есть вопрос по комплаенсу МФО или пришёл запрос от РКН?

Оценим риски и предложим план действий. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Финансовый директор получит структурированный отчёт с приоритетами и стоимостью устранения.