аналитика 14 января 2029 По состоянию на 14 января 2029

Обмен данными ОСАГО (РСА) и 152-ФЗ

Передача персональных данных страхователей и водителей в АИС РСА — это обработка ПДн с отдельным правовым основанием по ст. 6 ФЗ-152, которое не отменяет требований к защите, локализации и уведомлению Роскомнадзора.

За нарушение локализации (ч. 5 ст. 18 ФЗ-152) с 30.05.2025 грозит штраф от 1 до 6 млн ₽; повторно — от 6 до 18 млн ₽. Штраф за незаявленный обмен данными или расширение целей обработки — до 300 тыс. ₽ по ч. 1 ст. 13.11 КоАП.

→ Если вы финансовый директор страховщика или МФО и контрагентом является РСА — проверьте, включена ли обработка в реестр операторов и оформлено ли поручение на обработку.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 составов, оборотный штраф за повторную утечку. Страховой рынок попал в зону двойного регулирования: обязанность передавать данные в АИС РСА установлена отраслевым законом, а порядок этой передачи — ФЗ-152. Для финдиректора это означает конкретный бюджетный риск: несоответствие комплаенса по 152-ФЗ при работе с базами ОСАГО создаёт основания для штрафов без нарушения страхового законодательства. В материале — разбор правовых оснований, типовые сценарии нарушений и параметры защиты.

Какое правовое основание применяется при передаче данных в АИС РСА?

Российский союз автостраховщиков (РСА) ведёт автоматизированную информационную систему обязательного страхования (АИС РСА) на основании ФЗ-40 «Об ОСАГО». Страховщики обязаны передавать в эту систему сведения о договорах, страхователях, транспортных средствах и коэффициентах. Эта обязанность создаёт правовое основание по п. 2 ч. 1 ст. 6 ФЗ-152 — обработка ПДн необходима для исполнения обязанности, возложенной на оператора законом.

Вместе с тем страховщик остаётся оператором ПДн по ст. 3 ФЗ-152: он определяет цели и состав передаваемых данных, несёт ответственность за их защиту до момента передачи в АИС. РСА в части обработки данных, полученных от страховщиков, выступает отдельным оператором со своими целями — единый реестр, расчёт КБМ, противодействие мошенничеству.

«Ст. 6 ФЗ-152 — обработка ПДн допустима без согласия субъекта, если необходима для исполнения обязанности, возложенной на оператора федеральным законом (п. 2 ч. 1). При этом принципы ст. 5 — соответствие объёма целям и ограничение срока хранения — применяются в полном объёме.»

Практически это означает следующее: страховщик не вправе передавать в АИС РСА данные сверх перечня, установленного нормативными актами. Расширенный набор полей — например, номер телефона или email, если они не предусмотрены форматом АИС — требует отдельного основания по ст. 6 или согласия субъекта по ст. 9 ФЗ-152.

Что меняет ФЗ-152 в работе с АИС РСА для финансового директора?

Типичная ошибка — считать, что отраслевое обязательство автоматически закрывает все требования 152-ФЗ. Это не так. Три параметра остаются в зоне ответственности страховщика независимо от природы обязательства.

Локализация (ч. 5 ст. 18 ФЗ-152). Запись, систематизация, хранение и извлечение ПДн граждан РФ должны происходить в базах данных, расположенных на территории России. АИС РСА размещена в РФ, однако если страховщик использует промежуточные облачные решения или CRM-системы с серверами за рубежом для обработки тех же данных до передачи в АИС — возникает нарушение ч. 5 ст. 18. Штраф по ч. 8 ст. 13.11 КоАП с 30.05.2025 — от 1 до 6 млн ₽.

Уведомление РКН (ст. 22 ФЗ-152). Страховщик обязан указать в реестре операторов, что осуществляет обработку ПДн в целях исполнения договоров ОСАГО и передачи данных в АИС РСА. Если реестровая запись устарела или не содержит этой цели — нарушение ч. 10 ст. 13.11, штраф до 300 тыс. ₽.

Поручение обработки (ч. 3 ст. 6 ФЗ-152). Если страховщик привлекает агента, брокера или IT-подрядчика, который имеет доступ к базе до передачи данных в АИС, — необходим договор поручения с перечнем разрешённых действий, мер защиты и запретом передачи третьим лицам.

«Ч. 10 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн: штраф для юрлица 100 000 — 300 000 ₽ (в ред. с 30.05.2025).»

Реестр операторов не обновлялся после расширения работы с АИС РСА?

Если страховщик добавил новые категории данных или сменил инфраструктуру после последнего уведомления РКН, реестровая запись может не соответствовать фактической обработке. Это самостоятельный состав нарушения по ч. 10 ст. 13.11 КоАП — штраф до 300 тыс. ₽. До проверки РКН у вас есть время привести запись в соответствие. Юристы DATUM проведут аудит соответствия по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работает скоринг по ст. 16 ФЗ-152 и какое отношение это имеет к ОСАГО?

Ст. 16 ФЗ-152 регулирует автоматизированные решения, которые влекут правовые последствия для субъекта или иным образом существенно затрагивают его права и законные интересы, принятые исключительно на основании автоматической обработки ПДн. В страховании это — расчёт индивидуального тарифа ОСАГО на основе КБМ (коэффициент бонус-малус) и телематических данных.

Если страховщик использует данные из АИС РСА и телематику для автоматического расчёта повышающего коэффициента без участия сотрудника — он обязан уведомить субъекта об этом и предоставить возможность оспорить результат. Отсутствие такого уведомления и механизма оспаривания — нарушение ст. 16 ФЗ-152. РКН фиксирует подобные практики как часть индикаторов риска при плановых проверках.

Для финансового директора это бюджетный вопрос: стоимость адаптации процесса уведомления — разовые затраты на документацию и интерфейс. Стоимость нарушения — штраф по ч. 1 ст. 13.11 от 150 до 300 тыс. ₽ плюс предписание РКН с обязанностью устранить нарушение в срок.

Как применяются нормы ФЗ-572 и 115-ФЗ в смежных сценариях финансового сектора?

Страховщики, работающие в группе с банками или МФО, сталкиваются с пересечением нескольких регуляторных режимов при обмене данными.

ФЗ-572 (ЕБС) и биометрия. Если страховая компания использует биометрическую идентификацию при дистанционном заключении договора ОСАГО — хранение исходных биометрических данных вне ЕБС с 01.06.2023 запрещено. Нарушение — ч. 17 ст. 13.11 КоАП, штраф 15–20 млн ₽. При этом ч. 8 ст. 14.8 КоАП устанавливает ответственность за отказ обслуживать клиента, не предоставившего биометрию в ЕБС — страховщик не вправе делать наличие биометрии в ЕБС обязательным условием заключения договора.

115-ФЗ и идентификация. Страховщики, относящиеся к субъектам первичного финансового мониторинга, обязаны идентифицировать клиентов по 115-ФЗ. Данные идентификации — самостоятельный массив ПДн с отдельными целями обработки. Объединение базы идентификации с базой страхователей ОСАГО в одну систему без разграничения целей нарушает принцип ст. 5 ФЗ-152 о недопустимости объединения баз с несовместимыми целями.

МФО и ПДн. Микрофинансовые организации, предлагающие страховые продукты через партнёров-страховщиков, выступают в роли агентов при сборе данных страхователя. Их статус по ФЗ-152 — обработчик по поручению (ч. 3 ст. 6). Отсутствие договора поручения с описанием мер защиты — нарушение, которое суды квалифицируют как ответственность страховщика-оператора.

«Ч. 8 ст. 14.8 КоАП — отказ обслуживать потребителя без предоставления биометрических данных в ЕБС: штраф для юрлица до 500 тыс. ₽ (введена ФЗ-420 от 30.11.2024).»

Что подготовить страховщику для соответствия 152-ФЗ при работе с АИС РСА

Актуальное уведомление в реестре операторов РКН (pd.rkn.gov.ru) с указанием цели «исполнение обязательств по договорам ОСАГО, передача данных в АИС РСА»
Договор поручения на обработку ПДн с каждым агентом, брокером и IT-подрядчиком, имеющим доступ к данным страхователей
Локальный акт о перечне полей, передаваемых в АИС РСА, с обоснованием соответствия объёма данных целям обработки (ст. 5 ФЗ-152)
Уведомление субъекту об автоматизированном расчёте тарифа и механизм оспаривания результата (ст. 16 ФЗ-152)
Подтверждение локализации: базы данных с ПДн граждан РФ размещены на серверах в России (ч. 5 ст. 18 ФЗ-152)

Какие сценарии нарушений типичны при обмене данными ОСАГО?

Сценарий 1. Устаревшая реестровая запись после расширения АИС. Страховщик уведомил РКН о намерении обрабатывать ПДн в 2021 году. В 2024 году АИС РСА расширила состав передаваемых полей — добавлены данные о телематике и водительском стаже. Компания не подала уведомление об изменении сведений по ст. 22 ФЗ-152. При плановой проверке РКН зафиксировал расхождение: фактический состав данных шире заявленного. Протокол по ч. 1 ст. 13.11 КоАП — штраф от 150 до 300 тыс. ₽, предписание об актуализации уведомления. Стратегия: немедленная подача уведомления об изменении сведений через pd.rkn.gov.ru, одновременный аудит всех целей обработки на предмет соответствия реестровой записи.

Сценарий 2. Агент-МФО без договора поручения собирает данные страхователей. Страховщик распространяет полисы ОСАГО через партнёрскую МФО. МФО собирает анкеты страхователей на своём сайте, передаёт страховщику в виде файла. Договор поручения на обработку ПДн отсутствует — есть только агентский договор без описания мер защиты. При жалобе страхователя РКН возбуждает дело по ч. 1 ст. 13.11 в отношении страховщика как оператора. Суды применяют принцип: оператор несёт ответственность за действия лица, которому поручил сбор данных. Стратегия: ревизия всех агентских договоров, добавление раздела о поручении обработки ПДн с мерами защиты и запретом передачи третьим лицам.

Сценарий 3. Промежуточное облако с иностранными серверами при передаче в АИС. IT-интегратор страховщика использует облачную платформу с серверами в ЕС для обработки и форматирования данных перед загрузкой в АИС РСА. Первичный сбор и хранение в РФ, но систематизация — в зарубежной инфраструктуре. С ужесточением локализационных требований с 01.07.2025 (ФЗ-233) это образует нарушение ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 — от 1 до 6 млн ₽. Стратегия: миграция промежуточных процессов на российские мощности или переход к отечественному интегратору до следующей плановой проверки.

Если финансовый директор обнаружил, что агентский или IT-договор не содержит раздела о поручении обработки ПДн — это действующее основание для штрафа при любой проверке РКН. Юристы DATUM соберут комплект ОРД под ключ: политика, договоры поручения, приказы, журналы.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Страховая компания (Приволжский ФО, осень 2025) получила предписание РКН по итогам плановой проверки: реестровая запись не содержала цели «передача данных в АИС РСА», а договоры с двумя агентами-МФО не включали условий о поручении обработки. Компания получила протоколы по ч. 1 ст. 13.11 КоАП. Юристы подготовили уведомление об изменении сведений, заключили дополнительные соглашения к агентским договорам и представили в суде доказательства устранения нарушений до вынесения постановления. Суд применил ст. 4.1.1 КоАП (замена штрафа на предупреждение) с учётом первичности и отсутствия вреда субъектам. Финансовые потери компании составили стоимость юридического сопровождения, а не сумму штрафа. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Региональный страховщик (Уральский ФО, начало 2026) использовал CRM на серверах европейского провайдера для ведения базы страхователей ОСАГО. После проверки РКН было установлено нарушение ч. 5 ст. 18 ФЗ-152 — систематизация и хранение данных граждан РФ за пределами страны. Протокол по ч. 8 ст. 13.11 КоАП. С учётом первичности нарушения и добровольной миграции на российский хостинг в ходе расследования штраф составил сумму в нижней части диапазона. Стоимость миграции CRM оказалась в несколько раз ниже суммы штрафа. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка реестровой записи, договоров поручения, локализации и целей обработки
Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту в заключении договора ОСАГО, если он не предоставил биометрию?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420 от 30.11.2024, прямо запрещает обусловливать оказание услуг предоставлением потребителем биометрических данных в ЕБС. Штраф для юрлица — до 500 тыс. ₽. Если страховщик использует биометрию при дистанционном заключении договора — это должна быть опция, а не обязательное условие. Отказ в полисе на основании отсутствия биометрии в ЕБС является самостоятельным составом правонарушения.

2. Что грозит МФО за утечку данных заёмщиков?

Зависит от масштаба. По ч. 12 ст. 13.11 КоАП (ред. с 30.05.2025) — утечка от 1 000 до 10 000 субъектов: штраф 3–5 млн ₽. От 10 000 до 100 000 субъектов (ч. 13) — 5–10 млн ₽. Свыше 100 000 субъектов (ч. 14) — 10–15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — обязанность уведомить РКН за 24 часа; нарушение этого срока влечёт штраф по ч. 11 от 1 до 3 млн ₽.

3. Какое основание обработки ПДн применяется в банке при страховании заёмщика?

При страховании жизни или имущества заёмщика в рамках кредитного договора основание — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора, стороной которого является субъект). Однако передача данных в страховую компанию-партнёра требует отдельного основания — либо согласия заёмщика по ст. 9, либо договора поручения между банком и страховщиком с определением страховщика как обработчика. Совмещение ролей без чёткого разграничения — типовая ошибка, которую фиксирует РКН при проверках банков.

4. Где хранится биометрия клиента — в ЕБС или у страховщика?

По ФЗ-572 от 29.12.2022, с 01.06.2023 хранение исходных биометрических данных вне государственной информационной системы ЕБС запрещено. Оператором ЕБС является АО «Центр Биометрических Технологий». Страховщик при дистанционной идентификации получает подтверждение личности из ЕБС, но не хранит и не обрабатывает исходные биометрические шаблоны самостоятельно. Хранение биометрии на собственных серверах страховщика или в его CRM — нарушение ч. 17 ст. 13.11, штраф 15–20 млн ₽.

5. Как заёмщик или страхователь может оспорить автоматизированное решение об отказе?

Ст. 16 ФЗ-152 обязывает оператора, принимающего решения исключительно на основе автоматической обработки ПДн, уведомить субъекта об этом и предоставить возможность оспорить решение путём обращения к сотруднику оператора. Страховщик или банк обязан рассмотреть такое обращение. Если механизм оспаривания отсутствует или субъекту отказано в пересмотре — нарушение ст. 16 ФЗ-152, основание для жалобы в РКН и иска о защите прав субъекта ПДн.

Итог

Обмен данными в рамках ОСАГО через АИС РСА — законная обработка ПДн с основанием по п. 2 ч. 1 ст. 6 ФЗ-152, однако это не освобождает страховщика от соблюдения требований локализации, уведомления РКН, оформления договоров поручения и соответствия принципам ст. 5. С 30.05.2025 несоблюдение этих требований влечёт штрафы по ч. 1, ч. 8, ч. 10 и ч. 11 ст. 13.11 КоАП в совокупности — от нескольких сотен тысяч до десятков миллионов рублей.

DATUM сопровождает страховщиков, МФО и финансовые группы в вопросах соответствия ФЗ-152 при работе с АИС РСА, БКИ и ЕБС: аудит обработки, ОРД под ключ, защита при проверках РКН и в арбитраже по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.