Перейти к содержанию
аналитика 11 марта 2029 года По состоянию на 11 марта 2029 года

ОФД и ПДн покупателей

Оператор фискальных данных ежедневно обрабатывает ПДн миллионов покупателей — имена, телефоны, email-адреса, суммы и состав покупок. По ст. 6 ФЗ-152 каждое такое действие требует правового основания.
Утечка данных ОФД от 10 000 субъектов квалифицируется по ч. 13 ст. 13.11 КоАП: штраф 5–10 млн ₽. При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.
→ Если вы финансовый директор и бюджет на комплаенс по 152-ФЗ ещё не согласован — ниже арифметика рисков и план действий.

ОФД находится в двойственном положении: одновременно выступает техническим посредником в цепочке розничных расчётов и самостоятельным оператором персональных данных по отношению к покупателям. С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних семи. Для финансового директора это означает новую строку рисков в бюджете: стоимость аудита составляет 100–300 тыс. ₽, стоимость крупной утечки — от 5 млн до 500 млн ₽. В этой статье разобраны нормативная основа, типовые нарушения, сценарии ответственности и экономика защиты.

Какие персональные данные обрабатывает ОФД и на каком основании?

В момент передачи фискального документа через ОФД в налоговый орган оператор получает доступ к данным, прямо идентифицирующим физическое лицо: номер телефона или email покупателя (если чек электронный), ИНН при наличии, сведения о составе и сумме покупки, дата и место расчёта. По ст. 3 ФЗ-152 это персональные данные в полном смысле: совокупность позволяет прямо или косвенно идентифицировать субъекта.

Правовое основание для обработки — ключевой вопрос. ОФД вправе ссылаться на исполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6 ФЗ-152), применительно к передаче данных в ФНС. Однако если ОФД дополнительно использует те же данные для аналитики, профилирования покупателей или передачи рекламодателям — это самостоятельная цель, требующая отдельного согласия по ст. 9 ФЗ-152.

«Ст. 5 ФЗ-152: запрещено объединять базы данных, созданных для несовместимых целей. Передача в ФНС и профилирование покупательского поведения — разные цели. Совмещение в одной базе без разграничения нарушает принцип целевого характера обработки.»

С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Включение согласия в текст пользовательского соглашения или условия программы лояльности — нарушение, за которое по ч. 2 ст. 13.11 КоАП предусмотрен штраф 300–700 тыс. ₽.

Что меняется для ОФД в связке с банками, МФО и скорингом?

Финтех-компании — банки, МФО, страховщики — используют данные о транзакциях и частоте покупок как входные параметры скоринговых моделей. Это порождает цепочку: ОФД агрегирует данные, аналитическая платформа обогащает профиль, банк принимает автоматизированное решение об условиях кредита.

Ст. 16 ФЗ-152 регулирует автоматизированные решения, затрагивающие права и законные интересы субъекта. Если кредитный отказ основан исключительно на алгоритме без участия человека, субъект вправе потребовать пересмотра с привлечением сотрудника оператора. Банк обязан это обеспечить. Нарушение — состав по ч. 1 ст. 13.11 КоАП, штраф 150–300 тыс. ₽.

«ФЗ-218 (о кредитных историях): согласие субъекта на запрос в БКИ — самостоятельное основание по ст. 6 ФЗ-152, не поглощается согласием на кредитный договор. Срок хранения кредитной истории — 7 лет с последнего изменения.»

МФО работают с более высоким профилем риска: короткие циклы выдачи, агрессивный скоринг, часто — запрос биометрии для идентификации. Биометрические данные (изображение лица, голос) по ст. 11 ФЗ-152 обрабатываются только с письменного согласия. Исключение — идентификация через Единую биометрическую систему (ЕБС) по ФЗ-572 от 29.12.2022: в этом случае согласие считается данным при регистрации в ЕБС. Хранить биометрию вне ЕБС с 01.06.2023 запрещено.

Бюджет на комплаенс ещё не согласован — сколько это стоит в сравнении с риском?

Аудит соответствия 152-ФЗ для финтех-компании или ОФД стоит от 100 000 ₽. Штраф по ч. 13 ст. 13.11 за утечку от 10 000 субъектов — 5–10 млн ₽. При повторности оборотный штраф по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽. Аудит устраняет риск до того, как РКН зафиксирует нарушение.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как применяется требование локализации ПДн к ОФД и финтех-платформам?

Ч. 5 ст. 18 ФЗ-152 устанавливает: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться с использованием баз данных, расположенных на территории России. Норма действует с 01.09.2015, однако с 01.07.2025 ФЗ-233 от 08.08.2024 ужесточил её применение: запрет распространяется теперь и на первичный сбор данных.

Для ОФД с облачной инфраструктурой, частично размещённой у зарубежных провайдеров, это прямой риск по ч. 8 ст. 13.11 КоАП. Штраф за нарушение локализации — 1–6 млн ₽. При повторности по ч. 9 — 6–18 млн ₽. Роскомнадзор вправе также потребовать ограничения доступа к сервису до устранения нарушения.

Финтех-платформы, использующие Salesforce, HubSpot, Zendesk для CRM-хранения клиентских данных, оказываются в той же ситуации. Алгоритм действий: инвентаризация потоков данных → идентификация зарубежных хранилищ → миграция или разграничение баз → уведомление РКН при необходимости по ст. 22 ФЗ-152.

Что подготовить финансовому директору

  • Реестр информационных систем с ПДн: какие данные, где хранятся, кто имеет доступ
  • Уведомление в реестре операторов РКН (pd.rkn.gov.ru) — актуальность сведений и соответствие реальной обработке
  • Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте компании
  • Комплект согласий по ст. 9 ФЗ-152 в редакции ФЗ-156: отдельные документы для каждой цели обработки
  • Договоры-поручения с подрядчиками и ОФД-партнёрами по п. 3 ст. 6 ФЗ-152 с перечнем допустимых действий

Что грозит за нарушение при работе с биометрией в финтехе?

Банки и МФО, которые предлагают клиентам биометрическую идентификацию, обязаны соблюдать требования ФЗ-572. Ключевое: запрещено отказывать в обслуживании клиенту, который не предоставил биометрию в ЕБС. За такой отказ ч. 8 ст. 14.8 КоАП предусматривает штраф до 500 тыс. ₽.

Утечка биометрических данных квалифицируется по ч. 17 ст. 13.11 КоАП: штраф 15–20 млн ₽ — вне зависимости от числа затронутых субъектов. Это один из самых высоких фиксированных диапазонов в новой редакции статьи. При повторности — оборотный штраф по ч. 18: 1–3% выручки.

Уголовная ответственность за незаконное использование, передачу или хранение ПДн в компьютерных системах введена ст. 272.1 УК РФ с 11.12.2024 (ФЗ-421 от 30.11.2024). Ч. 5 — тяжкие последствия — до 10 лет лишения свободы. Финансовый директор, подписавший договор с обработчиком без надлежащей проверки, может оказаться в числе соответчиков.

Типовые сценарии нарушений: как развиваются дела по ст. 13.11 в финтехе?

Сценарий 1 — ОФД передаёт данные аналитическому партнёру без согласия. Розничная сеть (Приволжский ФО, начало 2026) обнаружила, что ОФД-провайдер передавал агрегированные данные о покупках в рекламную платформу. Субъект подал жалобу в РКН. Возбуждено дело по ч. 1 ст. 13.11 (цель обработки не соответствует заявленной в уведомлении). Штраф для ОФД — в диапазоне 150–300 тыс. ₽. Розничная сеть как оператор получила предписание об устранении нарушения и провела внеплановый аудит. Стратегия: разграничение баз для фискальной функции и аналитики, отдельные согласия для каждой цели.

Сценарий 2 — МФО без договора-поручения с IT-подрядчиком. Микрофинансовая организация (Уральский ФО, осень 2025) передала разработку мобильного приложения сторонней IT-компании. Договор не содержал положений о порядке обработки ПДн клиентов по п. 3 ст. 6 ФЗ-152. После утечки (около 3 000 субъектов) РКН возбудил дело по ч. 12 ст. 13.11 (утечка 1 000–10 000 субъектов, штраф 3–5 млн ₽) против МФО как оператора — несмотря на то, что фактически данные хранились у подрядчика. Оператор несёт ответственность за действия обработчика в полном объёме. Стратегия: типовой договор-поручение до начала разработки, право на аудит подрядчика, требования к мерам защиты.

Сценарий 3 — банк и оборотный штраф при повторности. Банк (Центральный ФО) был привлечён к ответственности по ч. 12 ст. 13.11 в середине 2025 года за первую утечку. В конце 2025 года — повторный инцидент. РКН возбудил дело по ч. 15 ст. 13.11: оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽. При выручке 2 млрд ₽ минимальный штраф по ч. 15 — 20 млн ₽, максимальный — 60 млн ₽. Снижение до 1/10 минимума по ст. 4.1 КоАП примечание 3.4-2 возможно при инвестициях в ИБ не менее 0,1% выручки за три предыдущих года, но не менее 15 млн ₽ и не более 50 млн ₽. Стратегия: документирование ИБ-инвестиций до первого инцидента.

Если финансовый директор столкнулся с протоколом РКН или внеплановой проверкой — важно оценить состав нарушения до первого ответа на запрос. Ошибка в первичных объяснениях сужает позицию в арбитраже. Юристы DATUM проведут оценку риска и выстроят стратегию защиты.

Защитить от штрафа 13.11

Как 115-ФЗ и НПС взаимодействуют с требованиями 152-ФЗ?

Финансовый мониторинг по 115-ФЗ обязывает банки и МФО собирать расширенный объём данных о клиентах: документы, бенефициары, источники дохода. Эта обработка опирается на п. 2 ч. 1 ст. 6 ФЗ-152 — исполнение обязанностей, возложенных законом. Согласие субъекта не требуется. Однако объём собранных данных не должен превышать необходимый для целей идентификации — принцип соответствия ст. 5 ФЗ-152.

Национальная платёжная система (НПС) по ФЗ-161 предусматривает отдельные требования к операционной надёжности и защите информации. Операторы платёжных систем обязаны соблюдать стандарты Банка России по информационной безопасности — ГОСТ Р 57580.1. Пересечение с требованиями ФСТЭК (Приказ №21) и ПП РФ №1119 формирует сложную матрицу обязательств, в которой ОФД, процессинговый центр и банк-эквайер несут ответственность солидарно или раздельно в зависимости от архитектуры системы.

Для финансового директора это означает: комплаенс по 152-ФЗ нельзя рассматривать изолированно от 115-ФЗ, 161-ФЗ и регуляторных стандартов ЦБ. Аудит должен охватывать все потоки данных в экосистеме.

Кейс — реестр. В деле АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 (10.03.2026) цифровая платформа инвестпроектов «ПКР Аналитика» после хакерской атаки допустила утечку около 70 000 субъектов (ФИО, должность, служебный email, телефон). Дело квалифицировано по ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства. Аналогичная ситуация применима к ОФД и финтех-платформам: даже «несекретные» служебные данные квалифицируются по самым высоким частям статьи при масштабе свыше 100 000 субъектов. Источник: ГАРАНТ.РУ, 23.03.2026.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП запрещает банкам и иным организациям, подключённым к ЕБС, отказывать в обслуживании клиенту, который не предоставил биометрию. Штраф за такой отказ — до 500 тыс. ₽. Исключения: услуги, для которых биометрическая идентификация законодательно обязательна, — перечень закрытый и в общем правиле не применяется. Если сотрудник банка отказал клиенту по этому основанию — это самостоятельный состав нарушения.

2. Что грозит МФО за утечку клиентских данных?

Зависит от масштаба. Утечка 1 000–10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 — ч. 13, штраф 5–10 млн ₽. Свыше 100 000 — ч. 14, штраф 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — риск уголовной ответственности по ст. 272.1 УК РФ для физических лиц, виновных в допущении утечки.

3. Какое правовое основание для обработки ПДн клиентов в банке?

Для исполнения кредитного договора — п. 5 ч. 1 ст. 6 ФЗ-152 (обработка для целей договора с субъектом). Для финансового мониторинга по 115-ФЗ — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанностей, возложенных законом). Для запроса в БКИ — согласие субъекта по ст. 9 ФЗ-152 в виде отдельного документа с 01.09.2025. Для профилирования и маркетинговых рассылок — отдельное согласие по ст. 9, после 01.09.2025 — в форме самостоятельного документа, не включённого в иные соглашения.

4. Где хранится биометрия клиентов банка — в ЕБС или у самого банка?

Только в ЕБС. С 01.06.2023 банки обязаны размещать биометрические данные исключительно в Единой биометрической системе (оператор — АО «Центр Биометрических Технологий»). Хранение исходной биометрии на собственных серверах банка или в сторонних системах — прямое нарушение ФЗ-572 от 29.12.2022. Утечка данных из ЕБС квалифицируется по специальной статье 13.11.3 КоАП.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать, чтобы решение, принятое исключительно на основе автоматизированной обработки и влекущее правовые последствия, было пересмотрено с участием уполномоченного сотрудника банка. Банк обязан рассмотреть такое требование. Срок — 10 рабочих дней с момента получения запроса по ст. 20 ФЗ-152. Если банк отказывает в пересмотре или игнорирует запрос — субъект вправе обратиться в РКН и в суд. Для финансового директора это риск по ч. 4 ст. 13.11 КоАП (штраф 40–80 тыс. ₽).

Итог

ОФД и финтех-компании работают в зоне пересечения трёх регуляторных режимов: 152-ФЗ о персональных данных, 115-ФЗ о финансовом мониторинге и ФЗ-572 о биометрической системе. После вступления в силу ФЗ-420 с 30.05.2025 санкции за нарушения в этой зоне выросли в разы: утечка биометрии — 15–20 млн ₽, повторная утечка — оборотный штраф от 20 млн ₽. Для финансового директора это не вопрос комплаенса, а вопрос бюджетных рисков.

DATUM сопровождает операторов персональных данных в финансовом секторе: банки, МФО, ОФД, финтех-платформы. Практика включает аудиты соответствия, сборку ОРД, сопровождение проверок РКН и арбитражную защиту по ст. 13.11 КоАП.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.