аналитика 14 апреля 2029 По состоянию на 14 апреля 2029

Отзыв из БКИ: процедура

Отзыв согласия на запрос кредитной истории в БКИ не означает удаления записей: кредитная история хранится 7 лет с момента последней операции по ФЗ-218 независимо от воли субъекта.

С 30.05.2025 неправомерная обработка ПДн без надлежащего основания влечёт штраф до 300 000 ₽ по ч. 1 ст. 13.11 КоАП; повторное нарушение — до 500 000 ₽. Для банков и МФО это системный риск бюджета.

→ Если вы финансовый директор и в бюджете нет строки на комплаенс по 152-ФЗ и ФЗ-218 — оцените размер риска прежде, чем он материализуется в протоколе РКН.

Финансовые директора банков, МФО и финтех-платформ всё чаще сталкиваются с жалобами клиентов на запросы в БКИ и требованиями отозвать согласие на обработку персональных данных. С 30.05.2025, когда вступил в силу ФЗ-420, расширивший ст. 13.11 КоАП до 18 частей, цена процедурной ошибки в работе с кредитными историями выросла кратно. Эта статья разбирает, что именно можно отозвать, что остаётся в силе по закону и какие нормы ФЗ-218, ст. 9 и ст. 21 ФЗ-152 определяют периметр ответственности оператора.

Что такое согласие на запрос в БКИ и можно ли его отозвать?

БКИ — бюро кредитных историй — обрабатывают персональные данные на основании специального правового режима ФЗ-218 «О кредитных историях». Запрос кредитной истории банком или МФО требует отдельного согласия субъекта по ст. 6 ФЗ-152 в части, не урегулированной ФЗ-218. Форма такого согласия после 01.09.2025 должна быть отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — его нельзя встраивать в договор, заявку или оферту.

Субъект вправе отозвать согласие на обработку ПДн в любое время по ч. 2 ст. 9 ФЗ-152. Однако отзыв согласия на запрос в БКИ не влечёт трёх вещей:

удаления уже сформированной кредитной истории из БКИ — она хранится 7 лет с момента последней операции по ст. 7 ФЗ-218;
прекращения передачи данных в БКИ источниками формирования истории (банки, МФО, кредитные кооперативы) — эта обязанность установлена ФЗ-218 как самостоятельное основание обработки, не требующее согласия;
запрета на использование уже запрошенной кредитной истории в рамках принятого ранее решения по заявке.

«Ст. 9 ч. 2 ФЗ-152: оператор обязан прекратить обработку ПДн с момента получения отзыва согласия — если иное не предусмотрено договором или законом. ФЗ-218 как специальный закон устанавливает самостоятельное основание обработки кредитной истории, не зависящее от согласия субъекта.»

На практике это означает: финансовая организация после получения отзыва прекращает будущие запросы в БКИ по основанию согласия, но не обязана (и не вправе) требовать уничтожения уже существующей кредитной истории. Путаница в этом разграничении — типовой источник жалоб субъектов в РКН и последующих внеплановых проверок.

Какое правовое основание обработки действует в банке и МФО?

Банки и МФО работают с ПДн клиентов одновременно по нескольким основаниям ст. 6 ФЗ-152. Ключевые для кредитного процесса:

Исполнение договора (п. 5 ст. 6 ФЗ-152): обработка необходима для заключения и исполнения кредитного договора или договора займа. Это основание не требует отдельного согласия и не прекращается при его отзыве.
Исполнение обязанности (п. 2 ст. 6 ФЗ-152): передача данных в БКИ — обязанность источника формирования кредитной истории по ст. 5 ФЗ-218. Согласие субъекта не нужно.
Согласие (п. 1 ст. 6 ФЗ-152): запрос кредитной истории до заключения договора (скоринг на этапе проверки заявки). Именно это основание субъект может отозвать.
Законные интересы и антиотмывочный контроль: идентификация клиента по требованиям 115-ФЗ — самостоятельное основание, не связанное с ФЗ-152 как таковым.

Автоматизированное принятие решений о выдаче кредита (скоринг) регулируется ст. 16 ФЗ-152. Субъект вправе потребовать, чтобы решение было принято человеком, а не алгоритмом. Игнорирование этого требования — нарушение, которое с 30.05.2025 квалифицируется по ч. 1 ст. 13.11 КоАП (обработка, несовместимая с целями или в нарушение закона).

«Ст. 16 ФЗ-152: решения, влекущие юридические последствия для субъекта, не могут приниматься исключительно на основе автоматизированной обработки без возможности обжалования у оператора. Субъект вправе потребовать пересмотра с участием человека.»

Бюджет на комплаенс или бюджет на штрафы?

Для финансового директора вопрос прост: аудит соответствия 152-ФЗ и ФЗ-218 стоит от 100 000 ₽. Штраф по ч. 12–14 ст. 13.11 КоАП за утечку от 1 000 субъектов — от 3 000 000 ₽. Неуведомление РКН об инциденте в 24 часа — дополнительно 1–3 млн ₽ по ч. 11. Если в финансовой организации нет актуального реестра оснований обработки и отдельных согласий по ФЗ-156, риск реализуется при первой же жалобе клиента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как оспорить отказ в кредите, основанный на данных БКИ?

Субъект, получивший отказ, вправе действовать по трём направлениям, каждое из которых создаёт процедурные обязанности для оператора.

Первое — запрос кредитной истории у самого субъекта. По ст. 8 ФЗ-218 субъект вправе два раза в год бесплатно получить свою кредитную историю в любом БКИ. Банк или МФО обязаны сообщить субъекту, в каком именно БКИ хранится его история, — это требование п. 4 ст. 9 ФЗ-218.

Второе — оспаривание недостоверности. Если субъект считает данные в кредитной истории ошибочными, он обращается напрямую в БКИ с заявлением об оспаривании. БКИ направляет запрос источнику формирования истории. Срок устранения недостоверных данных — 7 рабочих дней по ст. 8 ФЗ-218. Для оператора-банка это означает обязанность оперативно ответить на запрос БКИ и при необходимости уточнить переданные сведения.

Третье — требование пересмотра автоматизированного решения. По ст. 16 ФЗ-152 субъект может в письменной форме потребовать рассмотрения заявки с участием сотрудника. Оператор обязан ответить в течение 10 рабочих дней по ст. 20 ФЗ-152. Отсутствие ответа или уклонение — основание для жалобы в РКН и штраф по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽ для юрлица).

Что подготовить финансовой организации

Реестр оснований обработки ПДн по каждому процессу (ФЗ-218, ст. 6 ФЗ-152, 115-ФЗ) с разграничением, где требуется согласие, а где нет.
Отдельные формы согласий на запрос в БКИ в соответствии с ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 (не встроенные в договор или заявку).
Регламент работы со скоринговыми системами: порядок реагирования на требование субъекта о пересмотре решения по ст. 16 ФЗ-152.
Журнал учёта запросов и отзывов согласий субъектов с фиксацией даты и содержания обращения.
Уведомление в реестре РКН (pd.rkn.gov.ru) с актуальными сведениями о целях, категориях ПДн и основаниях обработки.

Биометрия в банке: ЕБС, ФЗ-572 и запрет отказа в обслуживании

С 01.06.2023 банки, подключённые к Единой биометрической системе (ЕБС), обязаны обеспечить возможность обслуживания без предоставления биометрии. Хранение исходных биометрических данных вне ЕБС запрещено. Оператор ЕБС — АО «Центр Биометрических Технологий», порядок взаимодействия регулируется ФЗ-572 от 29.12.2022.

Принципиальное разграничение для финансового директора: сбор биометрии для ЕБС — добровольный, отказ клиента не может влечь отказа в обслуживании. Нарушение этого запрета квалифицируется по ч. 8 ст. 14.8 КоАП (введена ФЗ-420). Размер штрафа для юрлица — до 500 000 ₽.

При этом нарушение требований ст. 11 ФЗ-152 при обработке биометрии (без письменного согласия, с нарушением условий хранения) влечёт штраф по ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — отдельный состав по ч. 17 ст. 13.11, штраф 15 000 000–20 000 000 ₽ для юрлица. Это принципиально отличает биометрические риски от рисков общих категорий ПДн.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, прямо установленных законом. ФЗ-572 устанавливает дополнительные требования к размещению биометрии в ЕБС.»

Если финансовая организация собирает биометрию или подключена к ЕБС — проверьте, соответствуют ли ваши согласия, регламенты и технические меры требованиям ФЗ-572 и ст. 11 ФЗ-152. Утечка биометрии с 30.05.2025 — это 15–20 млн ₽ штрафа без права на замену предупреждением.

Заказать аудит 152-ФЗ

Типовые ситуации: как это работает на практике

Ситуация 1. МФО не оформила отдельное согласие на запрос в БКИ. До 01.09.2025 согласие на запрос кредитной истории было встроено в стандартную форму заявки на заём. После вступления в силу ФЗ-156 такая конструкция стала нарушением ч. 1 ст. 9 ФЗ-152. При жалобе клиента в РКН оператор получает протокол по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽ для юрлица. Для МФО с небольшой выручкой это сопоставимо с квартальной прибылью направления. Стратегия: переоформить все формы согласий до первой проверки, а не после.

Ситуация 2. Клиент потребовал пересмотра отказа в кредите по ст. 16 ФЗ-152. Банк в Центральном ФО (осень 2025) не ответил в установленный срок на письменное заявление клиента о пересмотре решения скоринговой системы. Клиент подал жалобу в РКН. Проверка выявила отсутствие регламента работы по ст. 16 и журнала обращений субъектов. Штраф по ч. 4 и ч. 5 ст. 13.11 в совокупности составил сумму в диапазоне нескольких сотен тысяч рублей. По итогам организация внедрила систему учёта обращений и регламент ответа на требования субъектов в 10-рабочих-дневный срок. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, согласий, уведомления РКН
Комплект ОРД под ключ — формы согласий по ФЗ-156, регламент скоринга, журналы
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не предоставил биометрию?

Нет. По ФЗ-572 и позиции, закреплённой в ч. 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024), отказ в обслуживании клиента, не предоставившего биометрию в ЕБС, является правонарушением. Штраф для юрлица — до 500 000 ₽. Биометрия добровольна, и это не может влиять на доступность основной услуги — кредита, вклада, расчётного счёта.

2. Что грозит МФО за утечку персональных данных заёмщиков?

Зависит от числа субъектов. При утечке от 1 000 до 10 000 субъектов — штраф 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП. При утечке свыше 100 000 субъектов — 10 000 000–15 000 000 ₽ по ч. 14. Дополнительно — штраф 1 000 000–3 000 000 ₽ за несвоевременное уведомление РКН по ч. 11. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽.

3. Какое основание обработки ПДн применяется в банке при выдаче кредита?

Одновременно несколько. Основное — исполнение договора по п. 5 ст. 6 ФЗ-152 (не требует согласия). Передача данных в БКИ — обязанность по ФЗ-218 (п. 2 ст. 6 ФЗ-152, тоже без согласия). Запрос кредитной истории до заключения договора (скоринг) — согласие по п. 1 ст. 6, обязательно отдельным документом с 01.09.2025 по ФЗ-156. Идентификация по 115-ФЗ — самостоятельное законодательное основание.

4. Где хранится биометрия клиента банка?

С 01.06.2023 исходные биометрические данные хранятся исключительно в Единой биометрической системе (ЕБС), оператор которой — АО «Центр Биометрических Технологий». Хранение биометрии вне ЕБС запрещено ФЗ-572 от 29.12.2022. Банк работает только с зашифрованными векторами через защищённый канал к ЕБС и не хранит у себя биометрические шаблоны в исходном виде.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

Субъект вправе подать письменное заявление оператору с требованием пересмотра решения с участием уполномоченного сотрудника — на основании ст. 16 ФЗ-152. Оператор обязан ответить в течение 10 рабочих дней по ст. 20 ФЗ-152. Если ответа нет или он немотивирован — субъект подаёт жалобу в РКН. Параллельно можно оспорить достоверность кредитной истории в БКИ по ст. 8 ФЗ-218: срок проверки — 7 рабочих дней.

Итог

Отзыв согласия на запрос в БКИ — это узкая процедура: она прекращает будущие запросы по основанию согласия, но не затрагивает хранение кредитной истории, передачу данных в БКИ по ФЗ-218 или обработку в рамках исполнения договора. Для финансового директора критичны три точки риска: несоответствие форм согласий требованиям ФЗ-156 (действует с 01.09.2025), отсутствие регламента по ст. 16 ФЗ-152 для скоринговых решений и неготовность к уведомлению РКН за 24 часа при инциденте.

Юристы DATUM сопровождают банки, МФО и финтех-платформы в вопросах соответствия ФЗ-218, ФЗ-572 и 152-ФЗ: аудит оснований обработки, переработка форм согласий, защита в арбитраже при протоколах по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.