ПДн фрилансеров
Финтех-платформы, подключающие фрилансеров к выплатам, скорингу и идентификации, обрабатывают данные сразу в нескольких правовых режимах. Ошибка в выборе основания или хранение биометрии вне ЕБС — это штраф от 1 до 20 млн ₽ и уголовная ответственность руководителя по ст. 272.1 УК. Эта статья разбирает, какие категории ПДн фрилансеров задействованы, какие нормы их регулируют и как выстроить бюджетно обоснованный комплаенс.
Какие категории персональных данных фрилансеров обрабатывает финтех?
Финтех-платформа, работающая с самозанятыми и ИП-фрилансерами, формирует как минимум три слоя данных. Первый — общие ПДн для исполнения договора ГПХ: ФИО, ИНН, реквизиты счёта, сведения о налоговом статусе. Второй — данные для идентификации по требованиям 115-ФЗ: паспорт, СНИЛС, адрес регистрации. Третий — данные для скоринга: транзакционная история, сведения из БКИ, поведенческие паттерны.
Биометрия появляется при дистанционной идентификации через ЕБС: изображение лица используется как биометрический образец по ст. 11 ФЗ-152. Все три слоя требуют отдельного правового основания и отдельного согласия — объединять их в одном документе с 01.09.2025 нельзя (ФЗ-156 от 24.06.2025).
Ошибка большинства платформ — единая форма регистрации, которая фиксирует согласие на скоринг и передачу в БКИ в том же документе, что и условия оказания услуг. После 01.09.2025 такая форма не соответствует требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия — 300 000–700 000 ₽.
Бюджет на ПДн-комплаенс: что стоит дороже — аудит или штраф?
Стоимость аудита соответствия 152-ФЗ для финтех-платформы — от 100 000 ₽. Минимальный штраф за ненадлежащее согласие по ч. 2 ст. 13.11 — 300 000 ₽. При утечке от 10 000 субъектов — от 5 000 000 ₽. Любое из этих нарушений фиксируется одной плановой проверкой РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Как работает скоринг фрилансеров по ст. 16 ФЗ-152 и ФЗ-218?
Скоринг, основанный исключительно на автоматизированной обработке ПДн и влекущий юридически значимые последствия, регулируется ст. 16 ФЗ-152. Субъект вправе потребовать, чтобы решение о предоставлении кредита, займа или допуска к платформе принималось с участием человека. Оператор обязан разъяснить субъекту порядок такого обжалования.
Одновременно запрос в БКИ требует отдельного письменного согласия по ФЗ-218 «О кредитных историях». Кредитная история фрилансера хранится в БКИ семь лет. Без согласия запрос данных из БКИ квалифицируется как нарушение ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽ за каждый эпизод.
Особую сложность создаёт ML-скоринг: модель обучается на исторических транзакциях фрилансеров, которые сами по себе являются ПДн. Обезличивание данных для обучения по методам, утверждённым приказом РКН (введён с 01.09.2025), снимает часть рисков, но не освобождает от требований ст. 16 при финальном решении модели. Финансовому директору важно понимать: отсутствие регламента по ст. 16 — отдельное нарушение, которое фиксируется при проверке наравне с отсутствием согласия.
Что меняет ФЗ-572 о Единой биометрической системе для работы с фрилансерами?
Если финтех-платформа использует дистанционную идентификацию фрилансера через изображение лица, она обязана использовать ЕБС — государственную информационную систему, оператором которой является АО «Центр Биометрических Технологий». Хранить биометрический образец в собственной базе с 01.06.2023 запрещено (ФЗ-572 от 29.12.2022).
Принципиальный вопрос для финдиректора — стоимость интеграции с ЕБС против штрафного риска. Утечка биометрических данных наказывается по ч. 17 ст. 13.11 КоАП штрафом 15–20 млн ₽. Повторное нарушение по ч. 18 — оборотный штраф до 500 млн ₽. Это принципиально иной порядок цифр по сравнению с нарушениями по общим ПДн.
Отдельный риск — ч. 8 ст. 14.8 КоАП, введённая ФЗ-420: штраф за отказ обслуживать клиента без биометрии в ЕБС составляет до 500 000 ₽. Если платформа сделала регистрацию через ЕБС обязательным условием для всех фрилансеров, это нарушение. Добровольность биометрической идентификации — не рекомендация, а требование закона.
Что подготовить финтех-платформе для работы с ПДн фрилансеров
- Отдельные согласия под каждое основание обработки: договор ГПХ, запрос в БКИ, скоринг по ст. 16, биометрия по ст. 11 — каждое на отдельном документе (ФЗ-156, с 01.09.2025).
- Уведомление в реестре РКН (pd.rkn.gov.ru) с указанием всех целей, категорий ПДн и стран-получателей при трансграничной передаче.
- Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте платформы.
- Договор поручения на обработку ПДн с БКИ, скоринговыми сервисами и облачными провайдерами по п. 3 ст. 6 ФЗ-152.
- Регламент реагирования на утечку: первичное уведомление РКН за 24 часа, отчёт за 72 часа (Приказ РКН №187).
Как 115-ФЗ влияет на обработку ПДн фрилансеров в финтехе?
Платформы, проводящие выплаты фрилансерам через НПС или выступающие платёжными агентами, обязаны идентифицировать получателей по 115-ФЗ «О противодействии легализации». Идентификация означает сбор паспортных данных, ИНН, СНИЛС и сведений о регистрации — всё это ПДн, требующие правового основания и хранения на серверах в РФ по ч. 5 ст. 18 ФЗ-152.
Конфликт норм возникает, когда платформа хранит данные идентификации в облачной инфраструктуре за рубежом — типичная ситуация для SaaS-решений на базе AWS или Azure. С 01.07.2025 требования к локализации ужесточились (ФЗ-233 от 08.08.2024): первичный сбор и запись ПДн граждан РФ допустимы только в базах данных на территории России. Штраф за нарушение локализации по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽, за повторное — 6–18 млн ₽.
Если вы финансовый директор и платформа хранит данные фрилансеров в зарубежном облаке — нарушение локализации грозит штрафом от 1 млн ₽ уже при первой проверке. Штраф за повторное нарушение — до 18 млн ₽. Разрыв между стоимостью аудита и ценой нарушения составляет 10–180 крат.
Заказать аудит 152-ФЗТиповые ситуации: как финтех нарушает 152-ФЗ при работе с фрилансерами
Ситуация 1. Скоринговое решение без права на оспаривание. Финтех-платформа (Уральский ФО, осень 2025) автоматически отказала нескольким тысячам фрилансеров в повышении лимита выплат на основании ML-модели. Регламент по ст. 16 ФЗ-152 отсутствовал: субъектам не разъяснили порядок оспаривания. При внеплановой проверке РКН зафиксировал нарушение по ч. 1 ст. 13.11 КоАП. Итог: штраф в размере 150 000–300 000 ₽ и предписание разработать регламент. Стратегия — разработать и утвердить приказом регламент автоматизированных решений до начала проверки.
Ситуация 2. Биометрия вне ЕБС и утечка. Платформа краткосрочных займов (Приволжский ФО, начало 2026) хранила биометрические образцы фрилансеров в собственной СУБД для дистанционной верификации. После хакерской атаки данные 12 000 субъектов оказались в открытом доступе. Квалификация: ч. 17 ст. 13.11 КоАП (утечка биометрии) — 15–20 млн ₽, плюс ч. 11 ст. 13.11 за неуведомление РКН в 24-часовой срок — 1–3 млн ₽. Совокупный риск превысил 20 млн ₽ при выручке платформы около 300 млн ₽ в год. Стратегия — интеграция с ЕБС и немедленное внедрение регламента реагирования по Приказу РКН №187.
Ситуация 3. Единая форма согласия после 01.09.2025. Крупный маркетплейс услуг (Центральный ФО, осень 2025) не обновил форму регистрации фрилансера после вступления в силу ФЗ-156. Согласие на запрос в БКИ, обработку биометрии и передачу данным скоринговому партнёру содержалось в одном документе совместно с офертой. Проверка по жалобе субъекта выявила нарушение ч. 1 ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 — 300 000–700 000 ₽. Стратегия — разработка отдельных форм согласий под каждое основание обработки и аудит действующей документации.
Частые вопросы
1. Можно ли отказать фрилансеру в регистрации на платформе без биометрии в ЕБС?
Нет. Ч. 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024) прямо запрещает отказывать в обслуживании клиенту, не предоставившему биометрию в ЕБС. Биометрическая идентификация через ЕБС является добровольной для субъекта. Штраф за принудительное требование биометрии — до 500 000 ₽ для юридического лица. Платформа вправе предложить альтернативный способ идентификации.
2. Что грозит МФО или финтех-платформе за утечку данных фрилансеров?
Зависит от масштаба утечки. От 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Если платформа уже привлекалась по ч. 12–14, повторная утечка влечёт оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Все нормы действуют с 30.05.2025 (ФЗ-420).
3. Какое правовое основание обработки ПДн фрилансера применяет банк или МФО?
Несколько оснований одновременно по ст. 6 ФЗ-152. Исполнение договора ГПХ — п. 5 ч. 1 ст. 6. Выполнение требований 115-ФЗ об идентификации — п. 2 ч. 1 ст. 6 (исполнение обязанностей оператора по закону). Запрос в БКИ и скоринг — согласие по п. 1 ч. 1 ст. 6 в форме отдельного документа. С 01.09.2025 каждое основание требует отдельного документа (ФЗ-156): смешанные формы согласий недействительны для вновь подписываемых документов.
4. Где должна храниться биометрия фрилансера — в системе платформы или в ЕБС?
Только в ЕБС. ФЗ-572 от 29.12.2022 запрещает коммерческим организациям хранить биометрические образцы в собственных базах данных при применении биометрической идентификации — с 01.06.2023. Оператором ЕБС является АО «Центр Биометрических Технологий». Исходные биометрические данные после передачи в ЕБС должны быть уничтожены. Хранение вне ЕБС квалифицируется как нарушение ст. 11 ФЗ-152 и влечёт штраф по ч. 16 или ч. 17 ст. 13.11 КоАП.
5. Как фрилансер может оспорить отказ в кредите или займе, принятый автоматически?
По ст. 16 ФЗ-152 субъект вправе потребовать, чтобы решение, принятое исключительно на основании автоматизированной обработки его ПДн, было пересмотрено с участием человека. Платформа обязана разъяснить порядок такого обжалования при сообщении об отказе. Если платформа этого не делает — нарушение ч. 1 ст. 13.11 КоАП. Фрилансер также вправе запросить сведения из БКИ для проверки корректности кредитной истории, использованной в скоринге.
Итог
Обработка ПДн фрилансеров в финтехе охватывает как минимум четыре правовых режима: общие ПДн по ст. 6 ФЗ-152, кредитная история по ФЗ-218, биометрия по ст. 11 ФЗ-152 и ФЗ-572, идентификация по 115-ФЗ. Каждый режим требует отдельного основания, отдельного согласия и отдельного договора поручения. Штрафной диапазон — от 150 000 ₽ за единичное нарушение согласия до 500 млн ₽ при повторной утечке биометрии.
DATUM сопровождает финтех-платформы в построении ПДн-комплаенса для работы с фрилансерами: аудит обработки, разработка пакета согласий под ФЗ-156, договоры поручения с БКИ и скоринговыми сервисами, регламент по ст. 16 ФЗ-152, интеграция с ЕБС.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка оснований обработки, согласий, локализации, ОРД
- Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП
Обрабатываете ПДн фрилансеров — проверьте основания и согласия
Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram