Перейти к содержанию
аналитика 26 октября 2029 года По состоянию на 26 октября 2029 года

ПДн страхователя vs застрахованного

Страхователь и застрахованный — разные субъекты по ст. 3 ФЗ-152, и правовое основание обработки их персональных данных не совпадает.
С 30.05.2025 утечка данных более 100 000 субъектов грозит штрафом 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП, а повторная — оборотным штрафом до 500 млн ₽ по ч. 15.
Если вы финдиректор страховщика и не разграничили основания обработки в ОРД — это прямой риск для бюджета компании. →

Страховая компания или банк, выступающий страховщиком в рамках комплексных продуктов, одновременно собирает данные как минимум двух лиц: страхователя, который платит премию, и застрахованного, жизнь или имущество которого защищается. Это разные субъекты, разные правовые основания обработки и разные риски по ФЗ-152. Ошибка в разграничении — одна из наиболее частых, выявляемых при аудите. Ниже — разбор логики ФЗ-152, пересечение с ФЗ-218, ФЗ-572 и ст. 13.11 КоАП, а также практические сценарии, актуальные для финансового директора страховщика.

Чем различаются страхователь и застрахованный с позиции ФЗ-152?

По ст. 3 ФЗ-152 оператор обрабатывает данные субъекта — физического лица. Страхователь-физлицо и застрахованный-физлицо — два самостоятельных субъекта, даже если они совпадают в одном лице (страхование «для себя»). Когда они не совпадают — например, работодатель страхует сотрудников по ДМС — оператор получает данные застрахованного не от него лично, а от третьего лица (страхователя-юрлица).

Для страхователя правовое основание обработки, как правило, — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): страхователь сам обращается к страховщику, подписывает договор. Для застрахованного ситуация сложнее. Если он не является стороной договора, основание «исполнение договора» в строгом смысле не работает — договор заключён между страховщиком и страхователем. Это означает, что при сборе данных застрахованного страховщику требуется отдельное согласие по ст. 9 ФЗ-152 либо применение иного законного основания из ч. 1 ст. 6.

С 01.09.2025 требования к форме согласия ужесточились: согласие оформляется отдельным документом, не встраивается в договор или анкету (ФЗ-156 от 24.06.2025). Это означает, что практика включения согласия застрахованного в заявление на страхование, которое заполняет страхователь, более не соответствует закону.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие субъекта на обработку персональных данных — отдельный документ с обязательными реквизитами: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Начало действия — 01.09.2025.»

Какие категории данных собирает страховщик и почему это важно для бюджета?

Объём данных страховщика определяется продуктом. В страховании жизни и здоровья обрабатываются сведения о состоянии здоровья — специальная категория по ст. 10 ФЗ-152. Обработка таких данных по общему правилу запрещена; исключения перечислены в ч. 2 ст. 10 — в частности, для осуществления страхования при наличии письменного согласия субъекта. Отдельное согласие на обработку данных о здоровье застрахованного — обязательное требование, не подлежащее замене ссылкой на договор.

В имущественном страховании данные застрахованного могут ограничиваться ФИО и контактами; однако при страховании транспорта нередко обрабатываются данные водительского удостоверения, что в сочетании с другими идентификаторами формирует расширенный профиль субъекта.

С точки зрения ст. 5 ФЗ-152, объём собираемых данных должен соответствовать целям обработки. Страховщики нередко нарушают этот принцип, запрашивая избыточный набор атрибутов: биографические данные, информацию о работодателе, семейном положении — в тех продуктах, где достаточно базовой идентификации. Каждое такое поле — потенциальный повод для протокола РКН по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽).

Страховые данные разграничены в ОРД или всё ещё в одном согласии?

Если в документах страховщика согласие страхователя и застрахованного объединены в один блок, это противоречит ст. 9 ФЗ-152 в редакции с 01.09.2025 и создаёт риск штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждое нарушение. Бюджетная нагрузка складывается быстро при масштабе выдачи полисов. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как пересекаются ФЗ-218, ФЗ-572 и скоринг при страховании жизни?

При страховании, привязанном к кредиту (страхование жизни заёмщика, страхование от потери работы), страховщик часто получает данные из бюро кредитных историй. По ФЗ-218 «О кредитных историях» запрос в БКИ требует отдельного письменного согласия субъекта. Согласие на обработку ПДн по ФЗ-152 и согласие на запрос в БКИ по ФЗ-218 — разные документы с разными реквизитами; их смешение ведёт к нарушению сразу двух законов.

Автоматизированная оценка рисков при страховании подпадает под ст. 16 ФЗ-152: решение, влекущее правовые последствия для субъекта, не может приниматься исключительно на основе автоматизированной обработки без его согласия. Это ограничение применимо к скоринговым моделям, которые напрямую определяют тарифный коэффициент или отказ в заключении договора с застрахованным.

Биометрия в страховании появляется в двух контекстах. Первый — идентификация клиента через ЕБС по ФЗ-572 при дистанционном заключении договора; оператор ЕБС — АО «Центр Биометрических Технологий», исходные биометрические данные хранятся только там. Второй контекст — собственная биометрия страховщика (например, распознавание лица при верификации), которая регулируется ст. 11 ФЗ-152 и требует письменного согласия. Смешение двух режимов — типичная ошибка финтех-интеграторов.

Важно: по ч. 8 ст. 14.8 КоАП (введена ФЗ-420) отказ в обслуживании клиента, не предоставившего биометрию в ЕБС, квалифицируется как административное правонарушение. Для финансового директора это означает: внедрение биометрической верификации должно сопровождаться юридически выверенным регламентом об альтернативных способах идентификации.

«Ст. 16 ФЗ-152: решения, основанные исключительно на автоматизированной обработке ПДн и порождающие юридически значимые последствия, могут приниматься только с согласия субъекта или в случаях, предусмотренных законом. Субъект вправе требовать пересмотра такого решения.»

Что подготовить страховщику для разграничения ПДн субъектов

  • Отдельные формы согласия для страхователя и застрахованного с реквизитами по ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025)
  • Отдельное письменное согласие на запрос в БКИ по ФЗ-218, если используется кредитное страхование
  • Письменное согласие на обработку данных о здоровье (специальная категория по ст. 10 ФЗ-152) при страховании жизни и ДМС
  • Регламент альтернативной идентификации без биометрии ЕБС во избежание нарушения ч. 8 ст. 14.8 КоАП
  • Актуализированное уведомление в реестре РКН (ст. 22 ФЗ-152) с указанием всех категорий субъектов и оснований обработки

Как ст. 272.1 УК и оборотный штраф меняют расчёт риска для страховщика?

До ФЗ-421 от 30.11.2024 уголовная ответственность за утечку ПДн строилась преимущественно на ст. 272 УК (неправомерный доступ). С 11.12.2024 действует ст. 272.1 УК: незаконные использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. Максимальное наказание по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Для страховщика это означает уголовный риск не только для внешнего злоумышленника, но и для сотрудника, передавшего клиентскую базу конкуренту.

По ст. 13.11 КоАП в редакции с 30.05.2025 структура ответственности за утечку — многоуровневая. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12). От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Более 100 000 субъектов — 10–15 млн ₽ (ч. 14). При повторном нарушении применяется ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.

Для страховщика с объёмом клиентской базы в несколько миллионов субъектов однократная утечка автоматически попадает в ч. 14 (10–15 млн ₽). При этом неуведомление РКН об инциденте в течение 24 часов — дополнительный штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Совокупная нагрузка на бюджет при одном инциденте может превысить 15 млн ₽ при первичном нарушении и многократно больше при повторном.

Типовые сценарии нарушений: три ситуации для финансового директора

Сценарий 1. ДМС-портфель: данные застрахованных без отдельного согласия. Страховщик заключил договор ДМС с корпоративным клиентом. Работодатель передал список сотрудников. Согласие застрахованных на обработку данных о здоровье — только в электронной форме внутри корпоративного заявления. После 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152. РКН при проверке квалифицирует обработку как незаконную по ч. 1 ст. 13.11 (150 000–300 000 ₽) и по ч. 2 ст. 13.11 за отсутствие надлежащего письменного согласия (300 000–700 000 ₽). При портфеле в 500 юрлиц с суммарным составом застрахованных в 50 000 человек штрафной потенциал кратен числу нарушений.

Сценарий 2. Кредитное страхование жизни: одно согласие на всё. Банк-партнёр страховщика при оформлении кредита получает единое согласие клиента на «обработку ПДн, в том числе передачу страховщику». Страховщик принимает данные на основании этого согласия и запрашивает данные в БКИ. Нарушений — два: согласие не выделено отдельным документом (ст. 9 ФЗ-152 в ред. ФЗ-156) и нет самостоятельного согласия на запрос в БКИ по ФЗ-218. При проверке обоих операторов — банка и страховщика — протоколы составляются раздельно. Стратегия: перейти на модульную форму согласия с отдельными блоками для каждого основания обработки; проверить агентские и партнёрские договоры на наличие инструкции по порядку сбора согласий.

Сценарий 3. Утечка базы полисов через подрядчика по ИТ. Компания-разработчик страховой платформы получила доступ к продуктивной базе для отладки. Сотрудник подрядчика выгрузил данные 200 000 застрахованных. Оператор — страховщик — несёт ответственность по ст. 13.11 в полном объёме независимо от того, что инцидент произошёл на стороне обработчика (принцип ВС РФ: оператор отвечает за действия лица, осуществляющего обработку по поручению). Штраф по ч. 14 — 10–15 млн ₽. Если уведомление в РКН не направлено за 24 часа — дополнительно по ч. 11 — 1–3 млн ₽. Доказать оперативность реагирования без заранее отлаженного плана практически невозможно. Смягчающее обстоятельство — инвестиции в ИБ в размере не менее 0,1% совокупной выручки за 3 предшествующих года (ст. 4.1 КоАП, примечание): в таком случае оборотный штраф при повторном нарушении составит 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽.

Если вы финдиректор и разбираете бюджет инцидента или готовитесь к аудиту РКН — оцените риски заранее: 24 часа на уведомление после обнаружения утечки не восстанавливаются (ч. 3.1 ст. 21 ФЗ-152). Юристы DATUM соберут комплект ОРД под ключ и проведут аудит оснований обработки.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Страховщик в Приволжском ФО (осень 2025) прошёл плановую проверку РКН по реестру операторов. Инспектор запросил формы согласий застрахованных по ДМС-договорам с юрлицами. Все согласия были оформлены до 01.09.2025 в составе корпоративных заявлений. Компания получила предписание об устранении и протокол по ч. 2 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей. Параллельно оказалось, что уведомление в реестре РКН не обновлялось три года — добавился протокол по ч. 10 ст. 13.11. Итоговая нагрузка превысила первоначальный годовой бюджет на юридическое сопровождение.

Кейс 2. МФО в Центральном ФО (зима 2025–2026) обрабатывала биометрические данные клиентов через собственную систему верификации лица. При проверке выявлено отсутствие письменных согласий на обработку биометрии по ст. 11 ФЗ-152. Протокол — по ч. 16 ст. 13.11 КоАП. Дополнительно: клиентам, отказавшимся от биометрии, отказывали в обслуживании — протокол по ч. 8 ст. 14.8 КоАП. В арбитражном суде региона компания представила доказательства первичности нарушения и отсутствия причинённого вреда; штраф по ч. 16 был снижен. Протокол по ч. 8 ст. 14.8 оспорить не удалось — практика применения нормы к тому моменту уже сложилась.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии в ЕБС?

Нет. По ч. 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024) отказ в обслуживании потребителя, не предоставившего биометрические данные в ЕБС, является административным правонарушением. Оператор обязан предусмотреть альтернативные способы идентификации. Это требование распространяется на банки, МФО и иных участников финансового рынка, подключённых к ЕБС.

2. Что грозит МФО за утечку данных клиентов?

Ответственность зависит от объёма. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторном нарушении — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — штраф за неуведомление РКН в 24 часа по ч. 11 (1–3 млн ₽). Сотрудник, причастный к утечке, рискует уголовной ответственностью по ст. 272.1 УК РФ.

3. Какое основание обработки данных застрахованного применяется в банке?

Если застрахованный не является стороной договора страхования, основание «исполнение договора» (п. 5 ч. 1 ст. 6 ФЗ-152) формально не распространяется на него напрямую. Практика выработала два подхода: получение отдельного согласия застрахованного или обоснование через иное основание ст. 6 — например, необходимость для защиты жизни или здоровья лица (п. 6 ч. 1 ст. 6). Рекомендуется отдельное согласие с реквизитами по ст. 9 ФЗ-152, особенно при обработке данных о здоровье по ст. 10.

4. Где хранится биометрия — в банке или в ЕБС?

Исходные биометрические данные, переданные в ЕБС, хранятся у оператора ЕБС — АО «Центр Биометрических Технологий». Банкам и МФО запрещено хранить биометрию вне ЕБС с 01.06.2023 (ФЗ-572 от 29.12.2022). Если финансовая организация ведёт собственную биометрическую верификацию (не через ЕБС), это отдельный вид обработки биометрических ПДн по ст. 11 ФЗ-152, требующий письменного согласия и подпадающий под ч. 16–18 ст. 13.11 КоАП при нарушениях.

5. Как оспорить отказ в кредите или страховании, принятый автоматически?

По ст. 16 ФЗ-152 субъект вправе требовать пересмотра решения, принятого исключительно на основе автоматизированной обработки его ПДн. Для этого нужно направить письменное обращение оператору с требованием о пересмотре и привлечении уполномоченного сотрудника. Оператор обязан рассмотреть обращение и в течение 10 рабочих дней дать ответ по ст. 20 ФЗ-152. Если отказ сохраняется без мотивированного обоснования — жалоба в РКН или обращение в суд.

Итог

Страхователь и застрахованный — юридически самостоятельные субъекты по ФЗ-152, и смешение оснований обработки их данных в единой форме согласия нарушает требования ст. 6 и ст. 9 ФЗ-152. С 01.09.2025 требование отдельного документа для согласия стало прямой нормой закона. В сочетании с ФЗ-218 по БКИ, ФЗ-572 по ЕБС и ст. 16 ФЗ-152 по скорингу страховщик работает в условиях четырёх параллельных правовых режимов, каждый из которых при нарушении генерирует самостоятельный состав по ст. 13.11 КоАП.

DATUM сопровождает страховщиков и финтех-компании в части разграничения оснований обработки ПДн, подготовки ОРД и защиты при проверках РКН с 2014 года.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

26 октября 2029 года