аналитика 21 января 2029 По состоянию на 21 января 2029

ПДн в Бюро страховых историй

Бюро страховых историй — оператор персональных данных с особым режимом: кредитные истории, биометрия в ЕБС, скоринг с элементами автоматизированного решения.

С 30.05.2025 штраф за утечку от 10 000 субъектов достигает 10 млн ₽ по ч. 13 ст. 13.11 КоАП, а повторная утечка влечёт оборотный штраф до 500 млн ₽ по ч. 15.

→ Если вы финансовый директор страховой компании или финтех-стартапа — ниже разбор, какие нормы применяются к БСИ и где сосредоточены бюджетные риски.

Бюро страховых историй (БСИ) аккумулирует данные о договорах страхования, страховых случаях, выплатах и поведении страхователей — сведения, которые в совокупности образуют специфический профиль физического лица. По своей правовой природе БСИ одновременно подпадает под регулирование ФЗ-152 «О персональных данных», а также частично пересекается с режимом кредитных историй (ФЗ-218), биометрическими требованиями ФЗ-572 и антиотмывочным контролем по 115-ФЗ. Для финансового директора это означает, что единая утечка из БСИ способна запустить сразу несколько составов административных правонарушений и уголовных норм с принципиально разными бюджетными последствиями.

Какие персональные данные обрабатывает Бюро страховых историй?

БСИ работает со сведениями, которые относятся к нескольким категориям по ФЗ-152. Общие персональные данные — ФИО, дата рождения, паспорт, адрес, ИНН — составляют основу страховой истории. Специальные категории возникают там, где история включает медицинские сведения: справки о состоянии здоровья при страховании жизни, данные о временной нетрудоспособности, инвалидности. По ст. 10 ФЗ-152 обработка специальных категорий допустима лишь при наличии явного согласия субъекта или в случаях, прямо предусмотренных законом.

Биометрические данные появляются в тех случаях, когда страховая компания или МФО верифицирует клиента через Единую биометрическую систему (ЕБС). Здесь вступает в силу ст. 11 ФЗ-152 и специальный режим ФЗ-572: исходные биометрические шаблоны хранятся только в ЕБС, оператором которой является АО «Центр Биометрических Технологий»; дублировать их во внутренней информационной системе с 01.06.2023 запрещено.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья, если субъект не дал явного письменного согласия. Ст. 11 ФЗ-152 устанавливает аналогичное требование для биометрических данных и отсылает к ФЗ-572 в части ЕБС.»

Дополнительно БСИ нередко формирует поведенческие профили: частота страховых обращений, география страховых случаев, история задержек уведомлений — данные, которые формально являются общими, но в совокупности создают высокочувствительный портрет страхователя. Принцип ограничения объёма по ст. 5 ФЗ-152 требует, чтобы состав хранимых данных строго соответствовал заявленным целям обработки.

Как ФЗ-218 о кредитных историях соотносится с режимом БСИ?

Прямая аналогия с Бюро кредитных историй (БКИ) по ФЗ-218 не означает полного совпадения правовых режимов. ФЗ-218 регулирует порядок формирования, хранения и предоставления кредитных историй, устанавливает срок хранения в 7 лет с даты последнего изменения. БСИ по страховым историям действует в схожей логике, однако специального федерального закона об организации страховых историй, сопоставимого с ФЗ-218, в России не принято: страховые истории регулируются подзаконными актами Банка России и общими нормами ФЗ-152.

Это создаёт практическую проблему для финансового директора: правовое основание обработки данных в БСИ должно быть обосновано из числа оснований ст. 6 ФЗ-152. Наиболее распространённые варианты — исполнение договора страхования (п. 5 ч. 1 ст. 6) и согласие субъекта (п. 1 ч. 1 ст. 6). Первое основание работает, только пока договор действителен; после его прекращения — нужно либо согласие, либо иное предусмотренное законом основание.

Бюджет застрахован от штрафов по 13.11?

Если финансовый директор не видел аудита обработки ПДн в последние 12 месяцев — вероятнее всего, хотя бы одно из оснований обработки в БСИ устарело или оформлено некорректно. Штраф по ч. 2 ст. 13.11 за обработку без надлежащего согласия достигает 700 тыс. ₽; при повторности — 1,5 млн ₽. Срок исправления формально не ограничен, но проверка РКН не предупреждает заранее.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что такое скоринг по ст. 16 ФЗ-152 и когда он применим в страховании?

Статья 16 ФЗ-152 регулирует принятие решений исключительно на основе автоматизированной обработки персональных данных, если такие решения порождают юридические последствия или существенно затрагивают интересы субъекта. В страховании это актуально при скоринговых моделях: когда алгоритм автоматически определяет страховой тариф, отказывает в страховании или устанавливает повышенную франшизу без участия сотрудника.

Норма ст. 16 ФЗ-152 устанавливает, что такая обработка допустима только с явного согласия субъекта либо в случаях, предусмотренных законом. Дополнительно субъект вправе потребовать разъяснения принятого решения, оспорить его и потребовать проверки с участием человека. Для БСИ это означает необходимость встроить в процесс скоринга механизм получения согласия и канал подачи возражений — отсутствие такого механизма создаёт риск по ч. 1 ст. 13.11 КоАП.

«Ст. 16 ФЗ-152: решение, влекущее правовые последствия для субъекта и принятое исключительно на основе автоматизированной обработки его ПДн, допускается только с его согласия или в предусмотренных законом случаях. Субъект вправе оспорить такое решение.»

Как работает биометрия в ЕБС и чем рискует банк или МФО?

Единая биометрическая система по ФЗ-572 создана для удалённой идентификации физических лиц по изображению лица и голосу. С 01.06.2023 банки и МФО, прошедшие аккредитацию, вправе использовать ЕБС для верификации клиентов. При этом они действуют как пользователи ЕБС, а не как самостоятельные операторы биометрических ПДн — хранение исходных биометрических шаблонов остаётся за АО «ЦБТ».

Ключевой риск для финансового директора — нарушение запрета отказывать клиенту в обслуживании по причине отсутствия биометрии в ЕБС. С 30.05.2025 это образует самостоятельный состав по ч. 8 ст. 14.8 КоАП. Штраф для юридического лица — до 500 тыс. ₽. На практике это означает, что у банка или МФО должны существовать альтернативные каналы идентификации: офлайн-верификация по паспорту, иные методы онлайн-подтверждения личности.

Второй риск — нарушение порядка сбора биометрии для размещения в ЕБС. Специальный состав по ст. 13.11.3 КоАП устанавливает для юридических лиц штраф от 500 тыс. до 1 млн ₽ за нарушение требований к процедуре размещения биометрических данных в ЕБС.

Если финансовый директор обнаружил, что МФО или банк не имеет альтернативного канала идентификации помимо ЕБС — нарушение по ч. 8 ст. 14.8 КоАП уже сформировано. Устранить до проверки: порядок верификации и документы по ст. 18.1 ФЗ-152.

Заказать аудит 152-ФЗ

Какие типовые ситуации возникают у финансового директора?

Ситуация 1. МФО собирает данные для БСИ на основании договора займа, но хранит их дольше срока договора. После погашения займа договор прекращён, а основание по п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора) отпало. Если отдельного согласия на хранение в БСИ после прекращения договора получено не было — хранение становится незаконным. При проверке РКН это квалифицируется по ч. 1 ст. 13.11 (150–300 тыс. ₽). Стратегия: получить согласие на хранение в страховой истории на конкретный срок ещё при заключении договора; прописать условие уничтожения после отзыва согласия.

Ситуация 2. Страховая компания использует скоринг для тарификации ОСАГО без уведомления субъекта. Алгоритм автоматически рассчитывает повышающий коэффициент по истории выплат. Субъект не уведомлён о применении автоматизированного решения, отсутствует механизм оспаривания по ст. 16 ФЗ-152. Исход при проверке — нарушение ч. 1 ст. 13.11, предписание изменить процесс, при повторности — ч. 1.1 (300–500 тыс. ₽). Стратегия: внести в форму согласия пункт об автоматизированных решениях; создать процедуру подачи возражений.

Ситуация 3. Утечка из информационной системы БСИ затронула 15 000 субъектов. Фиксация инцидента — 09:00 понедельника. К 09:00 вторника должно быть направлено первичное уведомление в РКН по ч. 3.1 ст. 21 ФЗ-152. Через 72 часа — отчёт о расследовании по Приказу РКН №187. При нарушении срока — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. За саму утечку от 10 000 субъектов — дополнительно 5–10 млн ₽ по ч. 13. При повторной утечке в течение года — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

Что подготовить финансовому директору

Реестр оснований обработки ПДн в БСИ — по каждой категории данных и каждому этапу жизненного цикла (сбор, хранение, передача в третьи бюро, уничтожение)
Согласия субъектов на обработку данных для БСИ и на автоматизированные решения по ст. 16 ФЗ-152 — отдельными документами в редакции с 01.09.2025 (ФЗ-156)
Договоры с поручением обработки по п. 3 ст. 6 ФЗ-152 с партнёрами, которые имеют доступ к данным БСИ
Регламент реагирования на утечку: контактное лицо, цепочка эскалации, шаблоны уведомлений РКН на 24 и 72 часа
Проверка отсутствия хранения биометрических шаблонов вне ЕБС — инвентаризация баз данных на сервер и в облаке

Как это применяется на практике

Кейс 1. Финансовый директор страховой компании Приволжского федерального округа (осень 2025) обратился за аудитом после получения предписания РКН о нарушении ст. 18.1 ФЗ-152 — отсутствовала опубликованная политика обработки ПДн с разделами о скоринге и передаче в БСИ. По результатам аудита выявлены три дополнительных нарушения: хранение данных после прекращения договора, отсутствие механизма оспаривания автоматизированных решений по ст. 16 ФЗ-152, несоответствие форм согласия требованиям ФЗ-156 от 01.09.2025. Штраф по ч. 3 ст. 13.11 (публикация политики) составил в диапазоне десятков тысяч рублей; предписание по существу исполнено в 30-дневный срок, что позволило избежать повторного протокола.

Кейс 2. МФО Уральского федерального округа (начало 2026) не имела альтернативного канала идентификации: единственным способом удалённого получения займа была верификация через ЕБС. После жалобы клиента РКН возбудил дело по ч. 8 ст. 14.8 КоАП. Штраф для юрлица по данной норме может достигать 500 тыс. ₽. Параллельно выявлено отсутствие уведомления в реестре операторов ПДн о намерении обрабатывать биометрические данные через ЕБС — дополнительный протокол по ч. 10 ст. 13.11 (100–300 тыс. ₽). Совокупный бюджетный риск до начала работы юристов составлял от 600 тыс. ₽.

Связанные услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, форм согласий, ОРД и мер защиты
Комплект ОРД под ключ — политика, согласия по ФЗ-156, регламент реагирования на утечку
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии в ЕБС?

Нет. С 30.05.2025 отказ в обслуживании по причине отсутствия биометрии в ЕБС образует нарушение по ч. 8 ст. 14.8 КоАП с штрафом для юридического лица до 500 тыс. ₽. Банк или МФО обязаны обеспечить альтернативный способ идентификации — офлайн по паспорту или иной предусмотренный законом метод. Это требование распространяется на все организации, подключённые к ЕБС по ФЗ-572.

2. Что грозит МФО за утечку из базы данных с клиентами?

Зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. Дополнительно за нарушение срока уведомления РКН (24 часа по ч. 3.1 ст. 21 ФЗ-152) — ещё 1–3 млн ₽ по ч. 11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

3. Какое правовое основание обработки ПДн применяет банк при запросе в БСИ?

Основание зависит от цели запроса. При оценке страхового риска до заключения договора — согласие субъекта по п. 1 ч. 1 ст. 6 ФЗ-152. В рамках действующего договора — п. 5 ч. 1 ст. 6 (исполнение договора). Если субъект является юридическим лицом или ИП — применяются иные нормы. Смешение оснований или использование основания «исполнение договора» после его прекращения создаёт риск по ч. 1 ст. 13.11 КоАП.

4. Где хранится биометрия — в ЕБС или у оператора?

Только в ЕБС. С 01.06.2023 хранение исходных биометрических шаблонов (изображение лица, запись голоса) вне Единой биометрической системы запрещено. Оператором ЕБС является АО «Центр Биометрических Технологий». Банки и МФО, подключённые к ЕБС, используют её как пользователи и не вправе дублировать шаблоны во внутренних информационных системах. Нарушение этого запрета образует состав по ст. 11 ФЗ-152 и ст. 13.11.3 КоАП.

5. Как оспорить отказ в страховании, основанный на скоринге?

По ст. 16 ФЗ-152 субъект вправе потребовать от оператора разъяснения автоматизированного решения и пересмотра с участием человека. Обращение подаётся непосредственно страховщику; срок ответа — 10 рабочих дней по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Если оператор отказывает в пересмотре или не отвечает — субъект вправе подать жалобу в РКН или обратиться в суд. Оспаривание страхового тарифа (не отказа) регулируется также нормами страхового законодательства.

Итог

Бюро страховых историй концентрирует пересечение нескольких режимов: ФЗ-152, ФЗ-572 о биометрии, антиотмывочного 115-ФЗ и логики ФЗ-218 о кредитных историях. Для финансового директора это означает многоуровневые риски: от штрафа за некорректное согласие (до 700 тыс. ₽) до оборотного штрафа за повторную утечку (до 500 млн ₽). Ни одна из этих норм не действует автономно — нарушение в одном слое запускает цепочку в остальных.

DATUM сопровождает финансовые организации и финтех-компании в вопросах соответствия 152-ФЗ: аудит оснований обработки в БСИ, разработка форм согласий по требованиям ФЗ-156 от 01.09.2025, защита от штрафов по ст. 13.11 в арбитраже.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.