ПДн в чеке (54-ФЗ)
54-ФЗ «О применении контрольно-кассовой техники» обязывает передавать покупателю чек в электронной форме по его запросу — на email или в виде SMS. Для финтех-компаний, банков, МФО и платёжных сервисов, которые работают с НКО-агентской моделью или выступают платёжными агентами, это означает ежедневную обработку персональных данных миллионов субъектов. 152-ФЗ при этом никто не отменял. Ниже — разбор правового пересечения двух законов, типичных нарушений и суммы, которую ставит на кон финансовый директор, подписывающий бюджет на ИТ без строки «защита ПДн».
Почему электронный чек — это обработка персональных данных?
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (ст. 3 ФЗ-152). Email и номер телефона в реквизитах кассового чека однозначно идентифицируют покупателя. Направление чека на email — это передача ПДн, а сохранение истории транзакций в учётной системе — накопление и хранение.
Ключевой вопрос для финдиректора: есть ли правовое основание для такой обработки? Ст. 6 ФЗ-152 перечисляет 11 оснований. В случае с чеком наиболее релевантны два: исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6), и согласие субъекта (п. 1 ч. 1 ст. 6). При разовой покупке без договорных отношений основанием служит именно согласие — а значит, его нужно получить до отправки чека на email.
Финтех-компании часто ошибаются, считая, что запрос покупателя на электронный чек — достаточное согласие. Это не так: ст. 9 ФЗ-152 в редакции с 01.09.2025 требует отдельного документа с обязательными реквизитами. Форма «введите email для чека» без явного информирования о целях обработки и без элементов отзыва согласия — нарушение ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽ за первичное нарушение, 1–1,5 млн ₽ при повторном).
Какие нормы 54-ФЗ и 152-ФЗ пересекаются в финтехе?
54-ФЗ регулирует форму и реквизиты чека, порядок его передачи через ОФД (оператора фискальных данных) и требования к ККТ. 152-ФЗ регулирует обработку персональных данных покупателя, которые оказываются в чеке или системах оператора. Пересечение возникает в нескольких точках.
Точка 1. ОФД как обработчик по поручению. Оператор фискальных данных получает чек с ПДн покупателя и передаёт его в ФНС и покупателю. По ст. 6 ч. 3 ФЗ-152 оператор вправе поручить обработку ПДн третьему лицу, но только на основании договора, содержащего обязательные условия о конфиденциальности и перечне разрешённых действий. Большинство договоров с ОФД такого раздела не содержат — это типовое нарушение.
Точка 2. История транзакций в CRM и процессинге. Финтех-компания хранит данные о транзакциях покупателя дольше, чем того требует 54-ФЗ (5 лет для фискальных документов). Если накопленная база используется для маркетинга или аналитики, возникает нарушение принципа ограничения цели (ст. 5 ФЗ-152): нельзя объединять базы с несовместимыми целями обработки.
Точка 3. Программы лояльности. Идентификация покупателя по номеру карты лояльности для привязки транзакции к профилю — самостоятельное основание обработки ПДн. Нередко оператор считает, что согласие уже получено при регистрации в программе лояльности. После 01.09.2025 это согласие должно быть отдельным документом (ФЗ-156 от 24.06.2025) — если оно встроено в договор оферты или правила программы, оно более не действительно для новых субъектов.
Как оценить риск для вашего бюджета прямо сейчас?
Если финансовый директор не видит в бюджете строки на комплаенс по 152-ФЗ, это не значит, что расходов не будет. Штраф по ч. 14 ст. 13.11 КоАП — 10–15 млн ₽ за утечку от 100 000 субъектов — не требует согласования с финансовым директором: его выставляет регулятор. Аудит соответствия 152-ФЗ от DATUM — от 100 000 ₽ — позволяет оценить реальный риск до того, как он стал убытком в P&L.
Заказать аудит 152-ФЗ+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что финтех нарушает чаще всего — и каков штраф?
По наблюдениям практики, финтех-компании допускают три категории нарушений при обработке ПДн в контексте 54-ФЗ.
Категория 1. Отсутствие правового основания. Отправка чека на email без надлежащего согласия или без договорной основы — нарушение ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом). Штраф для юрлица: 150–300 тыс. ₽ при первичном нарушении, 300–500 тыс. ₽ при повторном.
Категория 2. Ненадлежащее согласие. Форма сбора email без обязательных реквизитов, предусмотренных ст. 9 ФЗ-152 (цель, перечень ПДн, срок, способ отзыва) — нарушение ч. 2 ст. 13.11 КоАП. Штраф: 300–700 тыс. ₽, при повторном — 1–1,5 млн ₽.
Категория 3. Утечка через ОФД или процессинг. Если ОФД или процессинговая система допустила неправомерный доступ к базе транзакций, ответственность несёт оператор ПДн, а не только ОФД. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) штраф составит 3–5 млн ₽. Для крупных финтех-платформ с базой в несколько миллионов пользователей релевантны ч. 13 (5–10 млн ₽) и ч. 14 (10–15 млн ₽).
Что финдиректору проверить в бюджете и договорах
- Договор с ОФД содержит раздел о поручении обработки ПДн с обязательными условиями ст. 6 ч. 3 ФЗ-152.
- Форма сбора email или телефона для электронного чека содержит надлежащее согласие с реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025.
- Политика обработки ПДн опубликована и актуальна — иначе штраф по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽).
- История транзакций не используется для целей, несовместимых с первоначальными (маркетинг, скоринг) без отдельного правового основания.
- В бюджете предусмотрена строка на аудит и ОРД по 152-ФЗ — сопоставимая со стоимостью одного административного штрафа.
Финтех, МФО и банки: отраслевые пересечения с 152-ФЗ
Для финансового сектора вопрос ПДн в чеке — лишь один из нескольких регуляторных слоёв. Банки и МФО обрабатывают ПДн также в рамках идентификации по 115-ФЗ (противодействие легализации), кредитного скоринга, передачи в БКИ по 218-ФЗ и биометрической идентификации через ЕБС по 572-ФЗ.
Скоринг и автоматизированные решения. Ст. 16 ФЗ-152 регулирует решения, принятые исключительно на основании автоматизированной обработки ПДн и влекущие юридические последствия для субъекта. Кредитный скоринг относится именно к таким решениям. Субъект вправе потребовать проверки скорингового решения «человеческим» способом и возражать против него. Отказ банка или МФО предоставить объяснение — нарушение ст. 16 ФЗ-152 и основание для жалобы в РКН.
БКИ и согласие на запрос. Банк или МФО обязаны получить согласие субъекта на запрос в БКИ (218-ФЗ). Это согласие является самостоятельным — его нельзя объединять с кредитным договором. После 01.09.2025 требование отдельного документа по ст. 9 ФЗ-152 делает объединённые формы «договор + согласие на БКИ» нарушением, если документ подписан после этой даты.
Биометрия в банке и ЕБС. С 01.06.2023 банки не вправе хранить исходную биометрию вне ЕБС (572-ФЗ). Для включения биометрии клиента в ЕБС требуется письменное согласие по ст. 11 ФЗ-152. Важно: банк не вправе отказать в обслуживании клиенту, который не предоставил биометрические данные — ч. 8 ст. 14.8 КоАП предусматривает за такой отказ штраф до 500 тыс. ₽.
Если финансовый директор согласовывает договор с ОФД, процессингом или БКИ — проверьте, есть ли в нём раздел о поручении обработки ПДн. Его отсутствие — нарушение ст. 6 ФЗ-152 и основание для штрафа при первой же проверке РКН. Юристы DATUM составят пакет ОРД и скорректируют договоры под актуальные требования.
Собрать ОРД под ключТипичные сценарии: как финтех получает штраф из-за чека и транзакций
Сценарий 1. Платёжный агент без договора поручения. Финтех-компания выступает платёжным агентом банка и направляет чеки покупателям через собственный процессинг. Договор с банком не содержит раздела о поручении обработки ПДн. РКН при проверке квалифицирует это как обработку без надлежащего основания (ч. 1 ст. 13.11 КоАП). Штраф — 150–300 тыс. ₽. При повторном нарушении — 300–500 тыс. ₽. Стратегия: добавить приложение к договору с перечнем действий, целью и сроком обработки ПДн; при этом ответственность за обеспечение конфиденциальности остаётся на агенте.
Сценарий 2. Утечка базы транзакций через подрядчика. Финтех-стартап передал базу транзакций в аналитическое агентство для построения сегментов аудитории. В агентстве произошла утечка. База содержала 45 000 уникальных субъектов. РКН возбудил дело по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов). Штраф — 5–10 млн ₽. Отягчающее обстоятельство — отсутствие договора поручения обработки с агентством. Стратегия: формализовать передачу ПДн через договор по ст. 6 ч. 3 ФЗ-152; в случае возбуждения дела — зафиксировать меры по устранению нарушения для применения ст. 4.1.1 КоАП.
Сценарий 3. МФО после 01.09.2025: старые согласия на рассылку чеков. МФО направляла электронные чеки на email клиентов на основании согласий, встроенных в договор займа. После 01.09.2025 такие согласия не соответствуют требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. РКН при плановой проверке в конце 2025 года зафиксировал нарушение по ч. 2 ст. 13.11 КоАП. Штраф — 300–700 тыс. ₽. Стратегия: до 01.09.2025 переоформить все согласия, встроенные в договоры займа, в отдельные документы; для действующих клиентов — организовать дополнительную рассылку с предложением подтвердить согласие.
Как это применяется на практике
Кейс 1. Финтех-компания в Приволжском федеральном округе (осень 2025 года) получила протокол РКН по итогам внеплановой проверки: договор с ОФД не содержал условий о поручении обработки ПДн, форма сбора email для чека не соответствовала ст. 9 ФЗ-152. Штраф по двум составам (ч. 1 и ч. 2 ст. 13.11 КоАП) составил в совокупности сотни тысяч рублей. Компания обратилась за защитой в арбитраж: были представлены доказательства принятых мер и отсутствия умысла. По итогам рассмотрения штраф по ч. 1 заменён предупреждением по ст. 4.1.1 КоАП — ввиду первичности и статуса МСП. Штраф по ч. 2 снижен до минимального значения. Общие потери оказались значительно меньше максимально возможных.
Кейс 2. МФО в Центральном федеральном округе (начало 2026 года) направляла электронные чеки клиентам через агрегатора. После утечки базы агрегатора затронуто около 12 000 субъектов. МФО уведомила РКН в течение 24 часов и подала отчёт через 68 часов (в пределах 72-часового срока по Приказу РКН №187). Дело квалифицировано по ч. 12 ст. 13.11 КоАП (3–5 млн ₽). Наличие надлежащего договора поручения с агрегатором позволило снизить штраф: арбитражный суд региона применил смягчающие обстоятельства — оперативное уведомление и отсутствие вреда субъектам. Штраф назначен в нижней части диапазона.
Частые вопросы
1. Можно ли отказать клиенту в обслуживании без предоставления биометрии?
Нет. Ч. 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024) прямо запрещает отказывать потребителю в обслуживании по причине отказа от предоставления биометрических данных в ЕБС. Для банков, МФО и финтех-компаний, предоставляющих услуги физическим лицам, нарушение этого запрета влечёт штраф для юрлица до 500 тыс. ₽. Биометрия — добровольный инструмент идентификации, не условие доступа к финансовой услуге.
2. Что грозит МФО за утечку базы заёмщиков?
Размер штрафа зависит от числа субъектов в утечке. По ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов) — 3–5 млн ₽. По ч. 13 (от 10 000 до 100 000) — 5–10 млн ₽. По ч. 14 (более 100 000 субъектов) — 10–15 млн ₽. При повторной утечке применяется ч. 15 — оборотный штраф от 1 до 3% годовой выручки, не менее 20 млн ₽. Неуведомление РКН в течение 24 часов дополнительно даёт состав по ч. 11 ст. 13.11 КоАП — 1–3 млн ₽.
3. Какое правовое основание обработки ПДн в банке при выдаче кредита?
При кредитовании основным основанием является исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): банк обрабатывает ПДн заёмщика для оценки заявки, формирования кредитного досье и обслуживания договора. Передача в БКИ требует отдельного согласия по 218-ФЗ. Скоринг на основе автоматизированной обработки регулируется ст. 16 ФЗ-152: субъект вправе возразить против решения и потребовать его проверки. С 01.09.2025 согласие на любые виды обработки, выходящие за рамки договора, должно оформляться отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156.
4. Где хранится биометрия клиента банка — в ЕБС или у самого банка?
С 01.06.2023 банки обязаны хранить биометрические ПДн клиентов исключительно в Единой биометрической системе (ЕБС), оператором которой является АО «Центр Биометрических Технологий» (572-ФЗ). Хранение исходной биометрии на собственных серверах банка запрещено. Использование биометрии для идентификации осуществляется через API ЕБС. Нарушение порядка хранения и обработки биометрии может повлечь ответственность по ч. 16 и ч. 17 ст. 13.11 КоАП — до 20 млн ₽ за утечку биометрических ПДн.
5. Как клиент может оспорить отказ в кредите, основанный на скоринге?
Ст. 16 ФЗ-152 даёт субъекту право потребовать от оператора (банка или МФО) проверки автоматизированного решения с участием человека и возможности представить свою позицию. Банк обязан ответить на такое требование в течение 10 рабочих дней (ст. 20 ФЗ-152). Если банк отказывает или не отвечает — субъект вправе обратиться в РКН с жалобой. При систематических нарушениях РКН вправе выдать предписание и возбудить административное дело.
Итог
Электронный чек по 54-ФЗ — это персональные данные, а не только налоговый документ. Финтех-компании, банки и МФО обрабатывают ПДн покупателей и клиентов в десятках точек: от отправки чека на email до скоринга и передачи в БКИ. Каждая из этих операций требует правового основания, надлежащего согласия и оформленного договора поручения с подрядчиками. После 01.09.2025 требования к форме согласия ужесточились — встроенные в договоры формы перестали быть действительными.
DATUM сопровождает финансовые организации в вопросах соответствия 152-ФЗ: от аудита до защиты в арбитраже при штрафах по ст. 13.11 КоАП. Опыт охватывает банки, МФО, платёжные сервисы и финтех-стартапы.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн: чек, транзакции, ОФД, БКИ
- Комплект ОРД под ключ — договоры поручения, политика, согласия, журналы по актуальным требованиям
- Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1
21 апреля 2029 года