аналитика 1 июня 2026 По состоянию на 1 июня 2026

ПДн в договоре микрозайма

Договор микрозайма — это точка сбора персональных данных сразу по пяти правовым режимам: ФЗ-152, ФЗ-218, ФЗ-572, ФЗ-115 и НПС. Ошибка в любом из них превращается в протокол РКН.

С 30.05.2025 штраф за утечку клиентских ПДн МФО — от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП, при повторности — оборотный до 500 млн ₽ по ч. 15. Скоринговые алгоритмы дополнительно подпадают под ст. 16 ФЗ-152 об автоматизированных решениях.

Если вы финансовый директор МФО и считаете бюджет на комплаенс — сравните цену аудита (от 100 000 ₽) с ценой первой проверки РКН после утечки. → Разобраться с рисками за два часа

Микрофинансовые организации обрабатывают персональные данные плотнее, чем большинство других операторов: паспортные данные, СНИЛС, ИНН, кредитная история из БКИ, сведения о доходах, биометрические шаблоны для онлайн-идентификации. С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 — 18 частей вместо прежних семи. Для финансового директора это означает одно: цена несоответствия выросла кратно, а правил стало больше. Этот материал разбирает правовую архитектуру обработки ПДн в договоре микрозайма и объясняет, какие нормы создают наибольший бюджетный риск.

Какие основания обработки ПДн действуют в договоре микрозайма?

МФО не может опираться на одно согласие — оснований обработки несколько, и каждое требует самостоятельного документального оформления.

Основное основание — исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 ФЗ-152). Оно покрывает обработку ПДн, без которой выдача займа технически невозможна: идентификация, расчёт платежей, передача в платёжную систему. Никакого отдельного согласия здесь не требуется.

Запрос в бюро кредитных историй — самостоятельное основание по ФЗ-218. Согласие на запрос в БКИ должно быть отдельным документом с указанием конкретного бюро и цели. Объединять его с общим согласием на обработку ПДн нельзя: это разные правовые режимы.

Идентификация через Единую биометрическую систему (ЕБС) регулируется ФЗ-572. МФО, подключённая к ЕБС, вправе использовать биометрический шаблон для удалённого установления личности — но только если клиент сам разместил данные в ЕБС. Снимать биометрию самостоятельно и хранить её вне ЕБС — запрещено.

Противодействие отмыванию доходов по ФЗ-115 создаёт ещё одно основание — исполнение требований законодательства. Обработка ПДн для целей идентификации клиента по ФЗ-115 не требует согласия и не зависит от воли субъекта.

Маркетинг, персональные предложения, уведомления о новых продуктах — отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025 — отдельный документ, не вшитый в договор). Включать согласие на рассылку в текст договора займа после 01.09.2025 — прямое нарушение.

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки персональных данных. Согласие — лишь одно из них. Обработка, необходимая для исполнения договора с субъектом, согласия не требует.»

Считаете бюджет на комплаенс — начните с точного перечня рисков

Финансовый директор МФО, как правило, не получает полной картины: юристы закрывают один контур, ИБ — другой, а регуляторный разрыв остаётся незамеченным до первого протокола РКН. Аудит по ФЗ-152 — это единый документ с приоритизированным планом: что нарушено, какой штраф грозит, что исправить в первую очередь. Стоимость аудита — от 100 000 ₽; стоимость штрафа по ч. 12 ст. 13.11 — от 3 000 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как скоринг и автоматизированные решения соотносятся со ст. 16 ФЗ-152?

Скоринговая модель МФО принимает решение об отказе или одобрении займа без участия человека — это автоматизированное решение, значимо затрагивающее права субъекта. Ст. 16 ФЗ-152 прямо запрещает принимать такие решения исключительно на основе автоматизированной обработки, если субъект не дал на это явного согласия или если это не предусмотрено федеральным законом.

На практике МФО обходят это требование двумя способами: либо включают согласие на автоматизированный скоринг в заявление на заём, либо опираются на договорное основание (п. 5 ч. 1 ст. 6 ФЗ-152). Первый способ работает, если согласие оформлено корректно — с перечнем данных, алгоритмов и правом субъекта оспорить решение. Второй работает только в части исполнения договора, но не в части отказа до его заключения.

Субъект по ст. 16 ФЗ-152 вправе требовать пересмотра решения с участием человека. МФО обязана обеспечить такую процедуру — назначить ответственного сотрудника, установить срок рассмотрения, зафиксировать порядок в локальном акте. Отсутствие такой процедуры — самостоятельное нарушение, которое РКН фиксирует при плановых проверках финтех-операторов.

«Ст. 16 ФЗ-152 — право субъекта не подвергаться решениям, основанным исключительно на автоматизированной обработке. Оператор обязан предоставить возможность оспорить такое решение или инициировать его пересмотр человеком.»

Что означает подключение к ЕБС для МФО с точки зрения ПДн?

Единая биометрическая система — государственная информационная система под управлением АО «Центр Биометрических Технологий». МФО, получившая доступ к ЕБС для удалённой идентификации, не является оператором биометрических ПДн в части шаблонов — они хранятся в ЕБС, а не у МФО. Это снижает регуляторную нагрузку.

Однако МФО несёт ответственность за качество запроса и соответствие результата идентификации требованиям ФЗ-572 и ФЗ-115. Ошибочная идентификация, повлёкшая выдачу займа мошеннику, создаёт риски как по ФЗ-115 (нарушение порядка идентификации), так и по ФЗ-152 (использование ПДн не в соответствии с целью).

Важен и запрет, введённый ФЗ-572: МФО не вправе отказать в обслуживании клиенту, не прошедшему биометрическую идентификацию через ЕБС, если иные способы идентификации законом допустимы. Нарушение этого запрета — штраф по ч. 8 ст. 14.8 КоАП (до 500 тыс. ₽ для юрлица). Это дополнительная строка в бюджете рисков.

Что проверить финансовому директору МФО

Оснований обработки — не менее пяти: договор, ФЗ-218, ФЗ-115, маркетинговое согласие (отдельный документ с 01.09.2025), ЕБС по ФЗ-572
Согласие на запрос в БКИ — отдельная форма с указанием конкретного бюро и цели, не вшитое в договор займа
Процедура оспаривания автоматизированного скорингового решения — локальный акт и ответственный сотрудник по ст. 16 ФЗ-152
Уведомление в реестре РКН — подано по форме Приказа РКН №180, сведения актуальны (МФО часто меняют ИТ-инфраструктуру, не обновляя уведомление)
План реагирования на утечку — 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152, отчёт за 72 часа по Приказу РКН №187

Типовые ситуации: как нарушения МФО квалифицируются по ст. 13.11 КоАП

Рассмотрим три сценария, характерных для МФО при взаимодействии с РКН.

Сценарий 1. Согласие на маркетинг вшито в договор займа. До 01.09.2025 это практиковалось повсеместно — один документ, одна подпись. После ФЗ-156 согласие на обработку ПДн для целей, не связанных с договором (рассылки, персональные предложения), обязано быть отдельным документом. МФО, не переоформившая шаблоны документов, при проверке получает протокол по ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия) — штраф от 300 000 до 700 000 ₽. При повторном нарушении — ч. 2.1, штраф от 1 000 000 до 1 500 000 ₽. Стратегия: переоформить согласия отдельным документом до прихода инспектора, провести внутренний аудит шаблонов.

Сценарий 2. Утечка базы клиентских заявок через подрядчика. МФО передаёт обработку заявлений на заём стороннему колл-центру по договору поручения. Подрядчик не обеспечивает должную защиту — данные оказываются в открытом доступе. Объём — 15 000 субъектов. По устоявшейся позиции судов оператор несёт ответственность за действия обработчика. Квалификация — ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов), штраф от 5 000 000 до 10 000 000 ₽. Неуведомление РКН за 24 часа добавит ч. 11 ст. 13.11 — ещё от 1 000 000 до 3 000 000 ₽. Итого потенциальный бюджетный риск — до 13 млн ₽ по двум составам. Стратегия: включить в договор с подрядчиком требования по ст. 6 ч. 3 ФЗ-152, проверить их технические меры защиты, настроить мониторинг инцидентов.

Сценарий 3. МФО не обновила уведомление после смены ИТ-инфраструктуры. Компания перевела обработку заявок на новую CRM, добавила облачное хранилище данных, сменила подрядчика по скорингу. Уведомление в реестре РКН при этом не обновлялось два года. При плановой проверке инспектор фиксирует расхождение между реальной обработкой и заявленной. Протокол — по ч. 1 ст. 13.11 (обработка, не соответствующая заявленным целям и условиям) и ч. 10 (несвоевременное уведомление об изменении сведений). Суммарный штраф — от 250 000 до 600 000 ₽. Стратегия: ввести регламент обновления уведомления при любых изменениях ИТ-инфраструктуры — как часть внутреннего контроля.

Если финансовый директор МФО обнаружил, что согласия не переоформлены или уведомление в РКН устарело — время до первой проверки сокращается непредсказуемо. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут приоритизированный план устранения.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО (Сибирский ФО, осень 2025) получила предписание РКН по итогам внеплановой проверки: согласия на маркетинговую рассылку были объединены с договором займа, уведомление в реестре не обновлялось после подключения нового скорингового сервиса. Финансовый директор обратился за сопровождением до составления протокола. Юристы подготовили объяснения, подтвердили оперативное устранение нарушений, переоформили шаблоны и обновили уведомление. Производство завершено штрафами в сумме, кратно меньшей максимально возможной по совокупности составов.

Кейс 2. По данным публичной правоприменительной практики (Северо-Западный ФО, начало 2026), цифровая платформа финансовых услуг столкнулась с утечкой данных около 70 000 субъектов — ФИО, контактные данные, сведения о финансовых операциях — после хакерской атаки. Дело рассматривалось арбитражным судом по ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства: оперативное уведомление РКН в установленные сроки, сотрудничество со следствием, отсутствие предшествующих нарушений.

Частые вопросы

1. Можно ли отказать клиенту в займе, если он не предоставил биометрию?

Нет, если биометрическая идентификация через ЕБС не является единственным законодательно установленным способом подтверждения личности. ФЗ-572 прямо запрещает обусловливать получение услуги обязательным предоставлением биометрии в ЕБС. Отказ клиенту, прошедшему иные законные способы идентификации, только потому что он не зарегистрировался в ЕБС, влечёт штраф по ч. 8 ст. 14.8 КоАП — для юридических лиц до 500 000 ₽.

2. Что грозит МФО за утечку клиентских данных?

Размер штрафа зависит от масштаба утечки. По ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов) — от 3 000 000 до 5 000 000 ₽; по ч. 13 (от 10 000 до 100 000) — от 5 000 000 до 10 000 000 ₽; по ч. 14 (более 100 000) — от 10 000 000 до 15 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15 — от 1 до 3% совокупной годовой выручки, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Дополнительно — штраф за неуведомление РКН в 24 часа по ч. 11: от 1 000 000 до 3 000 000 ₽. Все суммы — в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

3. Какое основание обработки ПДн является главным в МФО?

Для выдачи займа — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): согласие на этот блок обработки не нужно. Для запроса в БКИ — согласие по ФЗ-218, оформленное отдельно. Для ФЗ-115 — исполнение требований законодательства. Для маркетинга — отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025 только отдельным документом). Каждое основание документируется независимо.

4. Где хранится биометрия клиента — в ЕБС или у МФО?

Биометрические шаблоны хранятся в Единой биометрической системе (ГИС ЕБС), оператором которой является АО «Центр Биометрических Технологий». МФО получает только результат идентификации — совпадение или несовпадение. Хранить биометрические данные самостоятельно вне ЕБС запрещено с 01.06.2023 по ФЗ-572. Это снимает с МФО обязанность обеспечивать защиту биометрии по ст. 11 ФЗ-152, но не снимает ответственность за правомерность запроса к ЕБС.

5. Как клиент может оспорить отказ в кредите, вынесенный скорингом?

Ст. 16 ФЗ-152 даёт субъекту право требовать пересмотра автоматизированного решения с участием человека. МФО обязана иметь задокументированную процедуру: ответственного сотрудника, срок рассмотрения, форму обращения. Если такой процедуры нет — это нарушение ст. 16 ФЗ-152, которое при проверке РКН фиксируется отдельным пунктом предписания. Клиент также вправе обратиться с жалобой непосредственно в РКН.

Итог

Обработка ПДн в договоре микрозайма охватывает пять правовых режимов одновременно: ФЗ-152, ФЗ-218, ФЗ-572, ФЗ-115 и НПС. Каждый режим требует отдельного документального основания, и ни одно из них не заменяет другое. С 30.05.2025 цена нарушения — от 3 млн ₽ за первую утечку до 500 млн ₽ за повторную оборотным штрафом.

Практика DATUM включает аудиты МФО, комплектование ОРД для финансового сектора и сопровождение при проверках РКН. Типичный разрыв, который мы фиксируем у МФО — несоответствие уведомления реестра фактической инфраструктуре и отсутствие процедуры оспаривания скорингового решения по ст. 16 ФЗ-152.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех оснований обработки и ОРД МФО по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия под ФЗ-156, регламент скоринга, план реагирования на утечку
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

1 июня 2026 года