аналитика 16 февраля 2029 По состоянию на 16 февраля 2029

ПДн в кредитной истории

Кредитная история — это массив персональных данных, обработка которого регулируется одновременно ФЗ-152, ФЗ-218 и требованиями к идентификации по 115-ФЗ. Ошибка в любом из трёх контуров создаёт основание для штрафа или предписания РКН.

За 2024 год РКН зафиксировал более 710 млн скомпрометированных записей. Финансовый сектор — в числе наиболее уязвимых: банки и МФО работают с кредитными историями, скорингом и биометрией ежедневно, а с 30.05.2025 за утечку от 1 000 субъектов штраф начинается с 3 млн рублей по ч. 12 ст. 13.11 КоАП.

Если вы финансовый директор и оцениваете бюджет на комплаенс — цена аудита составляет от 100 000 рублей; цена первой утечки в новом режиме начинается с 3 млн и при повторности достигает 500 млн. Это арифметика, а не риторика. → Запросить оценку рисков

С 30.05.2025 статья 13.11 КоАП действует в редакции ФЗ-420: 18 частей вместо семи, оборотный штраф за повторную утечку до 500 млн рублей. Одновременно с 01.09.2025 вступили в силу поправки ФЗ-156 об отдельном согласии на обработку ПДн. Для финтеха и банков это означает пересборку трёх контуров: кредитные истории по ФЗ-218, скоринг по ст. 16 ФЗ-152 и биометрия по ФЗ-572. В этом материале — что изменилось, какие риски несёт финансовый директор и как выстроить защиту.

Что такое ПДн в кредитной истории и почему это не только ФЗ-218?

Кредитная история по ФЗ-218 содержит идентификационные данные субъекта, сведения об обязательствах, информацию о запросах и, в ряде случаев, данные о доходах. Всё это персональные данные по ст. 3 ФЗ-152: сведения, прямо или косвенно относящиеся к физическому лицу. Банки, МФО, кредитные кооперативы и бюро кредитных историй одновременно являются операторами ПДн по ФЗ-152 и участниками оборота кредитных историй по ФЗ-218. Конкуренция норм здесь не исключает, а усиливает ответственность: нарушение в одном контуре автоматически создаёт нарушение в другом.

Правовое основание для передачи данных в бюро кредитных историй — не согласие субъекта, а исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) совместно с требованием ФЗ-218. Это принципиально: банк не обязан запрашивать отдельное согласие на передачу в БКИ, но обязан информировать субъекта об обработке. Если банк передаёт данные третьим лицам за пределами БКИ — например, скоринговым агрегаторам или маркетинговым платформам — правовое основание меняется и требует отдельной проработки.

«Ст. 6 ч. 1 п. 5 ФЗ-152: обработка ПДн допускается без согласия субъекта, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект. ФЗ-218 обязывает кредиторов представлять информацию в бюро кредитных историй — это самостоятельное правовое основание, не требующее согласия.»

Срок хранения кредитной истории по ФЗ-218 составляет семь лет с момента последнего изменения. Это не совпадает с принципом ФЗ-152 о хранении ПДн «не дольше, чем необходимо для целей обработки». Коллизию закрывает специальный приоритет ФЗ-218 как отраслевого закона, однако политика обработки ПДн банка должна явно отражать оба срока и их соотношение.

Как работает скоринг по ст. 16 ФЗ-152 и какие риски несёт автоматизированное решение?

Скоринг в банке — типичное автоматизированное решение: алгоритм без участия человека принимает решение об отказе в кредите или об условиях договора. Статья 16 ФЗ-152 устанавливает специальное регулирование таких решений. Субъект вправе потребовать, чтобы решение, влекущее юридические последствия, было пересмотрено с участием человека. Банк обязан разъяснить принципы автоматизированного решения — в доступной форме, без ссылки на коммерческую тайну алгоритма как основания для отказа в объяснении.

«Ст. 16 ФЗ-152: субъект вправе требовать пересмотра решения, принятого исключительно на основе автоматизированной обработки его ПДн и влекущего юридические последствия либо иным образом затрагивающего его права и законные интересы. Оператор обязан разъяснить порядок принятия решения и возможные его последствия.»

На практике банки нарушают ст. 16 ФЗ-152 в двух типичных случаях. Первый — политика обработки ПДн не содержит упоминания об автоматизированных решениях: субъект не знает о своём праве на пересмотр. Второй — запрос субъекта о пересмотре игнорируется или получает формальный ответ без реального участия сотрудника. Оба случая дают РКН основание для предписания и протокола по ч. 4 ст. 13.11 КоАП (штраф 40–80 тыс. рублей для юрлица). Для финансового директора важно: штраф невелик, но предписание обязывает перестроить процесс, а это уже операционные затраты.

Финансовый директор считает бюджет на комплаенс?

Аудит соответствия ФЗ-152 для финтех-компании выявляет нарушения в трёх контурах одновременно: кредитные истории, скоринг, биометрия. Стоимость аудита — от 100 000 рублей. Стоимость первой утечки в новом режиме — от 3 млн рублей по ч. 12 ст. 13.11 КоАП. Это разница в 30 раз. Исправить нарушения до проверки РКН дешевле, чем после.

Заказать аудит 152-ФЗ

Ответ за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что изменила ЕБС для банков и МФО: ФЗ-572 и запрет хранить биометрию вне системы

С 01.06.2023 банки обязаны использовать Единую биометрическую систему для удалённой идентификации и не вправе хранить биометрические ПДн клиентов в собственных системах — за исключением случаев, прямо установленных ФЗ-572. Оператор ГИС ЕБС — АО «Центр Биометрических Технологий». Биометрические данные по ст. 11 ФЗ-152 обрабатываются только с письменного согласия субъекта.

Принципиальное изменение с 2023 года: хранение исходных биометрических шаблонов клиентов в банковской инфраструктуре вне ЕБС — это нарушение ФЗ-572, которое одновременно квалифицируется как нарушение ст. 11 ФЗ-152 и влечёт ответственность по ч. 16 ст. 13.11 КоАП. Для крупных банков с большими базами это создаёт риск, сопоставимый с рисками утечки: не нужен инцидент, достаточно факта хранения.

Отдельный состав — ст. 13.11.3 КоАП: нарушение требований к размещению биометрии в ЕБС банками и МФЦ. Штраф для юридического лица по этой статье составляет 500 тыс. — 1 млн рублей. Это меньше, чем по ч. 16 ст. 13.11, но статья применяется чаще: нарушения при загрузке и верификации в ЕБС выявляются в ходе плановых проверок без ожидания инцидента.

«Ст. 11 ФЗ-152: биометрические ПДн — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка допускается только с письменного согласия субъекта. ФЗ-572: хранение исходной биометрии вне ЕБС запрещено с 01.06.2023.»

Может ли банк отказать клиенту без биометрии и что грозит за принуждение?

Это один из наиболее острых вопросов после введения ЕБС. Часть 8 ст. 14.8 КоАП, введённая ФЗ-420, прямо запрещает отказывать потребителю в обслуживании на основании отказа от сдачи биометрии. Штраф за нарушение для юридического лица — до 500 тыс. рублей. Механизм работает: Роспотребнадзор и РКН совместно рассматривают жалобы субъектов, отказавшихся от биометрии.

На практике банки обходят этот запрет через дифференциацию каналов: услуга доступна очно без биометрии, но удалённый канал требует прохождения идентификации через ЕБС. Суды в 2025 году признавали такую дифференциацию допустимой, если очный канал обеспечивает доступ к той же услуге без дополнительных условий. Критерий — реальная доступность альтернативы, а не её формальное наличие в договоре.

Что грозит финтеху за утечку: новые составы ст. 13.11 с 30.05.2025

До 30.05.2025 максимальный штраф за утечку ПДн для юридического лица составлял 100 тыс. рублей. С принятием ФЗ-420 картина изменилась. Новые части ст. 13.11 КоАП дифференцируют ответственность по числу затронутых субъектов.

Штрафы за утечку ПДн с 30.05.2025 (ст. 13.11 КоАП)

Утечка от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов — ч. 12 ст. 13.11 КоАП: от 3 до 5 млн рублей для юрлица
Утечка от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов — ч. 13 ст. 13.11 КоАП: от 5 до 10 млн рублей
Утечка более 100 000 субъектов или более 1 000 000 идентификаторов — ч. 14 ст. 13.11 КоАП: от 10 до 15 млн рублей
Повторная утечка (оборотный штраф, ч. 15 ст. 13.11 КоАП) — 1–3% совокупной годовой выручки, не менее 20 млн рублей, не более 500 млн рублей
Утечка биометрических ПДн (ч. 17 ст. 13.11 КоАП) — от 15 до 20 млн рублей

Дополнительно: неуведомление РКН об утечке в течение 24 часов — самостоятельный состав по ч. 11 ст. 13.11 КоАП с штрафом 1–3 млн рублей. Срок не восстанавливается. Для МФО, работающих с тысячами заявителей в сутки, контроль «часа икс» — отдельная операционная задача, требующая готового регламента реагирования, а не ad hoc-решения.

Ст. 272.1 УК РФ, действующая с 11.12.2024, устанавливает уголовную ответственность за незаконные сбор, хранение, передачу или использование компьютерной информации с ПДн. По ч. 5 — при тяжких последствиях — лишение свободы до 10 лет. Для финансового сектора это означает персональный риск для руководителя ИБ и топ-менеджмента.

Если в вашей компании нет готового регламента реагирования на утечку — 24-часовой срок уведомления РКН по ч. 3.1 ст. 21 ФЗ-152 будет нарушен при первом инциденте. Стоимость ошибки — от 1 млн рублей по ч. 11 ст. 13.11 КоАП, плюс основной штраф по ч. 12–14. Юристы DATUM подготовят комплект ОРД, включая регламент реагирования, за фиксированную стоимость.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. МФО в Сибирском федеральном округе (осень 2025) получила предписание РКН по итогам плановой проверки. Инспекторы установили три нарушения одновременно: политика обработки ПДн не содержала раздела об автоматизированных решениях по скорингу (ст. 16 ФЗ-152), согласия заёмщиков на запрос в БКИ были включены в текст договора займа без выделения в отдельный документ (нарушение ФЗ-156 от 24.06.2025), отсутствовал приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152. Штраф по совокупности составов — в сотни тысяч рублей. Компания оспорила часть суммы в мировом суде, применив ст. 4.1.1 КоАП как микропредприятие, и добилась замены одного из штрафов на предупреждение. Основные составы остались в силе. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Региональный банк в Приволжском федеральном округе (начало 2026) обнаружил утечку через API-интеграцию со сторонним скоринговым агрегатором. Пострадало около 15 000 субъектов — кредитные истории с суммами задолженностей и контактными данными. Банк направил первичное уведомление РКН за 20 часов, отчёт о расследовании — через 68 часов. Квалификация — ч. 13 ст. 13.11 КоАП. Факт оперативного уведомления и представленный план корректирующих мер позволили адвокатам настаивать на минимальной санкции диапазона. Параллельно банк получил претензии от субъектов по компенсации морального вреда. Принцип ответственности оператора за утечку через подрядчика применён в полном объёме: договор с агрегатором не содержал надлежащего поручения на обработку по п. 3 ч. 1 ст. 6 ФЗ-152. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Идентификация по 115-ФЗ, НПС и пересечение с ФЗ-152: где граница?

Банки и МФО обязаны идентифицировать клиентов по 115-ФЗ («антиотмывочный» закон). Это самостоятельное правовое основание сбора ПДн: обработка необходима для исполнения требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152). Однако объём данных, собираемых в рамках 115-ФЗ, строго ограничен целями идентификации. Использование этих данных для маркетинга, скоринга третьих лиц или передачи партнёрам — отдельная цель, требующая самостоятельного правового основания.

В системах национальной платёжной системы (НПС) данные плательщика и получателя обрабатываются в рамках исполнения платёжных поручений. Это допустимо без согласия субъекта по п. 5 ч. 1 ст. 6 ФЗ-152. Проблема возникает, когда оператор платёжной системы начинает агрегировать транзакционные данные для поведенческого профилирования: это новая цель, несовместимая с исходной, что нарушает принцип недопустимости объединения баз с несовместимыми целями (ст. 5 ФЗ-152).

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка трёх контуров финтеха: кредитные истории, скоринг, биометрия
Комплект ОРД под ключ — политика, согласия, регламент реагирования на утечку за 24/72 часа
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, прямо запрещает обусловливать обслуживание потребителя обязательным предоставлением биометрических данных. Штраф для юридического лица — до 500 тыс. рублей. Допустимо ограничить конкретный канал (например, удалённую идентификацию), если очный канал предоставляет ту же услугу без биометрии. Судебная практика 2025 года признаёт такую дифференциацию законной при наличии реальной альтернативы.

2. Что грозит МФО за утечку ПДн заёмщиков?

При утечке от 1 000 субъектов — штраф от 3 до 5 млн рублей по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн рублей. Дополнительно — штраф 1–3 млн рублей по ч. 11 ст. 13.11, если МФО не уведомила РКН об инциденте в течение 24 часов. Уголовная ответственность по ст. 272.1 УК РФ — для конкретных сотрудников при наличии умысла.

3. Какое правовое основание для обработки ПДн в банке при выдаче кредита?

Основное — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Передача данных в БКИ — дополнительное основание по ФЗ-218. Идентификация по 115-ФЗ — п. 2 ч. 1 ст. 6 ФЗ-152: исполнение требований законодательства. Согласие (п. 1 ч. 1 ст. 6) применяется для обработки данных, выходящей за рамки этих целей: маркетинг, профилирование, передача партнёрам.

4. Где хранится биометрия — в банке или в ЕБС?

С 01.06.2023 исходные биометрические шаблоны хранятся только в Единой биометрической системе (ГИС ЕБС), оператор — АО «Центр Биометрических Технологий». Хранение биометрии в собственной инфраструктуре банка вне ЕБС запрещено по ФЗ-572. Нарушение квалифицируется по ч. 16 ст. 13.11 КоАП и ст. 13.11.3 КоАП. Банк вправе хранить только технические ссылки на записи в ЕБС, не сами шаблоны.

5. Как субъект может оспорить отказ в кредите, принятый алгоритмом?

Субъект вправе потребовать пересмотра решения с участием человека — на основании ст. 16 ФЗ-152. Банк обязан разъяснить принципы автоматизированного решения и провести повторную оценку с участием сотрудника. Отказ в пересмотре или формальный ответ без реального участия человека нарушает ст. 16 ФЗ-152 и даёт основание для жалобы в РКН. Жалобу подают через портал pd.rkn.gov.ru или в письменном виде в территориальный орган РКН.

Итог

ПДн в кредитной истории — это пересечение трёх регуляторных контуров: ФЗ-152, ФЗ-218 и ФЗ-572. Ошибки в каждом из них с 30.05.2025 стоят существенно дороже, чем до реформы ст. 13.11 КоАП. Финансовый директор, не заложивший в бюджет расходы на комплаенс, рискует столкнуться с штрафами, которые в десятки раз превышают стоимость превентивного аудита.

Юристы DATUM сопровождают финтех-компании, банки и МФО в вопросах соответствия ФЗ-152: аудит трёх контуров, подготовка ОРД для финансового сектора, представление интересов при проверках РКН и защита от штрафов по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.