аналитика 3 июня 2026 По состоянию на 3 июня 2026

ПДн выгодоприобретателя

Q: Где хранится биометрия выгодоприобретателя — в ЕБС?

С 01.06.2023 биометрические ПДн для целей финансовой идентификации обязаны храниться исключительно в Единой биометрической системе под управлением АО «Центр Биометрических Технологий» (ФЗ-572). Банк не вправе хранить исходную биометрию выгодоприобретателя на собственных серверах. Хранение биометрии вне ЕБС — нарушение ст. 11 ФЗ-152 и ФЗ-572, с 30.05.2025 квалифицируется по ч. 16 ст. 13.11 КоАП.

Персональные данные выгодоприобретателя — это сведения о лице, в чью пользу действует клиент финансовой организации при заключении сделки, идентифицируемые по ст. 3 ФЗ-152 как ПДн третьего лица.

Банк, МФО или страховщик, собирающий ПДн выгодоприобретателя для целей 115-ФЗ, одновременно выступает оператором по ФЗ-152 и обязан соблюдать требования ст. 6, 9 и 18.1. Штраф за нарушение — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП, при повторности — до 1 500 000 ₽.

→ Если вы финансовый директор и ваша компания обрабатывает данные выгодоприобретателей без оформленного правового основания — у вас есть время исправить это до проверки РКН.

С 30.05.2025 действует обновлённая ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): штрафы выросли, появились оборотные составы для повторных утечек. Для финтех-компании это означает прямую арифметику: стоимость аудита — от 100 000 ₽, стоимость штрафа за необоснованную обработку ПДн третьих лиц — от 150 000 до 700 000 ₽ за один протокол, а при утечке от 10 000 субъектов — от 5 000 000 ₽. Ниже — анализ правового режима обработки ПДн выгодоприобретателя, оснований по ФЗ-152, требований 115-ФЗ и пересечений с ФЗ-218, ФЗ-572 и скорингом по ст. 16 ФЗ-152.

Кто такой выгодоприобретатель и почему его данные попадают под ФЗ-152?

Выгодоприобретатель в финансовом праве — лицо, в чьих интересах клиент проводит операцию или заключает договор. В страховании — получатель страховой выплаты. В банковских продуктах — третье лицо, указанное клиентом как получатель средств. В лизинге — нередко конечный пользователь имущества. Каждое из этих лиц имеет ФИО, дату рождения, паспортные данные, ИНН — то есть набор признаков, прямо соответствующих определению ПДн из ст. 3 ФЗ-152.

Финансовая организация получает эти сведения не от самого выгодоприобретателя, а от клиента-контрагента. Это порождает специфику: согласие по ст. 9 ФЗ-152 в стандартной конструкции исходит от субъекта — самого физического лица. Когда субъект является третьим лицом по сделке, финансовая организация должна либо располагать иным правовым основанием по ст. 6, либо получить согласие от выгодоприобретателя до начала обработки его данных.

115-ФЗ «О противодействии легализации...» обязывает кредитные организации идентифицировать выгодоприобретателей по сделкам, превышающим пороговые значения, и при наличии признаков операций в чужих интересах. Это создаёт легальное основание для сбора ПДн — исполнение требований закона по п. 2 ч. 1 ст. 6 ФЗ-152. Однако оно действует строго в рамках идентификационных целей 115-ФЗ и не распространяется на маркетинговое использование, передачу третьим лицам или хранение в аналитических системах за пределами AML-процессов.

«Ст. 6 ФЗ-152 допускает обработку ПДн без согласия субъекта, если это необходимо для достижения целей, предусмотренных международным договором или законом (п. 2 ч. 1 ст. 6). Применительно к выгодоприобретателям — это исполнение требований 115-ФЗ об идентификации. За пределами этих целей — требуется согласие или иное основание по ст. 6.»

Какое правовое основание использовать банку при обработке ПДн выгодоприобретателя?

Практика показывает, что финансовые организации нередко смешивают несколько оснований, не разграничивая их по целям. Рассмотрим три ключевых сценария.

Идентификация по 115-ФЗ. Банк вправе собирать и хранить ПДн выгодоприобретателя без его отдельного согласия — на основании п. 2 ч. 1 ст. 6 ФЗ-152, поскольку обработка осуществляется для исполнения требований федерального закона. Объём данных ограничен целями идентификации: ФИО, дата рождения, гражданство, реквизиты документа, ИНН. Использование этих данных для скоринга, CRM-профилирования или рекламных рассылок является нарушением принципа целевого использования (ст. 5 ФЗ-152) и квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽.

Страхование с выгодоприобретателем-физлицом. При страховании жизни или имущества страховщик получает ПДн выгодоприобретателя как необходимые для исполнения договора с клиентом-страхователем (п. 5 ч. 1 ст. 6 ФЗ-152). Ключевое условие: передача этих данных страховщику предусмотрена в договоре страхования, а сам выгодоприобретатель является стороной, интересы которой защищаются договором. Если выгодоприобретатель не является стороной договора в смысле ГК РФ — основание п. 5 не применяется, требуется согласие.

МФО и потребительское кредитование. В случае, когда МФО собирает данные поручителя или третьего выгодоприобретателя исключительно в целях верификации по форме, установленной ЦБ РФ для анкеты заёмщика, — основание аналогично банковскому: исполнение требований закона или договора. Однако при передаче данных в БКИ по ФЗ-218 возникает отдельная правовая конструкция: передача кредитной истории третьего лица требует самостоятельного согласия этого лица, поскольку ФЗ-218 прямо устанавливает субъекта как источника согласия на передачу сведений в бюро кредитных историй.

Финдиректор: когда аудит дешевле одного протокола РКН?

Если в вашей финансовой организации обработка ПДн выгодоприобретателей происходит в рамках единой клиентской базы без разграничения правовых оснований — это типичное нарушение ст. 5 ФЗ-152. Один протокол по ч. 1 ст. 13.11 — 150 000–300 000 ₽. Аудит DATUM по чек-листу из 38 пунктов даст карту нарушений и план устранения до проверки РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как скоринг по ст. 16 ФЗ-152 и ФЗ-218 пересекается с данными выгодоприобретателя?

Ст. 16 ФЗ-152 регулирует принятие решений, основанных исключительно на автоматизированной обработке ПДн и порождающих юридические последствия для субъекта или существенно затрагивающих его права. Скоринговая модель, которая использует ПДн выгодоприобретателя для оценки кредитного риска основного заёмщика, в большинстве случаев не затрагивает права самого выгодоприобретателя напрямую. Однако если на основании скоринга формируется отказ в выдаче кредита и в этот расчёт включены данные о выгодоприобретателе — субъект вправе потребовать разъяснения принятого решения и проверки его корректности.

Более острая коллизия возникает при использовании данных выгодоприобретателя из базы БКИ. По ФЗ-218 банк вправе запросить кредитную историю третьего лица только при наличии его согласия. Если кредитная организация включила данные о кредитной истории выгодоприобретателя в скоринговую модель без такого согласия — это нарушение как ФЗ-218, так и ст. 6 ФЗ-152. Роскомнадзор в рамках 152-ФЗ квалифицирует такое действие как обработку без правового основания — ч. 1 ст. 13.11 КоАП.

ФЗ-572 о единой биометрической системе вводит дополнительный пласт ограничений: банк не вправе использовать биометрические ПДн из ЕБС для идентификации выгодоприобретателя без его прямого участия в системе. Исходная биометрия не хранится у банка с 01.06.2023 — только в ЕБС под управлением АО «ЦБТ». Если финансовая организация собирала биометрические данные выгодоприобретателя вне ЕБС и хранит их на собственных серверах — это нарушение ст. 11 ФЗ-152 и ФЗ-572, а с 30.05.2025 квалифицируется по ч. 16 ст. 13.11 КоАП.

«Ст. 16 ФЗ-152: запрет принимать решения, основанные исключительно на автоматизированной обработке ПДн и порождающие правовые последствия для субъекта, без предоставления ему возможности потребовать пересмотра такого решения и защиты своих прав.»

Что изменилось для финтеха с 30.05.2025: ФЗ-420 и новая сетка штрафов

ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей. Для финансового сектора ключевые изменения касаются нескольких составов.

Утечка ПДн. При утечке данных выгодоприобретателей, если затронуто от 1 000 до 10 000 субъектов, применяется ч. 12 ст. 13.11 — штраф для юрлица 3 000 000–5 000 000 ₽. При 10 000–100 000 субъектов — ч. 13, штраф 5 000 000–10 000 000 ₽. Свыше 100 000 субъектов — ч. 14, штраф 10 000 000–15 000 000 ₽. Утечка биометрии — ч. 17, штраф 15 000 000–20 000 000 ₽.

Оборотный штраф. При повторной утечке (после первого постановления по ч. 12–14) применяется ч. 15 ст. 13.11: 1–3% совокупной годовой выручки за предшествующий год, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Для крупного банка с выручкой 50 млрд ₽ это 500 000 000–1 500 000 000 ₽ расчётно, но лимитировано потолком в 500 млн ₽.

Неуведомление об утечке. По ч. 11 ст. 13.11 — за несоблюдение срока 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 — штраф 1 000 000–3 000 000 ₽. Срок не восстанавливается. Отчёт о расследовании должен поступить в РКН через 72 часа — требование Приказа РКН №187 от 14.11.2022.

Смягчение для МСП. Ст. 4.1.1 КоАП позволяет заменить штраф на предупреждение при первичном нарушении для микропредприятий и субъектов МСП — при отсутствии вреда. Однако к ч. 15 и ч. 18 ст. 13.11 это правило не применяется. Инвестиции в ИБ в размере не менее 0,1% совокупной выручки за три предшествующих года дают право на снижение оборотного штрафа до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ (ст. 4.1 КоАП, Примечание 3.4-2).

Что подготовить финтех-компании по ПДн выгодоприобретателей

Карта обработки ПДн: отдельные записи для данных клиента, выгодоприобретателя, поручителя — с указанием правового основания по ст. 6 ФЗ-152 для каждой категории.
Политика обработки ПДн с разделом о третьих лицах по договорам — опубликованная на сайте согласно ч. 2 ст. 18.1 ФЗ-152 (отсутствие — ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽).
Договоры с БКИ по ФЗ-218 — проверить наличие согласия субъектов на передачу данных третьих лиц.
Регламент реагирования на инциденты с ПДн — с процедурой уведомления РКН за 24/72 часа по Приказу №187.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальными данными должностного лица.

Типовые ситуации: сценарии нарушений и их последствия для финтеха

Сценарий 1. МФО использует данные выгодоприобретателя в маркетинге. МФО при выдаче займа собирает ПДн выгодоприобретателя для целей 115-ФЗ — законное основание. Затем эти же данные попадают в CRM-систему и используются для рекламных рассылок по собственным продуктам МФО. Основание по п. 2 ч. 1 ст. 6 (исполнение закона) не охватывает маркетинг. Согласия выгодоприобретателя на рекламную обработку нет. Итог: нарушение ст. 5 ФЗ-152 (несовместимость целей) и обработка без основания по ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽. Стратегия: разделить базы AML-идентификации и маркетинговой CRM; данные третьих лиц в маркетинговые процессы не включать.

Сценарий 2. Банк передаёт ПДн выгодоприобретателя зарубежному партнёру без уведомления РКН. Крупный банк передаёт данные о выгодоприобретателях клиентов зарубежной compliance-системе для верификации санкционных списков. Страна назначения не включена в перечень РКН стран с адекватной защитой. Уведомление о трансграничной передаче в РКН до начала передачи не подавалось (нарушение ст. 12 ФЗ-152). Штраф по ч. 1 ст. 13.11 — 150 000–300 000 ₽. Дополнительный риск: если передача признана нарушением локализации (ч. 5 ст. 18 ФЗ-152) — ч. 8 ст. 13.11, штраф 1 000 000–6 000 000 ₽. Стратегия: подать уведомление в РКН, оформить договор с иностранным обработчиком по требованиям ч. 3 ст. 6 ФЗ-152 и ст. 12.

Сценарий 3. Страховщик не отвечает на запрос выгодоприобретателя об обработке его ПДн. Выгодоприобретатель по договору страхования жизни узнал, что страховщик обрабатывает его данные, и направил запрос на предоставление информации об обработке по ст. 14 ФЗ-152. Страховщик не ответил в течение 10 рабочих дней. Нарушение ст. 20 ФЗ-152 — основание для протокола по ч. 4 ст. 13.11 КоАП, штраф 40 000–80 000 ₽. При жалобе субъекта в РКН инициируется внеплановая проверка. Стратегия: внедрить процедуру обработки запросов субъектов с регистрацией даты получения и контрольным сроком 10 рабочих дней.

Если у вас уже есть предписание РКН или протокол по ст. 13.11 по данным выгодоприобретателей — каждый день без юридической позиции сужает возможности для снижения штрафа. Юристы DATUM специализируются на защите финансовых организаций в арбитраже по ст. 13.11 КоАП.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. МФО в Сибирском федеральном округе (осень 2025) прошла внеплановую проверку РКН после жалобы клиента на использование данных поручителя в рекламной рассылке. Проверка установила: ПДн третьего лица обрабатывались в CRM без согласия субъекта и без правового основания по ст. 6 ФЗ-152. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Компания получила штраф в диапазоне минимального порога части — данные были разделены, политика обновлена. Юридическое сопровождение позволило применить ст. 4.1.1 КоАП и заменить штраф предупреждением как первичное нарушение для субъекта МСП без ущерба правам заявителя.

Кейс 2. Страховая компания в Центральном федеральном округе (начало 2026) в рамках аудита DATUM выявила: данные выгодоприобретателей по полисам страхования жизни хранились в единой базе с клиентскими данными без разграничения целей и сроков хранения. Основание по п. 5 ч. 1 ст. 6 ФЗ-152 применялось ко всем записям, хотя часть выгодоприобретателей не являлась стороной договора. По итогам аудита подготовлен пакет ОРД: отдельная политика для данных третьих лиц, регламент уведомления РКН, форма согласия для выгодоприобретателей, не являющихся стороной договора. Проверка РКН, начатая через два месяца после аудита, нарушений не выявила.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки ПДн третьих лиц, 38-пунктный чек-лист
Комплект ОРД под ключ — политика, согласия, регламенты для финансового сектора
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Отказ в обслуживании клиента по причине его нежелания предоставить биометрические данные для ЕБС прямо запрещён ФЗ-572 и ч. 8 ст. 14.8 КоАП. Финансовая организация обязана предоставить альтернативный способ идентификации. Штраф за принудительное навязывание биометрии — до 500 000 ₽ для юрлица. Это распространяется и на ситуации, когда биометрические данные выгодоприобретателя используются как обязательное условие проведения операции в его пользу.

2. Что грозит МФО за утечку ПДн выгодоприобретателей?

Ответственность определяется числом затронутых субъектов. При утечке данных от 1 000 до 10 000 выгодоприобретателей — ч. 12 ст. 13.11 КоАП, штраф 3 000 000–5 000 000 ₽. При утечке свыше 100 000 субъектов — ч. 14, штраф 10 000 000–15 000 000 ₽. Дополнительно — ч. 11 ст. 13.11 за нарушение срока уведомления РКН в 24 часа (ч. 3.1 ст. 21 ФЗ-152): ещё 1 000 000–3 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 000 000 ₽.

3. Какое правовое основание использует банк при обработке данных выгодоприобретателя?

При идентификации в целях 115-ФЗ — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение требований закона). При исполнении условий договора, сторонами которого являются и клиент, и выгодоприобретатель — п. 5 ч. 1 ст. 6. В остальных случаях — только согласие выгодоприобретателя по ст. 9 ФЗ-152. Смешение оснований или применение оснований клиента к данным третьих лиц — нарушение ст. 5 ФЗ-152 о целевом ограничении обработки.

4. Где хранится биометрия выгодоприобретателя — в ЕБС или у банка?

С 01.06.2023 биометрические ПДн (изображение лица, голос) для целей финансовой идентификации обязаны храниться исключительно в Единой биометрической системе под управлением АО «Центр Биометрических Технологий» (ФЗ-572). Банк не вправе хранить исходную биометрию выгодоприобретателя на собственных серверах. Хранение биометрии вне ЕБС — нарушение ст. 11 ФЗ-152 и ФЗ-572, с 30.05.2025 квалифицируется по ч. 16 ст. 13.11 КоАП.

5. Как выгодоприобретатель может оспорить отказ в кредите, основанный на его данных?

Если отказ в кредитовании основан на скоринговой модели, включающей данные выгодоприобретателя, субъект вправе: потребовать от финансовой организации разъяснения принятого решения по ст. 16 ФЗ-152; запросить информацию о составе обрабатываемых данных по ст. 14 ФЗ-152 (ответ — 10 рабочих дней); при выявлении нарушений подать жалобу в РКН. Если в скоринг включались данные из БКИ без согласия субъекта — это самостоятельное нарушение ФЗ-218, рассматриваемое в суде.

Итог

ПДн выгодоприобретателя — это данные третьего лица, которые финансовая организация обрабатывает на основании специальных норм 115-ФЗ, ГК РФ или договорного права. ФЗ-152 не создаёт для них исключений: каждое основание должно быть задокументировано, объём обработки ограничен целью, а использование в маркетинге или аналитике за пределами AML требует отдельного согласия субъекта.

Практика DATUM в финансовом секторе охватывает аудит оснований обработки ПДн по договорным схемам, подготовку ОРД для банков, МФО и страховщиков, а также сопровождение при проверках РКН и в арбитражных делах по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), антиотмывочный контроль и 115-ФЗ.

3 июня 2026 года