Перейти к содержанию
аналитика 1 июня 2026 По состоянию на 1 июня 2026

Передача данных коллекторам

Передача персональных данных должника коллекторскому агентству — это уступка права требования или заключение агентского договора, при которых оператор обязан соблюдать требования ст. 6, 9 и 12 ФЗ-152 и ст. 3, 12 ФЗ-230.
С 30.05.2025 за передачу ПДн без надлежащего основания или в нарушение порядка согласия штраф для юрлица составляет от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторном нарушении — от 1 000 000 до 1 500 000 ₽.
Если вы финансовый директор и сомневаетесь, покрывает ли кредитный договор передачу долга коллекторам, — этот разбор для вас.

Финансовые директора банков, МФО и микрокредитных компаний регулярно сталкиваются с вопросом: на каком правовом основании можно передать персональные данные должника третьему лицу — коллекторскому агентству? Ответ зависит от формы сотрудничества (цессия или агентирование), содержания кредитного договора и наличия отдельного согласия субъекта по ст. 9 ФЗ-152. С 01.09.2025 требования к согласию ужесточились: согласие оформляется отдельным документом и не может быть включено в текст договора. Ниже — разбор норм, типовых ошибок и финансовых последствий.

Какие правовые основания допускают передачу данных коллекторам?

Ключевая развилка — форма отношений с коллекторским агентством. Закон предусматривает два сценария.

Цессия (уступка права требования). При уступке долга по договору цессии коллектор становится новым кредитором. С точки зрения ФЗ-152 банк или МФО выступает оператором, передающим данные другому оператору. Правовое основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект ПДн. Однако судебная практика и позиция РКН уточняют: стандартного упоминания о праве уступки в кредитном договоре недостаточно. Субъект должен быть явно уведомлён о конкретном перечне лиц или категорий лиц, которым данные могут быть переданы.

Агентский договор (поручение обработки). Если коллектор действует от имени кредитора, правовая конструкция иная: применяется ч. 3 ст. 6 ФЗ-152 о поручении обработки ПДн. Оператор (банк, МФО) передаёт данные лицу, осуществляющему обработку по поручению. При этом оператор несёт ответственность перед субъектом даже за действия агента. Договор поручения должен содержать перечень действий с ПДн, цели обработки, обязанность соблюдать конфиденциальность и требования ст. 19 ФЗ-152 по защите данных.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Лицо, осуществляющее обработку по поручению, обязано соблюдать принципы и правила обработки, предусмотренные ФЗ-152. Ответственность перед субъектом несёт оператор.»

Независимо от формы — цессия или агентирование — оператор обязан уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) и указать в уведомлении цели передачи. Если передача данных коллекторам не отражена в актуальном уведомлении, это самостоятельный состав нарушения по ч. 10 ст. 13.11 КоАП — штраф от 100 000 до 300 000 ₽.

Не уверены, что кредитный договор покрывает передачу данных коллекторам?

Многие финансовые директора узнают о пробелах в правовом основании только после запроса РКН. Проверить соответствие сейчас — значит не платить штраф потом. Аудит по ст. 6, 9 ФЗ-152 в части передачи ПДн третьим лицам занимает 5 рабочих дней.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Что требует ФЗ-230 и как он соотносится с ФЗ-152?

Передача данных коллекторам регулируется не только ФЗ-152, но и ФЗ-230 «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности». Нормы действуют параллельно, и нарушение любого из них влечёт самостоятельную ответственность.

ФЗ-230 устанавливает: кредитор вправе привлекать третьих лиц для взаимодействия с должником только при наличии письменного согласия должника, выраженного в отдельном документе. Отдельный документ — это не оговорка в кредитном договоре. Согласие должно содержать: наименование конкретного лица или перечень лиц, которым передаются данные, виды взаимодействия, контактные данные для отзыва. С 01.09.2025 это требование полностью совпадает с требованием ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025): согласие на обработку ПДн тоже оформляется только отдельным документом.

Практическое значение для финансового директора: если в кредитном договоре, заключённом до 01.09.2025, согласие на передачу данных коллекторам было «зашито» в общий текст — после этой даты новые передачи данных на этом основании юридически уязвимы. Переоформить согласия на новые займы необходимо сразу; по ранее заключённым договорам — оценить риск и принять документальное решение.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта на обработку ПДн оформляется в форме отдельного документа. Включение согласия в текст договора, политики или иного документа не допускается. Ранее полученные согласия, оформленные в составе договора, переоформлению не подлежат — обратной силы норма не имеет.»

Ещё один пласт — идентификация по ФЗ-115 («О противодействии легализации доходов»). МФО, банки и коллекторские агентства, состоящие на учёте в Росфинмониторинге, при уступке долга обязаны передать агентству результаты идентификации должника. Это самостоятельная обязанность по ФЗ-115, которая создаёт дополнительный поток ПДн — и отдельную точку риска по ФЗ-152.

Какие данные можно передавать, а какие — нет?

Принцип минимизации данных закреплён в ст. 5 ФЗ-152: объём обрабатываемых ПДн должен соответствовать заявленным целям. Применительно к коллекторской деятельности это означает: передаётся ровно столько данных, сколько необходимо для взаимодействия с должником по конкретной задолженности.

Допустимо передавать: ФИО, дату рождения, адрес регистрации и проживания, контактные телефоны, реквизиты задолженности (сумма, дата возникновения, договор). Не допускается без отдельного основания: данные о состоянии здоровья, биометрия, сведения о третьих лицах (поручителях, родственниках) сверх того, что предусмотрено договором.

Особое внимание — скорингу по ст. 16 ФЗ-152. Норма запрещает принимать решения, порождающие правовые последствия для субъекта, исключительно на основании автоматизированной обработки его ПДн — без участия человека. Это касается и решений коллектора о выборе тактики взыскания, если она автоматически формируется по данным из БКИ. Нарушение — самостоятельный состав.

Что подготовить финансовому директору

  • Проверить уведомление в реестре РКН (pd.rkn.gov.ru): цели передачи данных третьим лицам должны быть отражены явно.
  • Убедиться, что договор с коллекторским агентством содержит раздел о поручении обработки ПДн по ч. 3 ст. 6 ФЗ-152 с перечнем допустимых действий.
  • Проверить форму согласия: после 01.09.2025 — отдельный документ с реквизитами ст. 9 ФЗ-152.
  • Убедиться, что передаваемый состав данных соответствует принципу минимизации (ст. 5 ФЗ-152).
  • Проверить, зарегистрировано ли коллекторское агентство в государственном реестре ФССП: передача данных незарегистрированному агентству — нарушение ФЗ-230.

Как рассчитать финансовые риски по ст. 13.11 КоАП?

Для финансового директора важна не только юридическая квалификация, но и денежное выражение риска. Ст. 13.11 КоАП в редакции с 30.05.2025 содержит 18 частей с существенно более высокими санкциями, чем прежде.

Основные составы, актуальные для передачи данных коллекторам:

  • Ч. 1 — обработка (передача) ПДн в случаях, не предусмотренных законом, или несовместимая с целями: от 150 000 до 300 000 ₽.
  • Ч. 2 — передача ПДн без письменного согласия, когда оно требуется, или с нарушением требований к составу согласия: от 300 000 до 700 000 ₽.
  • Ч. 2.1 — повторное нарушение по ч. 2: от 1 000 000 до 1 500 000 ₽.
  • Ч. 10 — неуведомление РКН о намерении обрабатывать ПДн по ст. 22: от 100 000 до 300 000 ₽.
  • Ч. 12–14 — утечка ПДн в зависимости от числа субъектов: от 3 000 000 до 15 000 000 ₽.
  • Ч. 15 — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽.

Арифметика для среднего МФО с выручкой 500 млн ₽ в год: оборотный штраф при повторной утечке составит минимум 20 000 000 ₽ — даже если 1% выручки даёт меньшую сумму. Это больше, чем стоимость полного аудита соответствия и ОРД вместе взятых (от 145 000 ₽).

Если вы финансовый директор МФО или банка и передаёте данные коллекторам без актуального правового основания — каждая такая передача формирует состав по ч. 1 или ч. 2 ст. 13.11 КоАП. Подготовьте позицию до проверки РКН: до конца проверочного периода исправить нарушение существенно дешевле.

Заказать аудит 152-ФЗ

Типичные сценарии: что идёт не так на практике?

Сценарий 1. Согласие в теле кредитного договора. МФО включила пункт о праве уступки долга третьим лицам в стандартный договор займа. До 01.09.2025 это было распространённой практикой с минимальными рисками. После 01.09.2025 по новым займам такое согласие не отвечает требованиям ст. 9 ФЗ-152 — оно не оформлено отдельным документом. Доказательства нарушения: кредитный договор без отдельного согласия + факт передачи данных коллектору после 01.09.2025. Вероятный исход: штраф по ч. 2 ст. 13.11 от 300 000 до 700 000 ₽ за каждый выявленный случай. Стратегия: немедленно ввести отдельную форму согласия для новых займов; по переходным договорам получить юридическое заключение о допустимости применения старой редакции.

Сценарий 2. Договор цессии без условия о поручении обработки ПДн. Банк уступил портфель просроченных долгов коллекторскому агентству. В договоре цессии нет раздела о порядке обработки ПДн, перечня допустимых действий, обязанности по уничтожению данных после завершения взыскания. С точки зрения ФЗ-152 оператор передал ПДн без надлежащего договора поручения. Доказательства: текст договора цессии + отсутствие отдельного соглашения об обработке ПДн. Вероятный исход: предписание РКН об устранении нарушения + штраф по ч. 1 ст. 13.11. Стратегия: включить в типовой договор цессии отдельное приложение — соглашение об обработке ПДн по ч. 3 ст. 6 ФЗ-152.

Сценарий 3. Передача данных незарегистрированному коллектору. МФО заключила агентский договор с организацией, не включённой в государственный реестр юридических лиц, осуществляющих деятельность по возврату просроченной задолженности (ФССП). Передача ПДн такому агентству нарушает одновременно ФЗ-230 и ст. 6 ФЗ-152 (отсутствие законного основания). Доказательства: выписка из реестра ФССП об отсутствии агентства + договор с ним. Вероятный исход: штраф по КоАП, предписание прекратить передачу, репутационный риск при жалобе должника в РКН. Стратегия: до заключения любого договора с коллектором — проверить реестр ФССП и получить подтверждение регистрации.

Как это выглядит в судебной практике?

Кейс 1. Микрофинансовая компания (Сибирский ФО, осень 2025) передала коллекторскому агентству данные 2 300 должников по агентскому договору, в котором отсутствовал раздел о поручении обработки ПДн. РКН в ходе плановой проверки выявил нарушение ч. 3 ст. 6 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП составил сотни тысяч рублей. Одновременно компания получила предписание привести договор в соответствие в течение 30 дней. Юристы, привлечённые после вынесения постановления, добились снижения штрафа до минимальной границы санкции, представив доказательства оперативного устранения нарушений.

Кейс 2 (case_generic_subpodryad). В деле об утечке данных должников через субподрядчика коллекторского агентства (Центральный ФО, 2025) суд подтвердил: оператор несёт ответственность за действия лица, которому поручил обработку ПДн, вне зависимости от того, был ли субподрядчик прямо указан в договоре. Принцип ВС РФ — оператор отвечает за утечку через цепочку подрядчиков. Финансовый директор в этом деле был привлечён как свидетель; уголовное дело возбуждено против технического специалиста агентства по ст. 272.1 УК РФ. Стратегия: в договоре с коллектором запретить субподряд без письменного согласия оператора, включить аудиторские права.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

По общему правилу — нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, устанавливает ответственность за отказ в обслуживании потребителя, не предоставившего биометрические данные для размещения в ЕБС. Банк и МФО не вправе обусловливать выдачу займа или открытие счёта обязательным прохождением биометрической идентификации через ГИС ЕБС. Согласие на размещение биометрии в ЕБС по ФЗ-572 — добровольное. Штраф за нарушение этого требования для юридических лиц по официальным данным может достигать значительных сумм — точный диапазон уточните в актуальной редакции КоАП перед принятием решений.

2. Что грозит МФО за утечку данных заёмщиков?

Ответственность определяется числом субъектов, данные которых были скомпрометированы. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) штраф для юрлица составляет от 3 000 000 до 5 000 000 ₽. При утечке свыше 100 000 субъектов — от 10 000 000 до 15 000 000 ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 000 000 ₽. Дополнительно — обязанность уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152); нарушение срока даёт отдельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11.

3. Какое основание обработки ПДн применяется в банке при взыскании долга?

Банк вправе обрабатывать ПДн заёмщика для взыскания задолженности на основании п. 5 ч. 1 ст. 6 ФЗ-152 — исполнение договора, стороной которого является субъект. При передаче данных коллектору по агентскому договору применяется ч. 3 ст. 6 ФЗ-152 о поручении обработки. При уступке долга (цессии) коллектор становится самостоятельным оператором и обязан самостоятельно уведомить РКН по ст. 22 ФЗ-152. Согласие субъекта не является обязательным основанием для обработки в рамках исполнения договора, однако при передаче данных за пределы первоначального договора — согласие необходимо.

4. Где хранится биометрия клиента — в банке или в ЕБС?

С 01.06.2023 хранение исходных биометрических данных (изображение лица, голос) вне ГИС ЕБС запрещено. Исходная биометрия хранится только в ЕБС, оператором которой является АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). Банк не вправе хранить у себя биометрические шаблоны, использованные для идентификации в ЕБС. Нарушение — состав по ст. 11 ФЗ-152 и ст. 13.11.3 КоАП с штрафом для юрлиц до 1 000 000 ₽.

5. Как оспорить отказ в кредите, принятый на основе автоматизированного скоринга?

Ст. 16 ФЗ-152 обязывает оператора по требованию субъекта пересмотреть решение, принятое исключительно на основании автоматизированной обработки ПДн. Субъект вправе направить письменное заявление оператору; оператор обязан рассмотреть его и сообщить о результатах в срок, установленный ст. 20 ФЗ-152. Кроме того, субъект вправе запросить БКИ (ФЗ-218) информацию о своей кредитной истории и оспорить недостоверные сведения в ней — это отдельный процедурный путь, не зависящий от ответа банка.

Итог

Передача данных коллекторам — многоуровневая обязанность: ФЗ-152 определяет правовое основание и форму согласия, ФЗ-230 — ограничения по привлечению третьих лиц, ФЗ-115 — требования к идентификации. С 30.05.2025 штрафы по ст. 13.11 КоАП выросли в разы, а с 01.09.2025 согласия, включённые в тексты договоров, утратили силу для новых займов. Финансовый директор, не проверивший правовую конструкцию до плановой проверки РКН, рискует штрафом, который многократно превышает стоимость профилактических мер.

Юристы DATUM сопровождают финансовые организации по вопросам передачи ПДн третьим лицам: проводят аудит договорной базы, разрабатывают соглашения о поручении обработки, готовят к проверкам РКН и защищают в арбитраже по ст. 13.11 КоАП.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.