аналитика 13 февраля 2029 года По состоянию на 13 февраля 2029 года

Передача данных в Банк России

Передача персональных данных в Банк России — это обязанность, возникающая по специальным нормам финансового законодательства: надзорная отчётность, запросы в рамках ПОД/ФТ по 115-ФЗ, взаимодействие через ЕБС и БКИ.

С 30.05.2025 повторная утечка при передаче данных влечёт оборотный штраф до 500 млн ₽ (ч. 15 ст. 13.11 КоАП). Неуведомление РКН об инциденте за 24 часа — отдельный штраф от 1 до 3 млн ₽.

Если вы финансовый директор и вопрос о бюджете на комплаенс стоит открыто — стоимость аудита на порядок меньше минимального оборотного штрафа. →

Финансовые директора нередко задают один и тот же вопрос: зачем тратить сотни тысяч рублей на аудит, если пока нет ни протокола, ни предписания. Ответ на него — арифметика. С 30.05.2025 минимальный оборотный штраф по ч. 15 ст. 13.11 КоАП составляет 20 млн ₽, максимальный — 500 млн ₽. В этом материале разобраны основания, по которым банки, МФО и финтех-компании передают данные в Банк России и смежные регуляторные системы, и что происходит, когда эта передача нарушает 152-ФЗ.

Какие данные и по каким основаниям передаются в Банк России?

Банк России как мегарегулятор финансового рынка получает персональные данные от поднадзорных организаций по нескольким правовым каналам. Каждый канал имеет собственное основание обработки по ст. 6 ФЗ-152 — и каждый порождает собственный риск при нарушении.

Первый канал — надзорная отчётность. Кредитные организации передают данные в рамках Федерального закона «О Центральном банке» и подзаконных актов Банка России. Основание обработки — исполнение обязанности, возложенной законом (п. 2 ч. 1 ст. 6 ФЗ-152). Согласие субъекта не требуется. Однако объём передаваемых данных должен соответствовать целям надзора — избыточная передача нарушает принцип минимизации по ст. 5 ФЗ-152.

Второй канал — ПОД/ФТ по 115-ФЗ. Идентификация клиента, бенефициарного владельца, представителя предполагает сбор расширенных сведений: паспортные данные, ИНН, биометрические параметры при дистанционной идентификации. Передача сведений в Росфинмониторинг и Банк России при подозрительных операциях — обязательная мера. Основание — выполнение требования закона.

Третий канал — кредитные истории через БКИ. Банки и МФО обязаны передавать информацию о заёмщиках в бюро кредитных историй (ФЗ-218 от 30.12.2004). Передача происходит на основании согласия субъекта при заключении кредитного договора, а также при наличии договора об оказании услуг по предоставлению кредитных отчётов. Срок хранения кредитной истории в БКИ — 7 лет с момента последней записи.

Четвёртый канал — биометрическая идентификация через ЕБС. Банки, МФО и иные финансовые организации вправе использовать Единую биометрическую систему (ФЗ-572 от 29.12.2022) для дистанционного подтверждения личности. Биометрические данные хранятся в ЕБС — оператором выступает АО «Центр Биометрических Технологий». Хранение исходной биометрии в организации вне ЕБС с 01.06.2023 запрещено.

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки персональных данных. Для передачи в Банк России в рамках надзора и ПОД/ФТ применяется основание исполнения требования закона — согласие субъекта не требуется. Передача в БКИ по ФЗ-218 требует согласия, включённого в кредитный договор или оформленного отдельно.»

Финдиректор считает бюджет на комплаенс?

Аудит соответствия 152-ФЗ в финансовой организации стоит от 100 000 ₽. Минимальный штраф по ч. 12 ст. 13.11 за утечку от 1 000 субъектов — 3 млн ₽. При повторной утечке оборотный штраф стартует с 20 млн ₽. Провести аудит до первого протокола — это бюджетное решение, а не юридический формализм.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работает скоринг и автоматизированные решения по ст. 16 ФЗ-152?

Кредитный скоринг — типовой пример автоматизированной обработки персональных данных, результат которой влечёт правовые последствия для субъекта. Ст. 16 ФЗ-152 устанавливает: решения, основанные исключительно на автоматизированной обработке, принимаются только при наличии согласия субъекта либо в случаях, прямо предусмотренных федеральным законом.

В банковской практике кредитный скоринг допускается без отдельного согласия, если он предусмотрен договором. Но при полностью автоматизированном отказе (без участия человека в принятии решения) субъект вправе потребовать пересмотра с участием сотрудника организации — и оператор обязан предоставить такую возможность. Отсутствие этой процедуры — нарушение ст. 16 ФЗ-152.

Для МФО ситуация сложнее. Микрофинансовые организации часто используют агрегированные данные из нескольких БКИ, данные из социальных сетей и телематику. Если в процессе скоринга обрабатываются данные из источников, не предусмотренных условиями договора, — это нарушение принципа целевого ограничения по ст. 5 ФЗ-152.

Что проверить финансовой организации по передаче данных

Наличие правового основания по ст. 6 ФЗ-152 для каждого канала передачи данных в Банк России и смежные системы (БКИ, ЕБС, Росфинмониторинг)
Соответствие объёма передаваемых данных целям обработки — принцип минимизации по ст. 5 ФЗ-152
Наличие договора поручения обработки с БКИ, оператором ЕБС и иными контрагентами (п. 3 ст. 6 ФЗ-152)
Процедура пересмотра автоматизированного решения с участием сотрудника (ст. 16 ФЗ-152)
Уведомление РКН о намерении обрабатывать данные в реестре операторов (ст. 22 ФЗ-152) с актуальными сведениями об ЕБС и БКИ

Что изменилось с введением ФЗ-420 и ст. 272.1 УК с 30.05.2025 и 11.12.2024?

Два закона, принятых в ноябре 2024 года, кардинально изменили экономику риска для финансовых организаций. ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей и ввёл оборотный штраф. ФЗ-421 от 30.11.2024 ввёл ст. 272.1 УК РФ — уголовную ответственность за незаконные операции с персональными данными.

«Ч. 15 ст. 13.11 КоАП (в ред. ФЗ-420, действует с 30.05.2025) — оборотный штраф за повторную утечку: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.»

Для финансовых директоров ключевым является соотношение ч. 12–14 и ч. 15 ст. 13.11. Первая утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12). При повторной утечке — уже оборотный расчёт от выручки. Для банка с выручкой 10 млрд ₽ минимальный оборотный штраф составит 100 млн ₽ при ставке 1%.

Ст. 272.1 УК РФ, введённая с 11.12.2024, устанавливает уголовную ответственность за незаконное использование, передачу, сбор или хранение компьютерной информации с персональными данными. Максимальное наказание по ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. Это меняет персональные риски не только для CISO, но и для руководителей, подписавших решения об обработке данных.

Инвестиции в информационную безопасность могут снизить оборотный штраф. По ст. 4.1 КоАП, если организация вложила в ИБ не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 ст. 13.11 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

Если финансовый директор оценивает риски по новым нормам ФЗ-420 — юристы DATUM рассчитают потенциальный штраф для вашей организации и определят, какие меры снижают базу расчёта. Первичная консультация включает анализ реестра РКН и действующей ОРД.

Заказать аудит 152-ФЗ

Как применяется ч. 8 ст. 14.8 КоАП за отказ принимать клиентов без биометрии?

С введением ФЗ-572 финансовые организации получили право использовать ЕБС для дистанционной идентификации. Вместе с правом появился запрет: отказывать клиенту в обслуживании только на основании того, что он не предоставил биометрические данные. Ч. 8 ст. 14.8 КоАП устанавливает штраф для юридических лиц за нарушение этого запрета — до 500 тыс. ₽.

На практике это означает: организация вправе предложить биометрическую идентификацию как удобный канал, но не вправе закрыть альтернативные способы подтверждения личности (паспорт, СНИЛС, личный визит). Если внутренние регламенты организации фактически делают биометрию обязательной — это нарушение, даже если формально она описана как «добровольная».

Для МФО этот риск особенно актуален при дистанционной выдаче займов. Если процедура одобрения заявки технически невозможна без прохождения через ЕБС — нужно либо обеспечить альтернативный канал, либо принять риск штрафа.

Типовые сценарии нарушений при передаче данных

Сценарий 1. Передача данных в БКИ без действующего согласия. Банк передавал сведения о заёмщике в БКИ по согласию, оформленному в теле кредитного договора до 01.09.2025. После вступления в силу ФЗ-156 от 24.06.2025 такое согласие не отвечает требованию отдельного документа по ст. 9 ФЗ-152. РКН при плановой проверке квалифицировал передачу как обработку без надлежащего согласия (ч. 2 ст. 13.11 КоАП). Штраф для банка — в диапазоне 300–700 тыс. ₽. Стратегия: переоформить согласия при следующем контакте с клиентом, внести изменения в договорную документацию.

Сценарий 2. Утечка данных при передаче в систему регулятора. МФО (Уральский ФО, осень 2025) зафиксировала инцидент: данные клиентов, переданные в систему отчётности регулятора, оказались доступны третьим лицам из-за уязвимости в API интеграции. Затронуто около 8 000 субъектов. Организация не уведомила РКН в течение 24 часов — протокол по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽) добавился к протоколу по ч. 12 (утечка 1 000–10 000 субъектов, штраф 3–5 млн ₽). Стратегия: немедленно выстроить процедуру реагирования на инцидент по Приказу РКН №187, обеспечить технический мониторинг API-интеграций.

Сценарий 3. Избыточная передача данных в Банк России при надзорной отчётности. Региональный банк включал в пакет надзорной отчётности данные о транзакциях клиентов в объёме, превышающем требования подзаконных актов ЦБ. Субъекты не давали согласия на такую передачу, а законного основания для её расширенного объёма не было. Нарушение принципа минимизации по ст. 5 ФЗ-152 квалифицировано по ч. 1 ст. 13.11 КоАП. Стратегия: провести аудит состава передаваемых полей с привязкой к каждому нормативному основанию.

Кейс из практики. Финансовая организация (Центральный ФО, начало 2026) прошла плановую проверку РКН после жалобы клиента на отказ в обслуживании без биометрии. В ходе проверки выявлены три нарушения: отсутствие актуального уведомления в реестре операторов об обработке данных в ЕБС, отсутствие договора поручения обработки с АО «ЦБТ», внутренние регламенты фактически делали биометрию обязательной. Общая сумма штрафов — в сотни тысяч рублей по совокупности нарушений. После подключения юристов удалось снизить штраф по ч. 1 ст. 13.11 КоАП, опираясь на ст. 4.1.1 КоАП (первичность нарушения, статус компании). Уведомление реестра и пакет ОРД были подготовлены в течение двух недель.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка каналов передачи данных в Банк России, БКИ и ЕБС по чек-листу из 38 пунктов
Комплект ОРД под ключ — договоры поручения, согласия, политика, приказы для финансовой организации
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

Частые вопросы

1. Можно ли отказать клиенту в услуге, если он не предоставил биометрию?

Нет. Ч. 8 ст. 14.8 КоАП запрещает отказывать в обслуживании только на основании отсутствия биометрических данных в ЕБС. Организация вправе предлагать биометрическую идентификацию как один из каналов, но обязана сохранять альтернативные способы подтверждения личности. Нарушение влечёт штраф до 500 тыс. ₽ для юридического лица.

2. Что грозит МФО за утечку персональных данных клиентов?

При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Отдельно — штраф 1–3 млн ₽ за неуведомление РКН за 24 часа по ч. 11 ст. 13.11. Если утекли биометрические данные — штраф по ч. 17 составит 15–20 млн ₽.

3. Какое основание обработки персональных данных используется в банке при передаче в Банк России?

Передача данных в рамках надзорной отчётности и ПОД/ФТ осуществляется на основании п. 2 ч. 1 ст. 6 ФЗ-152 — исполнение обязанности, возложенной федеральным законом. Согласие субъекта для этих целей не требуется. Передача данных в БКИ по ФЗ-218 требует согласия субъекта, которое с 01.09.2025 должно быть оформлено отдельным документом по ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025).

4. Где хранится биометрия клиентов банков — на серверах банка или в ЕБС?

С 01.06.2023 исходные биометрические данные должны храниться исключительно в Единой биометрической системе (ФЗ-572). Оператор ЕБС — АО «Центр Биометрических Технологий». Хранение биометрии на собственных серверах банка вне ЕБС запрещено. Обработка биометрических данных без письменного согласия субъекта нарушает ст. 11 ФЗ-152 и квалифицируется по ч. 16 ст. 13.11 КоАП.

5. Как клиент может оспорить автоматизированный отказ в кредите?

Ст. 16 ФЗ-152 даёт субъекту право потребовать пересмотра решения, принятого исключительно на основе автоматизированной обработки данных, с участием сотрудника организации. Банк обязан предоставить такую возможность. Если банк отказывает в пересмотре — это нарушение, которое субъект вправе обжаловать в РКН или суде. Финансовой организации следует закрепить соответствующую процедуру во внутренних регламентах.

Итог

Передача данных в Банк России и смежные системы — это не добровольное решение, а нормативная обязанность, у каждого канала которой есть собственное правовое основание, объём и ответственность за нарушение. С 30.05.2025 финансовые организации работают в условиях оборотных штрафов, а с 11.12.2024 — уголовной ответственности за незаконные операции с данными по ст. 272.1 УК.

Практика DATUM по 152-ФЗ в финансовом секторе включает аудит каналов передачи данных в Банк России, БКИ и ЕБС, подготовку договоров поручения обработки, комплекта ОРД и сопровождение при взаимодействии с РКН. Мы работаем с банками, МФО и финтех-компаниями в рамках сети «Ветров и партнёры».

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.