Передача в БКИ: основания
С 30.05.2025 действует редакция ст. 13.11 КоАП с оборотными штрафами по ФЗ-420 от 30.11.2024. Для финансового директора передача в БКИ — это не только комплаенс-вопрос, но и прямая строка в бюджете риска: стоимость аудита составляет от 100 000 ₽, тогда как штраф за утечку от 10 000 субъектов начинается от 5 млн ₽ по ч. 13 ст. 13.11 КоАП. В этой статье — правовые основания передачи, порядок получения согласия, биометрия в ЕБС и типичные нарушения, которые фиксирует РКН.
Какие правовые основания нужны банку для передачи данных в БКИ?
Передача кредитной истории регулируется двумя параллельными режимами. ФЗ-218 от 30.12.2004 обязывает источники формирования кредитных историй — банки, МФО, кредитные потребительские кооперативы — направлять сведения хотя бы в одно БКИ, включённое в государственный реестр. ФЗ-152 накладывает поверх этой обязанности требования к правовому основанию обработки ПДн.
Правовое основание для передачи складывается из двух элементов. Первый — согласие субъекта по п. 1 ч. 1 ст. 6 ФЗ-152 или исполнение договора по п. 5 ч. 1 ст. 6 ФЗ-152, если передача предусмотрена кредитным договором. Второй — специальное согласие на запрос кредитной истории из БКИ, без которого кредитор не вправе получить отчёт на конкретное физическое лицо.
На практике банки включают согласие на передачу в БКИ в текст кредитного договора или заявления. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн обязано быть отдельным документом и не объединяться с договором. Это требование касается и согласия на запрос в БКИ: его нельзя скрыть в блоке мелкого шрифта кредитного соглашения.
Срок хранения кредитной истории в БКИ составляет 7 лет с момента последнего изменения. По истечении этого срока оператор обязан уничтожить данные, что соответствует принципу ограничения хранения по ст. 5 ФЗ-152.
Комплаенс по ФЗ-218 не отражён в бюджете риска?
Если финансовый директор не видит отдельной строки расходов на защиту ПДн в кредитном процессе — компания работает без оценки реального риска. Штраф за утечку от 100 000 субъектов начинается от 10 млн ₽ по ч. 14 ст. 13.11 КоАП, а при повторности переходит в оборотный расчёт. Юристы DATUM проведут аудит обработки ПДн в кредитном процессе по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как МФО и банки обрабатывают данные при скоринге по ст. 16 ФЗ-152?
Автоматизированное принятие решений по кредитным заявкам регулируется ст. 16 ФЗ-152. Норма устанавливает: если решение, влекущее правовые последствия для субъекта или существенно затрагивающее его интересы, принимается исключительно на основе автоматизированной обработки, субъект вправе потребовать его пересмотра с участием человека.
Для финансового директора это означает следующее: скоринговая модель, которая автоматически отказывает в кредите без возможности оспорить решение, нарушает ст. 16 ФЗ-152. Банк или МФО обязаны предусмотреть процедуру ручного пересмотра и зафиксировать её в локальных актах.
Отдельный вопрос — состав данных для скоринга. МФО нередко используют поведенческие данные из социальных сетей или геолокацию. Такие данные могут косвенно указывать на состояние здоровья или политические взгляды, что переводит их в режим специальных категорий по ст. 10 ФЗ-152. Обработка без явного письменного согласия в таком случае образует состав по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽.
Передача скоринговых данных из БКИ обратно в МФО для обновления модели также требует отдельного правового основания. Если скоринговое бюро выступает как обработчик ПДн по поручению, необходимо заключить договор поручения по п. 3 ст. 6 ФЗ-152 с перечнем разрешённых операций и требованиями безопасности.
Биометрия в банке и ЕБС: где хранятся данные и кто несёт ответственность?
С 01.06.2023 банки обязаны хранить биометрические шаблоны клиентов исключительно в Государственной информационной системе «Единая биометрическая система» (ГИС ЕБС) — оператором выступает АО «Центр Биометрических Технологий». Хранить исходную биометрию на собственных серверах банкам запрещено по ФЗ-572 от 29.12.2022.
Банк, который продолжает держать биометрические шаблоны вне ЕБС, нарушает ст. 11 ФЗ-152 и ФЗ-572. Это образует состав по ч. 16 ст. 13.11 КоАП. При утечке биометрических ПДн применяется ч. 17 ст. 13.11 — штраф от 15 до 20 млн ₽.
Отдельный риск — отказ в обслуживании клиенту, который не предоставил биометрию. По ч. 8 ст. 14.8 КоАП (введена ФЗ-420) банк не вправе отказать в предоставлении услуги только на основании отсутствия биометрических данных клиента в ЕБС. Санкция для юридического лица — до 500 000 ₽. Это прямой риск для финансового директора: отказной скрипт колл-центра или алгоритм на сайте, блокирующий заявку без биометрии, создаёт административную ответственность.
Банк хранит биометрию вне ЕБС или скрипт отказывает клиентам без биометрии — у вас 0 рабочих дней до момента, когда РКН зафиксирует нарушение при плановой проверке. Юристы DATUM оценят соответствие процессов требованиям ФЗ-572 и ст. 11 ФЗ-152.
Заказать аудит 152-ФЗЧто проверяет РКН у банков и МФО: типовые нарушения
Роскомнадзор при проверке финансовых организаций фиксирует три группы нарушений с наибольшей частотой.
Первая группа — проблемы с уведомлением. По ст. 22 ФЗ-152 оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. МФО, начавшие работу после запуска мобильного приложения без уведомления, систематически попадают под ч. 10 ст. 13.11 КоАП — штраф от 100 000 до 300 000 ₽. Срок включения в реестр операторов ПДн после подачи уведомления составляет 30 дней.
Вторая группа — нарушения при передаче в БКИ. Согласие включено в текст договора без выделения в отдельный документ (нарушение ФЗ-156 с 01.09.2025), отсутствует перечень конкретных БКИ, нет указания цели передачи. Каждое из этих нарушений — состав по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽).
Третья группа — идентификация по 115-ФЗ и обработка ПДн. Банки, обязанные идентифицировать клиента по антиотмывочному законодательству, копируют паспорт и хранят его скан без регламентированного срока уничтожения. По принципу ограничения хранения (ст. 5 ФЗ-152) данные должны уничтожаться при достижении цели. Отсутствие регламента уничтожения — нарушение ст. 18.1 ФЗ-152, фиксируемое при проверке.
Что подготовить финансовой организации к проверке РКН
- Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обрабатываемых категориях и целях.
- Отдельные согласия клиентов на передачу в БКИ — не объединённые с кредитным договором (требование ФЗ-156 с 01.09.2025).
- Договоры поручения обработки ПДн с каждым БКИ и скоринговым бюро с перечнем разрешённых операций.
- Документация о хранении биометрии: подтверждение передачи шаблонов в ЕБС и уничтожения локальных копий.
- Регламент уничтожения ПДн по истечении срока хранения с журналом актов уничтожения.
Как это применяется на практике
Кейс 1. МФО в Сибирском федеральном округе (осень 2025) получила предписание РКН по итогам плановой проверки: согласие на передачу данных в три БКИ было вшито в стандартный договор займа без выделения в отдельный документ. Дополнительно выявлено отсутствие уведомления об изменении состава обрабатываемых ПДн после запуска мобильного приложения. Организация устранила нарушения за 30 дней, однако протокол по ч. 2 и ч. 10 ст. 13.11 КоАП был составлен — штраф составил сотни тысяч рублей. Финансовый директор не заложил эту сумму в бюджет года. Аудит до проверки обошёлся бы кратно дешевле.
Кейс 2. Региональный банк (Приволжский ФО, начало 2026) использовал биометрические шаблоны клиентов в собственной системе аутентификации через мобильный банк, не передав их в ЕБС после 01.06.2023. РКН возбудил дело по ч. 16 ст. 13.11 КоАП. В арбитражном суде банк сослался на наличие письменных согласий клиентов и инвестиции в ИБ-инфраструктуру, однако норма ФЗ-572 о хранении исключительно в ЕБС не предусматривает исключений для собственных систем. Штраф составил несколько миллионов рублей. Технический директор и финансовый директор по итогам скорректировали инфраструктурную дорожную карту с учётом требований ФЗ-572.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка кредитного процесса, согласий, ОРД финансовой организации
- Комплект ОРД под ключ — согласия на передачу в БКИ, договоры поручения, регламент уничтожения
- Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 КоАП
Частые вопросы
1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию?
Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в предоставлении финансовой услуги только на основании отсутствия его биометрических данных в ЕБС. Санкция для юридического лица — до 500 000 ₽. Клиент вправе обслуживаться без биометрии, используя стандартные методы идентификации по паспорту.
2. Что грозит МФО за утечку базы заёмщиков?
Размер санкции зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; более 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно с 11.12.2024 действует ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях (ч. 5).
3. Какое основание обработки ПДн является основным для банка?
Для большинства операций в кредитном процессе — исполнение договора по п. 5 ч. 1 ст. 6 ФЗ-152. Передача в БКИ требует отдельного согласия субъекта по п. 1 ч. 1 ст. 6 ФЗ-152, поскольку она выходит за рамки исполнения кредитного договора. Идентификация по 115-ФЗ — самостоятельное основание (исполнение обязанности, возложенной законом, по п. 2 ч. 1 ст. 6 ФЗ-152). Смешивать основания в одном документе после 01.09.2025 нельзя.
4. Где физически хранится биометрия клиента банка?
С 01.06.2023 — только в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». Банк передаёт биометрический шаблон в ЕБС и обязан уничтожить локальную копию. Хранить шаблоны в собственной инфраструктуре или у стороннего подрядчика запрещено по ФЗ-572 от 29.12.2022. Исходное согласие на размещение биометрии в ЕБС субъект подписывает в письменном виде.
5. Как клиент вправе оспорить отказ в кредите на основании скоринга?
По ст. 16 ФЗ-152 субъект вправе потребовать пересмотра решения, принятого исключительно на основе автоматизированной обработки. Банк или МФО обязаны: разъяснить порядок оспаривания в документах при заключении договора; рассмотреть возражение с участием уполномоченного сотрудника; уведомить субъекта о результатах пересмотра. Отсутствие такой процедуры в локальных актах — нарушение ст. 16 ФЗ-152, фиксируемое РКН при проверке.
Итог
Передача данных в БКИ требует правильно оформленного отдельного согласия (с 01.09.2025 — по ФЗ-156), договора поручения с бюро и соответствия требованиям ФЗ-218 по срокам хранения. Биометрия хранится только в ЕБС. Скоринг по ст. 16 ФЗ-152 предполагает процедуру оспаривания автоматических решений. Нарушение любого из этих требований создаёт административный и уголовный риск, который напрямую влияет на P&L финансовой организации.
Практика DATUM по финансовому сектору охватывает банки, МФО, страховщиков и финтех-компании — от аудита до защиты в арбитраже по ст. 13.11 КоАП.