Перейти к содержанию
аналитика 19 февраля 2027 По состоянию на 19 февраля 2027

Передача в Росфинмониторинг (115-ФЗ)

Передача данных в Росфинмониторинг по 115-ФЗ — это обработка персональных данных на основании правового обязательства оператора-финансовой организации, без согласия клиента.
С 30.05.2025 за утечку таких данных от 10 000 субъектов компания платит от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП, а за повторное нарушение — оборотный штраф до 500 млн ₽ по ч. 15.
Если вы финансовый директор и хотите понять, какие риски по 152-ФЗ возникают при выполнении требований 115-ФЗ, — этот материал даст прямые ответы.

Финтех-компании, банки и МФО ежедневно передают сведения о клиентах в Росфинмониторинг — в рамках обязательного контроля по Федеральному закону № 115-ФЗ «О противодействии легализации доходов». Это законное основание по п. 2 ч. 1 ст. 6 ФЗ-152: исполнение обязанности, возложенной на оператора законодательством. Проблема не в самом факте передачи, а в том, что большинство финансовых организаций не разграничивают объём передаваемых данных, не обновляют уведомление в реестре РКН и не документируют цепочку ответственности. Итог — двойной риск: нарушение и 115-ФЗ, и 152-ФЗ одновременно.

Какое правовое основание позволяет передавать данные без согласия клиента?

Передача персональных данных в государственный орган без согласия субъекта допустима при наличии прямой нормы закона. Для Росфинмониторинга такая норма — ст. 7 и ст. 7.2 ФЗ-115: кредитные организации, МФО, платёжные агенты и иные поднадзорные субъекты обязаны сообщать о подозрительных операциях и клиентах в уполномоченный орган. Передача осуществляется через личный кабинет на портале Росфинмониторинга в формате структурированных сообщений.

С точки зрения 152-ФЗ это основание п. 2 ч. 1 ст. 6 — обработка для исполнения обязанности, предусмотренной законодательством. Согласие субъекта не требуется и не запрашивается. Вместе с тем оператор обязан соблюдать принципы ст. 5 ФЗ-152: передавать только те данные, которые необходимы для конкретной цели, и не дольше, чем этого требует закон.

«Ст. 6 ч. 1 п. 2 ФЗ-152 — обработка ПДн без согласия субъекта допустима, если она необходима для исполнения обязанности оператора, возложенной законодательством РФ. Ст. 5 ФЗ-152 — обрабатываемые данные должны соответствовать целям обработки по составу и объёму.»

Ошибка, которую допускают многие финансовые директора: полагают, что раз передача обязательна по 115-ФЗ, требования 152-ФЗ к ней не применяются. Это не так. Обязательность основания не снимает обязанностей оператора по защите данных в процессе их сбора, хранения и передачи.

Нужно разобраться, что в вашей организации уже соответствует 152-ФЗ, а что создаёт риск?

Финансовый директор несёт ответственность за бюджет штрафов. Аудит соответствия по 152-ФЗ выявляет разрывы между обязательствами по 115-ФЗ и фактическим документооборотом — до того, как это сделает Роскомнадзор. Стоимость аудита — от 100 000 ₽. Стоимость штрафа при утечке клиентских данных — от 3 до 500 млн ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как финансовая организация обрабатывает данные клиентов при идентификации по 115-ФЗ?

Идентификация клиента — обязанность, установленная ст. 7 ФЗ-115. Банк, МФО или платёжный агент собирают ФИО, дату рождения, реквизиты документа, ИНН, место регистрации, а в ряде случаев — биометрические данные через Единую биометрическую систему (ЕБС) по ФЗ-572. Весь этот массив является персональными данными по ст. 3 ФЗ-152, а организация — оператором.

Биометрические данные (изображение лица, голос) относятся к специальной категории по ст. 11 ФЗ-152. Их обработка по общему правилу требует письменного согласия. Однако п. 2 ст. 11 ФЗ-152 допускает обработку без согласия в случаях, предусмотренных законом, — в частности, при использовании ЕБС в порядке ФЗ-572. Важно: хранение исходных биометрических шаблонов вне ЕБС с 01.06.2023 запрещено.

Отдельный вопрос — автоматизированное принятие решений. Если банк использует скоринговую модель для отказа в кредите, это подпадает под ст. 16 ФЗ-152: решения, принимаемые исключительно автоматически и затрагивающие интересы субъекта, допустимы только с его согласия или в случаях, прямо предусмотренных законом. Субъект вправе потребовать пересмотра такого решения.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта, кроме случаев, установленных законом. ФЗ-572 — размещение биометрии в ЕБС; хранение исходных шаблонов вне ЕБС запрещено с 01.06.2023. Ст. 16 ФЗ-152 — автоматизированные решения, затрагивающие интересы субъекта, требуют согласия или законного основания.»

Что грозит финансовой организации за нарушение 152-ФЗ при обработке данных по 115-ФЗ?

С 30.05.2025 ответственность по ст. 13.11 КоАП кардинально ужесточена ФЗ-420 от 30.11.2024. Для финансового директора принципиальны четыре сценария.

Первый: утечка данных клиентов от 1 000 до 10 000 субъектов — штраф от 3 до 5 млн ₽ по ч. 12 ст. 13.11. Второй: утечка от 10 000 до 100 000 субъектов — от 5 до 10 млн ₽ по ч. 13. Третий: более 100 000 субъектов — от 10 до 15 млн ₽ по ч. 14. Четвёртый: повторная утечка — оборотный штраф по ч. 15: от 1 до 3% совокупной годовой выручки за прошлый год, не менее 20 млн ₽ и не более 500 млн ₽.

Отдельно: неуведомление Роскомнадзора об утечке в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) влечёт штраф от 1 до 3 млн ₽ по ч. 11 ст. 13.11. Срок не восстанавливается. Нарушение требований локализации — хранение данных российских клиентов на серверах вне РФ — штраф от 1 до 6 млн ₽ по ч. 8 ст. 13.11.

«Ст. 13.11 ч. 12–15 КоАП в ред. ФЗ-420 от 30.11.2024 (действует с 30.05.2025): утечка от 1 000 субъектов — от 3 млн ₽; повторная утечка — 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Ст. 13.11 ч. 11 — неуведомление об инциденте — от 1 до 3 млн ₽.»

Для финансового сектора добавляется уголовный риск. С 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024): незаконное использование, передача, сбор или хранение компьютерной информации с ПДн. Максимальное наказание по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Это не абстрактная угроза: уголовные дела в 2024–2025 годах возбуждались в том числе против сотрудников финансовых организаций.

Что подготовить финансовой организации для соответствия 152-ФЗ при работе по 115-ФЗ

  • Актуальное уведомление в реестре операторов ПДн (pd.rkn.gov.ru) с указанием цели «исполнение требований 115-ФЗ» и перечня передаваемых категорий данных.
  • Политика обработки персональных данных с разделом о передаче в государственные органы (ч. 2 ст. 18.1 ФЗ-152) — опубликована на сайте организации.
  • Соглашение о конфиденциальности и поручение обработки с каждым подрядчиком, имеющим доступ к клиентским данным (п. 3 ст. 6 ФЗ-152).
  • Регламент реагирования на инциденты с ПДн: фиксация факта, 24-часовое уведомление РКН, 72-часовой отчёт по Приказу РКН №187.
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) и журнал обращений субъектов за 12 месяцев.

Типовые ситуации: как нарушение 152-ФЗ возникает при выполнении 115-ФЗ

Ниже — три сценария из практики финансового сектора. Каждый описывает конкретный разрыв между обязательством по 115-ФЗ и требованием 152-ФЗ.

Ситуация 1. МФО передаёт в Росфинмониторинг расширенный массив данных. МФО настроила автоматическую выгрузку данных о клиентах при каждой операции свыше 15 000 ₽. В выгрузку попали не только обязательные сведения по 115-ФЗ, но и история всех займов, номера телефонов родственников и адреса работодателей — данные, собранные для скоринга. Доказательства: состав передаваемых полей не соответствует минимально необходимому по ст. 7 ФЗ-115. Вероятный исход: нарушение принципа соответствия объёма целям (ст. 5 ФЗ-152) + нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Стратегия: ревизия состава полей в выгрузке, ограничение до минимально необходимого перечня, обновление уведомления в РКН.

Ситуация 2. Банк использует ЕБС для идентификации, но хранит копии биошаблонов локально. ИТ-подразделение банка сохраняло промежуточные биометрические шаблоны на внутреннем сервере «для ускорения повторной идентификации». С 01.06.2023 хранение исходной биометрии вне ЕБС прямо запрещено ФЗ-572. Исход при проверке РКН: нарушение ст. 11 ФЗ-152 + нарушение ФЗ-572, возможное применение ч. 16 ст. 13.11 КоАП. Стратегия: немедленное удаление локальных копий, обновление ОРД, проверка поручения обработки с АО «ЦБТ».

Ситуация 3. Финтех-стартап передаёт данные в Росфинмониторинг через подрядчика-интегратора. Компания заключила договор с техническим посредником, который формирует и отправляет сообщения в Росфинмониторинг. Поручение обработки персональных данных не оформлено. По ст. 6 ФЗ-152 передача данных третьему лицу для обработки по поручению оператора допустима только при наличии соответствующего договора с перечнем действий и обязательством конфиденциальности. Ответственность за утечку через подрядчика несёт оператор. Стратегия: оформить поручение по п. 3 ст. 6 ФЗ-152, провести аудит безопасности подрядчика.

Финансовый директор, у которого нет ОРД по 152-ФЗ, — это незащищённая позиция перед проверкой РКН. Соберите комплект документов до инцидента, а не после: стоимость ОРД под ключ — от 45 000 ₽, стоимость штрафа при выявленном нарушении — от 150 000 до 15 млн ₽.

Собрать ОРД под ключ

Как на практике применяются нормы: разбор кейсов

Кейс 1. В конце 2025 года МФО в Сибирском федеральном округе (менее 200 заёмщиков в активном портфеле) прошла внеплановую проверку РКН. Основание — жалоба клиента на получение рекламных рассылок через три года после погашения займа. В ходе проверки установлено: данные клиентов из базы заёмщиков использовались для маркетинговых целей, хотя уведомление в реестре РКН указывало только цель «исполнение договора займа и требований 115-ФЗ». Компания квалифицирована как нарушитель по ч. 1 ст. 13.11 КоАП. Штраф — в нижней части диапазона. Одновременно выявлено отсутствие поручения обработки с IT-подрядчиком — предписание об устранении.

Кейс 2. В первом квартале 2026 года банк в Центральном федеральном округе столкнулся с утечкой данных клиентов через уязвимость в API. Затронуто около 15 000 записей — ФИО, паспортные данные, сведения об операциях. Первичное уведомление в РКН направлено за 21 час — в рамках 24-часового срока по ч. 3.1 ст. 21 ФЗ-152. Отчёт о расследовании подан через 68 часов. Штраф по ч. 13 ст. 13.11 КоАП — в диапазоне 5–10 млн ₽ — оспорен в арбитражном суде с применением ст. 4.1 КоАП (оперативность и инвестиции в ИБ). Арбитражный суд региона снизил штраф до минимального предела части.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

По общему правилу — нет. Часть 8 ст. 14.8 КоАП, введённая ФЗ-420, запрещает финансовым организациям отказывать в обслуживании клиенту, который не согласился передать биометрию в ЕБС. Штраф за отказ — до 500 тыс. ₽ для юрлица. Исключения установлены ФЗ-572 для случаев, когда идентификация через ЕБС обязательна по отдельным нормативным актам.

2. Что грозит МФО за утечку клиентских данных?

Зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 человек — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в ред. с 30.05.2025). От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Более 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф 1–3% выручки, не менее 20 млн ₽. Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов по ч. 11 той же статьи.

3. Какое основание для обработки данных клиента в банке по 115-ФЗ?

Основание — п. 2 ч. 1 ст. 6 ФЗ-152: исполнение обязанности, возложенной на оператора законодательством. Согласие клиента на передачу данных в Росфинмониторинг не требуется и юридически не имело бы значения, поскольку обязательность передачи установлена самим законом. Однако оператор обязан ограничить состав передаваемых данных минимально необходимым перечнем и уведомить РКН о соответствующей цели обработки.

4. Где хранится биометрия клиентов банка — в ЕБС или на серверах банка?

Только в ЕБС. С 01.06.2023 хранение исходных биометрических шаблонов на серверах финансовой организации прямо запрещено ФЗ-572. Оператором ЕБС является АО «Центр Биометрических Технологий». Банк взаимодействует с ЕБС через API для верификации, но не хранит биометрические данные локально. Нарушение этого требования квалифицируется по ч. 16 ст. 13.11 КоАП.

5. Как субъект может оспорить автоматический отказ в кредите?

Статья 16 ФЗ-152 предоставляет субъекту право потребовать пересмотра решения, принятого исключительно на основе автоматической обработки. Субъект направляет письменное обращение оператору. Оператор обязан рассмотреть его и предоставить ответ — в том числе с разъяснением оснований отказа. Если автоматическое решение принято без законного основания или согласия, это нарушение ст. 16 ФЗ-152, за которым следует ответственность по ст. 13.11 КоАП.

Итог

Передача данных в Росфинмониторинг по 115-ФЗ — законное основание обработки персональных данных, но не освобождение от требований 152-ФЗ. Финансовая организация остаётся оператором и несёт ответственность за состав, объём, хранение и защиту передаваемых данных. С 30.05.2025 риски исчисляются миллионами рублей при первичном инциденте и сотнями миллионов при повторном.

DATUM сопровождает финансовые организации — банки, МФО, финтех-стартапы — в части соответствия 152-ФЗ при работе в регулируемой среде: аудит, ОРД, реагирование на инциденты, защита в арбитраже по ст. 13.11 КоАП.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), антиотмывочный контроль и 115-ФЗ.

19 февраля 2027 года