аналитика 11 февраля 2027 По состоянию на 11 февраля 2027

Передача в РСА (ОСАГО)

Передача персональных данных страхователей и страховщиков в информационную систему Российского союза автостраховщиков (РСА) — это обработка ПДн по поручению в рамках исполнения обязательства по договору ОСАГО. Правовое основание — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора), но на практике объём передаваемых сведений и цепочка обработчиков порождают самостоятельные риски.

С 30.05.2025 действует ФЗ-420: за утечку от 10 000 до 100 000 субъектов штраф составляет 5–10 млн ₽, при повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ (ч. 13 и ч. 15 ст. 13.11 КоАП). Каждый участник цепочки ОСАГО — страховая компания, агрегатор, автосалон с агентским договором — является оператором ПДн и несёт самостоятельную ответственность.

→ Если вы финансовый директор и закладываете бюджет на комплаенс по 152-ФЗ, аудит передачи в РСА позволяет оценить реальные риски до того, как их зафиксирует Роскомнадзор.

Страховой рынок ОСАГО объединяет несколько сотен операторов ПДн, связанных единой информационной инфраструктурой РСА. Финансовый директор страховой компании или её агента видит эту связь прежде всего как операционный процесс — передачу данных о договоре. Между тем с 30.05.2025 каждый узел цепочки несёт самостоятельные административные и уголовно-правовые риски. Ниже — анализ правовой конструкции, типовых нарушений и их стоимости.

Какие персональные данные передаются в РСА и на каком основании?

При заключении договора ОСАГО страховщик направляет в АИС РСА сведения о страхователе, собственнике транспортного средства и допущенных к управлению водителях: ФИО, дата рождения, серия и номер водительского удостоверения, паспортные данные, коэффициент бонус-малус. Эти данные относятся к общей категории ПДн по ст. 3 ФЗ-152 и не требуют письменного согласия при наличии законного основания обработки.

Законным основанием служит п. 5 ч. 1 ст. 6 ФЗ-152 — обработка необходима для исполнения договора, стороной которого является субъект ПДн. Одновременно действует специальный нормативный акт — Закон об ОСАГО (ФЗ-40 от 25.04.2002), который обязывает страховщика передавать сведения в систему РСА. Это создаёт комбинированное основание: норма отраслевого закона + договор со страхователем.

«Ст. 6 ч. 1 п. 5 ФЗ-152: обработка ПДн допускается без согласия субъекта, если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.»

Практическая сложность состоит в том, что РСА в этой схеме выступает не просто получателем данных, а оператором самостоятельной информационной системы с собственными целями обработки — проверкой коэффициента бонус-малус, формированием статистики, предоставлением сведений другим страховщикам. Страховщик, направляющий данные, остаётся оператором в части исполнения договора, но не контролирует дальнейшую обработку в системе РСА. Это разграничение ответственности требует отражения в документах — политике обработки и условиях договора со страхователем.

Какие правовые риски несёт страховщик при передаче в РСА?

Первый риск — несоответствие объёма передаваемых данных заявленным целям. Ст. 5 ФЗ-152 закрепляет принцип минимизации: объём ПДн должен соответствовать целям обработки. Если страховщик передаёт в систему сведения, которые не требуются для расчёта КБМ или оформления полиса, это образует состав нарушения по ч. 1 ст. 13.11 КоАП — штраф для юрлица от 150 000 до 300 000 ₽.

Второй риск — отсутствие или ненадлежащее оформление поручения на обработку. Если РСА рассматривается как обработчик по поручению страховщика (п. 3 ст. 6 ФЗ-152), должен существовать письменный договор с перечнем разрешённых действий, требованиями к защите и условиями об ответственности. Отсутствие такого договора означает, что страховщик не может ссылаться на делегирование ответственности.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено законом, на основании договора, в котором определяются перечень действий, цели обработки и обязанность обеспечить конфиденциальность.»

Третий риск связан с уведомлением РКН. Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки. Если в уведомлении не указана передача данных в АИС РСА как отдельная цель или получатель, РКН вправе квалифицировать это как обработку, выходящую за рамки поданного уведомления. Штраф за неуведомление или несвоевременное уведомление — от 100 000 до 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Бюджет на комплаенс или на штрафы — что считать?

Финансовый директор страховой компании сталкивается с выбором: заложить 100–300 тыс. ₽ на аудит и приведение документов в порядок или ждать проверки РКН, после которой только штраф по ч. 1 ст. 13.11 начинается от 150 тыс. ₽, а при выявлении утечки через АИС РСА — от 3 млн ₽ по ч. 12. Арифметика однозначна. Аудит позволяет зафиксировать состояние передачи данных в РСА, выявить пробелы в поручении и ОРД, предложить план устранения с приоритизацией по стоимости риска.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как агенты и агрегаторы ОСАГО влияют на риски оператора?

Агентская схема продаж ОСАГО — один из наиболее уязвимых сегментов с точки зрения 152-ФЗ. Страховой агент (физическое лицо или ИП) собирает ПДн страхователя, вносит их в систему страховщика и передаёт в АИС РСА. Юридически агент действует от имени страховщика, но технически является самостоятельной точкой сбора данных.

Если агент использует собственную CRM или таблицу для хранения данных клиентов — он становится отдельным оператором ПДн. Страховщик при этом не контролирует меры защиты на стороне агента. Прецедентное правило (case_generic_subpodryad): оператор несёт ответственность за утечку через подрядчика, если не проверил соблюдение требований безопасности. РКН вправе предъявить претензии к страховщику даже при том, что инцидент произошёл у агента.

Агрегаторы (маркетплейсы полисов ОСАГО) добавляют ещё один уровень сложности: они собирают данные для расчёта стоимости, передают их нескольким страховщикам одновременно, получают коэффициент КБМ из АИС РСА. Каждый переход данных между участниками должен быть основан на договоре с перечнем разрешённых действий и требованиями по защите. На практике эти договоры либо отсутствуют, либо содержат общие формулировки без конкретного перечня ПДн.

Что подготовить финансовому директору страховой компании

Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальным перечнем целей и получателей данных, включая РСА и агентскую сеть.
Договор с РСА или агентское соглашение — с разделом о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152 с перечнем разрешённых действий.
Политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, включая описание трансграничной и агентской передачи.
Журнал учёта обращений субъектов — запросов на уточнение, блокирование и уничтожение ПДн за последние 12 месяцев.
Отчёт об оценке уровня защищённости ИСПДн по ПП РФ №1119 с актуальной моделью угроз.

Что изменилось с принятием ФЗ-420 для страхового рынка?

До 30.05.2025 максимальный штраф за нарушения в сфере ПДн для юрлица составлял 500 тыс. ₽ по старой редакции ст. 13.11 КоАП. Утечка любого масштаба фактически не меняла финансовые расчёты страховщика — предельный риск был зафиксирован. После вступления ФЗ-420 в силу картина принципиально иная.

Страховая база ОСАГО — одна из крупнейших баз ПДн физических лиц в стране. По данным РСА, число действующих полисов превышает 40 млн в год. Утечка даже малой доли этих записей немедленно переводит страховщика в диапазон ч. 13 или ч. 14 ст. 13.11 КоАП. При утечке более 100 000 субъектов штраф составляет 10–15 млн ₽. При повторной утечке включается ч. 15 — оборотный штраф от 1 до 3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025): повторная утечка ПДн при ранее назначенном штрафе по ч. 12–14 — оборотный штраф 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽. Инвестиции в ИБ не менее 0,1% выручки за 3 года снижают минимум до 1/10 порога, но не менее 15 млн ₽ (ст. 4.1 КоАП, примечание 3.4-2).»

Отдельно действует ч. 11 ст. 13.11 КоАП: неуведомление или несвоевременное уведомление РКН об инциденте — штраф 1–3 млн ₽. Страховщик обязан направить первичное уведомление в РКН в течение 24 часов с момента обнаружения инцидента, а отчёт о результатах расследования — в течение 72 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022). Сроки не восстанавливаются.

Если финансовый директор страховой компании получил уведомление о проверке РКН или обнаружил подозрение на утечку данных из АИС ОСАГО — 24 часа на первичное уведомление уже начали отсчёт. Юристы DATUM проведут аудит и подготовят пакет документов под ключ.

Заказать аудит 152-ФЗ

Как выглядит практика применения норм в страховом секторе?

Сценарий 1. Страховщик передаёт в АИС РСА расширенный набор данных. В договор поручения включены поля, не предусмотренные регламентом РСА: место регистрации, email, данные о семейном положении. При плановой проверке РКН запрашивает обоснование каждого поля. Страховщик не может указать конкретную цель обработки email-адреса в рамках расчёта КБМ. Итог: протокол по ч. 1 ст. 13.11 КоАП (обработка, несовместимая с целями), штраф 150–300 тыс. ₽. Стратегия защиты: провести аудит состава полей до проверки, исключить избыточные поля, зафиксировать в политике цель каждого собираемого атрибута.

Сценарий 2. Утечка через партнёрский агрегатор. Маркетплейс полисов ОСАГО подвергся атаке, база с данными страхователей (ФИО, дата рождения, ВУ, паспорт) попала в открытый доступ. Число субъектов — около 80 000. Страховщики, чьи клиенты были представлены в базе, получили запросы РКН. Квалификация: ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов) — штраф 5–10 млн ₽. Дополнительно — ч. 11, если уведомление об инциденте подано с опозданием. Стратегия: проверить договор с агрегатором на наличие требований по защите данных; при обнаружении инцидента немедленно фиксировать время и направлять уведомление в РКН.

Сценарий 3. Страховщик — без актуального уведомления в реестре РКН. Компания сменила систему хранения данных, перейдя на облачное решение с серверами в Казахстане, но не обновила уведомление о трансграничной передаче по ст. 12 ФЗ-152. Казахстан находится в перечне стран, не обеспечивающих адекватный уровень защиты ПДн. РКН при внеплановой проверке фиксирует нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и ч. 10 ст. 13.11 КоАП. Совокупный штраф: 1–6 млн ₽ по ч. 8 ст. 13.11 + 100–300 тыс. ₽ по ч. 10. Стратегия: до миграции в облако — провести аудит локализации и оформить уведомление о трансграничной передаче.

Частые вопросы

1. Можно ли отказать клиенту в оформлении ОСАГО без предоставления биометрии?

Оформление полиса ОСАГО не требует биометрических данных. Страхователь вправе отказаться от предоставления биометрии — это не является основанием для отказа в заключении договора. Принуждение к сдаче биометрии в качестве условия обслуживания образует нарушение по ч. 8 ст. 14.8 КоАП. Данные о личности устанавливаются через паспорт и водительское удостоверение, которые не являются биометрическими ПДн при использовании для идентификации по документу, а не по физиологическим признакам.

2. Что грозит страховой компании за утечку базы ОСАГО?

Размер штрафа зависит от числа субъектов. Утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке включается оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — штраф 1–3 млн ₽ за нарушение 24-часового срока уведомления РКН по ч. 11. Все нормы — в редакции ФЗ-420 от 30.11.2024, действуют с 30.05.2025.

3. Какое правовое основание у страховщика для обработки ПДн в ОСАГО?

Основание двойное. Первое — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора ОСАГО, стороной которого является страхователь. Второе — п. 2 ч. 1 ст. 6 ФЗ-152: обработка необходима для выполнения обязанности, предусмотренной ФЗ-40 об ОСАГО (передача данных в АИС РСА — прямая обязанность страховщика по закону). Согласие субъекта для этих оснований не требуется, однако политика обработки ПДн и форма заявления о страховании должны содержать информацию о передаче в РСА.

4. Где физически хранится база АИС РСА — в России?

АИС РСА является информационной системой российской организации (РСА), обязанной соблюдать требование локализации по ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение и уточнение ПДн граждан РФ должны осуществляться в базах данных на территории РФ. Страховщик при передаче данных в АИС РСА выполняет это требование. Отдельный риск возникает, если страховщик использует промежуточные системы (CRM, облачные хранилища) с серверами за рубежом — тогда требование локализации применяется к этому звену цепочки.

5. Как оспорить отказ в кредите или страховке, принятый на основе данных АИС РСА?

Ст. 16 ФЗ-152 предусматривает право субъекта требовать пересмотра решений, принятых исключительно на основе автоматизированной обработки его ПДн, если такое решение порождает правовые последствия или существенно затрагивает его интересы. Субъект вправе направить оператору письменное возражение. Оператор обязан рассмотреть его и в течение 10 рабочих дней предоставить разъяснения или изменить решение. Если в основе отказа лежат недостоверные данные КБМ из АИС РСА — субъект вправе потребовать их уточнения через страховщика или напрямую в РСА по ст. 20 ФЗ-152.

Итог

Передача ПДн в РСА в рамках ОСАГО — юридически обоснованная операция, опирающаяся на двойное основание ФЗ-152 и ФЗ-40. Однако операционная сложность цепочки (страховщик — агент — агрегатор — АИС РСА) создаёт множественные точки риска: избыточность данных, отсутствие надлежащего договора поручения, нарушение локализации при использовании зарубежных систем, несвоевременное уведомление РКН при инциденте.

С 30.05.2025 стоимость каждой из этих ошибок выросла кратно. Юристы DATUM сопровождают страховые компании и их агентские сети в части 152-ФЗ: аудит передачи данных в РСА, подготовка договоров поручения, настройка 24-часового процесса реагирования на инциденты, защита в арбитраже при штрафах по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка передачи ПДн в РСА, агентской сети, договоров поручения
Комплект ОРД под ключ — политика обработки, согласия, договоры с обработчиками
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по ФЗ-218, скоринг по ст. 16 ФЗ-152, биометрия в ЕБС (ФЗ-572), антиотмывочный контроль и 115-ФЗ.