Перейти к содержанию
аналитика 4 декабря 2028 года По состоянию на 4 декабря 2028 года

Платформенная экономика и 152-ФЗ

Платформенная экономика обрабатывает персональные данные по десяткам оснований одновременно — от скоринга по ст. 16 ФЗ-152 до передачи биометрии в ЕБС по ФЗ-572. Любой пробел в документации означает штраф от 3 млн ₽ по ч. 12 ст. 13.11 КоАП.
С 30.05.2025 действуют оборотные санкции по ч. 15 ст. 13.11 — до 3% годовой выручки, но не менее 20 млн ₽. Финтех-платформы, банки, МФО и маркетплейсы попадают под несколько частей ст. 13.11 одновременно: за утечку, за локализацию, за неуведомление, за биометрию.
→ Если вы финансовый директор платформы и считаете бюджет на комплаенс — сопоставьте стоимость аудита (от 100 000 ₽) с диапазоном штрафов (3–500 млн ₽). Арифметика однозначна.

Платформенная экономика — маркетплейсы, агрегаторы, финтех-сервисы, банки, МФО — собирает персональные данные в промышленных масштабах. По данным РКН за 2024 год, более 710 млн записей оказались скомпрометированы в результате 135 подтверждённых утечек. Значительная часть инцидентов касается именно платформенного сектора. С 30.05.2025 за повторную утечку наступает оборотный штраф. В этом материале разбираем, какие нормы регулируют обработку персональных данных на платформах, где пересекаются 152-ФЗ, ФЗ-218, ФЗ-572 и 115-ФЗ, и что финансовый директор должен учесть при формировании бюджета на защиту данных.

Что такое платформенная экономика в контексте 152-ФЗ?

Платформенная экономика объединяет операторов, которые посредничают между субъектами и поставщиками услуг: банковские супераппы, маркетплейсы финансовых продуктов, агрегаторы кредитов, BNPL-сервисы, каршеринг с кредитным скорингом. Каждая такая платформа одновременно выступает оператором персональных данных по ст. 3 ФЗ-152 и агентом под требованиями отраслевого законодательства.

Принципиальная особенность — множественность оснований обработки. По ст. 6 ФЗ-152 платформа одновременно использует согласие (п. 1), исполнение договора (п. 5), обязательные требования закона (п. 2). Каждое основание требует отдельного пакета документов. Смешение оснований — самостоятельный состав нарушения по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица).

Финансовый директор платформы управляет не одной правовой функцией, а портфелем рисков: регуляторных (РКН, Банк России, Роспотребнадзор), репутационных (утечка клиентской базы) и уголовных (ст. 272.1 УК, введена с 11.12.2024). Правильная оценка этого портфеля начинается с понимания, какие нормы применяются к конкретной модели платформы.

«Ст. 6 ФЗ-152 — обработка ПДн допускается при наличии хотя бы одного из 11 оснований. При отсутствии надлежащего основания обработка считается незаконной независимо от отсутствия вреда субъекту.»

Считаете бюджет на защиту данных платформы — с чего начать?

Финансовый директор, который формирует статью расходов на комплаенс по 152-ФЗ, сначала должен понять, сколько оснований обработки использует платформа и есть ли под каждое из них корректная документация. Без этого невозможно оценить реальный размер штрафного риска. Пробелы в одном пакете документов могут означать несколько одновременных нарушений по разным частям ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как пересекаются 152-ФЗ, ФЗ-218, ФЗ-572 и 115-ФЗ на финтех-платформе?

Финтех-платформа работает в пересечении четырёх законодательных режимов, и каждый формирует самостоятельные обязательства по персональным данным.

ФЗ-218 и БКИ. При запросе кредитной истории платформа обязана получить отдельное согласие субъекта на обращение в бюро кредитных историй. Это требование вытекает из ст. 6 ФЗ-152 и конкретизируется в ФЗ-218. Согласие не может быть частью оферты или пользовательского соглашения — с 01.09.2025 по ФЗ-156 оно оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152. Срок хранения кредитной истории — 7 лет; по истечении субъект вправе требовать уничтожения соответствующих ПДн у платформы.

ФЗ-572 и ЕБС. Банки и иные организации, размещающие биометрические данные в Единой биометрической системе, действуют под режимом ФЗ-572. Хранение исходных биометрических данных вне ЕБС с 01.06.2023 — нарушение. Обработка биометрии без письменного согласия — состав по ч. 16 ст. 13.11 КоАП. Утечка биометрии — ч. 17 ст. 13.11, штраф 15–20 млн ₽.

115-ФЗ и идентификация. Антиотмывочный контроль обязывает кредитные организации идентифицировать клиентов и хранить данные идентификации. Это законное основание обработки по п. 2 ст. 6 ФЗ-152. Тем не менее принципы ст. 5 ФЗ-152 применяются и здесь: объём данных не должен превышать необходимый для идентификации, а срок хранения ограничен требованиями 115-ФЗ.

НПС и платёжные данные. Платёжные платформы в системе НПС обрабатывают платёжные реквизиты — они могут квалифицироваться как ПДн, если позволяют идентифицировать субъекта. Требования локализации по ч. 5 ст. 18 ФЗ-152 применяются без исключений для платёжного сектора.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются только в базах данных, расположенных на территории РФ. Нарушение — ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽, повторно — 6–18 млн ₽ (ч. 9).»

Что такое скоринг по ст. 16 ФЗ-152 и когда он создаёт риски?

Статья 16 ФЗ-152 регулирует автоматизированные решения, принятые исключительно на основе автоматической обработки персональных данных и влекущие юридические последствия для субъекта. Кредитный скоринг, страховой андеррайтинг, решение об одобрении займа — классические случаи применения этой нормы.

Оператор обязан предоставить субъекту возможность оспорить такое решение и потребовать его пересмотра с участием человека. Отсутствие этой возможности — нарушение, которое РКН фиксирует при плановых проверках маркетплейсов финансовых услуг. МФО, использующие полностью автоматический скоринг без механизма обжалования, создают устойчивый риск предписания об устранении нарушения.

Для финансового директора это конкретный вопрос бюджетирования: внедрение механизма пересмотра скорингового решения — это ИТ-проект с понятной стоимостью, которая в любом случае ниже штрафа по ч. 1 ст. 13.11 КоАП плюс потенциальных исков от субъектов.

Что подготовить финансовому директору платформы

  • Реестр оснований обработки по каждой категории ПДн и каждому сервису платформы — с указанием нормы-основания из ст. 6 ФЗ-152
  • Пакет отдельных согласий по ст. 9 ФЗ-152 в редакции ФЗ-156: согласие на обработку, согласие на запрос в БКИ, согласие на биометрию — три разных документа
  • Подтверждение локализации баз данных на серверах в РФ по ч. 5 ст. 18 ФЗ-152 — договоры с ЦОД и выписка из реестра РКН
  • Механизм оспаривания автоматических решений по ст. 16 ФЗ-152 — регламент и назначенный ответственный сотрудник
  • Процедура уведомления РКН об утечке за 24 часа по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 — включая шаблон первичного уведомления

Какие риски создаёт биометрия в банке и МФО?

Биометрические персональные данные — особая категория с повышенным режимом защиты по ст. 11 ФЗ-152. Их обработка допускается только с письменного согласия субъекта (общее правило) или в случаях, прямо предусмотренных законом. ФЗ-572 установил специальный режим для ЕБС: банки и МФЦ размещают биометрию граждан в ГИС ЕБС, оператором которой выступает АО «Центр Биометрических Технологий».

Ключевой риск — принуждение к биометрии. Часть 8 ст. 14.8 КоАП запрещает отказывать потребителю в обслуживании по причине отсутствия его биометрии в ЕБС. Банк, который обусловливает открытие счёта или одобрение кредита наличием биометрического профиля в ЕБС, нарушает этот запрет. Штраф для юрлица — до 500 тыс. ₽ за один эпизод.

Второй риск — утечка биометрии. По ч. 17 ст. 13.11 КоАП утечка биометрических персональных данных (за исключением случаев, регулируемых ст. 13.11.3 КоАП по ЕБС) влечёт штраф 15–20 млн ₽ для юрлица. При повторном нарушении — оборотный штраф по ч. 18 ст. 13.11. Для финансового директора это означает, что биометрия в собственных сервисах (СКУД, верификация по лицу в мобильном приложении) должна быть включена в модель угроз отдельной строкой.

Если финансовый директор банка или МФО обнаружил, что биометрия хранится вне ЕБС или согласия субъектов не соответствуют требованиям ФЗ-572 и ст. 9 ФЗ-152, — риск ч. 17 ст. 13.11 КоАП (15–20 млн ₽) активирован. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Финтех-платформа из Приволжского федерального округа (лето 2025) прошла внеплановую проверку РКН по индикатору риска — публично доступный дамп клиентской базы, 45 000 записей. РКН возбудил дело по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов, штраф 5–10 млн ₽). Финансовый директор не мог обосновать сумму инвестиций в ИБ за три предшествующих года, поэтому применить смягчение по ст. 4.1 КоАП (снижение до 1/10 минимума при инвестициях не менее 0,1% выручки) не удалось. Штраф назначен в нижней части диапазона. Одновременно РКН выдал предписание об устранении нарушений по механизму скоринга — ст. 16 ФЗ-152 не была реализована.

Кейс 2. МФО (Центральный федеральный округ, начало 2026) получила протокол по ч. 2 ст. 13.11 КоАП — согласия заёмщиков на запрос в БКИ были включены в текст договора займа, а не оформлены отдельным документом в соответствии с требованиями ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 составляет 300 000–700 000 ₽. Компания относится к малому бизнесу, нарушение — первичное, поэтому был подан запрос о замене штрафа на предупреждение по ст. 4.1.1 КоАП. Мировой суд принял доводы; предупреждение вынесено. После вынесения предупреждения МФО заказала пакет ОРД под ключ для переоформления всех согласий.

Как финансовому директору оценить штрафной риск платформы?

Штрафной риск платформы — это произведение вероятности инцидента на размер санкции с учётом категорий данных и числа субъектов. С 30.05.2025 ориентиры существенно изменились.

Сценарий 1 — утечка клиентской базы до 10 000 субъектов. Ситуация: хакерская атака на сервер с данными зарегистрированных пользователей, 8 000 записей (ФИО, телефон, email). РКН получает уведомление в 24 часа по ч. 3.1 ст. 21 ФЗ-152, возбуждает дело по ч. 12 ст. 13.11. Штраф 3–5 млн ₽. Если платформа не уведомила РКН в 24 часа — дополнительно ч. 11 ст. 13.11, штраф 1–3 млн ₽. Стратегия: документировать инвестиции в ИБ за три года для применения скидки по ст. 4.1 КоАП (до 1/10 минимума, не менее 15 млн ₽ при оборотном).

Сценарий 2 — нарушение локализации (облачный хостинг за рубежом). Ситуация: CRM-система с данными российских клиентов размещена на серверах в ЕС. РКН фиксирует нарушение ч. 5 ст. 18 ФЗ-152. Первичный штраф по ч. 8 ст. 13.11 — 1–6 млн ₽. Повторно — ч. 9 ст. 13.11, 6–18 млн ₽. Стратегия: мигрировать базы в российский ЦОД и зафиксировать дату завершения миграции до вынесения постановления — суды учитывают факт устранения нарушения как смягчающее обстоятельство.

Сценарий 3 — повторная утечка и оборотный штраф. Ситуация: платформа уже привлекалась по ч. 12 ст. 13.11 в 2025 году, в 2026 году — новая утечка от 5 000 субъектов. Применяется ч. 15 ст. 13.11: 1–3% совокупной годовой выручки за прошлый год, не менее 20 млн ₽, не более 500 млн ₽. Для платформы с выручкой 1 млрд ₽ штраф составит от 20 до 30 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП в оборотному составу не применяется. Стратегия: превентивный аудит и инвестиции в ИБ — единственный инструмент снижения базы расчёта по ст. 4.1 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию в ЕБС?

Нет. Часть 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в обслуживании по причине отсутствия его биометрических данных в ЕБС. Банк, обусловливающий открытие счёта или выдачу кредита наличием биометрического профиля, нарушает этот запрет и рискует штрафом до 500 тыс. ₽ за каждый эпизод. Биометрия остаётся добровольной для субъекта.

2. Что грозит МФО за утечку персональных данных заёмщиков?

Зависит от числа субъектов. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 — ч. 13, штраф 5–10 млн ₽. Более 100 000 — ч. 14, штраф 10–15 млн ₽. При повторном нарушении — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — риск уголовной ответственности должностных лиц по ст. 272.1 УК, действующей с 11.12.2024.

3. Какое основание обработки использует банк при выдаче кредита?

Несколько одновременно: исполнение договора (п. 5 ст. 6 ФЗ-152), исполнение законодательных обязательств (п. 2 ст. 6, применительно к 115-ФЗ и идентификации), а также отдельное согласие субъекта для запроса кредитной истории в БКИ по ФЗ-218. Каждое основание требует собственного пакета документов. Смешение оснований в одном согласии — нарушение ст. 9 ФЗ-152 в редакции ФЗ-156, действующей с 01.09.2025.

4. Где хранится биометрия клиентов банка — в банке или в ЕБС?

По ФЗ-572, действующему с 01.06.2023, исходные биометрические данные граждан, собранные банками для удалённой идентификации, должны храниться в ГИС ЕБС. Оператор ЕБС — АО «Центр Биометрических Технологий». Хранение исходных шаблонов вне ЕБС — нарушение. Банк вправе хранить только результат сравнения, но не исходные данные.

5. Как клиент вправе оспорить отказ в кредите, основанный на автоматическом скоринге?

По ст. 16 ФЗ-152 субъект вправе потребовать пересмотра решения, принятого исключительно на основе автоматической обработки его персональных данных, если такое решение влечёт юридические последствия. Платформа обязана обеспечить механизм такого пересмотра с участием уполномоченного сотрудника. Отсутствие этого механизма фиксируется РКН при плановых и внеплановых проверках финансовых платформ.

Итог

Платформенная экономика работает в условиях, когда 152-ФЗ пересекается с ФЗ-218, ФЗ-572, 115-ФЗ и НПС одновременно. Каждое пересечение — отдельный пакет обязательств и отдельный штрафной риск. С 30.05.2025 совокупный риск для платформы с выручкой от 1 млрд ₽ при повторной утечке начинается от 20 млн ₽ оборотного штрафа по ч. 15 ст. 13.11 КоАП.

Юристы DATUM сопровождают финтех-платформы, банки и МФО по вопросам соответствия 152-ФЗ: аудит обработки ПДн, комплект ОРД, защита в арбитраже при штрафах по ст. 13.11 КоАП. Практика «Ветров и партнёры» по персональным данным ведётся с 2014 года.

Есть вопрос по бюджету на комплаенс или уже пришёл запрос РКН?

Если финансовый директор платформы формирует бюджет на защиту персональных данных или компания уже получила предписание либо протокол — оценим риски и предложим план действий. Аудит соответствия 152-ФЗ — от 100 000 ₽. Диапазон штрафного риска при утечке на платформе — от 3 до 500 млн ₽. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

4 декабря 2028 года