Покупки в Метро/Ленте/Магнит по карте лояльности
Программы лояльности Метро, Ленты и Магнита аккумулируют данные о покупательском поведении десятков миллионов граждан. Для финтех-компаний, банков и МФО эти данные ценны: история покупок — сигнал платёжеспособности, используемый в скоринговых моделях наряду с данными БКИ. Но подключение к таким потокам данных формирует у финансовой компании самостоятельную правовую позицию оператора или уполномоченного обработчика по ФЗ-152. Ниже — разбор нормативной базы, типовых рисков и экономики соответствия для финансового директора.
Как карты лояльности соотносятся с требованиями ФЗ-152 и финансового регулирования?
Покупатель, оформляя карту лояльности, передаёт ритейлеру как минимум ФИО, номер телефона и дату рождения. Ряд сетей дополнительно собирает адрес, email, историю транзакций. По ст. 3 ФЗ-152 всё это — персональные данные. Ритейлер, первым получающий эти данные, регистрируется в реестре РКН как оператор по ст. 22 ФЗ-152.
Финтех-компания, получающая транзакционные данные от ритейлера для скоринга, действует по одному из двух правовых режимов. Первый — поручение обработки по п. 3 ст. 6 ФЗ-152: ритейлер остаётся оператором, финтех — уполномоченным обработчиком. Второй — самостоятельный оператор: финтех получает данные на основании отдельного согласия субъекта и преследует собственные цели. Выбор режима напрямую влияет на объём документации и меры защиты.
Для банков и МФО существенна ст. 16 ФЗ-152: принятие решений исключительно на основании автоматизированной обработки ПДн (скоринг без участия человека) допускается только с согласия субъекта или в случаях, прямо предусмотренных законом. Клиент вправе требовать пересмотра такого решения живым сотрудником. Игнорирование этого требования создаёт основание для жалобы в РКН и последующего протокола.
Бюджет на комплаенс ещё не заложен — что это означает для P&L?
Штраф по ч. 13 ст. 13.11 КоАП за утечку от 10 000 до 100 000 субъектов — 5–10 млн ₽. Аудит соответствия ФЗ-152 под финтех — от 100 000 ₽. Разница в порядок. Если в следующем бюджетном периоде расходы на защиту ПДн не предусмотрены, риск переходит на финансовый результат текущего года.
Заказать аудит 152-ФЗ+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что такое скоринг по покупательскому поведению и какие нормы его регулируют?
Скоринг на основе данных программ лояльности — это автоматизированная оценка кредитоспособности, при которой модель учитывает частоту, объём и состав покупок субъекта в торговых сетях. Такие данные поступают к финансовой организации либо напрямую от ритейлера (по договору), либо через бюро кредитных историй, если ритейлер передаёт в БКИ поведенческие сигналы.
ФЗ-218 «О кредитных историях» регулирует формирование, хранение и использование кредитных историй. Согласие субъекта на запрос в БКИ — отдельное основание, предусмотренное ст. 6 ФЗ-152. Банк или МФО обязаны зафиксировать это согласие надлежащим образом: с 01.09.2025 согласие оформляется отдельным документом по требованиям ФЗ-156, не встраивается в договор или анкету. Нарушение — штраф 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.
Для МФО особо значима 115-ФЗ-идентификация: обязательная проверка личности клиента при выдаче займа пересекается с требованиями ФЗ-572 о Единой биометрической системе. С 01.06.2023 хранить биометрические шаблоны вне ЕБС запрещено. Удалённая идентификация через собственную базу биометрии — нарушение, влекущее штраф по ч. 16 ст. 13.11 КоАП.
Что грозит финансовой организации при нарушении правил обработки данных из программ лояльности?
Финансовый директор управляет рисками через их денежную оценку. Ниже — актуальная шкала санкций по ст. 13.11 КоАП в редакции, действующей с 30.05.2025.
База программы лояльности Магнита насчитывает десятки миллионов записей. Если финтех-компания хранит или обрабатывает даже выборку из этой базы без надлежащих мер защиты и происходит утечка, применяется ч. 14 или ч. 15 в зависимости от количества субъектов и факта повторности. Неуведомление РКН об инциденте в течение 24 часов добавляет штраф 1–3 млн ₽ по ч. 11 той же статьи.
Параллельно действует ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024): незаконная передача компьютерной информации, содержащей ПДн, — до 10 лет лишения свободы по ч. 5 за тяжкие последствия. Это означает личную уголовную ответственность сотрудников, принявших решение о несанкционированном предоставлении данных.
Что подготовить финансовой компании, работающей с данными программ лояльности
- Договор поручения обработки с ритейлером по п. 3 ст. 6 ФЗ-152 или собственное уведомление в реестре РКН по ст. 22 ФЗ-152 — в зависимости от выбранного правового режима.
- Отдельные согласия субъектов на скоринговую обработку и передачу данных — по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025.
- Регламент реагирования на утечку с закреплённым сроком: первичное уведомление РКН за 24 часа, отчёт о расследовании за 72 часа (Приказ РКН №187).
- Оценка уровня защищённости ИСПДн по ПП РФ №1119 — для скоринговой базы с данными более 100 000 субъектов это не ниже УЗ-3.
- Документация по ст. 16 ФЗ-152: процедура пересмотра автоматизированного решения по обращению субъекта с фиксированным сроком ответа.
Как применяется ЕБС и требования ФЗ-572 при финансовой идентификации в ритейле?
Ряд торговых сетей тестирует биометрическую оплату: покупатель авторизует платёж по лицу. Финансовая организация, обслуживающая такую транзакцию, вступает в сферу регулирования ФЗ-572 об Единой биометрической системе. Оператором ЕБС является АО «Центр Биометрических Технологий». Банки и МФО, использующие биометрию для удалённой идентификации, обязаны направлять биометрические шаблоны в ЕБС и не хранить их самостоятельно.
Принципиально важен запрет по ч. 8 ст. 14.8 КоАП: финансовая организация не вправе отказать клиенту в обслуживании лишь на основании того, что он не предоставил биометрию в ЕБС. Нарушение этого запрета влечёт штраф для юрлица до 500 000 ₽. Финансовому директору следует убедиться, что скрипты продаж и регламенты фронт-офиса не содержат формулировок, де-факто обусловливающих обслуживание согласием на биометрию.
Если финансовая компания использует данные программ лояльности в скоринге или подключена к биометрической оплате — проверьте правовой режим обработки. Несоответствие режима фактической архитектуре данных — первое, что выявляет внеплановая проверка РКН. Аудит соответствия займёт 2–4 недели и стоит кратно меньше минимального штрафа по ч. 12 ст. 13.11 КоАП.
Заказать аудит 152-ФЗТиповые ситуации для финансового директора: сценарии и исходы
Сценарий 1. МФО получает транзакционный профиль клиента от партнёра-ритейлера без договора поручения. Ситуация: данные передаются по «джентльменскому соглашению», без уведомления РКН, без согласия субъекта. Доказательства нарушения: отсутствие МФО в реестре операторов РКН по данному виду обработки; отсутствие согласия клиента с указанием МФО как получателя. Вероятный исход: протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) и ч. 2 (300 000–700 000 ₽) одновременно; при первичности и статусе МСП — возможна замена на предупреждение по ст. 4.1.1 КоАП. Стратегия: заключить договор поручения, обновить согласия, подать уведомление в РКН по ст. 22 ФЗ-152.
Сценарий 2. Банк строит скоринговую модель на данных карт лояльности, решение об отказе в кредите принимается автоматически. Ситуация: клиент обращается с жалобой на немотивированный отказ; в процедуре пересмотра участие человека не предусмотрено. Доказательства нарушения: регламент кредитного конвейера не содержит процедуры по ст. 16 ФЗ-152; согласие на автоматизированное решение не оформлено отдельным документом. Вероятный исход: предписание РКН об устранении, при неисполнении — штраф по ч. 5 ст. 13.11 (50 000–90 000 ₽); репутационный риск при эскалации жалобы в СМИ. Стратегия: внедрить процедуру ручного пересмотра с уведомлением клиента, обновить согласие по требованиям ФЗ-156.
Сценарий 3. Утечка скоринговой базы с данными 15 000 клиентов через взлом API-интеграции с ритейлером. Ситуация: данные появляются в открытом доступе; факт утечки фиксируется службой мониторинга. Доказательства: логи API-запросов за 30 дней до утечки; перечень затронутых субъектов. Вероятный исход при своевременном уведомлении (24/72 ч): штраф по ч. 13 ст. 13.11 — 5–10 млн ₽; при неуведомлении — дополнительно ч. 11 (1–3 млн ₽). Стратегия: отладить регламент реагирования по Приказу РКН №187 до инцидента, застраховать ответственность оператора, заложить резерв в бюджете.
Как это применяется на практике
Кейс 1. Финтех-компания (Приволжский ФО, осень 2025) выстроила скоринг на данных партнёра-ритейлера без договора поручения по ст. 6 ФЗ-152. При плановой проверке РКН инспекторы запросили правовое основание обработки. Компания не смогла предъявить ни договор, ни согласия субъектов, ни уведомление в реестре по данному виду обработки. Вынесено постановление по ч. 1 и ч. 2 ст. 13.11 КоАП на общую сумму в несколько сотен тысяч рублей. Параллельно РКН выдал предписание об устранении в 30-дневный срок. Финансовый директор был вынужден экстренно закладывать бюджет на переработку ОРД и согласий — втрое дороже, чем превентивный аудит. ⚠ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2. В 2025 году арбитражный суд Москвы рассмотрел дело о крупной утечке (дело № А40-263126/2025): база данных с 26 миллионами записей стала доступна третьим лицам. Поскольку инцидент произошёл до 01.06.2025, суд применил нормы в старой редакции и назначил штраф 150 000 ₽ — минимальный по ч. 1 ст. 13.11 в прежней версии КоАП. Аналогичная утечка, случившаяся после 30.05.2025, квалифицировалась бы по ч. 14 с санкцией 10–15 млн ₽. Дата инцидента теперь — ключевая переменная при расчёте финансового риска.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка правового режима обработки данных программ лояльности и скоринга
- Комплект ОРД под ключ — договоры поручения, согласия по ФЗ-156, регламент реагирования на утечку
- Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП
Частые вопросы
1. Можно ли отказать клиенту без биометрии в ЕБС?
Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в обслуживании по причине непредоставления биометрии в Единую биометрическую систему. Штраф для юрлица — до 500 000 ₽. Это касается банков, МФО и любых финансовых организаций, внедривших биометрическую идентификацию как опцию. Предоставление биометрии остаётся добровольным правом клиента по ФЗ-572.
2. Что грозит МФО за утечку данных клиентов?
Размер штрафа зависит от числа затронутых субъектов. По ст. 13.11 КоАП в редакции с 30.05.2025: от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13); свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторном нарушении — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов (ч. 11).
3. Какое правовое основание обработки ПДн в банке при скоринге?
Оснований может быть несколько одновременно. Основное — п. 5 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Для данных из сторонних источников (программы лояльности ритейлера) — отдельное согласие по ст. 9 ФЗ-152. С 01.09.2025 это согласие оформляется отдельным документом по ФЗ-156; встраивание в кредитный договор недопустимо. Автоматизированные решения по ст. 16 ФЗ-152 требуют отдельного согласия или прямой нормы закона.
4. Где хранится биометрия — в ЕБС или у банка?
По ФЗ-572 биометрические шаблоны хранятся в Единой биометрической системе, оператором которой является АО «Центр Биометрических Технологий». Банки и МФО с 01.06.2023 не вправе хранить биометрические шаблоны в собственных информационных системах. При удалённой идентификации запрос уходит в ЕБС; результат возвращается в виде подтверждения без передачи исходного биометрического образца.
5. Как оспорить отказ в кредите, принятый автоматически?
По ст. 16 ФЗ-152 субъект вправе требовать, чтобы решение, принятое исключительно на основании автоматизированной обработки его ПДн и влекущее правовые последствия, было пересмотрено с участием человека. Обращение подаётся в банк или МФО в письменной форме. Оператор обязан ответить в срок, установленный внутренним регламентом. При отказе или игнорировании — жалоба в РКН; регулятор вправе возбудить административное дело и выдать предписание об устранении нарушения.
Итог
Данные программ лояльности Метро, Ленты и Магнита — полноценный актив для финансового скоринга, но их использование требует чёткого правового режима: договора поручения или самостоятельного уведомления в РКН, отдельных согласий по ФЗ-156 и процедуры пересмотра автоматизированных решений по ст. 16 ФЗ-152. С 30.05.2025 цена несоответствия выросла кратно: минимальный штраф за утечку от 10 000 субъектов — 5 млн ₽, оборотный при повторении — до 500 млн ₽.
Юристы DATUM сопровождают финансовые организации по вопросам обработки ПДн в скоринге, программах лояльности и биометрической идентификации — от аудита правового режима до защиты в арбитраже при оспаривании протоколов по ст. 13.11 КоАП.
28 февраля 2027 года