Перейти к содержанию
инструкция 3 декабря 2026 По состоянию на 3 декабря 2026

Политика для МФО и БКИ: учёт 218-ФЗ

Политика обработки персональных данных МФО и БКИ — обязательный документ по ч. 2 ст. 18.1 ФЗ-152, который должен учитывать специфику кредитной истории по 218-ФЗ и согласий в новой редакции с 01.09.2025.
МФО хранит данные заёмщиков, БКИ обрабатывает кредитные истории 7 лет — обе организации являются операторами ПДн с повышенным риском: штраф за отсутствие политики по ч. 3 ст. 13.11 КоАП составляет до 60 000 ₽, за нарушение согласий — до 700 000 ₽.
→ Если вы юрист МФО или БКИ и готовите или обновляете политику конфиденциальности — эта инструкция даёт пошаговый порядок действий с актуальными нормами.

С 01.09.2025 вступили в силу поправки по ФЗ-156 от 24.06.2025: согласие на обработку ПДн теперь оформляется отдельным документом, не совмещается с договором займа или офертой. Одновременно с 30.05.2025 действует новая редакция ст. 13.11 КоАП с 18 частями. Политика обработки ПДн МФО и БКИ, составленная до этих дат, требует пересмотра. Ниже — структурированный порядок: от анализа правовых оснований до опубликования и уведомления Роскомнадзора.

Шаг 1. Определите правовые основания обработки ПДн в МФО и БКИ

МФО и БКИ обрабатывают ПДн по нескольким основаниям одновременно. Юрист обязан зафиксировать каждое из них до составления политики — иначе документ не будет соответствовать ст. 6 ФЗ-152.

Для МФО основными основаниями служат: исполнение договора займа (п. 5 ч. 1 ст. 6 ФЗ-152), согласие заёмщика на скоринг и рекламу (п. 1 ч. 1 ст. 6), передача данных в БКИ по ст. 5 218-ФЗ — это самостоятельное законодательное основание, не требующее отдельного согласия заёмщика. Для БКИ основание — исполнение требований 218-ФЗ: получение и хранение кредитных историй, предоставление кредитных отчётов по запросу субъекта или пользователя кредитной истории.

Передача ПДн в БКИ по 218-ФЗ — отдельный случай: источник формирования кредитной истории обязан направить сведения без согласия заёмщика. Политика должна явно указывать этот факт со ссылкой на ст. 5 218-ФЗ, чтобы субъект понимал: его право на отзыв согласия не распространяется на эту часть обработки.

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки ПДн. Пункт 2 ч. 1 — обработка во исполнение законодательного обязательства оператора — применяется к МФО при передаче данных в БКИ по ст. 5 218-ФЗ. Согласие заёмщика для этой передачи не требуется.»

Нужна правовая база для политики МФО или БКИ с учётом 218-ФЗ?

Юрист, который впервые составляет политику для МФО или обновляет документ под редакцию с 30.05.2025, рискует пропустить специфику кредитной истории и получить предписание РКН. До 01.09.2025 старые согласия ещё действовали — теперь каждый документ проверяется на соответствие ФЗ-156. Юристы DATUM соберут комплект ОРД под ключ с учётом 218-ФЗ, ФЗ-156 и актуальной редакции ст. 13.11 КоАП.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Определите состав обязательных разделов политики по ч. 2 ст. 18.1 ФЗ-152

Ч. 2 ст. 18.1 ФЗ-152 устанавливает минимальный состав политики обработки ПДн. Для МФО и БКИ этот состав расширяется специфическими блоками, связанными с 218-ФЗ и автоматизированными решениями по ст. 16 ФЗ-152.

Обязательные разделы политики МФО:

  • Наименование и реквизиты оператора, контакты ответственного по ст. 22.1 ФЗ-152
  • Цели обработки с привязкой к каждой категории данных: идентификационные данные (договор займа), контактные данные (исполнение договора и уведомления), финансовые данные (скоринг, оценка кредитоспособности), данные о кредитной истории (обязанность по 218-ФЗ)
  • Правовые основания по каждой цели со ссылками на ст. 6 ФЗ-152 и ст. 5 218-ФЗ
  • Категории субъектов: заёмщики, поручители, залогодатели, работники МФО
  • Порядок передачи ПДн третьим лицам: БКИ (218-ФЗ), коллекторы (ФССП, договор уступки), страховщики (согласие)
  • Срок обработки и критерии его определения; для данных заёмщика — не менее срока исковой давности плюс срок хранения кредитной истории в БКИ (7 лет по ст. 7 218-ФЗ)
  • Порядок реализации прав субъекта: обращение, срок ответа (10 рабочих дней по ст. 20 ФЗ-152 с возможным продлением на 5 рабочих дней)
  • Описание мер по ст. 19 ФЗ-152 — технических и организационных
  • Блок об автоматизированном принятии решений по ст. 16 ФЗ-152, если МФО использует скоринг

Для БКИ дополнительно включаются: порядок предоставления кредитного отчёта, категории пользователей кредитной истории (банки, МФО, работодатели), порядок оспаривания информации субъектом по ст. 8 218-ФЗ.

«Ч. 2 ст. 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки ПДн, содержащую сведения о целях, правовых основаниях, составе, сроках, порядке уничтожения и мерах защиты. Нарушение — штраф по ч. 3 ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 до 60 000 ₽ для юрлица.»

Шаг 3. Проверьте соответствие согласий требованиям ФЗ-156 с 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Его нельзя включать в текст договора займа, кредитного соглашения, оферты или правил программы лояльности.

Для МФО это означает три группы согласий, требующих отдельного оформления:

  • Согласие на скоринг и автоматизированные решения — если МФО принимает решение об отказе или одобрении займа без участия человека по ст. 16 ФЗ-152; это согласие также закрывает ст. 4 218-ФЗ при запросе в БКИ
  • Согласие на рекламные коммуникации — если МФО направляет предложения по займам, рефинансированию; отдельно от согласия на обработку по договору
  • Согласие на распространение по ст. 10.1 ФЗ-152 — если МФО передаёт данные партнёрам для маркетинга

Ранее выданные согласия, включённые в договор займа до 01.09.2025, не аннулируются автоматически — закон не имеет обратной силы. Но при обновлении форм, пролонгации договоров или привлечении новых заёмщиков нужно применять новый порядок. Политика обработки ПДн должна отражать актуальную форму согласия и дату её введения.

Что проверить юристу МФО или БКИ перед обновлением политики

  • Регистрация в реестре операторов РКН: актуальность уведомления по ст. 22 ФЗ-152, соответствие реальной обработки заявленным целям
  • Форма согласия: отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 — ФИО, контактные данные, цель, перечень ПДн, действия, срок, способ отзыва
  • Блок о передаче в БКИ: ссылка на 218-ФЗ как самостоятельное законодательное основание без согласия субъекта
  • Назначен ответственный по ст. 22.1 ФЗ-152: приказ, контактные данные в политике
  • Срок хранения данных заёмщика: минимум 7 лет для данных кредитной истории по ст. 7 218-ФЗ

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152 и отразите его в политике

Ст. 22.1 ФЗ-152 обязывает каждую организацию-оператора назначить лицо, ответственное за организацию обработки ПДн. Для МФО и БКИ это требование имеет практическое значение: ответственный подписывает отчёты о расследовании при утечке (ст. 21 ч. 3.1), взаимодействует с РКН при проверке, отвечает на запросы субъектов в срок 10 рабочих дней.

Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к ответственному: он не должен действовать в интересах третьих лиц в ущерб оператору. На практике это юрист или compliance-офицер МФО. Контактные данные ответственного — обязательный реквизит политики обработки ПДн: без них документ не отвечает ч. 2 ст. 18.1.

Если МФО не имеет штатного юриста или compliance-функции — допускается DPO-аутсорсинг. Аутсорсинговый ответственный берёт на себя функцию по ст. 22.1 на основании договора поручения обработки (ст. 6 ч. 3 ФЗ-152). Его данные вносятся в политику и уведомление РКН.

Если в МФО нет штатного ответственного по ст. 22.1 — каждый запрос субъекта или инцидент без назначенного лица создаёт основание для штрафа по ч. 4 ст. 13.11 КоАП (до 80 000 ₽). Юристы DATUM возьмут функцию ответственного на абонентское обслуживание, включая ответы на запросы субъектов в установленный срок.

Подключить DPO-аутсорс

Шаг 5. Опубликуйте политику и подайте или обновите уведомление в РКН

Ч. 2 ст. 18.1 ФЗ-152 требует опубликовать политику обработки ПДн в открытом доступе — для МФО это сайт организации. Достаточно ссылки в подвале главной страницы и на страницах форм сбора данных. БКИ, работающее только в B2B-режиме, размещает политику на корпоративном сайте и передаёт её пользователям кредитных историй вместе с договором.

Одновременно с публикацией юрист проверяет или подаёт уведомление в РКН по ст. 22 ФЗ-152 через портал pd.rkn.gov.ru (форма по Приказу РКН №180 от 28.10.2022). Уведомление подаётся до начала обработки или актуализируется при изменении целей, состава данных, способов обработки. Срок включения оператора в реестр — 30 дней с момента подачи уведомления.

Наиболее частая ошибка МФО: уведомление подано при регистрации организации, но за прошедшие годы расширился перечень обрабатываемых данных (добавился скоринг, партнёрский маркетинг, КЭДО), а уведомление не обновлялось. Расхождение между реестром и фактической обработкой — самостоятельное нарушение по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽ для юрлица).

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении осуществлять обработку ПДн до её начала. Форма уведомления — Приказ РКН №180 от 28.10.2022. Неуведомление или несвоевременное уведомление — ч. 10 ст. 13.11 КоАП: от 100 000 до 300 000 ₽ для юрлица в редакции с 30.05.2025.»

Как это работает в практике МФО и БКИ

Кейс 1. МФО в Сибирском федеральном округе (осень 2025) прошла плановую проверку РКН после жалобы заёмщика на навязчивые звонки. Инспекторы установили: согласие на маркетинговые коммуникации включено в договор займа, отдельный документ отсутствует. Политика обработки ПДн не содержала блока об автоматизированных решениях, хотя МФО использовала скоринговую модель. Организация получила два предписания — на переработку согласий и политики — и штраф по ч. 3 ст. 13.11 КоАП. Устранение заняло три месяца при наличии штатного юриста; пересмотр уведомления в РКН потребовал отдельного обращения через pd.rkn.gov.ru.

Кейс 2. БКИ в Центральном федеральном округе (начало 2026) получило запрос РКН о предоставлении сведений об операторе в рамках внеплановой проверки. Ответственный по ст. 22.1 не был назначен приказом, в политике указан только email технической поддержки. Срок ответа субъекту — 10 рабочих дней — нарушался систематически: запросы уходили в очередь клиентской службы без правового контроля. Организации были предъявлены нарушения по ч. 4 ст. 13.11 (непредоставление субъекту информации об обработке). Юрист, привлечённый постфактум, успел закрыть часть нарушений до составления постановления — штраф снизился до минимального диапазона по ч. 4.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн в МФО?

Минимальный пакет включает: политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, согласия субъектов в виде отдельных документов по ст. 9 ФЗ-152 (редакция с 01.09.2025), уведомление в РКН по ст. 22, регламент реагирования на запросы субъектов, журнал обращений, а также договор-поручение с каждым подрядчиком, обрабатывающим ПДн. Для МФО отдельно — документы, фиксирующие основание передачи данных в БКИ по 218-ФЗ.

2. Как составить политику обработки ПДн для МФО?

Политика строится в соответствии с ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания (в том числе ст. 5 218-ФЗ для передачи в БКИ), категории субъектов и данных, сроки хранения, порядок уничтожения, меры защиты по ст. 19, контакты ответственного по ст. 22.1. Дополнительно — блок об автоматизированных решениях (скоринг), если применяется. Использовать шаблон из интернета без адаптации под фактическую обработку МФО — рискованно: инспектор РКН проверяет соответствие политики реальным процессам.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 в МФО?

Ст. 22.1 ФЗ-152 требует, чтобы ответственный не действовал в интересах третьих лиц в ущерб оператору. На практике это штатный юрист, compliance-офицер или специально назначенный сотрудник. Если штатной функции нет — допускается DPO-аутсорсинг по договору поручения обработки (ст. 6 ч. 3 ФЗ-152). Контактные данные ответственного обязательно указываются в политике и в уведомлении РКН.

4. Можно ли использовать шаблон политики из интернета?

Типовые шаблоны, как правило, не учитывают отраслевую специфику МФО: передачу данных в БКИ по 218-ФЗ как самостоятельное законодательное основание, скоринг по ст. 16 ФЗ-152, сроки хранения кредитной истории по ст. 7 218-ФЗ. Кроме того, большинство шаблонов не обновлены под редакцию ст. 13.11 КоАП с 30.05.2025 и требования ФЗ-156 с 01.09.2025. РКН при проверке сравнивает политику с фактической обработкой — несоответствие даёт основание для предписания.

5. Какие согласия нужны в МФО после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 каждое согласие на обработку ПДн оформляется отдельным документом. Для МФО это минимум три отдельных согласия: на скоринг и автоматизированные решения, на маркетинговые коммуникации, на передачу данных третьим лицам (партнёрам). Передача данных в БКИ по ст. 5 218-ФЗ согласия не требует — это законодательное основание по п. 2 ч. 1 ст. 6 ФЗ-152. Старые согласия в договоре займа, выданные до 01.09.2025, обратной силой не аннулируются, но при обновлении форм применяется новый порядок.

Итог

Политика обработки ПДн МФО и БКИ — не универсальный документ: она должна учитывать 218-ФЗ как самостоятельное основание передачи данных, скоринг по ст. 16 ФЗ-152, отдельные согласия с 01.09.2025 и актуальный реестр в РКН. Несоответствие любого из этих элементов — повод для предписания и штрафа по ч. 3, ч. 2 или ч. 10 ст. 13.11 КоАП в диапазоне от 60 000 до 700 000 ₽ за каждое нарушение.

Юристы DATUM сопровождают МФО и БКИ в части комплаенса по ФЗ-152 с учётом отраслевой специфики финансового сектора: готовят полный пакет ОРД, адаптируют политику под фактическую обработку, представляют интересы при проверках РКН.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

3 декабря 2026 года