аналитика 14 февраля 2027 По состоянию на 14 февраля 2027

Принципиальное основание обработки в МФО

МФО — оператор персональных данных по ст. 3 ФЗ-152. Каждое действие с данными заёмщика требует правового основания из ст. 6: согласие, договор, закон или иное из 11 допустимых оснований.

С 30.05.2025 за обработку ПДн без надлежащего основания МФО платит 150 000–300 000 ₽ по ч. 1 ст. 13.11 КоАП; при повторности — до 500 000 ₽. Отдельное согласие на скоринг, передачу в БКИ и ЕБС — самостоятельный документ с 01.09.2025 по ФЗ-156.

→ Если вы финансовый директор МФО и не уверены, на каком основании компания обрабатывает ПДн по каждому процессу — читайте разбор и заказывайте аудит.

Микрофинансовые организации обрабатывают персональные данные на каждом этапе жизненного цикла займа: при идентификации, скоринге, выдаче, передаче в БКИ, взыскании. За 2024 год Роскомнадзор зафиксировал 135 случаев утечек с объёмом более 710 млн записей — и МФО входят в группу риска. С 30.05.2025 ст. 13.11 КоАП насчитывает 18 составов; с 01.09.2025 требования к форме согласия ужесточились. Для финансового директора МФО вопрос правового основания — это вопрос размера административной ответственности и предсказуемости расходов на комплаенс.

Что такое принципиальное основание обработки и почему оно важно для МФО?

Под «принципиальным основанием обработки» понимается юридически значимое условие, при наличии которого оператор вправе совершать действия с персональными данными. Перечень таких условий закрытый: он установлен ч. 1 ст. 6 ФЗ-152 и включает 11 пунктов. Для МФО практически значимы пять: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), исполнение обязанностей, возложенных законом (п. 2), защита жизненно важных интересов (п. 6) и осуществление законной деятельности оператора (п. 7 — только для некоммерческих организаций, для МФО нерелевантен).

Ключевое требование ст. 5 ФЗ-152 — принцип целевой ограниченности: цель обработки должна быть определена до начала сбора данных, а сам сбор ограничен тем, что необходимо для достижения этой цели. МФО, которая одним актом собирает ПДн одновременно для скоринга, маркетинга и передачи третьим лицам, нарушает принцип недопустимости объединения баз с несовместимыми целями.

Для финансового директора это означает следующее: каждый бизнес-процесс, в котором задействованы ПДн заёмщика (скоринг, верификация, передача в БКИ, передача коллектору, рассылка), должен иметь задокументированное основание. Отсутствие документа — это не «технический недочёт», а самостоятельный состав административного правонарушения.

«Ст. 6 ФЗ-152: обработка персональных данных допускается при наличии хотя бы одного из условий, перечисленных в ч. 1. Обработка, не отвечающая ни одному условию, — неправомерна вне зависимости от намерений оператора.»

Не уверены, какое основание применяется к каждому процессу МФО?

Если финансовый директор МФО не может сопоставить каждый поток данных с конкретным пунктом ст. 6 ФЗ-152 — это риск штрафа по ч. 1 ст. 13.11 КоАП (до 300 000 ₽) уже при первой проверке РКН. Аудит позволяет выявить пробелы до того, как это сделает регулятор. С 30.05.2025 повторное нарушение обходится в 300 000–500 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как ФЗ-218 о БКИ, ФЗ-572 о ЕБС и 115-ФЗ формируют законные основания обработки?

Три федеральных закона определяют значительную часть обязательной обработки ПДн в МФО — и каждый из них является самостоятельным законным основанием по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, предусмотренной законом).

ФЗ-218 «О кредитных историях». МФО обязана передавать сведения о займах хотя бы в одно бюро кредитных историй. Эта обязанность установлена законом, поэтому согласие заёмщика на такую передачу не требуется в качестве основания — достаточно п. 2 ч. 1 ст. 6 ФЗ-152. Срок хранения кредитной истории в БКИ — 7 лет с даты последней операции. Однако МФО нередко расширяют объём передаваемых данных сверх предусмотренного ФЗ-218 — это уже выходит за рамки законного основания и требует согласия.

ФЗ-572 «О государственной информационной системе». С 01.06.2023 хранение биометрических ПДн вне ЕБС запрещено. МФО, которые используют биометрию для удалённой идентификации через ЕБС, действуют в рамках ФЗ-572 и ФЗ-149 — законное основание обработки подтверждено. Сбор биометрии вне ЕБС и вне случаев, предусмотренных п. 2 ст. 11 ФЗ-152, является нарушением и влечёт ответственность по ч. 16 ст. 13.11 КоАП.

115-ФЗ «О противодействии легализации доходов». Обязательная идентификация клиента (ФИО, дата рождения, документ, удостоверяющий личность, ИНН, место жительства) — законная обязанность МФО. Она формирует самостоятельное основание обработки, не требующее отдельного согласия. Вместе с тем данные, собранные в рамках 115-ФЗ, нельзя использовать для маркетинговых рассылок — цели не совпадают, объединение баз недопустимо по ст. 5 ФЗ-152.

«Ст. 5 ФЗ-152, принцип несовместимости целей: данные, собранные для исполнения требований 115-ФЗ, не могут использоваться для маркетинга — это самостоятельное нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).»

Что изменилось в порядке получения согласия после 01.09.2025?

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом и не может быть включено в текст договора займа, оферты, полисных условий или иного документа. Практика МФО, при которой согласие на обработку ПДн размещалось в теле договора или анкеты-заявки, с этой даты не соответствует требованиям закона в части новых согласий.

Обратной силы ФЗ-156 не имеет: согласия, полученные до 01.09.2025 в составе договора, переоформлять не требуется. Новые согласия — в том числе на скоринг с использованием ИИ-моделей, на рекламные коммуникации, на передачу ПДн партнёрам по маркетингу — должны быть оформлены отдельным документом с обязательными реквизитами: наименование оператора, ФИО субъекта, цель, перечень данных, перечень действий, срок и способ отзыва.

Для МФО это означает изменение онлайн-флоу выдачи займов: согласие не может быть чекбоксом «Я согласен с условиями договора». Требуется отдельный экран или документ с самостоятельной подписью (электронной или собственноручной). Нарушение требований к составу согласия — состав по ч. 2 ст. 13.11 КоАП: штраф 300 000–700 000 ₽. Повторное нарушение — 1 000 000–1 500 000 ₽ по ч. 2.1.

Что подготовить МФО по основаниям обработки

Реестр процессов обработки ПДн с указанием правового основания по ст. 6 ФЗ-152 для каждого процесса (скоринг, БКИ, 115-ФЗ, маркетинг, коллекторы).
Отдельные формы согласий под каждую цель, оформленные как самостоятельный документ с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Политику обработки персональных данных, опубликованную на сайте МФО, с разделами по ч. 2 ст. 18.1 ФЗ-152.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Действующее уведомление в реестре операторов РКН с актуальными сведениями (ст. 22 ФЗ-152, срок включения — 30 дней после подачи).

Скоринг по ст. 16 ФЗ-152 и автоматизированные решения: что нужно знать финансовому директору?

Ст. 16 ФЗ-152 регулирует принятие решений исключительно на основании автоматизированной обработки ПДн — когда алгоритм без участия человека принимает решение, порождающее юридические последствия для субъекта. Для МФО скоринговая модель, полностью определяющая выдачу или отказ в займе, подпадает под действие этой нормы.

По ст. 16 ФЗ-152 субъект вправе требовать пересмотра решения с участием человека. МФО обязана уведомить субъекта о том, что решение принято автоматически, и предоставить возможность такого пересмотра. Если МФО этого не делает — это нарушение ст. 16, которое может стать основанием для обращения субъекта к РКН и последующей внеплановой проверки.

Отдельная проблема — обучение скоринговых моделей на исторических данных заёмщиков. Если модель обучается на реальных ПДн без обезличивания, это является обработкой персональных данных и требует правового основания. Приказ РКН (действует с 01.09.2025) устанавливает пять методов обезличивания; использование данных в «сыром» виде для ML-обучения без такого обезличивания — риск претензии РКН по ст. 5 ФЗ-152.

Если МФО использует автоскоринг и не уведомляет заёмщиков по ст. 16 ФЗ-152 — это основание для внеплановой проверки РКН и штрафа по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽ за непредоставление информации субъекту). Устранить несоответствие до проверки — дешевле в разы. DATUM проводит аудит обработки ПДн от 100 000 ₽ с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Типовые ситуации: когда МФО нарушает основания обработки?

Ниже — три практических сценария, характерных для МФО в текущей регуляторной среде.

Сценарий 1. Рассылка по базе заёмщиков без отдельного согласия. МФО использует контакты клиентов, собранные при выдаче займа, для маркетинговых рассылок. Основание выдачи займа — п. 5 ч. 1 ст. 6 (исполнение договора). Это основание не охватывает маркетинг. Доказательства нарушения: отсутствие отдельного согласия с целью «маркетинговые коммуникации». Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) + предписание уничтожить незаконно обрабатываемые данные. Стратегия: немедленно получить отдельные согласия или прекратить рассылки, параллельно проверить базы рассылок на предмет законности сбора.

Сценарий 2. Передача ПДн заёмщика партнёру по аффилиатной сети без согласия. МФО передаёт данные лидогенерирующему партнёру на основании агентского договора. Договор между МФО и партнёром не является основанием обработки ПДн — субъект не является стороной этого договора (п. 5 ч. 1 ст. 6 неприменим). Доказательства нарушения: отсутствие отдельного согласия с перечислением получателя — партнёра. Вероятный исход: штраф по ч. 1 ст. 13.11, при систематичности — повторное нарушение по ч. 1.1 (300 000–500 000 ₽). Стратегия: включить партнёра в согласие как третье лицо — получателя данных, либо оформить передачу как поручение обработки по п. 3 ст. 6 ФЗ-152 с обязательным договором поручения.

Сценарий 3. МФО хранит биометрические шаблоны на собственном сервере. При дистанционной идентификации МФО сохраняла фотографии клиентов с результатами распознавания. С 01.06.2023 хранение исходной биометрии вне ЕБС запрещено по ФЗ-572. Доказательства нарушения: факт хранения на локальном сервере + отсутствие статуса аккредитованной ЕБС. Вероятный исход: протокол по ч. 16 ст. 13.11 КоАП (биометрия вне установленного порядка). Стратегия: немедленно удалить исходные биометрические данные, перейти на идентификацию через ЕБС либо отказаться от биометрической верификации.

Как это применяется на практике

Кейс 1. МФО из Приволжского федерального округа (осень 2025) прошла плановую проверку РКН после жалобы заёмщика на рассылку. Проверяющие установили, что согласие на рекламные коммуникации было включено в текст договора займа без выделения в отдельный документ — нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Дополнительно выявлено отсутствие уведомления субъекта об автоматизированном скоринге по ст. 16 ФЗ-152. По двум составам МФО получила штрафы в совокупном размере в несколько сотен тысяч рублей. Ошибка — в отсутствии аудита после вступления в силу ФЗ-156 от 24.06.2025.

Кейс 2. В публичной практике (дела о нарушениях законодательства о ПДн в финансовом секторе, Центральный ФО, начало 2026) арбитражный суд региона рассматривал дело о передаче ПДн заёмщиков в аффилированную структуру без согласия. Оператор ссылался на корпоративный договор между юридическими лицами как на основание передачи. Суд указал, что субъект ПДн не является стороной корпоративного договора, поэтому п. 5 ч. 1 ст. 6 ФЗ-152 неприменим. Штраф по ч. 1 ст. 13.11 КоАП назначен в размере, близком к максимальному по этой части. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, согласий и ОРД МФО по чек-листу из 38 пунктов.
Комплект ОРД под ключ — разработка политики, отдельных согласий по ФЗ-156, регламентов для МФО.
Защита при штрафе в арбитраже — оспаривание протоколов по ч. 1, ч. 2, ч. 8 ст. 13.11 КоАП в финансовом секторе.

Частые вопросы

1. Можно ли отказать клиенту в займе без его согласия на обработку ПДн?

МФО вправе отказать в заключении договора, если субъект не предоставил ПДн, необходимые для исполнения договора по п. 5 ч. 1 ст. 6 ФЗ-152. Отказ в займе исключительно по причине непредоставления согласия на маркетинговые коммуникации или передачу ПДн третьим лицам — неправомерен: это добровольное согласие, отказ от которого не должен влечь негативных последствий. Подобный отказ может квалифицироваться по ч. 8 ст. 14.8 КоАП, если речь идёт о навязывании биометрии ЕБС как условия обслуживания.

2. Что грозит МФО за утечку персональных данных заёмщиков?

Ответственность зависит от масштаба. Утечка данных от 1 000 до 10 000 субъектов — штраф 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5 000 000–10 000 000 ₽ по ч. 13. Более 100 000 субъектов — 10 000 000–15 000 000 ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — неуведомление РКН за 24 часа влечёт отдельный штраф 1 000 000–3 000 000 ₽ по ч. 11 той же статьи.

3. Какое основание обработки используется в банке или МФО при выдаче кредита?

Основное основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Это покрывает идентификацию, оценку кредитоспособности в пределах необходимого объёма, формирование кредитного дела и обслуживание займа. Обязательная передача в БКИ опирается на п. 2 (исполнение обязанности по ФЗ-218). Маркетинг, передача третьим лицам вне обязательных норм, автоматизированные решения — требуют отдельных оснований (согласие или норма закона).

4. Где хранится биометрия — в ЕБС или у МФО?

С 01.06.2023 исходные биометрические шаблоны хранятся исключительно в Государственной информационной системе ЕБС, оператором которой является АО «Центр Биометрических Технологий» (ФЗ-572). МФО не вправе хранить биометрические ПДн на собственных серверах вне ЕБС. Нарушение влечёт ответственность по ч. 16 ст. 13.11 КоАП. МФО, использующая биометрию для идентификации, обязана подключиться к ЕБС как организация-участник системы.

5. Как заёмщик может оспорить отказ в кредите, принятый автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать пересмотра решения, принятого исключительно на основании автоматизированной обработки его ПДн, если оно влечёт юридические последствия. МФО обязана обеспечить возможность такого пересмотра с участием человека. Если МФО не уведомила субъекта о факте автоматизированного принятия решения — субъект вправе обратиться с жалобой в РКН, что является основанием для внеплановой проверки. Для МФО это прямой риск протокола по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽ за непредоставление информации субъекту).

Итог

Принципиальное основание обработки в МФО — это не формальность, а юридический фундамент каждого процесса работы с данными заёмщика. Ст. 6 ФЗ-152 закрыто определяет допустимые условия; выход за их рамки является самостоятельным составом нарушения по ст. 13.11 КоАП с 30.05.2025. ФЗ-218, ФЗ-572 и 115-ФЗ формируют законные основания для обязательной обработки, но не распространяются на маркетинг, партнёрские передачи и скоринговые ML-модели без обезличивания.

Практика DATUM в финансовом секторе — сопровождение МФО, банков и МКК по вопросам соответствия ФЗ-152: аудит процессов обработки ПДн, разработка комплектов ОРД под требования ФЗ-156, защита при административных производствах по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.

14 февраля 2027 года