аналитика 11 марта 2029 По состоянию на 11 марта 2029

СБП и ПДн отправителя/получателя

Каждый перевод через СБП — это обработка персональных данных отправителя и получателя. Банк-инициатор и банк-получатель действуют как операторы ПДн по ст. 3 ФЗ-152.

С 30.05.2025 за утечку данных более 100 000 субъектов грозит штраф 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП; при повторности — оборотный штраф до 500 млн ₽ по ч. 15. Штраф за неуведомление РКН об инциденте — 1–3 млн ₽ по ч. 11 той же статьи.

→ Если вы финансовый директор и считаете бюджет на комплаенс в финтехе или банке — ниже аргументы для финансовой модели риска.

Система быстрых платежей (СБП) обрабатывает сотни миллионов транзакций в год. Каждая операция несёт набор персональных данных: номер телефона, имя, реквизиты счёта. С 2025 года регуляторная нагрузка на участников СБП выросла: вступили в силу новые части ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), ужесточились требования к биометрии в ЕБС (ФЗ-572), с 01.09.2025 изменился порядок оформления согласий (ФЗ-156). В этой статье — структура правовых рисков для банков, МФО и финтех-платформ, участвующих в СБП.

Какие персональные данные обрабатываются при переводе через СБП?

При инициации перевода через СБП банк-отправитель передаёт в НСПК (оператор СБП) и банк-получатель минимум три категории данных: номер мобильного телефона получателя, имя и первую букву отчества (отображаются плательщику для подтверждения), а также банковские реквизиты счёта. Это общедоступные идентифицирующие данные по ст. 3 ФЗ-152 — они не относятся к специальным категориям по ст. 10, но создают полноценный правовой режим оператора ПДн для каждого участника цепочки.

Банк-инициатор выполняет сбор и передачу ПДн — это самостоятельные действия по обработке. Банк-получатель осуществляет получение и хранение. НСПК как оператор платёжной инфраструктуры обрабатывает ПДн в рамках исполнения Федерального закона о национальной платёжной системе (НПС) — это самостоятельное правовое основание по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, предусмотренной законом). Банки, в свою очередь, ссылаются на п. 5 ч. 1 ст. 6 — обработка необходима для исполнения договора с клиентом.

«Ст. 6 ч. 1 п. 5 ФЗ-152 — обработка ПДн допустима, если она необходима для исполнения договора, стороной которого является субъект ПДн. Согласие субъекта в таком случае не требуется.»

Проблема возникает при расширении обработки за рамки конкретной транзакции. Аналитика поведения, профилирование клиента на основе истории переводов, передача данных третьим лицам (маркетинговые партнёры, скоринговые сервисы) — всё это выходит за рамки п. 5 ч. 1 ст. 6 и требует либо отдельного согласия, либо иного законного основания. Нарушение принципа целевого использования данных (ст. 5 ФЗ-152) — один из наиболее распространённых поводов для протокола по ч. 1 ст. 13.11 КоАП.

Финансовый директор считает бюджет на комплаенс?

Аудит соответствия 152-ФЗ для участника СБП стоит от 100 000 ₽. Штраф за утечку от 10 000 субъектов — от 5 млн ₽ по ч. 13 ст. 13.11 КоАП. Это арифметика бюджета, а не юридическая абстракция. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как ФЗ-218 о кредитных историях и скоринг по ст. 16 ФЗ-152 соотносятся с данными СБП?

Банки и МФО, подключённые к СБП, нередко используют данные транзакций для кредитного скоринга. Здесь пересекаются два режима: ФЗ-218 о кредитных историях и ст. 16 ФЗ-152 об автоматизированном принятии решений. Разграничение важно для финансового директора, потому что санкции различаются.

По ФЗ-218, банк вправе запрашивать кредитную историю клиента в БКИ только при наличии согласия субъекта. Срок хранения кредитной истории — 7 лет. Согласие на запрос в БКИ — это отдельное основание, не покрываемое договором банковского счёта. Если банк использует данные истории переводов через СБП как входные параметры для скоринга без явного информирования клиента — возникает риск нарушения принципа целевого использования ПДн по ст. 5 ФЗ-152.

Статья 16 ФЗ-152 устанавливает: субъект ПДн вправе требовать, чтобы решение, влекущее правовые последствия (например, отказ в кредите), не принималось исключительно на основании автоматизированной обработки его данных без участия человека. Оператор обязан разъяснить порядок оспаривания такого решения. Если банк отказывает в кредите на основе скоринговой модели, обученной в том числе на данных переводов, — клиент вправе запросить пересмотр с участием сотрудника.

«Ст. 16 ФЗ-152 — субъект ПДн вправе возражать против решения, принятого исключительно на основе автоматизированной обработки его ПДн, если такое решение порождает правовые последствия или иным образом существенно затрагивает его интересы.»

Для финансового директора это означает: при аудите необходимо проверить, раскрыта ли логика скоринга в пользовательских документах и предусмотрен ли механизм оспаривания. Отсутствие такого механизма — нарушение ст. 16 ФЗ-152, которое может быть квалифицировано по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽).

Биометрия в СБП: требования ФЗ-572 и ЕБС

С 2023 года ряд банков предлагает подтверждение переводов через СБП с использованием биометрии — как правило, распознавание лица или голоса. Это переводит обработку в режим биометрических ПДн по ст. 11 ФЗ-152 и ФЗ-572 о единой биометрической системе (ЕБС).

По ФЗ-572, оператором ГИС ЕБС является АО «Центр Биометрических Технологий». Банки не вправе хранить исходные биометрические шаблоны у себя — с 01.06.2023 все они должны быть переданы в ЕБС. Хранение биометрии вне ЕБС — нарушение. Банк может хранить только идентификатор, по которому обращается к ЕБС в момент верификации. Обработка биометрических ПДн без письменного согласия клиента запрещена по ст. 11 ФЗ-152. Штраф за нарушение требований к биометрии — 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025).

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных федеральным законом.»

Отдельный вопрос — обслуживание клиентов, отказывающихся от биометрии. С введением ч. 8 ст. 14.8 КоАП (ФЗ-420) банк не вправе отказать клиенту в обслуживании на основании того, что он не разместил биометрические данные в ЕБС. Штраф за такой отказ для юридического лица — до 500 000 ₽. Это прямое следствие принципа добровольности биометрической идентификации.

Что подготовить финансовому директору для оценки рисков по СБП

Реестр систем, обрабатывающих ПДн в цепочке транзакций СБП, с указанием категорий данных и правовых оснований.
Договоры с НСПК и банками-партнёрами — проверить наличие условий о поручении обработки по ст. 6 ч. 3 ФЗ-152.
Документацию по скоринговым моделям: раскрытие логики клиенту и механизм оспаривания по ст. 16 ФЗ-152.
Согласия клиентов на биометрию (письменные, отдельные от договора) либо подтверждение, что биометрия не используется.
Уведомление в реестре операторов РКН — проверить, что фактическая обработка соответствует заявленным целям и категориям.

Что грозит за нарушение 115-ФЗ в связке с ПДн при идентификации?

115-ФЗ об ПОД/ФТ обязывает банки идентифицировать клиентов и проводить углублённую проверку в ряде случаев. Эта идентификация — самостоятельное основание обработки ПДн по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение требования закона). Однако проблемы возникают на стыке: банки нередко собирают больше данных, чем требует 115-ФЗ, и используют их для маркетинговых или аналитических целей. Это нарушение принципа соответствия объёма целям по ст. 5 ФЗ-152.

Второй типичный риск — передача данных идентификации в аффилированные структуры, агентские сети, коллекторов. Каждая такая передача требует правового основания. Передача без согласия субъекта и без законного основания квалифицируется по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ за первое нарушение, 300 000–500 000 ₽ при повторности по ч. 1.1). Передача данных за рубеж без уведомления РКН — отдельный состав по ч. 8 ст. 13.11 (нарушение локализации), штраф 1–6 млн ₽.

МФО в этом контексте — зона повышенного риска. Микрофинансовые организации активно используют данные из открытых источников, социальных сетей, телефонных книг для оценки заёмщика. Без надлежащего правового основания каждое такое действие — потенциальный протокол. При утечке базы заёмщиков МФО (типовой объём — десятки тысяч записей) штраф по ч. 13 ст. 13.11 составит 5–10 млн ₽.

Если финансовый директор обнаружил, что банк или МФО обрабатывает ПДн клиентов СБП шире заявленных целей — это основание для внеплановой проверки РКН. Устранить нарушение до проверки дешевле в 30–50 раз, чем защищаться в арбитраже.

Заказать аудит 152-ФЗ

Типичные сценарии нарушений и их стоимость

Сценарий 1. Банк передаёт данные транзакций СБП маркетинговому партнёру без отдельного согласия клиента. Ситуация: в договоре банковского обслуживания есть общее согласие на «обработку в целях улучшения сервиса». Клиент начинает получать рекламу от третьих лиц. Субъект подаёт жалобу в РКН. Доказательства: внутренние регламенты передачи, соглашение с партнёром без условий о поручении по ст. 6 ч. 3 ФЗ-152. Вероятный исход: протокол по ч. 1 ст. 13.11, штраф 150 000–300 000 ₽, предписание об устранении. Стратегия: до проверки — разграничить основания обработки, ввести отдельное согласие на передачу третьим лицам с исчерпывающим перечнем получателей.

Сценарий 2. МФО хранит биометрические данные (фото паспорта и селфи) на собственных серверах, в ЕБС не загружает. Ситуация: МФО использует удалённую идентификацию через видеозвонок с фиксацией изображения. Данные хранятся в облаке иностранного провайдера. Доказательства: журнал хранения, договор с облачным провайдером без условий локализации. Вероятный исход: нарушение ст. 11 ФЗ-152 + ч. 5 ст. 18 ФЗ-152 (локализация). Штрафы: ч. 17 ст. 13.11 (биометрия) — 15–20 млн ₽ и ч. 8 ст. 13.11 (локализация) — 1–6 млн ₽. Стратегия: перейти на отечественный облачный провайдер, урегулировать биометрию через ЕБС или исключить её из процесса.

Сценарий 3. Банк получил запрос РКН о предоставлении сведений об обработке ПДн клиентов СБП — реестр операторов не обновлялся 2 года. Ситуация: уведомление подано, но фактическая обработка существенно расширилась. В реестре не отражены новые категории ПДн и новые цели. Доказательства: текущее уведомление в pd.rkn.gov.ru и реальные внутренние регламенты. Вероятный исход: протокол по ч. 10 ст. 13.11 (несвоевременное уведомление об изменении сведений), штраф 100 000–300 000 ₽. Стратегия: актуализировать уведомление до получения запроса; настроить процедуру регулярного обновления при изменении целей или категорий обработки.

Как это применяется на практике

Кейс 1. Региональный банк (Приволжский ФО, осень 2025) использовал агрегированные данные переводов через СБП для таргетирования кредитных предложений без отдельного согласия клиентов. Клиент обратился в РКН с жалобой. По итогам внеплановой проверки вынесен протокол по ч. 1 ст. 13.11 КоАП; штраф в диапазоне сотен тысяч рублей. Предписание обязало банк оформить отдельные согласия на передачу данных в маркетинговые системы и исключить из скоринга данные, не связанные с кредитной историей. Финансовый директор банка впоследствии инициировал аудит всех систем обработки ПДн — стоимость устранения нарушений оказалась в 8 раз ниже потенциального штрафа по ч. 13 ст. 13.11 при масштабе базы клиентов.

Кейс 2. МФО (Центральный ФО, начало 2026) при проверке РКН не смогла подтвердить правовое основание для хранения фото документов и селфи клиентов, полученных при удалённой идентификации. Данные хранились на серверах в ЕС, уведомление о трансграничной передаче в РКН не подавалось. Дело рассмотрено мировым судьёй (после ФЗ-508 от 28.12.2025 подсудность вернулась к мировым судьям). Штраф по ч. 8 ст. 13.11 (нарушение локализации) составил более 1 млн ₽. Параллельно возбуждено производство по ч. 17 ст. 13.11 в связи с нарушением требований к обработке биометрических ПДн.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн в финтехе
Комплект ОРД под ключ — политика, согласия, регламенты для банков и МФО
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. С введением ч. 8 ст. 14.8 КоАП (ФЗ-420 от 30.11.2024) банк не вправе отказывать клиенту в обслуживании или продукте на основании того, что клиент не разместил биометрические данные в ЕБС. Размещение биометрии в ЕБС — добровольное. Штраф за принудительное требование биометрии как условия обслуживания — до 500 000 ₽ для юридического лица.

2. Что грозит МФО за утечку базы заёмщиков?

Зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ по ч. 15. Неуведомление РКН о факте утечки в течение 24 часов — отдельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11.

3. Какое правовое основание обработки ПДн в банке при переводе через СБП?

Основное основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора с клиентом. НСПК как оператор инфраструктуры ссылается на п. 2 ч. 1 ст. 6 — исполнение требования закона (ФЗ о НПС). Для аналитики транзакций, профилирования и передачи данных третьим лицам эти основания не действуют — требуется отдельное согласие клиента по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156).

4. Где хранится биометрия, если банк использует её для подтверждения переводов?

С 01.06.2023 банки обязаны хранить биометрические шаблоны исключительно в ГИС ЕБС (ФЗ-572 от 29.12.2022). Оператор ЕБС — АО «Центр Биометрических Технологий». У банка может храниться только идентификатор, позволяющий обратиться к ЕБС. Хранение исходных биометрических данных на собственных серверах банка или у облачного провайдера с 01.06.2023 является нарушением ст. 11 ФЗ-152 и ФЗ-572, влекущим штраф по ч. 17 ст. 13.11 КоАП — 15–20 млн ₽.

5. Как клиент может оспорить отказ в кредите, основанный на автоматизированном скоринге?

По ст. 16 ФЗ-152 субъект ПДн вправе потребовать пересмотра решения, принятого исключительно на основе автоматизированной обработки его данных, с участием живого сотрудника. Банк обязан предусмотреть и раскрыть такой механизм в пользовательских документах. Если механизм не предусмотрен — это нарушение ст. 16 ФЗ-152, которое клиент вправе обжаловать в РКН или в суде. Кредитная история дополнительно регулируется ФЗ-218: клиент вправе получить её бесплатно дважды в год и оспорить недостоверные сведения через БКИ.

Итог

СБП как инфраструктура создаёт несколько пересекающихся режимов обработки ПДн: общий режим ст. 6 ФЗ-152 для транзакционных данных, специальный режим ст. 11 и ФЗ-572 для биометрии, требования ФЗ-218 и ст. 16 ФЗ-152 для скоринга и кредитных решений, требования 115-ФЗ для идентификации. Каждый из этих режимов с 30.05.2025 снабжён собственными санкциями в ст. 13.11 КоАП — от 150 000 ₽ за нарушение целевого использования до 15–20 млн ₽ за утечку биометрии.

Практика DATUM по финансовому сектору — банки, МФО, финтех-платформы. Сопровождение аудитов, оформление ОРД под специфику НПС и 115-ФЗ, защита в арбитраже при протоколах по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.