аналитика 14 января 2027 По состоянию на 14 января 2027

Шаринг данных между банками: правовые требования

Передача клиентских данных между банками, МФО и партнёрами по скорингу регулируется ст. 6, 9, 11 ФЗ-152, ФЗ-218 о кредитных историях и ФЗ-572 о Единой биометрической системе.

С 30.05.2025 повторная утечка при шаринге ПДн грозит оборотным штрафом до 500 млн ₽ по ч. 15 ст. 13.11 КоАП. Биометрический шаринг вне ЕБС — отдельный состав от 15 до 20 млн ₽ по ч. 17.

→ Если вы финдиректор и оцениваете бюджет на соответствие требованиям при обмене данными с партнёрами — эта статья о том, что стоит дороже: комплаенс или штраф.

Банки, МФО и финтех-платформы ежедневно передают клиентские данные: в бюро кредитных историй, скоринговым партнёрам, в ЕБС, между аффилированными структурами. С 2025 года нормативная база для такого обмена усложнилась: новые части ст. 13.11 КоАП, обязательное согласие как отдельный документ с 01.09.2025 по ФЗ-156, ужесточение локализации с 01.07.2025. Эта статья разбирает правовые основания шаринга, ключевые риски и практику применения норм для финансового сектора.

Какие правовые основания позволяют банку передавать данные клиентов?

Обработка и передача персональных данных в финансовом секторе возможна при наличии одного из оснований по ст. 6 ФЗ-152. Для банков и МФО наиболее релевантны три из них.

Первое — согласие субъекта по ст. 9 ФЗ-152. С 01.09.2025 согласие оформляется отдельным документом, не совмещается с договором или публичной офертой (ФЗ-156 от 24.06.2025). Реквизиты: наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Если банк передаёт данные скоринговому партнёру — согласие должно прямо называть этого получателя или категорию получателей.

Второе — исполнение договора с субъектом (п. 5 ст. 6 ФЗ-152). Это основание работает, когда передача данных объективно необходима для исполнения кредитного договора: передача в БКИ по ФЗ-218 относится именно сюда, поскольку формирование кредитной истории — требование закона.

Третье — исполнение обязанности, предусмотренной законом (п. 2 ст. 6 ФЗ-152). Сюда входят: идентификация по 115-ФЗ, передача данных в Росфинмониторинг, взаимодействие с ЦБ РФ в рамках надзора.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии хотя бы одного из 11 оснований. Передача данных третьему лицу без основания — нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000 — 300 000 ₽ (в редакции с 30.05.2025).»

Поручение обработки (аутсорсинг скоринга, процессинга) оформляется через п. 3 ст. 6 ФЗ-152: отдельный договор-поручение, перечень действий, обязательство соблюдать конфиденциальность. Ответственность перед субъектом при утечке через подрядчика остаётся на операторе — принцип подтверждён судебной практикой.

Как работает шаринг через БКИ по ФЗ-218 и что нужно знать финдиректору?

Передача данных в бюро кредитных историй регулируется ФЗ-218 от 30.12.2004. Банк обязан направлять информацию о заёмщике в БКИ с его письменного согласия, которое оформляется при заключении кредитного договора. Срок хранения кредитной истории в БКИ — 7 лет с момента последней записи.

С точки зрения 152-ФЗ БКИ является самостоятельным оператором ПДн. Передача данных из банка в БКИ — это трансграничная передача, если БКИ использует инфраструктуру за рубежом, либо обычная передача третьему лицу. В обоих случаях нужно отдельное правовое основание: для стандартного взаимодействия с российским БКИ достаточно согласия, встроенного в кредитный договор, — при условии что оно оформлено по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025.

«ФЗ-218 от 30.12.2004 — банк обязан направить данные о заёмщике в хотя бы одно БКИ в течение 5 рабочих дней с даты первого платежа или просрочки. Нарушение — административная ответственность по отдельным составам КоАП.»

Запрос данных из БКИ (например, для скоринга) — отдельная операция, требующая самостоятельного согласия субъекта. Это основание нельзя объединить с согласием на передачу. Если банк запрашивает кредитную историю потенциального заёмщика до заключения договора — нужно отдельное согласие с указанием БКИ и цели запроса.

Для финдиректора здесь ключевой риск — массовые согласия, оформленные до 01.09.2025 в составе договора. Они продолжают действовать до истечения срока или отзыва, но новые согласия с этой даты должны быть отдельным документом. Аудит кредитного документооборота позволяет выявить, где старые форматы создают риск претензий.

Считаете бюджет на соответствие требованиям по шарингу данных?

Стоимость аудита документооборота банка или МФО по ФЗ-152 и ФЗ-218 — от 100 000 ₽. Стоимость штрафа по ч. 12 ст. 13.11 КоАП при утечке от 1 000 субъектов — от 3 000 000 ₽. Это арифметика бюджета, а не гипотетика: в 2025 году РКН зафиксировал 118 случаев компрометации баз. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как регулируется биометрический шаринг через ЕБС и чем грозит нарушение?

Биометрические персональные данные — это особая категория, обработка которой без письменного согласия запрещена по ст. 11 ФЗ-152. В финансовом секторе биометрия используется для удалённой идентификации клиентов: банки передают биометрические шаблоны в Единую биометрическую систему (ЕБС) на основе ФЗ-572 от 29.12.2022.

С 01.06.2023 хранение биометрии вне ЕБС запрещено для организаций, обязанных её собирать. Оператор ЕБС — АО «Центр Биометрических Технологий». Банк, передавая биометрию клиента, выступает источником данных для ЕБС, а не самостоятельным оператором биометрических ПДн. Передача биометрии между банками напрямую, минуя ЕБС, является нарушением.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допустима только с письменного согласия субъекта. Обработка без согласия или с нарушением требований — ч. 16 ст. 13.11 КоАП. Утечка биометрии — ч. 17 ст. 13.11 КоАП, штраф для юрлица от 15 000 000 до 20 000 000 ₽.»

Клиент вправе отказаться от сдачи биометрии в ЕБС. По ч. 8 ст. 14.8 КоАП (введена ФЗ-420), банк не вправе отказать в обслуживании клиенту, не сдавшему биометрию. Штраф за такой отказ для юрлица — до 500 000 ₽. Это создаёт для банков прямое противоречие: не собирать биометрию нельзя (регуляторное требование), принуждать — тоже нельзя.

Для финдиректора практический вопрос — правильное оформление согласия на биометрию как отдельного документа (ст. 9 ФЗ-152) с указанием на ЕБС как получателя, и документирование отказов клиентов, чтобы подтвердить отсутствие принуждения при проверке.

Что означает скоринг по ст. 16 ФЗ-152 и какие риски несёт автоматизированное решение?

Статья 16 ФЗ-152 регулирует принятие решений, влекущих правовые последствия для субъекта, исключительно на основе автоматизированной обработки. Отказ в кредите по результатам скоринг-модели без участия человека — типичный пример такого решения.

По ст. 16 ФЗ-152 оператор обязан уведомить субъекта о факте автоматизированного решения, предоставить ему право оспорить это решение и потребовать его пересмотра с участием человека. Если банк или МФО этого не делают — нарушение ст. 16, что создаёт основание для жалобы в РКН и гражданского иска.

«Ст. 16 ФЗ-152 — субъект вправе требовать проверки и пересмотра автоматизированного решения, затрагивающего его права и законные интересы. Оператор обязан предоставить такую возможность.»

На практике большинство банков включают уведомление об автоматизированном скоринге в типовые договорные формы, но с 01.09.2025 это требует отдельного документа, а не упоминания в договоре. Скоринговые партнёры, получающие данные от банка, должны быть прямо указаны в согласии субъекта либо действовать по договору-поручению. Если скоринговая модель обучена на данных клиентов банка — возникает вопрос обезличивания: необработанные ПДн нельзя передавать в модель без основания.

Что подготовить финдиректору для оценки рисков шаринга данных

Реестр договоров с третьими лицами, получающими ПДн клиентов: БКИ, скоринговые партнёры, процессинговые центры — с указанием правового основания по ст. 6 ФЗ-152 для каждого.
Актуальные формы согласий по ст. 9 ФЗ-152 в редакции с 01.09.2025 — отдельные документы для каждой цели передачи (БКИ, ЕБС, скоринг).
Документы-поручения на обработку ПДн для всех аутсорсинговых контрагентов с перечнем допустимых действий и обязательством конфиденциальности.
Политику обработки ПДн с разделами о категориях получателей и целях передачи, опубликованную на сайте по ч. 2 ст. 18.1 ФЗ-152.
Оценку соответствия формы уведомления об автоматизированных решениях требованиям ст. 16 ФЗ-152 с учётом изменений с 01.09.2025.

Какие типовые сценарии нарушений при шаринге данных ведут к штрафам?

На практике регулятор фиксирует три основных модели нарушений в финансовом секторе при обмене данными.

Сценарий 1. Шаринг без актуального основания. Банк передаёт данные скоринговому партнёру по согласию, оформленному в 2023 году в составе кредитного договора. С 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 для новых субъектов. При проверке РКН констатирует обработку без надлежащего согласия — ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽. Если МФО ранее привлекалась — ч. 2.1, штраф 1 000 000 — 1 500 000 ₽. Стратегия: аудит форм согласий и замена несоответствующих до получения уведомления о проверке.

Сценарий 2. Утечка через скорингового подрядчика. Данные клиентов банка утекли через уязвимость в системе скорингового партнёра (50 000 субъектов). Оператор — банк, а не подрядчик: ответственность по ч. 13 ст. 13.11 КоАП (10 000 — 100 000 субъектов), штраф 5 000 000 — 10 000 000 ₽. Дополнительно: неуведомление РКН в 24 часа — ч. 11 ст. 13.11, ещё 1 000 000 — 3 000 000 ₽. Стратегия: договор-поручение с подрядчиком, SLA по инцидентам, включая 2-часовое уведомление оператора об инциденте на стороне подрядчика.

Сценарий 3. Биометрия без надлежащего согласия в МФО. МФО собирает биометрию для идентификации при онлайн-займе без оформления отдельного письменного согласия на биометрические ПДн. При проверке — ч. 16 ст. 13.11 КоАП. Если данные уходят партнёру напрямую (не через ЕБС) — дополнительно ч. 17 за нарушение порядка обработки биометрии. Стратегия: выстраивание идентификации через ЕБС либо отказ от биометрии в пользу иных методов идентификации, допустимых по 115-ФЗ.

Если у вас выявлен один из этих сценариев — риск протокола реален. Юристы DATUM соберут пакет ОРД под ключ и устранят нарушения до проверки РКН: от 45 000 ₽, срок — 10 рабочих дней.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. МФО в Приволжском ФО (лето 2025) провела ребрендинг и сменила скорингового партнёра. Договор-поручение на обработку ПДн с новым партнёром оформили с задержкой в 3 недели. В этот период передача данных шла без надлежащего основания. РКН возбудил дело по ч. 1 ст. 13.11 КоАП при плановой проверке. Компания обратилась за юридической помощью на стадии составления протокола: удалось подтвердить кратковременность нарушения и отсутствие вреда субъектам, штраф составил сумму в нижней части диапазона по ч. 1.

Кейс 2. В деле о шаринге данных через аффилированную структуру (Центральный ФО, начало 2026) банк передавал данные заёмщиков дочерней страховой компании без отдельного согласия — только на основании общей политики конфиденциальности. После утечки на стороне страховщика (более 10 000 субъектов) РКН предъявил претензии банку как оператору-источнику. Квалификация — ч. 13 ст. 13.11 КоАП. В арбитражном суде региона банк представил доказательства инвестиций в информационную безопасность в размере более 0,1% годовой выручки за 3 года, что позволило применить примечание 3.4-2 к ст. 4.1 КоАП и снизить штраф до 1/10 минимального размера, но не менее 15 000 000 ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований шаринга, форм согласий, договоров-поручений
Комплект ОРД под ключ — политика, согласия, договоры-поручения, регламенты для финансового сектора
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. С введением ч. 8 ст. 14.8 КоАП банк не вправе отказывать в обслуживании клиенту, не предоставившему биометрию в ЕБС. Штраф за такой отказ для юрлица — до 500 000 ₽. Клиент вправе идентифицироваться иными способами, предусмотренными 115-ФЗ. Обязательность сдачи биометрии существует только для самого банка как агента ЕБС, но не для клиента как субъекта.

2. Что грозит МФО за утечку данных заёмщиков?

Размер штрафа зависит от числа субъектов. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф для юрлица 3 000 000 — 5 000 000 ₽. От 10 000 до 100 000 — ч. 13, штраф 5 000 000 — 10 000 000 ₽. Более 100 000 субъектов — ч. 14, штраф 10 000 000 — 15 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽. Отдельно — неуведомление РКН в 24 часа: ч. 11 ст. 13.11, ещё 1 000 000 — 3 000 000 ₽.

3. Какое основание обработки ПДн применяется в банке при скоринге?

Для скоринга при оценке кредитной заявки используются два основания по ст. 6 ФЗ-152: согласие субъекта (п. 1) и необходимость принятия мер по заключению договора по запросу субъекта (п. 5). Передача данных скоринговому партнёру — поручение обработки по п. 3 ст. 6 с заключением договора-поручения. Само автоматизированное решение по скорингу регулируется ст. 16 ФЗ-152: субъект должен быть уведомлён о нём и вправе требовать пересмотра.

4. Где хранится биометрия клиентов банка — в самом банке или в ЕБС?

С 01.06.2023 биометрические шаблоны клиентов банка хранятся исключительно в ЕБС (Единой биометрической системе) на основании ФЗ-572 от 29.12.2022. Оператор ЕБС — АО «Центр Биометрических Технологий». Банк передаёт биометрию в ЕБС и не вправе хранить её собственных системах. Самостоятельное хранение биометрии банком — нарушение ст. 11 ФЗ-152 с квалификацией по ч. 16 или ч. 17 ст. 13.11 КоАП в зависимости от обстоятельств.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать от оператора пересмотра автоматизированного решения с участием человека и получить объяснения о причинах отказа. Для этого подаётся письменное обращение в банк. При отказе банка рассмотреть обращение субъект вправе подать жалобу в РКН. Параллельно субъект может оспорить отказ в суде на основании нарушения его прав как субъекта ПДн — Гражданский процессуальный кодекс допускает такой иск в совокупности с требованием о компенсации морального вреда.

Итог

Шаринг данных в финансовом секторе — это зона повышенного регуляторного внимания: три федеральных закона (152-ФЗ, 218-ФЗ, 572-ФЗ) плюс 115-ФЗ формируют сложную матрицу оснований, форм согласий и требований к получателям данных. Ключевые изменения 2025 года — отдельное согласие с 01.09.2025 и новые составы ст. 13.11 КоАП с 30.05.2025 — повышают цену ошибки кратно.

DATUM сопровождает банки, МФО и финтех-компании в выстраивании документооборота по шарингу данных: от аудита оснований передачи до защиты в арбитраже при предъявлении протокола РКН. Практика по 152-ФЗ в финансовом секторе — с 2014 года.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

14 января 2027 года