аналитика 11 февраля 2027 По состоянию на 11 февраля 2027

Согласие на передачу коллекторам (230-ФЗ)

Передача персональных данных должника коллекторскому агентству — это самостоятельное правовое основание, которое требует отдельного согласия субъекта по ст. 9 ФЗ-152 и соответствует ограничениям ФЗ-230 об условиях уступки права требования.

С 30.05.2025 штраф за обработку ПДн без надлежащего согласия достигает 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — до 1 500 000 ₽. Ошибки в кредитном договоре, оформленном до 01.09.2025, создают риски уже сегодня.

Если вы финансовый директор банка, МФО или финтех-компании — в этом материале разобраны нормы, риски и типовые ошибки, которые превращают стандартную передачу долга в административное дело.

Передача долга коллекторам — рутинная операция для финансового сектора, но её правовое сопровождение пересекает сразу три закона: ФЗ-230 (взыскание долгов физлиц), ФЗ-152 (персональные данные) и ФЗ-218 (кредитные истории). Ошибка в любом из трёх уровней превращается в основание для протокола Роскомнадзора или жалобы должника. Материал ориентирован на финансового директора, который формирует бюджет рисков и проверяет корректность шаблонов договоров.

Что регулирует ФЗ-230 и при чём здесь персональные данные?

Федеральный закон № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности» устанавливает, что уступка права требования третьему лицу (коллекторскому агентству) возможна при наличии согласия должника, выраженного письменно. Это согласие — не согласие на обработку ПДн в смысле ст. 9 ФЗ-152, а самостоятельное волеизъявление на передачу долга. Однако одновременно с уступкой требования банк или МФО передаёт коллектору массив персональных данных должника: ФИО, паспортные данные, контактные сведения, историю платежей, сведения о поручителях. Именно этот момент порождает самостоятельную проблему по ФЗ-152.

По ч. 3 ст. 6 ФЗ-152 оператор вправе поручить обработку ПДн третьему лицу на основании договора поручения. Но передача данных коллектору — это не поручение: коллектор становится самостоятельным оператором, который обрабатывает данные в своих целях (взыскание). Значит, правовое основание — либо согласие должника (ст. 9 ФЗ-152), либо одно из оснований ст. 6 ФЗ-152, не требующих согласия. На практике финансовые организации чаще всего опираются на п. 5 ч. 1 ст. 6 ФЗ-152 — обработка необходима для исполнения договора, стороной которого является субъект. Этот подход оспаривается Роскомнадзором: после уступки первоначальный договор с банком формально исполнен, а коллектор — не сторона договора с должником.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156, действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом, не объединяется с договором или офертой. Обязательные реквизиты: ФИО субъекта, наименование оператора, цель, перечень данных, перечень действий, срок и способ отзыва.»

До 01.09.2025 согласие часто встраивалось в кредитный договор в виде отдельного пункта или приложения. После вступления в силу ФЗ-156 от 24.06.2025 такой формат недействителен для новых договоров. Кредитные договоры, заключённые до 01.09.2025, продолжают действовать без переоформления — обратной силы у поправки нет. Но если договор перезаключается или пролонгируется, согласие необходимо привести в соответствие.

Какое правовое основание выбрать для передачи данных коллектору?

Финансовые организации используют три модели обоснования. Каждая имеет уязвимости, которые важны для оценки бюджета рисков.

Модель 1: согласие должника по ст. 9 ФЗ-152. Согласие включается в кредитный договор или оформляется отдельным документом при заключении. Прямо указывается: «передача персональных данных третьим лицам в целях взыскания просроченной задолженности». Уязвимость: должник вправе отозвать согласие в любой момент (ст. 9 ч. 2 ФЗ-152). После отзыва банк обязан прекратить передачу данных коллектору, что фактически блокирует взыскание. Суды в ряде регионов признавали отзыв согласия правомерным основанием для прекращения обработки.

Модель 2: законный интерес (п. 7 ч. 1 ст. 6 ФЗ-152). Обработка допустима для реализации прав оператора, если не нарушает права субъекта. Применительно к взысканию аргумент: взыскание долга — законный интерес кредитора. Уязвимость: РКН последовательно занимает позицию, что законный интерес не является достаточным основанием для передачи данных новому оператору без согласия должника.

Модель 3: исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). После уступки коллектор входит в правоотношение по договору займа на стороне кредитора. Уязвимость: должник договор с коллектором не заключал; позиция судов неоднородна.

«Ст. 6 ч. 1 п. 1 ФЗ-152: обработка ПДн допускается с согласия субъекта. Согласие — наиболее защищённое основание при передаче данных новому оператору, не являющемуся стороной первоначального договора.»

Для финансового директора вывод прямой: модель на основе согласия — наименее уязвима при проверке РКН, но создаёт операционный риск отзыва. Модели 2 и 3 снижают операционный риск, но увеличивают вероятность штрафа при плановой или внеплановой проверке.

Нужна оценка модели согласия в вашем кредитном договоре?

Если ваш шаблон кредитного договора или договора займа заключён до 01.09.2025 — вопрос о правовом основании передачи данных коллекторам актуален прямо сейчас. Любая внеплановая проверка РКН после жалобы должника начинается именно с этого пункта. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽, при повторности — до 1 500 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как соотносятся ФЗ-218 о кредитных историях и согласие на передачу коллекторам?

ФЗ-218 «О кредитных историях» регулирует формирование, хранение и использование кредитных историй. Банки и МФО обязаны передавать сведения в бюро кредитных историй (БКИ) — это отдельная обязанность, не требующая согласия должника по ФЗ-152. Срок хранения кредитной истории в БКИ — 7 лет.

Путаница возникает, когда финансовая организация предлагает должнику подписать один документ, совмещающий: согласие на запрос в БКИ, согласие на передачу данных коллекторам и согласие на маркетинговые рассылки. С 01.09.2025 такой документ незаконен: ст. 9 ФЗ-152 в редакции ФЗ-156 требует отдельного документа под каждое самостоятельное основание обработки. РКН расценивает объединённые согласия как нарушение требований к составу согласия — это ч. 2 ст. 13.11 КоАП.

Дополнительный слой: если коллектор запрашивает кредитную историю должника в БКИ — ему необходимо отдельное согласие субъекта по ФЗ-218. Согласие на передачу данных кредитором коллектору и согласие коллектора на запрос в БКИ — юридически разные документы с разными реквизитами и целями. Смешивать их нельзя.

Что грозит МФО за утечку данных должников?

Портфель должников МФО — это база ПДн, как правило содержащая сведения о паспортных данных, адресах, телефонах, суммах долгов, датах просрочки. Если база передаётся коллектору без надлежащего основания или утекает в открытый доступ, МФО несёт ответственность как оператор по нескольким основаниям одновременно.

При утечке от 1 000 до 10 000 субъектов — штраф по ч. 12 ст. 13.11 КоАП составляет 3 000 000 — 5 000 000 ₽. При утечке от 10 000 до 100 000 субъектов — 5 000 000 — 10 000 000 ₽ по ч. 13. Свыше 100 000 субъектов — 10 000 000 — 15 000 000 ₽ по ч. 14. Если МФО ранее уже привлекалась к ответственности по ч. 12–14, следующая утечка — основание для оборотного штрафа по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 000 000 ₽ и не более 500 000 000 ₽.

«Ст. 21 ч. 3.1 ФЗ-152: при выявлении утечки оператор обязан уведомить РКН в течение 24 часов с момента обнаружения. Через 72 часа — направить отчёт о результатах внутреннего расследования (Приказ РКН №187 от 14.11.2022). Срок не восстанавливается.»

Неуведомление РКН об инциденте — самостоятельный штраф по ч. 11 ст. 13.11 КоАП: 1 000 000 — 3 000 000 ₽. Для МФО с портфелем в несколько тысяч должников сумма совокупных штрафов при утечке без надлежащего реагирования легко превышает 6 000 000 ₽ при первичном нарушении.

Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421): незаконное использование, передача или сбор компьютерной информации с персональными данными. При тяжких последствиях — до 10 лет лишения свободы. Ответственность распространяется в том числе на сотрудников МФО, имеющих доступ к базе должников.

Какие типовые сценарии ведут к штрафу при передаче данных коллекторам?

Сценарий 1. Согласие вшито в договор до 01.09.2025, договор пролонгирован. Банк или МФО заключили кредитный договор в 2023 году с пунктом о передаче данных коллекторам. Договор пролонгирован в октябре 2025 года без переоформления согласия. Должник обратился с жалобой в РКН о незаконной передаче данных. Инспектор квалифицирует ситуацию по ч. 2 ст. 13.11 КоАП: обработка ПДн без надлежащего согласия. Вероятный штраф — до 700 000 ₽. Стратегия защиты: доказать, что пролонгация — техническая операция, условия договора не изменялись, согласие действительно сохраняло юридическую силу до и после 01.09.2025. Шансы — средние; практика по этой ситуации на стадии формирования.

Сценарий 2. Коллектор оказался не включён в перечень в согласии. Согласие должника на передачу данных коллекторам содержало общую формулировку «третьим лицам в целях взыскания» без указания конкретного перечня получателей или категорий агентств. РКН при проверке квалифицировал это как нарушение требований к составу согласия — отсутствует обязательный реквизит «перечень лиц, которым могут быть переданы ПДн». Протокол по ч. 2 ст. 13.11 КоАП. Вероятный исход: штраф в диапазоне 300 000 — 700 000 ₽. Стратегия: при следующей редакции шаблона — либо перечислить аккредитованные коллекторские агентства, либо указать категорию «юридические лица, включённые в государственный реестр коллекторских агентств».

Сценарий 3. Совмещённое согласие: БКИ + коллектор + маркетинг. МФО использовала единый документ-согласие на три операции: запрос в БКИ, передача данных коллектору, рассылка рекламных предложений. После 01.09.2025 должник потребовал признать согласие недействительным полностью. При проверке РКН подтвердил нарушение ст. 9 ФЗ-152 в редакции ФЗ-156: объединение согласий — нарушение требований к составу. Вероятный исход: ч. 2 ст. 13.11 КоАП + предписание переработать шаблоны. Стратегия: срочно разделить документы на три независимых согласия с собственными реквизитами.

Если в ваших шаблонах договоров согласие на передачу коллекторам объединено с другими согласиями — это нарушение с 01.09.2025. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Юристы DATUM проведут аудит пакета ОРД и шаблонов за 5 рабочих дней.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО из Приволжского федерального округа (весна 2026) получила внеплановую проверку РКН после жалобы должника на незаконную передачу контактных данных коллекторскому агентству. При проверке установлено: согласие на передачу данных содержалось в теле договора займа в виде абзаца без указания конкретных получателей. Протокол по ч. 2 ст. 13.11 КоАП; штраф в диапазоне нескольких сотен тысяч рублей. Одновременно выдано предписание переработать шаблон. Финансовый директор МФО дополнительно получил запрос о предоставлении документов, подтверждающих назначение ответственного по ст. 22.1 ФЗ-152 — таких документов не оказалось.

Кейс 2. Региональный банк (Центральный федеральный округ, осень 2025) при передаче портфеля просроченных кредитов физлиц коллекторскому агентству использовал договор уступки права требования с приложением базы данных должников. Согласия на передачу персональных данных новому оператору у части должников не было. По итогам проверки РКН зафиксировал нарушения ч. 1 и ч. 2 ст. 13.11 КоАП. Банк аргументировал позицию через п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора), однако инспектор не принял этот довод применительно к новому оператору. Дело передано в суд. Финансовый директор банка инициировал аудит всей базы шаблонов кредитных договоров.

Что подготовить финансовому директору

Отдельный документ согласия на передачу ПДн коллекторам — с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156: перечень данных, цель, получатели (категория или конкретные лица), срок, способ отзыва.
Отдельные согласия для смежных операций: запрос в БКИ, маркетинговые рассылки — не объединять с согласием на передачу коллекторам.
Договор поручения с коллекторским агентством или соглашение об уступке с условием о порядке обработки ПДн должников.
Актуальное уведомление в реестре РКН: указание коллекторских агентств как категории получателей ПДн.
Регламент реагирования на утечку — 24-часовое уведомление РКН по Приказу №187; назначение ответственного по ст. 22.1 ФЗ-152.

Частые вопросы

1. Можно ли отказать клиенту в кредите, если он не даёт согласие на передачу данных коллекторам?

По общему правилу ФЗ-152, предоставление услуги не может быть обусловлено согласием на обработку ПДн, не необходимых для исполнения договора. Однако кредитный договор — специфический случай: банки и МФО вправе устанавливать условия кредитования. Судебная практика по этому вопросу неоднородна. РКН последовательно указывает, что обязывать клиента давать согласие на передачу данных коллекторам как условие выдачи кредита — не соответствует принципам ФЗ-152. Риск жалобы и проверки при таком условии в договоре остаётся.

2. Что грозит МФО за утечку базы должников?

При утечке от 1 000 до 10 000 субъектов — штраф по ч. 12 ст. 13.11 КоАП от 3 000 000 до 5 000 000 ₽. При утечке свыше 100 000 субъектов — от 10 000 000 до 15 000 000 ₽ по ч. 14. Отдельно — штраф за неуведомление РКН об инциденте в течение 24 часов: от 1 000 000 до 3 000 000 ₽ по ч. 11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 000 000 ₽.

3. Какое правовое основание обработки ПДн наиболее защищено при проверке РКН?

Согласие субъекта по ст. 9 ФЗ-152 — наиболее явное и понятное для инспектора основание. РКН при проверке в первую очередь проверяет наличие согласия, его состав и форму. Основания по ст. 6 ч. 1 пп. 5 и 7 (исполнение договора, законный интерес) применяются как дополнительные аргументы, но при отсутствии согласия создают риск квалификации по ч. 1 или ч. 2 ст. 13.11 КоАП.

4. Где хранятся биометрические данные клиентов банка?

С 01.06.2023 биометрические данные граждан для дистанционной идентификации хранятся исключительно в Единой биометрической системе (ЕБС), оператор — АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). Банки обязаны направлять биометрию в ЕБС и не вправе хранить её самостоятельно в коммерческих целях. Нарушение — ч. 16 ст. 13.11 КоАП. Отдельная статья КоАП — 13.11.3: штраф за нарушения при размещении биометрии в ЕБС.

5. Как оспорить отказ в кредите на основании автоматизированного скоринга?

По ст. 16 ФЗ-152 субъект ПДн вправе требовать от оператора объяснений по решению, принятому исключительно на основе автоматизированной обработки, если это решение порождает юридические последствия или существенно затрагивает его права. Банк обязан рассмотреть возражение и пересмотреть решение с участием человека. Срок ответа на запрос субъекта — 10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления ещё на 5 рабочих дней при уведомлении заявителя.

Итог

Передача персональных данных должника коллекторскому агентству требует самостоятельного правового основания по ФЗ-152, отдельного от договора цессии по ФЗ-230. С 01.09.2025 согласие должника должно быть отдельным документом с полными реквизитами по ст. 9 ФЗ-152 — объединение с кредитным договором или другими согласиями незаконно. Риск штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽; при утечке портфеля должников — от 3 000 000 до 15 000 000 ₽ в зависимости от объёма.

DATUM сопровождает банки, МФО и финтех-компании в аудите шаблонов кредитных договоров, формировании пакета ОРД по ФЗ-152 и защите при проверках РКН. Разбор типовых ошибок в согласиях — часть стандартного аудита соответствия.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка шаблонов договоров, согласий и ОРД по чек-листу из 38 пунктов
Комплект ОРД под ключ — разработка отдельных согласий, политики, приказов и регламентов
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), антиотмывочный контроль и 115-ФЗ.

11 февраля 2027 года