аналитика 1 июня 2026 По состоянию на 1 июня 2026

Согласие на запрос в БКИ

Согласие на запрос в бюро кредитных историй — отдельное письменное разрешение субъекта, без которого банк, МФО или финтех-компания не вправе обратиться в БКИ. Это одновременно норма ФЗ-218 и ФЗ-152.

Запрос в БКИ без надлежащего согласия — основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽ за первичное нарушение). При повторности — до 1 500 000 ₽. Если утечка кредитных данных затрагивает более 10 000 субъектов, применяется ч. 13 ст. 13.11: штраф 5 — 10 млн ₽.

→ Если вы финансовый директор финтех-компании или банка и не уверены, что форма согласия соответствует требованиям 2025 года — аудит займёт 5 рабочих дней и стоит в 10–100 раз дешевле штрафа.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30 ноября 2024 года — 18 частей вместо прежних семи. Санкции за нарушение порядка получения согласия выросли кратно. Параллельно с 1 сентября 2025 года вступили в силу поправки ФЗ-156: согласие на обработку персональных данных оформляется отдельным документом, не совмещённым с договором или офертой. Для финансового сектора это означает пересмотр форм, используемых в кредитном скоринге, идентификации через ЕБС и работе с БКИ. В этой статье — нормативная база, типичные ошибки и финансовые последствия для финтех-компаний и банков.

Какое правовое основание требуется для запроса в БКИ?

Запрос кредитной истории регулируется двумя законами одновременно. ФЗ-218 «О кредитных историях» устанавливает, что пользователь кредитной истории — банк, МФО, страховщик или иная организация — вправе получить кредитный отчёт только с письменного или аналогичного ему согласия субъекта. ФЗ-152 «О персональных данных» квалифицирует кредитную историю как персональные данные, обработка которых допустима по одному из правовых оснований ст. 6.

На практике финансовые организации ссылаются на два основания: согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) и исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Роскомнадзор последовательно настаивает: исполнение договора как основание применимо лишь к данным, необходимым непосредственно для его исполнения. Запрос в БКИ на стадии до заключения договора — это проверка кредитоспособности, а не исполнение. Значит, основание единственное — согласие.

«Ст. 6 ФЗ-152 допускает обработку ПДн по согласию субъекта (п. 1 ч. 1) либо для исполнения договора, стороной которого субъект является (п. 5 ч. 1). Запрос в БКИ на стадии рассмотрения заявки квалифицируется РКН как преддоговорная обработка — основание п. 5 ч. 1 здесь неприменимо.»

С 1 сентября 2025 года требования к самому документу согласия ужесточились. ФЗ-156 ввёл правило: согласие оформляется отдельным документом. Включение согласия в анкету-заявку, кредитный договор или пользовательское соглашение недостаточно. Обязательные реквизиты по ст. 9 ФЗ-152: фамилия, имя, отчество и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с данными, срок действия согласия, способ его отзыва.

Срок хранения кредитной истории в БКИ — семь лет с момента последнего изменения (ст. 7 ФЗ-218). Это влияет на срок действия согласия: он должен покрывать весь период, в течение которого оператор планирует обращаться к данным.

Как правильно оформить согласие на запрос в БКИ в 2025 году?

После вступления в силу ФЗ-156 форма согласия должна быть самостоятельным документом. Для финтех-компаний и МФО, работающих через мобильное приложение или сайт, это означает отдельный экран с текстом согласия и явным действием пользователя — простановкой галочки или нажатием кнопки подтверждения. Не допускается предзаполненная галочка.

Типичные ошибки в формах согласия, которые фиксирует РКН при проверках финансового сектора:

Согласие совмещено с договором об оказании финансовых услуг на одной странице подписи.
В перечне данных указано «все данные, необходимые для проверки кредитоспособности» без конкретного перечня.
Отсутствует срок действия согласия или указана формулировка «бессрочно» без обоснования.
Не указан способ отзыва согласия — адрес, форма обращения, срок реакции оператора.
Цель сформулирована как «обработка ПДн для деятельности компании» вместо конкретной — «запрос кредитного отчёта в [наименование БКИ] для оценки кредитоспособности».

Каждая из этих ошибок — самостоятельное основание для протокола по ч. 2 ст. 13.11 КоАП. При повторном нарушении — ч. 2.1 с санкцией 1 000 000 — 1 500 000 ₽ для юридического лица.

Формы согласия ещё в кредитном договоре?

Если финансовый директор не пересмотрел форму согласия после 1 сентября 2025 года, каждая выданная заявка создаёт риск штрафа по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽. При массовом кредитовании это системная уязвимость. Юристы DATUM проведут аудит форм согласия по чек-листу из 38 пунктов и выдадут отчёт с конкретным планом исправлений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Скоринг, ЕБС и 115-ФЗ: как пересекаются основания обработки в банке?

Финансовые организации обрабатывают персональные данные по нескольким правовым основаниям одновременно — и именно это создаёт регуляторную сложность. Запрос в БКИ, идентификация через ЕБС и антиотмывочный контроль по 115-ФЗ — три разных режима с разными основаниями и разными регуляторами.

Скоринг на основе данных БКИ регулируется ст. 16 ФЗ-152 об автоматизированных решениях. Если решение об отказе в кредите принимается исключительно на основе автоматической обработки — включая кредитный скоринг — субъект вправе потребовать проверки такого решения человеком. Банк обязан предусмотреть эту процедуру и уведомить клиента о праве на оспаривание. Отсутствие такой процедуры — нарушение ст. 16 ФЗ-152 и основание для жалобы в РКН.

Биометрическая идентификация через ЕБС регулируется ФЗ-572 от 29 декабря 2022 года. Оператором ЕБС является АО «Центр Биометрических Технологий». С 1 июня 2023 года банки не вправе хранить исходные биометрические шаблоны самостоятельно — только через ЕБС. Использование биометрии для удалённой идентификации допустимо исключительно с добровольного согласия клиента. Отказ клиента от биометрической идентификации не может быть основанием для отказа в обслуживании — это прямо закреплено в ч. 8 ст. 14.8 КоАП.

«Ч. 8 ст. 14.8 КоАП: отказ обслуживать клиента, не предоставившего биометрические данные в ЕБС, — штраф для юридического лица. Требовать биометрию как обязательное условие для получения финансовой услуги запрещено.»

Идентификация по 115-ФЗ — обязанность, а не право банка. Банк обязан установить личность клиента до открытия счёта или совершения операции. Здесь правовое основание обработки ПДн — не согласие, а выполнение обязанности, возложенной законом (п. 2 ч. 1 ст. 6 ФЗ-152). Смешивать это основание с согласием на запрос в БКИ недопустимо — цели обработки должны быть чётко разграничены.

Платёжный сектор (НПС) добавляет ещё один уровень: операторы платёжных систем обязаны обеспечивать защиту данных плательщиков в соответствии с требованиями Банка России. Несоответствие требованиям Банка России и одновременно ФЗ-152 создаёт двойной регуляторный риск — как для банка, так и для подключённого финтеха.

Что подготовить финтех-компании для соответствия нормам БКИ и ЕБС

Отдельная форма согласия на запрос в БКИ — самостоятельный документ с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24 июня 2025 года.
Процедура оспаривания автоматизированных решений по ст. 16 ФЗ-152 — описание в локальном акте, уведомление клиента при вынесении автоматизированного отказа.
Политика обработки ПДн с разделами по каждому основанию: согласие (БКИ, маркетинг), договор, закон (115-ФЗ, НПС), ЕБС.
Соглашение с БКИ как с обработчиком по поручению (ст. 6 ч. 3 ФЗ-152) с указанием мер защиты и ответственности.
Журнал запросов в БКИ с привязкой к согласию субъекта — для подтверждения правомерности при проверке РКН.

Какие риски несёт МФО при утечке данных из БКИ или собственной базы?

МФО работают с высокой плотностью персональных данных: ФИО, паспортные реквизиты, СНИЛС, данные о доходах, кредитная история. Нарушение порядка обработки влечёт сразу несколько составов по ст. 13.11 КоАП в редакции с 30 мая 2025 года.

Наиболее уязвимые точки для МФО:

Запрос в БКИ без надлежащего согласия или с согласием в составе договора — ч. 2 ст. 13.11, 300 000 — 700 000 ₽.
Передача данных третьим лицам (коллекторам, партнёрам) без основания или с нарушением ст. 6 ФЗ-152 — ч. 1 ст. 13.11, 150 000 — 300 000 ₽.
Утечка базы заёмщиков от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11, 3 000 000 — 5 000 000 ₽.
Неуведомление РКН об инциденте в течение 24 часов — ч. 11 ст. 13.11, 1 000 000 — 3 000 000 ₽.
Повторная утечка при наличии предыдущего нарушения — ч. 15 ст. 13.11, оборотный штраф 1–3% выручки за предыдущий год, не менее 20 млн ₽ и не более 500 млн ₽.

Для МФО с выручкой 300 млн ₽ оборотный штраф по ч. 15 при повторной утечке составит не менее 20 млн ₽ — это сопоставимо с несколькими месяцами операционной прибыли. Именно поэтому финансовые директора МФО сегодня включают риск по ст. 13.11 в операционный бюджет наравне с кредитным риском.

Если финансовый директор МФО или банка не видел актуальную форму согласия на запрос в БКИ — риск уже есть. Каждый запрос без надлежащего согласия потенциально квалифицируется как нарушение ч. 2 ст. 13.11 КоАП. Юристы DATUM соберут ОРД под ключ: политика, формы согласия, журналы, соглашения с обработчиками.

Заказать аудит 152-ФЗ

Как это работает на практике: типовые сценарии для финансового директора

Сценарий 1. МФО без раздельных форм согласия. Онлайн-МФО из Приволжского ФО (осень 2025) использовала единую форму регистрации, в которой согласие на запрос в БКИ было частью пользовательского соглашения. РКН провёл внеплановую проверку по жалобе заёмщика. Инспектор квалифицировал нарушение по ч. 2 ст. 13.11 — согласие не является отдельным документом и не содержит срока действия. Протокол составлен на юридическое лицо. Штраф — в диапазоне сотен тысяч рублей. Финансовый директор компании не был осведомлён о поправках ФЗ-156, вступивших в силу 1 сентября 2025 года. Исправление формы заняло две недели, но постановление уже вынесено. ⚠️ Точный номер дела — менеджер уточняет при публикации.

Сценарий 2. Банк с автоматизированным скорингом без процедуры оспаривания. Региональный банк (Уральский ФО, начало 2026) получил жалобу клиента на автоматизированный отказ в ипотеке. Клиент потребовал проверки решения человеком в соответствии со ст. 16 ФЗ-152. Банк не имел формализованной процедуры — ни в локальных актах, ни в договоре с клиентом. РКН выдал предписание об устранении нарушения. Параллельно клиент обратился в суд с требованием обязать банк рассмотреть заявку с участием сотрудника. Судебное решение — в пользу клиента. Банк понёс и административные, и судебные издержки. ⚠️ Точный номер дела — менеджер уточняет при публикации.

Сценарий 3. Финтех-агрегатор и цепочка обработчиков. Финтех-платформа (Центральный ФО, лето 2025) агрегировала заявки на кредиты от нескольких банков-партнёров. Данные заявителей передавались банкам без договора поручения по ст. 6 ч. 3 ФЗ-152 и без указания в согласии субъекта наименований получателей. При проверке РКН квалифицировал передачу данных как несовместимую с заявленными целями обработки — нарушение ч. 1 ст. 13.11 (150 000 — 300 000 ₽). Дополнительно — нарушение ч. 1 ст. 13.11 по каждому банку-партнёру, которому передавались данные без основания. Совокупная сумма штрафов — в диапазоне нескольких сотен тысяч рублей. ⚠️ Точный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласия, оснований обработки, ОРД финансовой организации
Комплект ОРД под ключ — формы согласия на БКИ, политика, журналы, соглашения с обработчиками
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не дал биометрию для ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает обусловливать предоставление услуги согласием клиента на сбор биометрических данных в ЕБС. Биометрическая идентификация через ЕБС — добровольная процедура. Клиент вправе пройти идентификацию иным способом: лично в офисе с документом, удостоверяющим личность. За нарушение этого запрета предусмотрен штраф для юридического лица. Финансовые директора должны убедиться, что скрипты продаж и регламенты обслуживания не содержат условий, де-факто принуждающих клиента к биометрии.

2. Что грозит МФО за утечку базы заёмщиков?

Санкция зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 человек — ч. 12 ст. 13.11 КоАП, штраф 3 000 000 — 5 000 000 ₽. От 10 000 до 100 000 — ч. 13, 5 000 000 — 10 000 000 ₽. Более 100 000 субъектов — ч. 14, 10 000 000 — 15 000 000 ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — штраф до 3 млн ₽ за неуведомление РКН в течение 24 часов (ч. 11 ст. 13.11). Ст. 272.1 УК РФ, введённая с 11 декабря 2024 года, предусматривает уголовную ответственность за незаконное использование и передачу персональных данных.

3. Какое правовое основание использовать банку для обработки ПДн при выдаче кредита?

Несколько оснований одновременно, в зависимости от стадии. На этапе рассмотрения заявки — согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152), в том числе отдельное согласие на запрос в БКИ. После подписания договора — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) для данных, необходимых непосредственно для обслуживания. Идентификация по 115-ФЗ — выполнение обязанности, предусмотренной законом (п. 2 ч. 1 ст. 6 ФЗ-152). Смешение оснований в одном разделе политики конфиденциальности — распространённая ошибка, которую РКН квалифицирует как нарушение принципа законности обработки по ст. 5 ФЗ-152.

4. Где хранится биометрия клиентов банка — в самом банке или в ЕБС?

С 1 июня 2023 года исходные биометрические шаблоны хранятся исключительно в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». Банки не вправе хранить биометрические данные в собственных информационных системах — это запрет ФЗ-572 от 29 декабря 2022 года. Размещение биометрии в ЕБС осуществляется через защищённые каналы по установленному регламенту. Банки, собравшие биометрию до введения ЕБС, обязаны были передать данные в систему в установленные сроки. Хранение биометрии вне ЕБС после указанной даты — нарушение ФЗ-572 и ст. 11 ФЗ-152.

5. Как клиент может оспорить автоматизированный отказ в кредите?

Ст. 16 ФЗ-152 предоставляет субъекту право потребовать проверки автоматизированного решения, затрагивающего его права и законные интересы, с участием человека. Клиент подаёт письменное заявление оператору. Банк обязан рассмотреть заявку повторно с участием уполномоченного сотрудника и сообщить о результатах. Срок рассмотрения и порядок устанавливаются внутренним регламентом, который банк обязан иметь. Если регламента нет или банк уклоняется от рассмотрения — клиент вправе обратиться с жалобой в РКН и в суд с требованием о восстановлении нарушенных прав.

Итог

Согласие на запрос в БКИ — это не формальность в кредитной заявке, а самостоятельный документ с обязательными реквизитами, несоблюдение которых образует состав административного правонарушения по ч. 2 ст. 13.11 КоАП с санкцией от 300 000 до 700 000 ₽ при первичном нарушении. После 1 сентября 2025 года требования к форме согласия выросли: ФЗ-156 запрещает совмещать согласие с договором или иными документами. Для финансового директора это означает плановую статью расходов на приведение документации в соответствие — либо риск штрафов, которые на несколько порядков дороже.

Практика DATUM в финансовом секторе охватывает аудит форм согласия для банков, МФО и финтех-платформ, подготовку ОРД по требованиям ФЗ-152 и ФЗ-218, сопровождение проверок РКН и защиту в арбитраже по ст. 13.11 КоАП. Специализация — финансовый сектор, включая вопросы ЕБС (ФЗ-572), скоринга (ст. 16 ФЗ-152) и 115-ФЗ.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

1 июня 2026 года