Перейти к содержанию
аналитика 25 января 2030 По состоянию на 25 января 2030

Срок хранения данных заёмщика МФО

Срок хранения персональных данных заёмщика МФО определяется одновременно несколькими режимами: ФЗ-152 (принцип минимизации и цели), ФЗ-218 о кредитных историях (7 лет в БКИ), 115-ФЗ об ПОД/ФТ (5 лет для документов идентификации) и внутренними политиками оператора.
С 30.05.2025 действует обновлённая ст. 13.11 КоАП: за утечку данных от 10 000 субъектов штраф достигает 10 млн ₽, за повторную — до 3% годовой выручки, не менее 20 млн ₽. Финансовый директор МФО несёт прямую ответственность за корректность бюджетирования рисков, связанных с хранением ПДн.
→ Если вы финдиректор МФО и не знаете, какие данные хранятся дольше необходимого — это уже нарушение ст. 5 ФЗ-152 с реальными последствиями.

МФО обрабатывают персональные данные заёмщиков в нескольких правовых режимах одновременно. Кредитный договор, скоринг, идентификация по 115-ФЗ, передача в БКИ и биометрия через ЕБС — каждый режим задаёт собственный срок хранения и основание обработки. Финансовый директор, формирующий бюджет на ИТ-инфраструктуру и комплаенс, должен понимать: хранение данных дольше установленного срока — самостоятельное нарушение ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽), а утечка таких данных влечёт расходы на порядок выше стоимости их правильного уничтожения.

Какой срок хранения данных заёмщика установлен законом?

Единого универсального срока не существует. Закон устанавливает несколько режимов в зависимости от цели обработки.

Первый режим — исполнение договора. По ст. 5 ФЗ-152 персональные данные хранятся не дольше, чем этого требует цель обработки. Для МФО это означает: данные, связанные непосредственно с договором займа, хранятся в течение срока его действия плюс срок исковой давности (по общему правилу — 3 года по ст. 196 ГК). После истечения этого периода оператор обязан уничтожить или обезличить данные, если иное не предусмотрено отдельным основанием.

Второй режим — кредитные истории. Статья 7 ФЗ-218 устанавливает срок хранения кредитной истории в бюро кредитных историй — 7 лет с момента последнего изменения информации. МФО как источник формирования кредитной истории обязана направлять сведения в БКИ (ст. 5 ФЗ-218), при этом хранение у самой МФО данных, переданных в БКИ, регулируется ст. 5 ФЗ-152 — по достижении цели данные подлежат уничтожению у оператора.

Третий режим — идентификация по 115-ФЗ. Статья 7 ФЗ-115 обязывает МФО хранить документы, связанные с идентификацией клиента, не менее 5 лет после прекращения деловых отношений. Это специальная норма, которая в части хранения идентификационных документов имеет приоритет над общим принципом минимизации ФЗ-152.

«Ст. 5 ФЗ-152 — принцип хранения: ПДн не должны храниться дольше, чем этого требуют цели обработки. При достижении целей или утрате необходимости оператор обязан уничтожить или обезличить данные.»

Четвёртый режим — налоговый и бухгалтерский учёт. Документы, содержащие ПДн заёмщика и относящиеся к первичной бухгалтерской документации, хранятся по правилам ФЗ «О бухгалтерском учёте» — как правило, не менее 5 лет. Пятый режим — архивное законодательство для отдельных категорий документов.

Финдиректор МФО: посчитайте стоимость хранения «лишних» данных

Если персональные данные заёмщиков хранятся в системах МФО дольше установленного срока без правового основания — это нарушение ст. 5 и ст. 21 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП составляет 150–300 тыс. ₽. При последующей утечке этих данных — расходы кратно возрастут: ч. 12–14 ст. 13.11 предусматривает штрафы от 3 до 15 млн ₽ в зависимости от числа пострадавших субъектов. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как МФО обрабатывает биометрию и данные через ЕБС?

С введением ФЗ-572 о Единой биометрической системе МФО и банки получили обязательный канал работы с биометрическими данными. Принципиальное правило: МФО не вправе самостоятельно хранить биометрические ПДн клиента — изображение лица и голос — вне ЕБС. Хранение биометрии допускается только в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий».

Для МФО это означает следующее: при дистанционной идентификации через ЕБС МФО получает подтверждение личности, но не получает и не хранит саму биометрию. Срок хранения биометрии в ЕБС регулируется ФЗ-572 и внутренними регламентами системы — оператор ЕБС хранит данные в течение установленного законом периода после отзыва согласия субъектом.

Если МФО проводит идентификацию с использованием биометрии в собственных системах (например, в мобильном приложении для проверки документов), — это обработка биометрических ПДн по ст. 11 ФЗ-152, требующая письменного согласия. Хранение такой биометрии за пределами ЕБС после 01.06.2023 нарушает ФЗ-572 и влечёт ответственность по ч. 16–17 ст. 13.11 КоАП.

«Ч. 17 ст. 13.11 КоАП (в ред. с 30.05.2025) — утечка биометрических ПДн для юрлица: штраф 15–20 млн ₽.»

Отдельный вопрос — право клиента отказаться от биометрической идентификации. Часть 8 ст. 14.8 КоАП устанавливает ответственность за отказ в обслуживании клиенту, который не предоставил биометрию в ЕБС. МФО не вправе обусловливать выдачу займа обязательной сдачей биометрии.

Что такое скоринг по ст. 16 ФЗ-152 и какие данные используются?

Статья 16 ФЗ-152 регулирует принятие решений, основанных исключительно на автоматизированной обработке персональных данных и порождающих правовые последствия для субъекта или иным образом затрагивающих его права и законные интересы. Отказ в займе на основании скоринговой модели — типичный случай применения ст. 16.

Ключевое требование ст. 16: субъект вправе потребовать пересмотра такого решения с участием человека. МФО обязана обеспечить возможность такого пересмотра и уведомить заёмщика о праве на него. Отсутствие процедуры оспаривания скорингового решения — нарушение ФЗ-152.

Данные для скоринга МФО получает из нескольких источников: собственные ПДн из заявки, данные из БКИ (на основании согласия по ст. 6 ФЗ-152 и ФЗ-218), данные от операторов связи (при наличии согласия), данные из открытых источников. Срок хранения скоринговых моделей и входных данных в них определяется внутренней политикой МФО, однако не может превышать срок, необходимый для цели обработки, с учётом исковой давности по ст. 196 ГК.

Что подготовить финдиректору МФО для управления сроками хранения ПДн

  • Матрицу категорий ПДн с привязкой к срокам хранения по каждому правовому режиму (152-ФЗ, 115-ФЗ, 218-ФЗ, НК, бухучёт) — основа для ИТ-бюджета на хранилища и на уничтожение данных.
  • Регламент уничтожения и обезличивания ПДн с периодичностью проверки и ответственным лицом по ст. 22.1 ФЗ-152.
  • Отдельные согласия субъектов на обработку ПДн в скоринговых системах и на автоматизированное принятие решений (ст. 16 ФЗ-152).
  • Договоры поручения обработки с БКИ и сторонними скоринговыми сервисами по п. 3 ст. 6 ФЗ-152 с фиксацией допустимых сроков хранения у обработчика.
  • Политику обработки ПДн с опубликованным разделом о сроках хранения по каждой категории — требование ч. 2 ст. 18.1 ФЗ-152.

Какие риски несёт МФО при нарушении сроков хранения данных заёмщика?

Нарушения в области сроков хранения ПДн образуют несколько составов административной ответственности. Финансовый директор обязан включить вероятные штрафы в бюджетную модель рисков.

Сценарий 1. МФО хранит данные заёмщиков, договоры с которыми закончились 5 лет назад, — без правового основания (отсутствие 115-ФЗ, налоговых или архивных оснований). Ситуация: при плановой проверке РКН инспектор запрашивает реестр категорий ПДн и сроки хранения. Выявляется избыточное хранение. Доказательства: выгрузка из базы данных с датами последних операций. Вероятный исход: штраф по ч. 1 ст. 13.11 КоАП — 150–300 тыс. ₽ за обработку ПДн, несовместимую с заявленными целями. Стратегия: до проверки провести аудит, внедрить автоматическое уничтожение данных по истечении срока.

Сценарий 2. В базе данных МФО произошла утечка — хакер получил доступ к данным 15 000 заёмщиков (ФИО, паспорт, телефон, сумма займа). Среди них — 8 000 клиентов, договоры с которыми были погашены 4 года назад. Ситуация: МФО не уведомила РКН в течение 24 часов. Вероятный исход: штраф по ч. 11 ст. 13.11 (неуведомление об утечке) — 1–3 млн ₽ + штраф по ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов) — 5–10 млн ₽. Итого потенциальные расходы: 6–13 млн ₽. Стратегия: выстроить процедуру реагирования на инциденты и уведомления РКН по Приказу РКН №187.

Сценарий 3. МФО использует скоринговую модель стороннего провайдера, которому передаются ПДн заёмщиков. Провайдер расположен в иностранном государстве вне перечня стран с адекватной защитой. Ситуация: уведомление РКН о трансграничной передаче не подавалось. Вероятный исход: ответственность по ч. 1 ст. 13.11 за обработку вне заявленных целей + риск предписания о прекращении передачи. Стратегия: инвентаризировать все сторонние сервисы, проверить юрисдикцию, подать уведомление о трансграничной передаче.

Если МФО уже получила запрос РКН о сроках хранения данных или предписание — у вас ограниченное время на ответ. Юристы DATUM соберут пакет ОРД и документацию по срокам хранения под ключ, включая регламент уничтожения ПДн.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. МФО из Приволжского ФО (осень 2025) прошла плановую проверку РКН. В ходе проверки выявлено: данные заёмщиков с погашенными договорами хранились в основной базе более 7 лет без правового основания (исковая давность истекла, 115-ФЗ не применялся к части записей). РКН составил протокол по ч. 1 ст. 13.11 КоАП. Компания привлекла юристов по ст. 4.1 КоАП, представила доказательства начала устранения нарушений. Штраф в нижней части диапазона. Расходы на приведение систем в соответствие оказались сопоставимы со штрафом — но предотвратили повторное нарушение и оборотный риск.

Кейс 2 (из реестра DATUM). МФО после утечки паспортных данных заёмщиков (около 70 000 субъектов) обратилась в DATUM. Компания не направила первичное уведомление в РКН в течение 24 часов, установленных ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187. Были подготовлены документы для арбитражного оспаривания штрафа по ч. 11 ст. 13.11 (неуведомление об утечке): доказательства оперативных мер защиты, ссылка на ст. 4.1 КоАП (инвестиции в ИБ более 0,1% выручки за 3 года). Применение специального правила ст. 4.1 КоАП позволило снизить штраф до 1/10 минимального размера — около 100–150 тыс. ₽ вместо нескольких миллионов рублей. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

МФО не вправе обусловливать выдачу займа обязательной сдачей биометрии в ЕБС. Часть 8 ст. 14.8 КоАП устанавливает штраф для юрлица за такой отказ. Биометрическая идентификация — дополнительный канал, предоставляемый на добровольной основе. Клиент вправе пройти идентификацию альтернативными способами, предусмотренными ФЗ-115.

2. Что грозит МФО за утечку данных заёмщиков?

Размер штрафа зависит от числа пострадавших субъектов. По ч. 12 ст. 13.11 КоАП (1 000–10 000 субъектов) — 3–5 млн ₽; по ч. 13 (10 000–100 000 субъектов) — 5–10 млн ₽; по ч. 14 (более 100 000 субъектов) — 10–15 млн ₽. Дополнительно — штраф по ч. 11 ст. 13.11 за неуведомление РКН об утечке в 24 часа: 1–3 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

3. Какое правовое основание обработки ПДн в МФО при выдаче займа?

Основное основание — исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 ФЗ-152). Отдельные виды обработки требуют самостоятельных оснований: скоринг с участием третьих лиц — согласие (п. 1 ч. 1 ст. 6); передача в БКИ — ст. 5 ФЗ-218 + согласие субъекта при первой передаче; идентификация по 115-ФЗ — исполнение требований законодательства (п. 2 ч. 1 ст. 6). Смешивать основания в одном согласии после 01.09.2025 нельзя — ФЗ-156 требует отдельного документа.

4. Где хранится биометрия клиента МФО — в ЕБС или у самой МФО?

Исходные биометрические данные (изображение лица, голос) хранятся только в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». МФО не получает и не хранит биометрию в собственных системах при идентификации через ЕБС. Хранение биометрических ПДн вне ЕБС после 01.06.2023 нарушает ФЗ-572 и влечёт ответственность по ч. 16–17 ст. 13.11 КоАП (штраф до 20 млн ₽ за утечку).

5. Как заёмщик может оспорить отказ в займе по результатам скоринга?

Статья 16 ФЗ-152 предоставляет субъекту право потребовать пересмотра решения, принятого исключительно на основании автоматизированной обработки его ПДн. Заёмщик направляет письменное обращение в МФО. МФО обязана обеспечить рассмотрение с участием уполномоченного сотрудника и уведомить клиента о результатах. Отсутствие процедуры такого пересмотра — нарушение ФЗ-152, которое может быть основанием для жалобы в РКН.

Итог

Срок хранения персональных данных заёмщика МФО не определяется одной нормой: он формируется из пересечения требований ФЗ-152 (цель обработки), ФЗ-218 (7 лет в БКИ), 115-ФЗ (5 лет для идентификационных документов) и налогового законодательства. Хранение данных сверх установленного срока без правового основания — это нарушение, которое при проверке РКН влечёт штраф, а при последующей утечке кратно увеличивает расходы компании.

DATUM сопровождает МФО и финтех-компании по всему спектру требований ФЗ-152: от аудита сроков хранения и формирования ОРД до защиты от оборотных штрафов в арбитраже.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

25 января 2030 года