аналитика 13 февраля 2029 года По состоянию на 13 февраля 2029 года

Срок хранения кредитной истории: 7 лет

Кредитная история хранится в бюро кредитных историй 7 лет с момента последней записи — это прямая норма ст. 7 ФЗ-218. Для финдиректора это означает семь лет потенциальных претензий субъектов, проверок и штрафов по ст. 13.11 КоАП.

С 30.05.2025 за утечку от 10 000 субъектов финансовая организация платит 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15.

→ Если вы финдиректор и финансовая организация обрабатывает ПДн заёмщиков — оцените, соответствует ли режим хранения нормам ФЗ-218, ФЗ-152 и ФЗ-572.

Семилетний срок хранения кредитной истории — это не только норма БКИ-законодательства. Для банков, МФО и финтех-компаний он задаёт горизонт ответственности по 152-ФЗ: семь лет данные субъекта находятся в обработке, семь лет действуют обязательства по защите, уведомлению РКН и реагированию на инциденты. После вступления в силу ФЗ-420 от 30.11.2024 финансовая организация, не выстроившая режим обработки ПДн, рискует штрафом от 3 до 500 млн ₽ — в зависимости от масштаба нарушения и его повторности.

Что говорит ФЗ-218 о сроке хранения кредитной истории?

Федеральный закон о кредитных историях устанавливает: бюро кредитных историй хранит информацию о субъекте в течение 7 лет со дня последнего изменения сведений, включённых в кредитную историю. Это означает, что каждая новая запись — платёж, просрочка, запрос — обнуляет отсчёт. Практически у добросовестного заёмщика с активными продуктами кредитная история хранится непрерывно десятилетиями.

БКИ в рамках ФЗ-218 выступают самостоятельными операторами персональных данных по ст. 3 ФЗ-152. Банк или МФО, передающие сведения в БКИ, действуют как источники формирования кредитных историй. При этом согласие субъекта на запрос в БКИ — отдельное правовое основание, которое не подменяет согласие на обработку ПДн банком в иных целях.

«Ст. 7 ФЗ-218 — кредитная история хранится в БКИ 7 лет со дня последнего изменения сведений. Ст. 6 ФЗ-152 — обработка ПДн допустима по 11 правовым основаниям, включая исполнение договора (п. 5) и согласие субъекта (п. 1).»

Финдиректор должен понимать: пока кредитная история хранится, организация несёт полный объём обязательств оператора ПДн — от ответов на запросы субъектов в течение 10 рабочих дней (ст. 20 ФЗ-152) до уведомления РКН об инциденте за 24 часа (ч. 3.1 ст. 21 ФЗ-152). Выход из реестра операторов до истечения 7 лет без уничтожения данных — нарушение ст. 22 ФЗ-152 со штрафом 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Финансовая организация хранит данные заёмщиков годами — проверен ли режим обработки?

Семь лет хранения кредитной истории означают семь лет действия обязательств по 152-ФЗ. Если за это время не проводился аудит, не обновлялись согласия и не актуализировалось уведомление в РКН — каждый из этих пробелов превращается в основание для штрафа при первой же проверке. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как скоринг и автоматизированные решения регулируются по ст. 16 ФЗ-152?

Скоринговые модели в банках и МФО принимают решения о кредите на основе автоматизированной обработки ПДн. Это прямо попадает под ст. 16 ФЗ-152: принятие решений, порождающих юридические последствия для субъекта исключительно на основе автоматизированной обработки, допускается только с его письменного согласия или в случаях, предусмотренных федеральным законом.

На практике это означает: форма заявки на кредит должна содержать отдельное согласие на автоматизированную обработку ПДн для принятия решения. После 01.09.2025 — в силу ФЗ-156 от 24.06.2025 — это согласие оформляется отдельным документом, не встроенным в текст договора или анкеты. Субъект вправе потребовать, чтобы окончательное решение принял человек, а не алгоритм.

«Ст. 16 ФЗ-152 — автоматизированные решения, порождающие правовые последствия, требуют письменного согласия субъекта или прямой нормы закона. Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — согласие с 01.09.2025 оформляется отдельным документом.»

Для МФО ситуация острее: средний чек займа невелик, скоринг полностью автоматизирован, а доля субъектов с претензиями к отказам высока. Жалоба субъекта в РКН на автоматизированный отказ без разъяснений — типовой триггер внеплановой проверки. Штраф за нарушение ст. 16 квалифицируется по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽), при повторности — по ч. 1.1 (300–500 тыс. ₽).

Что изменилось с биометрией в финансовом секторе после ФЗ-572?

С 01.06.2023 банки и МФО обязаны передавать биометрические данные клиентов исключительно в Государственную информационную систему «Единая биометрическая система» (ГИС ЕБС), оператором которой является АО «Центр Биометрических Технологий». Хранение исходных биометрических шаблонов вне ЕБС — прямое нарушение ФЗ-572 от 29.12.2022.

Принципиально важен запрет из ч. 8 ст. 14.8 КоАП (введён ФЗ-420): финансовая организация не вправе отказать клиенту в обслуживании на основании его отказа предоставить биометрию в ЕБС. Штраф за нарушение этого запрета для юрлица — до 500 тыс. ₽. На практике банки нередко формулируют условия обслуживания таким образом, что биометрия де-факто становится обязательной. РКН фиксирует такие случаи при мониторинге.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта. ФЗ-572 от 29.12.2022 — хранение биометрии с 01.06.2023 только в ЕБС. Ч. 8 ст. 14.8 КоАП — запрет отказа в обслуживании при нежелании предоставить биометрию.»

Для финдиректора это три отдельных вектора риска: штраф за неправомерное хранение биометрии вне ЕБС (ч. 17 ст. 13.11 — 15–20 млн ₽), штраф за принуждение к биометрии (ч. 8 ст. 14.8 — до 500 тыс. ₽) и оборотный штраф при повторной утечке биометрии (ч. 18 ст. 13.11 — 1–3% выручки, не более 500 млн ₽).

Что подготовить финансовой организации для соответствия 152-ФЗ

Актуальное уведомление в реестре операторов ПДн РКН с корректным перечнем обрабатываемых категорий и целей (ст. 22 ФЗ-152).
Отдельные согласия субъектов на скоринг по ст. 16 ФЗ-152 и на передачу данных в БКИ по ФЗ-218 — в форматах, соответствующих ст. 9 ФЗ-152 с 01.09.2025.
Договор поручения обработки ПДн с БКИ, содержащий обязательные условия по п. 3 ст. 6 ФЗ-152 и ответственность за инцидент.
Процедура реагирования на утечку: алгоритм первичного уведомления РКН за 24 часа и отчёта за 72 часа по Приказу РКН №187.
Документальное подтверждение соответствия биометрии требованиям ФЗ-572: договор с ЕБС, отсутствие локальных хранилищ исходных шаблонов.

Какие санкции грозят МФО и банку при утечке ПДн заёмщиков?

С 30.05.2025 санкции по ст. 13.11 КоАП кардинально изменились. Для финансового сектора с большими базами заёмщиков это означает прямой выход на оборотные штрафы уже при втором инциденте.

Структура санкций за утечку по масштабу базы:

От 1 000 до 10 000 субъектов — ч. 12 ст. 13.11: 3–5 млн ₽. Типичная утечка небольшой МФО или регионального банка.
От 10 000 до 100 000 субъектов — ч. 13 ст. 13.11: 5–10 млн ₽. Средний банк с базой в несколько сотен тысяч клиентов.
Более 100 000 субъектов — ч. 14 ст. 13.11: 10–15 млн ₽. Крупный банк, МФО федерального масштаба.
Повторная утечка — ч. 15 ст. 13.11: 1–3% совокупной годовой выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽.

Отдельно — неуведомление РКН об инциденте в течение 24 часов: ч. 11 ст. 13.11, штраф 1–3 млн ₽. Этот штраф назначается независимо от штрафа за саму утечку и суммируется с ним. По данным InfoWatch за 2025 год, именно неуведомление в срок стало основанием для нескольких из шести зафиксированных административных дел по новым нормам.

Уголовный аспект: с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024). Незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн, грозит до 10 лет лишения свободы (ч. 5 — тяжкие последствия). Это означает личную ответственность директора по безопасности и ИТ-директора, а не только организации.

Если финдиректор получил запрос РКН или зафиксирован инцидент с ПДн заёмщиков — у организации 24 часа на первичное уведомление (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается. Юристы DATUM возьмут защиту от штрафа по ст. 13.11 КоАП: оспорят протокол, применят ст. 4.1 и 4.1.1 КоАП для снижения санкции.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. МФО в Приволжском ФО (осень 2025) выгрузила базу из ~14 000 заёмщиков через незащищённый API-эндпоинт стороннего подрядчика. Утечка обнаружена службой ИБ через 31 час после начала эксфильтрации. Первичное уведомление РКН подано с опозданием — через 38 часов. РКН возбудил два дела: по ч. 13 ст. 13.11 (5–10 млн ₽) и по ч. 11 (1–3 млн ₽ за нарушение срока уведомления). Суд при рассмотрении принял во внимание оперативное устранение уязвимости и смягчающие обстоятельства, однако штраф по ч. 13 был назначен в нижней части диапазона. Финдиректор компании оценил потери в несколько раз выше стоимости ежегодного аудита 152-ФЗ.

Кейс 2. Региональный банк в Сибирском ФО (начало 2026) прошёл плановую проверку РКН. Инспекторы выявили три нарушения: согласия клиентов на скоринг не содержали обязательных реквизитов по ст. 9 ФЗ-152 в редакции с 01.09.2025; договор с БКИ не предусматривал порядок реагирования на инцидент; уведомление в реестре операторов не обновлялось более трёх лет. По совокупности нарушений назначены штрафы по ч. 2, ч. 1 и ч. 10 ст. 13.11 КоАП. Общая сумма санкций превысила стоимость полного пакета ОРД на порядок.

Типовые ситуации: сценарии для финансовой организации

Сценарий 1. Утечка через подрядчика по скорингу. Ситуация: финтех-компания использует внешнего провайдера скоринговых моделей, которому передаёт ПДн заёмщиков. Провайдер допускает утечку 25 000 записей. Доказательства: договор поручения обработки без условий об уведомлении при инциденте. Вероятный исход: оператор (финтех) несёт полную ответственность по ч. 13 ст. 13.11 (5–10 млн ₽) — принцип ответственности оператора за действия обработчика закреплён в судебной практике. Стратегия: включить в договор с провайдером обязательство немедленного уведомления, перечень мер защиты и право аудита.

Сценарий 2. Отказ клиенту без биометрии. Ситуация: банк фактически обуславливает открытие счёта предоставлением биометрии в ЕБС. Клиент жалуется в РКН. Доказательства: внутренний регламент, предписывающий отказ при отсутствии биометрии. Вероятный исход: штраф по ч. 8 ст. 14.8 КоАП (до 500 тыс. ₽) и репутационный ущерб. Стратегия: привести регламенты в соответствие с ч. 8 ст. 14.8, закрепить альтернативный способ идентификации.

Сценарий 3. Истечение срока хранения без уничтожения. Ситуация: банк продолжает хранить ПДн заёмщика после истечения 7 лет с последней записи в БКИ и закрытия всех продуктов. Субъект направляет требование об уничтожении. Доказательства: ответ банка об отказе со ссылкой на внутренний регламент без законного основания. Вероятный исход: штраф по ч. 5 ст. 13.11 (50–90 тыс. ₽) за невыполнение требования об уничтожении, при повторности — по ч. 5.1 (300–500 тыс. ₽). Стратегия: ввести автоматизированное управление жизненным циклом данных с триггером уничтожения по истечении срока хранения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка режима обработки ПДн заёмщиков, скоринга и биометрии
Комплект ОРД под ключ — 38 документов: политика, согласия по ст. 9 и 16, договоры с БКИ
Защита при штрафе в арбитраже — оспаривание протоколов по ч. 12–15 ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Часть 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024) прямо запрещает финансовой организации отказывать в обслуживании, если клиент не предоставил биометрию в ЕБС. Штраф для юрлица — до 500 тыс. ₽. Банк обязан обеспечить альтернативный способ идентификации.

2. Что грозит МФО за утечку данных заёмщиков?

Зависит от масштаба утечки. При утечке от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11: 3–5 млн ₽. От 10 000 до 100 000 — ч. 13: 5–10 млн ₽. Более 100 000 субъектов — ч. 14: 10–15 млн ₽. При повторной утечке — ч. 15 (оборотный): 1–3% годовой выручки, но не менее 20 млн ₽. Сверх того — штраф 1–3 млн ₽ по ч. 11 за нарушение срока 24-часового уведомления РКН.

3. Какое основание обработки ПДн используется в банке?

Банк использует несколько оснований по ст. 6 ФЗ-152 одновременно: исполнение договора (п. 5) — для ведения счёта и кредитования; исполнение законодательных обязанностей (п. 2) — для идентификации по 115-ФЗ и передачи в БКИ по ФЗ-218; согласие субъекта (п. 1) — для скоринга по ст. 16 ФЗ-152 и маркетинговых коммуникаций. Каждое основание требует отдельного документального оформления.

4. Где хранится биометрия клиентов банка — в ЕБС или у банка?

С 01.06.2023 хранение биометрии у банка запрещено — исходные шаблоны передаются в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий») и там хранятся. Банк работает с ЕБС через API для верификации. Хранение собственных биометрических баз — нарушение ФЗ-572 от 29.12.2022 с риском штрафа по ч. 17 ст. 13.11 КоАП (15–20 млн ₽).

5. Как клиент может оспорить автоматизированный отказ в кредите?

Субъект вправе потребовать пересмотра решения, принятого исключительно на основе автоматизированной обработки ПДн, с участием человека — это прямо предусмотрено ст. 16 ФЗ-152. Банк или МФО обязаны рассмотреть требование в течение 10 рабочих дней с момента обращения (ст. 20 ФЗ-152). Отказ без разъяснения оснований — основание для жалобы в РКН и Банк России.

Итог

Семилетний срок хранения кредитной истории по ФЗ-218 — это горизонт, на протяжении которого финансовая организация остаётся оператором ПДн заёмщика со всеми вытекающими обязательствами по 152-ФЗ. Введение оборотных штрафов с 30.05.2025 (ФЗ-420) и уголовной ответственности с 11.12.2024 (ФЗ-421) сделало несоответствие требованиям прямой финансовой угрозой, а не формальным нарушением.

Юристы DATUM специализируются на обработке ПДн в финансовом секторе: банки, МФО, БКИ, скоринг по ст. 16 ФЗ-152, биометрия в ЕБС по ФЗ-572, защита от оборотных штрафов по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), антиотмывочный контроль и 115-ФЗ.