аналитика 17 февраля 2027 По состоянию на 17 февраля 2027

Ст. 76.1 ФЗ-86 и 152-ФЗ

Ст. 76.1 ФЗ-86 обязывает кредитные организации формировать и передавать сведения о заёмщиках в бюро кредитных историй — это самостоятельное правовое основание обработки персональных данных в финансовом секторе.

С 30.05.2025 за утечку клиентских ПДн банк или МФО получает штраф от 3 до 500 млн ₽ в зависимости от масштаба инцидента и повторности нарушения — по ч. 12–15 ст. 13.11 КоАП в редакции ФЗ-420.

→ Если вы финансовый директор и не уверены, что бюджет покрывает риски 152-ФЗ для банка, МФО или платёжного оператора — читайте дальше.

Финансовый директор редко видит в защите персональных данных бюджетный приоритет: до 2025 года штрафы по ст. 13.11 КоАП редко превышали 60–100 тыс. ₽. После вступления в силу ФЗ-420 арифметика изменилась. Совокупность норм ст. 76.1 ФЗ-86, ФЗ-218 о кредитных историях, ФЗ-572 о единой биометрической системе и 152-ФЗ создаёт для финансовых организаций специфическую матрицу обязанностей. Ниже — что именно требует закон, чем грозит нарушение и как считать стоимость соответствия против стоимости штрафа.

Что такое ст. 76.1 ФЗ-86 и при чём тут 152-ФЗ?

Ст. 76.1 Федерального закона о Центральном банке Российской Федерации регулирует обязанность кредитных организаций предоставлять сведения о заёмщиках и поручителях в бюро кредитных историй. Эта норма устанавливает не просто административную процедуру, а самостоятельное правовое основание для обработки персональных данных — согласие субъекта при передаче в БКИ в рамках заключённого кредитного договора не требуется, поскольку обработка выполняется во исполнение требований закона (п. 2 ч. 1 ст. 6 ФЗ-152).

152-ФЗ, однако, не устраняется: принципы обработки по ст. 5, требования к безопасности по ст. 19, обязанность уведомить РКН по ст. 22 и права субъекта по ст. 14–21 применяются в полном объёме. Иными словами, ст. 76.1 ФЗ-86 даёт основание обрабатывать, но не освобождает от порядка обработки.

«Ст. 5 ФЗ-152 — принцип соответствия объёма ПДн заявленным целям: банк вправе передавать в БКИ только те данные, которые предусмотрены ФЗ-218, и не вправе включать избыточные сведения о клиенте.»

На практике это означает: если банк передаёт в БКИ больше данных, чем предусмотрено ФЗ-218, или использует их в маркетинговых целях без отдельного согласия — это нарушение ч. 1 ст. 13.11 КоАП (обработка в целях, несовместимых с заявленными). Штраф для юрлица — 150 000–300 000 ₽ при первом нарушении и 300 000–500 000 ₽ при повторном.

Как ФЗ-218 и скоринг по ст. 16 ФЗ-152 связаны для финдиректора?

ФЗ-218 «О кредитных историях» обязывает источников формирования (банки, МФО, страховщиков) передавать кредитную историю хотя бы в одно БКИ, включённое в государственный реестр. Срок хранения кредитной истории в БКИ — 7 лет. Согласие субъекта на запрос кредитной истории потенциальным кредитором — отдельный документ; его отсутствие делает запрос неправомерным по ст. 6 ФЗ-152.

Скоринговые системы, которые принимают автоматизированные решения на основе ПДн (например, отказ в кредите без участия человека), подпадают под ст. 16 ФЗ-152. Субъект вправе потребовать, чтобы решение было принято с участием человека, оспорить его и получить объяснение логики скоринга. Банк обязан обеспечить такую процедуру — её отсутствие создаёт отдельный риск протокола по ч. 4 ст. 13.11 КоАП (невыполнение обязанности по предоставлению субъекту информации): штраф 40 000–80 000 ₽.

«Ст. 16 ФЗ-152 — оператор не вправе принимать решения, влекущие юридические последствия для субъекта, исключительно на основании автоматизированной обработки, без предоставления субъекту права на возражение и рассмотрение его позиции.»

Ваш бюджет ИБ покрывает риски по ст. 13.11 в редакции с 30.05.2025?

Для финансовой организации с выручкой от 500 млн ₽ оборотный штраф по ч. 15 ст. 13.11 КоАП при повторной утечке составит минимум 20 млн ₽ — даже если затронуто менее 10 000 клиентов. Стоимость аудита соответствия 152-ФЗ для банка или МФО — от 100 000 ₽. Это разница в 200 раз при первом инциденте и в тысячи раз при повторном.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Биометрия в банке: ФЗ-572, ЕБС и риски по ч. 8 ст. 14.8 КоАП

С 01.06.2023 финансовые организации, идентифицирующие клиентов по биометрии, обязаны использовать исключительно Единую биометрическую систему (ЕБС), оператором которой выступает АО «Центр Биометрических Технологий». Хранение биометрических шаблонов клиентов в собственных базах банка с этой даты запрещено (ФЗ-572 от 29.12.2022).

Принципиальный момент для финдиректора: отказ обслуживать клиента без биометрической идентификации через ЕБС влечёт ответственность по ч. 8 ст. 14.8 КоАП — штраф до 500 000 ₽ за нарушение прав потребителя. Это прямое следствие нормы ФЗ-572, запрещающей обусловливать предоставление услуг сдачей биометрии. Регистрация в ЕБС — исключительно добровольная.

Параллельно обработка биометрических ПДн без письменного согласия клиента (ст. 11 ФЗ-152) создаёт риск по ч. 16 ст. 13.11 КоАП. Утечка биометрии — ч. 17 ст. 13.11: штраф 15 000 000–20 000 000 ₽. Этот диапазон актуален с 30.05.2025.

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта, за исключением случаев, прямо установленных федеральным законом.»

Какие нарушения 152-ФЗ чаще всего фиксирует РКН у финансовых организаций?

По данным публичной практики 2024–2025 годов, Роскомнадзор при проверках банков, МФО и платёжных операторов выявляет четыре типовых нарушения.

Первое — устаревшие политики конфиденциальности: документ не содержит описания оснований обработки по ст. 76.1 ФЗ-86 и ФЗ-218, не отражает передачу данных в БКИ и ЕБС. Нарушение ч. 2 ст. 18.1 ФЗ-152 — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП.

Второе — несоответствие уведомления в реестре РКН реальному составу обработки. Банк расширил продуктовую линейку (добавил страховые продукты, маркетинговые рассылки), но уведомление не обновил. Штраф по ч. 10 ст. 13.11 — 100 000–300 000 ₽.

Третье — обработка ПДн работников и клиентов в одной информационной системе без разделения целей. Нарушение принципа несовместимости баз (ст. 5 ФЗ-152).

Четвёртое — передача ПДн клиентов коллекторским агентствам и партнёрам без надлежащего поручения по ч. 3 ст. 6 ФЗ-152. Поручение на обработку — отдельный договор или приложение к нему с исчерпывающим перечнем действий.

Что финдиректору проверить в первую очередь

Уведомление в реестре РКН (pd.rkn.gov.ru) — соответствует ли фактическому составу обработки ПДн, включая БКИ и ЕБС.
Политика конфиденциальности — отражены ли основания по ст. 76.1 ФЗ-86, ФЗ-218, ФЗ-572; наличие раздела о правах субъекта по ст. 14–21 ФЗ-152.
Согласия на биометрию — письменная форма, реквизиты по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156).
Договоры с БКИ и партнёрами — наличие поручения на обработку по ч. 3 ст. 6 ФЗ-152 с перечнем допустимых действий.
Уровень защищённости ИСПДн — установлен ли УЗ по ПП РФ № 1119, внедрены ли меры по Приказу ФСТЭК № 21.

Какова стоимость нарушения 152-ФЗ для банка или МФО: матрица сценариев

Три типовые ситуации, с которыми сталкиваются финансовые директора финтех-компаний и банков в 2025–2026 годах.

Сценарий 1. Утечка данных 15 000 клиентов через подрядчика колл-центра. МФО передала базу заёмщиков (ФИО, телефон, сумма долга) подрядчику без оформленного поручения по ч. 3 ст. 6 ФЗ-152. Данные утекли. РКН возбудил дело одновременно по ч. 1 ст. 13.11 (незаконная передача) и по ч. 13 ст. 13.11 (утечка от 10 000 до 100 000 субъектов: штраф 5 000 000–10 000 000 ₽). Первичное уведомление об инциденте направлено с опозданием — добавлен протокол по ч. 11 ст. 13.11 (штраф 1 000 000–3 000 000 ₽). Совокупный риск по трём составам — до 13 млн ₽ при первом инциденте. Стратегия: оформить поручение задним числом невозможно; единственный способ снизить санкцию — доказать отсутствие умысла и применить ст. 4.1.1 КоАП (замена штрафа на предупреждение по ч. 13 не применяется — только по «безобидным» частям). Для МФО с выручкой до 500 млн ₽ — это бюджетный шок.

Сценарий 2. Автоматизированный скоринг без процедуры оспаривания. Банк внедрил ML-модель кредитного скоринга, принимающую решения без участия человека. Клиент получил отказ и потребовал объяснений на основании ст. 16 ФЗ-152; банк не смог предоставить понятное описание логики решения в течение 10 рабочих дней. Протокол по ч. 4 ст. 13.11 — штраф 40 000–80 000 ₽. Параллельно клиент подал жалобу в РКН, что инициировало плановую проверку, выявившую несоответствие уведомления реальному составу обработки. Итог: совокупный штраф в несколько сотен тысяч рублей и предписание об устранении нарушений в 90 дней. Стратегия: внедрить процедуру рассмотрения возражений до запуска скоринговой модели — это дешевле любого штрафа.

Сценарий 3. Повторная утечка у крупного банка — оборотный штраф. Банк с годовой выручкой 10 млрд ₽ в 2025 году уже привлекался по ч. 12 ст. 13.11 (утечка от 1 000 до 10 000 субъектов). В 2026 году произошла повторная утечка — 8 000 клиентов. Поскольку банк ранее привлекался по ч. 12, применяется ч. 15 ст. 13.11 — оборотный штраф: 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽. При выручке 10 млрд ₽ — минимум 100 млн ₽. Единственная легальная скидка — инвестиции в информационную безопасность не менее 0,1% выручки за 3 предшествующих года (ст. 4.1 КоАП, примечание 3.4-2): штраф снижается до 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽. Документировать эти инвестиции нужно заблаговременно.

Если финдиректор хочет оценить реальный штрафной риск своей организации до проверки РКН — юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут отчёт с суммами потенциальных санкций. 24 часа на уведомление РКН об утечке не восстанавливаются — к ним нужно быть готовым заранее.

Заказать аудит 152-ФЗ

Как это выглядит на практике: два кейса 2025–2026 годов

Кейс 1. МФО (Приволжский ФО, лето 2025): при внеплановой проверке РКН выяснилось, что организация не уведомила регулятора о намерении обрабатывать ПДн (ст. 22 ФЗ-152) и не оформила поручение при передаче базы в аутсорсинговый колл-центр. Финансовый директор МФО столкнулся с двумя протоколами — по ч. 10 ст. 13.11 (100 000–300 000 ₽) и ч. 1 ст. 13.11 (150 000–300 000 ₽). Общий риск — до 600 000 ₽. После подключения юристов на стадии протоколов удалось подтвердить первичность нарушений и ограниченный масштаб; мировой суд назначил штрафы ближе к нижней границе. Суммарные потери составили несколько сотен тысяч рублей с учётом юридического сопровождения.

Кейс 2 (из реестра практики). По делу, рассмотренному арбитражным судом в начале 2026 года (case_S2_pkr_analitika: утечка около 70 000 субъектов после хакерской атаки, квалификация по ч. 14 ст. 13.11), суд применил смягчающие обстоятельства: оперативное уведомление РКН в 24 часа и содействие расследованию снизили итоговый штраф ниже номинального диапазона 10 000 000–15 000 000 ₽. Принципиальный вывод для финдиректора: документация оперативного реагирования напрямую влияет на размер санкции. Стоимость подготовки регламента реагирования — значительно меньше разницы между верхней и нижней границей штрафа.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, включая финансовый сектор (БКИ, ЕБС, скоринг)
Комплект ОРД под ключ — политики, поручения на обработку, согласия на биометрию
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Финансовая организация не вправе обусловливать предоставление услуги обязательной идентификацией через ЕБС. Регистрация в Единой биометрической системе — добровольная процедура по ФЗ-572. Отказ в обслуживании клиенту, не сдавшему биометрию, образует состав нарушения по ч. 8 ст. 14.8 КоАП — штраф для юридического лица до 500 000 ₽.

2. Что грозит МФО за утечку клиентских данных?

Санкция зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3 000 000–5 000 000 ₽. От 10 000 до 100 000 субъектов — ч. 13, штраф 5 000 000–10 000 000 ₽. Более 100 000 субъектов — ч. 14, штраф 10 000 000–15 000 000 ₽. При повторном инциденте — оборотный штраф по ч. 15: 1–3% годовой выручки, минимум 20 000 000 ₽. Дополнительно: неуведомление РКН за 24 часа влечёт штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

3. Какое правовое основание обработки ПДн в банке?

Для передачи данных в БКИ — исполнение требования закона (п. 2 ч. 1 ст. 6 ФЗ-152 во взаимосвязи со ст. 76.1 ФЗ-86 и ФЗ-218). Для маркетинговых рассылок, программ лояльности, профилирования — отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025). Для идентификации по биометрии — письменное согласие по ст. 11 ФЗ-152. Использовать одно согласие для нескольких несовместимых целей с 01.09.2025 нельзя.

4. Где хранится биометрия клиентов банка — в ЕБС или у банка?

С 01.06.2023 — исключительно в Единой биометрической системе (ЕБС). Хранение биометрических шаблонов в собственных базах данных кредитной организации запрещено по ФЗ-572. Банк направляет исходные биометрические данные в ЕБС и работает только с ответами системы о результатах идентификации. Нарушение этого требования — ч. 16 ст. 13.11 КоАП, а при утечке — ч. 17 (15 000 000–20 000 000 ₽).

5. Как клиент может оспорить отказ в кредите на основании скоринга?

Ст. 16 ФЗ-152 предоставляет субъекту право потребовать рассмотрения решения с участием человека, а не только алгоритма. Банк обязан в течение 10 рабочих дней (ст. 20 ФЗ-152) предоставить информацию о логике автоматизированного решения и обеспечить процедуру возражения. Если банк такую процедуру не предусмотрел — это нарушение ч. 4 ст. 13.11 КоАП. Клиент также вправе обратиться с жалобой в РКН, что может инициировать внеплановую проверку.

Итог

Совокупность ст. 76.1 ФЗ-86, ФЗ-218, ФЗ-572 и 152-ФЗ формирует для финансовых организаций плотную матрицу обязанностей: законное основание обработки не отменяет требований к безопасности, составу согласий и уведомлению РКН. С 30.05.2025 штрафная арифметика по ст. 13.11 КоАП сделала несоответствие критическим бюджетным риском — особенно для организаций с историей инцидентов.

Практика DATUM охватывает аудит финансовых организаций (банки, МФО, платёжные операторы, страховщики), подготовку ОРД с учётом специфики БКИ и ЕБС, сопровождение проверок РКН и защиту от штрафов в арбитраже.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

17 февраля 2027 года