Страховщик как оператор ПДн
Страховщик собирает данные клиентов с момента заполнения заявки: имя, паспорт, адрес, медицинские сведения, водительское удостоверение, иногда — изображение лица для идентификации. Каждый из этих блоков подпадает под отдельный правовой режим ФЗ-152. Для финансового директора это бюджетный вопрос: стоимость аудита соответствия — от 100 000 ₽, стоимость штрафа за утечку клиентской базы при повторности — от 20 млн до 500 млн ₽. Ниже — разбор обязательств, рисков и практики страховщика как оператора ПДн в редакции норм, действующих с 2025 года.
Какие категории персональных данных обрабатывает страховщик?
Состав обрабатываемых данных зависит от вида страхования. Страхование жизни и здоровья неизбежно затрагивает специальные категории ПДн по ст. 10 ФЗ-152 — сведения о состоянии здоровья застрахованного лица. Их обработка по общему правилу запрещена, за исключением случаев, прямо установленных законом или письменным согласием субъекта. Страховщик, запрашивающий медицинскую документацию или анкеты о здоровье, обязан оформить отдельное письменное согласие с исчерпывающим перечнем целей и действий.
Автострахование и страхование имущества работают преимущественно с общими категориями ПДн: паспортные данные, СНИЛС, адрес регистрации, сведения о транспортном средстве. Однако при выплате страхового возмещения и урегулировании убытков страховщик может запрашивать медицинские справки о ДТП — и тогда снова возникают специальные категории.
Отдельный блок — данные из бюро кредитных историй. Страховщики, применяющие кредитный скоринг при андеррайтинге, запрашивают кредитную историю клиента с его согласия по ФЗ-218. Согласие на запрос в БКИ — самостоятельное правовое основание, не входит в общее согласие на обработку ПДн.
Биометрические данные у страховщиков появляются при дистанционной идентификации клиента через Единую биометрическую систему (ЕБС). Страховщик, подключённый к ЕБС, не хранит биометрию самостоятельно — она остаётся в ГИС, оператором которой выступает АО «Центр Биометрических Технологий». Это меняет правовой статус страховщика: он не является оператором биометрических ПДн в части хранения, но остаётся оператором в части передачи данных в ЕБС и получения результата верификации.
Финансовый директор страховщика — что проверить прямо сейчас?
Если у вас нет актуального реестра категорий ПДн с разбивкой по основаниям обработки, структура рисков непрозрачна. Аудит DATUM выявит, по каким видам страхования обработка ведётся без надлежащего согласия или за пределами уведомления в РКН. Штраф по ч. 1 ст. 13.11 за обработку вне заявленных целей — 150 000–300 000 ₽ за каждый выявленный состав, а при повторности — 300 000–500 000 ₽.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Какое правовое основание обработки ПДн применяется в страховании?
Страховщик использует несколько оснований из ст. 6 ФЗ-152 одновременно. Основное — исполнение договора страхования: при заключении и сопровождении договора обработка ПДн страхователя и застрахованных лиц допустима в силу п. 5 ч. 1 ст. 6 ФЗ-152 без отдельного согласия. Это правило охватывает сбор анкетных данных, оформление полиса, урегулирование убытков и выплату страхового возмещения.
Исключения из этого правила — специальные категории ПДн и биометрия. Для их обработки основания «исполнение договора» недостаточно: требуется письменное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. С 01.09.2025 такое согласие обязано быть оформлено отдельным документом — не включаться в текст договора страхования, не объединяться с офертой или правилами страхования.
Отдельная ситуация — противодействие страховому мошенничеству и проверка по требованиям 115-ФЗ. Страховщик вправе обрабатывать ПДн для идентификации клиента в рамках антиотмывочного контроля — это прямо установленная законом обязанность, формирующая самостоятельное основание по п. 2 ч. 1 ст. 6 ФЗ-152.
Скоринговые модели, основанные на автоматизированной обработке ПДн, создают дополнительные обязательства по ст. 16 ФЗ-152. Если решение об условиях страхования принимается исключительно на основе автоматизированной обработки и влечёт правовые последствия для субъекта, страховщик обязан уведомить клиента о праве на оспаривание такого решения. Практически это означает необходимость фиксировать в документах, участвует ли человек в цепочке принятия решения при андеррайтинге — или решение полностью алгоритмическое.
Как страховщик работает с ЕБС и биометрией по ФЗ-572?
Единая биометрическая система регулируется ФЗ-572 от 29.12.2022. Финансовые организации, в том числе страховые компании, вправе использовать ЕБС для дистанционной идентификации клиентов при заключении договоров. При этом возникают два важных ограничения.
Первое — запрет на принудительную биометрию. По ч. 8 ст. 14.8 КоАП (введена ФЗ-420) отказ в обслуживании клиента только по причине его нежелания сдавать биометрию — административное правонарушение для юридического лица. Страховщик не вправе обусловливать заключение договора обязательной идентификацией через ЕБС.
Второе — хранение биометрии. С 01.06.2023 исходная биометрическая информация не может храниться у страховщика или иного финансового оператора вне ЕБС. Страховщик, сохранивший шаблон лица или голоса клиента на собственных серверах, нарушает требования ФЗ-572 и подпадает под ч. 16 ст. 13.11 КоАП.
Что подготовить страховщику для соответствия 152-ФЗ
- Реестр категорий ПДн с разбивкой по виду страхования, основанию обработки и сроку хранения — для каждого продукта отдельно.
- Отдельные письменные согласия на обработку специальных категорий (ст. 10) и биометрии (ст. 11) в редакции с 01.09.2025 по ФЗ-156 — не включённые в текст договора страхования.
- Уведомление в реестре РКН с актуальными целями, категориями и получателями ПДн — включая передачу в БКИ, перестраховщикам, медицинским экспертам.
- Соглашение об обработке ПДн со всеми подрядчиками: ИТ-вендорами, call-центрами, медицинскими партнёрами — по ст. 6 ч. 3 ФЗ-152 (поручение обработки).
- Регламент реагирования на утечку с таймлайном 24/72 часа по ст. 21 ч. 3.1 ФЗ-152 и Приказу РКН №187.
Какие санкции грозят страховщику за нарушения при обработке ПДн?
После вступления в силу ФЗ-420 от 30.11.2024 (с 30.05.2025) санкционная матрица по ст. 13.11 КоАП существенно расширилась. Для страховщика как оператора крупных клиентских баз наиболее актуальны три группы составов.
Первая — нарушения при сборе и использовании согласий. Обработка ПДн без письменного согласия, когда оно обязательно (специальные категории, биометрия), или согласие с нарушением требований к составу — ч. 2 ст. 13.11, штраф для юридического лица 300 000–700 000 ₽. При повторности — ч. 2.1, штраф 1 000 000–1 500 000 ₽.
Вторая — утечки клиентских баз. Страховые базы содержат паспортные данные, медицинскую информацию и финансовые сведения — всё это делает утечку потенциально многосоставным нарушением. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11, 3–5 млн ₽. От 10 000 до 100 000 — ч. 13, 5–10 млн ₽. Более 100 000 субъектов — ч. 14, 10–15 млн ₽. Если компания ранее уже привлекалась по ч. 12–14 — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.
Третья — нарушения при использовании биометрии. Утечка биометрических данных вне системы ЕБС — ч. 17 ст. 13.11, 15–20 млн ₽. Повторность — оборотный штраф по ч. 18.
Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421) — незаконные сбор, использование, передача или хранение компьютерной информации, содержащей ПДн. Максимальное наказание по квалифицированным составам — до 10 лет лишения свободы. Эта норма актуальна для ситуаций, когда утечка связана с умышленными действиями сотрудника или инсайдера — что в страховой отрасли не редкость.
Если у вашего страховщика уже были инциденты с ПДн или вы получили запрос от РКН — время реагирования критично. Юристы DATUM специализируются на защите финансовых операторов при проверках и оспаривании протоколов по ст. 13.11 КоАП.
Защитить от штрафа 13.11Как выглядит практика: типовые ситуации страховщика
Ниже — три сценария, характерных для страховых операторов ПДн. Каждый описывает реальную ситуацию, вероятный исход и стратегию защиты.
Сценарий 1. Согласие встроено в договор страхования. Страховщик использует типовой полис, в котором согласие на обработку ПДн, включая медицинские данные, объединено с подписью под правилами страхования. До 01.09.2025 это создавало риск — после — прямое нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН выявляет отсутствие отдельного согласия на специальные категории. Квалификация — ч. 2 ст. 13.11, штраф 300 000–700 000 ₽ за каждый договор, по которому нарушение зафиксировано. Стратегия: немедленная переработка форм согласий до следующей проверки или до подачи жалобы субъектом; при уже возбуждённом деле — демонстрация перехода на новые формы как смягчающего обстоятельства по ст. 4.2 КоАП.
Сценарий 2. Утечка через медицинского партнёра. Страховщик передаёт данные застрахованных лиц медицинской организации для организации ДМС. Медицинский партнёр подвергается кибератаке, данные пациентов — более 15 000 субъектов — попадают в открытый доступ. Ответственность несёт страховщик как оператор, даже если технически утечка произошла на стороне партнёра. Применяется принцип ответственности оператора за действия обработчика по поручению. Квалификация — ч. 13 ст. 13.11, штраф 5–10 млн ₽. Также — ч. 11 ст. 13.11 за нарушение срока уведомления РКН об инциденте (24 часа), штраф 1–3 млн ₽. Стратегия: договор поручения обработки по ст. 6 ч. 3 ФЗ-152 с чётко прописанными мерами защиты и ответственностью партнёра; регламент мониторинга инцидентов у всех обработчиков.
Сценарий 3. Повторная утечка — оборотный штраф. Страховщик с выручкой 4 млрд ₽ в год однажды уже получил штраф по ч. 12 ст. 13.11 за утечку 3 000 клиентских записей. Через год произошла новая утечка — 25 000 субъектов. При повторности применяется ч. 15 ст. 13.11 — оборотный штраф. При выручке 4 млрд ₽ диапазон составляет 40–120 млн ₽ (1–3%), не менее 20 млн ₽. Инвестиции в ИБ менее 0,1% выручки за 3 года (т. е. менее 12 млн ₽) — скидки по ст. 4.1 КоАП нет. Стратегия: после первого штрафа необходима срочная программа ИБ-инвестиций с документированием расходов для применения льготы в будущем.
Кейс 1. Страховая компания из Приволжского федерального округа (осень 2025) получила предписание РКН после жалобы клиента: согласие на обработку медицинских данных при ДМС было объединено с заявлением-анкетой. Компания обратилась к юристам до составления протокола, подготовила отдельные согласия по новым формам ФЗ-156 и предоставила их в РКН. Дело прекращено на стадии предписания без возбуждения административного производства.
Кейс 2. Страховщик (Центральный ФО, начало 2026) допустил утечку данных 8 000 держателей полисов каско через скомпрометированный API-ключ внешнего партнёра. РКН возбудил дело по ч. 13 ст. 13.11. Оператор уведомил РКН в течение 22 часов, через 70 часов подал отчёт о расследовании, представил доказательства документального оформления поручения обработки. Арбитражный суд региона применил смягчающие обстоятельства и назначил штраф в нижней части диапазона.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка полноты оснований обработки и состава ОРД страховщика.
- Комплект ОРД под ключ — согласия, политика, регламенты для финансовых операторов.
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.
Частые вопросы
1. Можно ли отказать клиенту в страховании, если он не хочет сдавать биометрию?
Нет. По ч. 8 ст. 14.8 КоАП отказ в обслуживании по причине нежелания клиента предоставлять биометрические данные в ЕБС — административное правонарушение для юридического лица. Страховщик обязан предложить альтернативный способ идентификации. Исключения, когда биометрия обязательна по закону, для страхования не установлены.
2. Что грозит страховщику за утечку клиентской базы?
Штраф зависит от числа субъектов. Утечка 1 000–10 000 субъектов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП). От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Более 100 000 — 10–15 млн ₽ (ч. 14). При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Нормы действуют с 30.05.2025 (ФЗ-420). Отдельно — штраф 1–3 млн ₽ за неуведомление РКН об инциденте в течение 24 часов (ч. 11 ст. 13.11).
3. Какое правовое основание обработки ПДн применяется при страховании жизни и здоровья?
Для общих ПДн страхователя — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Для специальных категорий, включая сведения о состоянии здоровья, — письменное согласие по ч. 2 ст. 10 ФЗ-152, оформленное отдельным документом с 01.09.2025 (ФЗ-156). Для проверки в рамках 115-ФЗ — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, установленной законом).
4. Где физически хранится биометрия клиентов, которых страховщик идентифицирует через ЕБС?
В Единой биометрической системе (ГИС ЕБС), оператором которой является АО «Центр Биометрических Технологий» по ФЗ-572. Страховщик не вправе хранить исходный биометрический шаблон на собственных серверах с 01.06.2023. Нарушение этого требования — ч. 16 ст. 13.11 КоАП.
5. Как клиент может оспорить отказ в выплате или в заключении договора, если решение принималось автоматически?
По ст. 16 ФЗ-152 субъект имеет право потребовать, чтобы решение, влекущее для него правовые последствия и принятое исключительно на основе автоматизированной обработки ПДн, было пересмотрено с участием человека. Страховщик обязан уведомить клиента о праве на такое оспаривание. Если уведомление не производилось — это нарушение ст. 16 ФЗ-152 и основание для жалобы в РКН.
Итог
Страховщик относится к числу операторов ПДн с наиболее сложной регуляторной структурой: одновременно работают специальные категории, биометрия через ЕБС, данные из БКИ по ФЗ-218 и автоматизированные решения по ст. 16 ФЗ-152. Каждый из этих блоков требует самостоятельного правового основания, отдельного согласия и описания в уведомлении РКН. С 30.05.2025 цена несоответствия — от 3 млн ₽ за первую утечку до оборотного штрафа при повторной.
DATUM сопровождает финансовых операторов в части соответствия 152-ФЗ: аудит обработки ПДн по видам страхования, формирование ОРД с учётом требований к специальным категориям и биометрии, защита в арбитраже при штрафах по ст. 13.11 КоАП.
1 декабря 2028 года