аналитика 9 февраля 2029 По состоянию на 9 февраля 2029

SWIFT и трансграничная передача ПДн

Каждый SWIFT-перевод содержит персональные данные плательщика и получателя — имя, счёт, адрес, ИНН. С точки зрения ФЗ-152 их передача в зарубежный банк-корреспондент или в инфраструктуру SWIFT BIC является трансграничной передачей ПДн.

С 30.05.2025 штраф за нарушение требований локализации и трансграничной передачи достигает 6 млн ₽ за первое нарушение и 18 млн ₽ при повторном (ч. 8–9 ст. 13.11 КоАП). При повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11.

→ Если вы финансовый директор банка или финтех-компании, использующей SWIFT, — эта статья объясняет, какие основания обработки применять, что уведомлять в РКН и где граница между законной расчётной необходимостью и нарушением.

Санкционное давление 2022–2024 годов перекроило маршруты SWIFT-платежей российских банков, но не отменило базовый правовой вопрос: каждая транзакция через SWIFT несёт персональные данные физических лиц за рубеж. Роскомнадзор квалифицирует такую передачу как трансграничную по ст. 12 ФЗ-152. Банки и финтех-компании, не выстроившие комплаенс-процедуры под требования ФЗ-420 (с 30.05.2025), рискуют штрафами, которые впервые за 10 лет правоприменения стали сопоставимы с операционными затратами на ИБ. Ниже — разбор правовых оснований, требований уведомления РКН и типичных ситуаций, с которыми сталкивается финдиректор финансовой организации.

Что такое трансграничная передача ПДн и при чём здесь SWIFT?

Трансграничная передача персональных данных по ст. 3 ФЗ-152 — это передача ПДн на территорию иностранного государства иностранному органу власти, иностранному физическому или юридическому лицу. SWIFT (Society for Worldwide Interbank Financial Telecommunication) — это бельгийский кооператив, инфраструктура которого физически расположена в ЕС и США. Когда российский банк отправляет MT103 или ISO 20022 — сообщение через узлы SWIFT, данные плательщика (ФИО, BIC/IBAN, адрес, назначение платежа) оказываются в системах нерезидента.

РКН последовательно придерживается позиции: сам факт маршрутизации через иностранную инфраструктуру образует трансграничную передачу, даже если конечный получатель — резидент РФ. Это означает, что банку недостаточно зафиксировать согласие клиента на осуществление платежа: необходимо либо опираться на одно из специальных оснований ст. 6 ФЗ-152, либо выполнить процедуру уведомления РКН по ст. 12.

«Ст. 12 ФЗ-152 устанавливает: до начала передачи ПДн в страну, не обеспечивающую адекватный уровень защиты, оператор обязан уведомить Роскомнадзор и убедиться в наличии правового основания. Трансграничная передача без уведомления или с нарушением его условий — административная ответственность по ст. 13.11 КоАП.»

Перечень государств, обеспечивающих адекватную защиту, утверждён Приказом РКН. Большинство юрисдикций, через которые проходит SWIFT-трафик (Бельгия, Нидерланды, США), входят в этот перечень или имеют двусторонние договоры с РФ. Тем не менее уведомительный порядок никто не отменял: банк обязан направить уведомление в РКН до первого платежа, а не постфактум.

Какие правовые основания обработки ПДн действуют при SWIFT-платеже?

Финансовые директора нередко ошибочно полагают, что согласие клиента на трансграничный перевод автоматически закрывает вопросы ФЗ-152. Это не так: согласие — лишь одно из одиннадцати оснований обработки по ст. 6 ФЗ-152, и в банковской практике оно не всегда является оптимальным.

Для SWIFT-транзакций применимы три ключевых основания:

Исполнение договора с субъектом (п. 5 ч. 1 ст. 6 ФЗ-152). Договор банковского счёта или вклада, заключённый с физическим лицом, прямо предусматривает возможность международных переводов. Это основание не требует отдельного согласия на каждый платёж, но договор должен содержать явное упоминание о трансграничной передаче ПДн и странах получателях.
Выполнение требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152). Обязательства по ПОД/ФТ согласно 115-ФЗ, требования Банка России по идентификации и верификации плательщика при трансграничных операциях формируют самостоятельное законное основание. Банк обязан передать данные — это императив, а не право.
Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). С 01.09.2025 согласие оформляется отдельным документом по требованиям ФЗ-156 от 24.06.2025. Нельзя вписать его в договор банковского обслуживания или в общие условия оферты. Если банк исторически полагался только на эту конструкцию — пакет согласий необходимо пересматривать.

Важно: использование нескольких оснований одновременно — допустимо. На практике крупные банки строят многоуровневую конструкцию: договорное основание для стандартных платежей + законодательный мандат для ПОД/ФТ + согласие для расширенного маркетингового профилирования клиента. Такой подход снижает риск признания обработки незаконной при проверке РКН.

Финансовый директор читает это, когда уже есть запрос от РКН?

Если регулятор запросил документы о трансграничной передаче или порядке уведомления по ст. 12 ФЗ-152 — у вас есть ограниченное время на подготовку позиции. Ошибка в обосновании правовых оснований на этапе проверки напрямую влияет на квалификацию нарушения: разница между ч. 1 и ч. 8 ст. 13.11 КоАП — это разница между 300 тыс. ₽ и 6 млн ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что изменилось с 30.05.2025: новые штрафы и оборотная ответственность

ФЗ-420 от 30.11.2024 радикально пересобрал ст. 13.11 КоАП — с 7 до 18 частей. Для финансовых организаций, работающих с SWIFT и трансграничными переводами, критичны несколько новых составов.

Нарушение требований локализации по ч. 5 ст. 18 ФЗ-152 (запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных на территории РФ) теперь квалифицируется по ч. 8 ст. 13.11 КоАП — штраф для юридического лица 1–6 млн ₽. При повторном нарушении по ч. 9 — 6–18 млн ₽.

«Ч. 11 ст. 13.11 КоАП: неуведомление или несвоевременное уведомление РКН об инциденте с ПДн в течение 24 часов — штраф 1–3 млн ₽. Ч. 12 ст. 13.11: утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽. Ч. 15 ст. 13.11: повторная утечка — 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.»

Для финдиректора эти цифры означают конкретное бюджетное решение: стоимость аудита соответствия 152-ФЗ — от 100 000 ₽; стоимость одной утечки от 10 000 субъектов — от 5 млн ₽; стоимость повторной — потенциально десятки и сотни миллионов рублей. Арифметика однозначна.

Дополнительный риск — уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024 (действует с 11.12.2024). Незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн, грозит лишением свободы до 10 лет при тяжких последствиях (ч. 5). Применительно к SWIFT: если сотрудник банка передал данные платежей нерезиденту без законного основания — это не только административный состав.

Биометрия, ЕБС и смежные риски финансового сектора

Трансграничная передача ПДн при SWIFT-операциях — лишь одна из нескольких зон риска для финансовых организаций по 152-ФЗ. Комплексная картина включает несколько смежных направлений, которые финансовый директор обязан учитывать в бюджетном планировании.

Биометрия и ЕБС (ФЗ-572 от 29.12.2022). С 01.06.2023 банки обязаны направлять биометрические данные клиентов в ГИС ЕБС — Единую биометрическую систему, оператором которой является АО «Центр Биометрических Технологий». Хранение исходной биометрии вне ЕБС запрещено. Нарушение требований ст. 11 ФЗ-152 при обработке биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП, а утечка биометрических ПДн — штраф 15–20 млн ₽ по ч. 17 ст. 13.11.

Отказ обслуживать клиента без биометрии. Ч. 8 ст. 14.8 КоАП (введена ФЗ-420) запрещает отказывать потребителю в обслуживании на основании отсутствия у него биометрических данных в ЕБС. Штраф для юридического лица — до 500 тыс. ₽. Финансовые директора банков, выстроивших обязательный сценарий регистрации в ЕБС для открытия счёта, рискуют систематическими нарушениями.

Скоринг и автоматизированные решения (ст. 16 ФЗ-152). Принятие решений, порождающих правовые последствия (отказ в кредите, установление лимита), исключительно на основе автоматизированной обработки ПДн — допустимо только с согласия субъекта или в случаях, прямо предусмотренных законом. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156, что требует пересмотра скоринговых процессов в МФО и банках.

Кредитные истории и БКИ (ФЗ-218 от 30.12.2004). Бюро кредитных историй являются операторами ПДн. Согласие на запрос в БКИ — отдельное основание по ст. 6 ФЗ-152. Запрос без надлежащего согласия субъекта образует состав по ч. 2 ст. 13.11 КоАП — штраф 300–700 тыс. ₽. Срок хранения кредитной истории в БКИ — 7 лет.

Идентификация по 115-ФЗ. Требования антиотмывочного законодательства создают самостоятельное законное основание для сбора и обработки ПДн клиентов. При этом они не освобождают от общих требований ФЗ-152: объём обрабатываемых данных должен соответствовать целям, а срок хранения — быть обоснован.

Если финансовый директор выявил несоответствие хотя бы по одному из пяти направлений выше — это основание для внепланового аудита. Штраф за нарушение локализации при следующей проверке РКН составит 1–6 млн ₽. Аудит DATUM выявляет приоритетные риски за 2–3 недели.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Региональный банк (Приволжский ФО, осень 2024) выполнял SWIFT-переводы физических лиц в ОАЭ и Турцию. При плановой проверке РКН установил: уведомление о трансграничной передаче по ст. 12 ФЗ-152 не направлялось с 2019 года, договоры банковского счёта не содержали явного указания на страны-получатели ПДн. Организация получила предписание, штраф по ч. 1 ст. 13.11 (в редакции до 30.05.2025) и обязательство переработать договорную документацию. После 30.05.2025 аналогичное нарушение квалифицировалось бы по ч. 8 ст. 13.11 с штрафом 1–6 млн ₽ за нарушение локализации. Финансовый директор банка использовал предписание как повод для полного аудита ОРД — итоговые затраты на комплаенс оказались в четыре раза ниже потенциального штрафа по новым нормам.

Кейс 2. Крупная МФО (Центральный ФО, начало 2025) использовала скоринговую модель, в которой принятие решения об отказе происходило полностью автоматически — согласие субъекта по ст. 16 ФЗ-152 в отдельном документе отсутствовало. Параллельно организация хранила копии паспортных данных заёмщиков на сервере в Казахстане без уведомления РКН. После подачи жалобы одним из заёмщиков РКН провёл внеплановую проверку: составлено два протокола по ч. 2 и ч. 1 ст. 13.11 КоАП. Совокупный штраф составил сотни тысяч рублей (дела рассматривались в период до 30.05.2025). По оценке, проведённой впоследствии, при повторном нарушении аналогичного характера после вступления в силу ФЗ-420 МФО рисковала оборотным штрафом по ч. 15 ст. 13.11, который превысил бы квартальную выручку.

Что финансовому директору проверить прямо сейчас

Уведомление о трансграничной передаче в реестре РКН актуально: перечислены все страны и юрлица — получатели ПДн (включая SWIFT BIC и банки-корреспонденты).
Договоры банковского счёта и оферты содержат явное указание на трансграничную передачу, страны и цели — либо оформлено отдельное согласие по ФЗ-156 (с 01.09.2025).
Биометрические данные клиентов хранятся только в ЕБС; исходные шаблоны уничтожены; отказ в обслуживании без биометрии документально исключён.
Согласие на автоматизированный скоринг оформлено отдельным документом; заёмщику обеспечено право на оспаривание решения по ст. 16 ФЗ-152.
Ответственный за обработку ПДн назначен приказом; регламент реагирования на утечку за 24/72 часа утверждён и протестирован.

Типичные ситуации: что происходит, когда комплаенс не выстроен

Ситуация 1 — Уведомление устарело или отсутствует. Банк направлял платежи через SWIFT с 2015 года. Уведомление в РКН подавалось один раз при первоначальной регистрации и с тех пор не обновлялось. За это время появились новые банки-корреспонденты в Китае и Индии. При проверке РКН фиксирует: фактическая география передачи шире заявленной. Состав — ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных уведомлением), штраф 150–300 тыс. ₽. Повторное нарушение по ч. 1.1 — 300–500 тыс. ₽. Стратегия: актуализировать уведомление до проверки, провести аудит реального маршрута ПДн в SWIFT-транзакциях.

Ситуация 2 — Утечка клиентских данных через SWIFT-оператора. Сторонний процессинговый центр, которому банк передал данные по договору поручения (п. 3 ст. 6 ФЗ-152), допустил утечку 15 000 записей (ФИО, реквизиты, суммы переводов). По принципу ответственности оператора за действия обработчика (позиция ВС РФ) банк несёт ответственность как оператор. Квалификация — ч. 13 ст. 13.11 КоАП (10 000–100 000 субъектов), штраф 5–10 млн ₽. Уведомление РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 обязательно; просрочка — дополнительный штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Стратегия: включить в договор с процессинговым центром условие об уведомлении банка об инцидентах в течение 4 часов; предусмотреть право аудита обработчика.

Ситуация 3 — Финдиректор подписал договор с зарубежным SaaS-провайдером для финансовой аналитики. Провайдер (юрисдикция — Ирландия) получает агрегированные данные по транзакциям, в которых содержатся данные физических лиц. Провайдер заявляет соответствие GDPR, но уведомление в РКН не направлено. Состав — нарушение ч. 5 ст. 18 ФЗ-152 (если в SaaS-системе осуществляется хранение или систематизация ПДн граждан РФ), а также ст. 12 ФЗ-152. Потенциальный штраф — ч. 8 ст. 13.11 КоАП, 1–6 млн ₽. Стратегия: провести анализ потоков данных, при необходимости потребовать от провайдера обработки в российском облаке или перейти на отечественный аналог.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка трансграничных потоков, оснований обработки, уведомлений РКН
Комплект ОРД под ключ — договорная документация, согласия, политика с учётом SWIFT и ЕБС
Защита при штрафе в арбитраже — обжалование протоколов по ч. 8, 11–14 ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420 от 30.11.2024, прямо запрещает отказывать потребителю в услуге на основании того, что его биометрические данные не внесены в ЕБС. Штраф для юридического лица — до 500 тыс. ₽. Банк вправе предлагать клиентам сдачу биометрии как опцию, но не условие обслуживания. Внутренние регламенты, связывающие открытие счёта с обязательной регистрацией в ЕБС, необходимо пересмотреть.

2. Что грозит МФО за утечку персональных данных заёмщиков?

Зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за несвоевременное уведомление РКН (ч. 11).

3. На каком основании банк обрабатывает ПДн клиента при SWIFT-переводе?

Банк вправе использовать несколько оснований одновременно. Основное — исполнение договора банковского счёта (п. 5 ч. 1 ст. 6 ФЗ-152): договор должен прямо предусматривать возможность трансграничного перевода и указывать страны. Параллельно действует основание выполнения требований законодательства (п. 2 ч. 1 ст. 6): обязательства по идентификации плательщика в соответствии с 115-ФЗ и требованиями Банка России. Согласие субъекта с 01.09.2025 оформляется отдельным документом по ФЗ-156 и не может быть включено в текст договора.

4. Где хранится биометрия клиентов банка — в самом банке или в ЕБС?

По требованиям ФЗ-572 от 29.12.2022, с 01.06.2023 биометрические данные клиентов, собранные банками для удалённой идентификации, хранятся исключительно в ГИС ЕБС — Единой биометрической системе (оператор — АО «Центр Биометрических Технологий»). Хранение исходных биометрических шаблонов в инфраструктуре самого банка запрещено. Использование собственных биометрических систем банка для целей, не связанных с ЕБС (например, СКУД), регулируется отдельно по ст. 11 ФЗ-152.

5. Как клиент вправе оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 закрепляет право субъекта ПДн на получение информации о логике автоматизированного решения и его оспаривание, если такое решение принято исключительно на основе автоматизированной обработки и порождает правовые последствия. Кредитор обязан рассмотреть возражение и при необходимости принять решение с участием человека. Для этого у банка или МФО должны быть процедуры: отдельное согласие на автоматизированный скоринг по ст. 16, регламент рассмотрения возражений и назначенное ответственное лицо по ст. 22.1 ФЗ-152.

Итог

SWIFT-переводы, биометрия в ЕБС, скоринг МФО и запросы в БКИ — это взаимосвязанный комплаенс-периметр, в котором с 30.05.2025 действуют штрафы нового порядка. Финансовый директор, не актуализировавший уведомление о трансграничной передаче и не пересмотревший согласия по ФЗ-156, несёт прямой бюджетный риск от 1 до 15 млн ₽ за единичное нарушение и до 500 млн ₽ при повторной утечке.

Практика DATUM по финансовому сектору охватывает банки, МФО, платёжных агентов и финтех-платформы: аудит трансграничных потоков ПДн, перевыпуск ОРД с учётом ФЗ-156 и ФЗ-420, сопровождение проверок РКН и защита от штрафов по ст. 13.11 КоАП в арбитраже.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

9 февраля 2029 года