аналитика 21 января 2029 По состоянию на 21 января 2029

Защита страховщика от штрафа

Страховщик обрабатывает специальные категории персональных данных — сведения о состоянии здоровья застрахованных. Утечка или нарушение порядка обработки влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 и ч. 17 ст. 13.11 КоАП, а при повторности — оборотный штраф до 500 млн ₽ по ч. 15.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей, отдельные составы за утечку, неуведомление РКН, нарушение биометрических требований. Роскомнадзор включил страховые компании в приоритетный план проверок на 2025–2026 годы.

→ Если вы финансовый директор страховщика и впервые оцениваете стоимость риска по 152-ФЗ — ниже разбор конкретных составов, сценариев проверок и инструментов снижения штрафа.

С 30 мая 2025 года размер санкции за утечку данных страхователей определяется числом затронутых субъектов: от 3 млн ₽ за 1 000 человек до оборотного штрафа при повторном инциденте. Для среднего страховщика с клиентской базой 50–500 тыс. человек это означает потенциальный штраф по ч. 13 ст. 13.11 КоАП в диапазоне 5–10 млн ₽ за единичный инцидент. Ниже — разбор правовых оснований, типовых нарушений, трёх сценариев взаимодействия с РКН и практических инструментов защиты.

Какие нормы регулируют обработку персональных данных в страховании?

Страховщик является оператором персональных данных в силу ст. 3 ФЗ-152: он собирает, хранит и использует данные страхователей, застрахованных и выгодоприобретателей при оформлении договоров, урегулировании убытков и перестраховании. Несколько норм формируют специальный режим обработки в этой отрасли.

Данные о состоянии здоровья — специальная категория по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена, кроме случаев, когда субъект дал явное письменное согласие или обработка необходима для исполнения договора страхования. При страховании жизни и здоровья основанием служит п. 2.3 ч. 2 ст. 10 ФЗ-152 — исполнение договора в сфере страхования. Отдельное согласие на обработку медицинских сведений оформляется в письменном виде и с 01.09.2025 — строго отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн, в том числе сведений о состоянии здоровья, допустима без согласия субъекта, если она необходима в целях исполнения договора страхования (ч. 2 ст. 10). В остальных случаях — только с письменного согласия.»

Страховщики, работающие с банками и МФО по зарплатному страхованию и кредитному страхованию жизни, попадают под дополнительный периметр: при обмене данными с бюро кредитных историй применяется ФЗ-218 «О кредитных историях» — согласие на запрос в БКИ является самостоятельным основанием по ст. 6 ФЗ-152. Если страховщик использует скоринговые модели, основанные на данных из БКИ или собственных данных, его деятельность пересекается с требованиями ст. 16 ФЗ-152 об автоматизированных решениях, затрагивающих права субъекта.

Отдельный блок — биометрия. Страховщики, применяющие видеоверификацию клиентов при дистанционном заключении договоров, обязаны соблюдать ст. 11 ФЗ-152 и ФЗ-572 о единой биометрической системе. Хранить изображение лица для целей идентификации вне ЕБС с 01.06.2023 запрещено. За нарушение требований биометрической обработки — штраф по ч. 17 ст. 13.11 КоАП: 15–20 млн ₽ за утечку биометрических данных.

Проверить, под какие составы подпадает ваш страховщик?

Страховая компания, как правило, обрабатывает минимум три категории ПДн с разными правовыми основаниями: контактные данные, медицинские сведения, биометрию при дистанционной продаже. Каждая категория несёт отдельный штрафной риск. Аудит выявит пересечения ещё до прихода инспектора РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нарушения РКН выявляет у страховщиков чаще всего?

По практике плановых и внеплановых проверок Роскомнадзора в финансовом секторе за 2023–2025 годы выделяется пять типовых нарушений, характерных именно для страховщиков.

Устаревшее уведомление в реестре операторов. Страховщики нередко расширяют продуктовую линейку — добавляют телематическое страхование, страхование от киберрисков, ДМС с доступом к МИС партнёрских клиник — не обновляя уведомление по ст. 22 ФЗ-152. Реальная обработка расходится с заявленными целями. Это состав ч. 1 ст. 13.11: штраф для юрлица 150–300 тыс. ₽ за первичное нарушение, 300–500 тыс. ₽ при повторности (ч. 1.1).

Согласия, не соответствующие ст. 9 ФЗ-152. До 01.09.2025 страховщики, как правило, встраивали согласие на обработку ПДн в текст договора страхования. После вступления в силу ФЗ-156 от 24.06.2025 такой формат нарушает требование об отдельном документе. Штраф по ч. 2 ст. 13.11 за отсутствие надлежащего письменного согласия — 300–700 тыс. ₽; при повторном нарушении — 1–1,5 млн ₽ по ч. 2.1.

Отсутствие или неполнота политики обработки ПДн. Ст. 18.1 ФЗ-152 обязывает опубликовать политику на сайте с перечнем целей, оснований, категорий данных и сроков хранения. Нарушение — ч. 3 ст. 13.11, штраф 30–60 тыс. ₽. Малая сумма не означает низкий риск: выявленная при проверке неполнота политики почти всегда сопровождается другими нарушениями.

Нарушения при работе с подрядчиками. Агрегаторы, брокеры, ИТ-провайдеры, колл-центры обрабатывают ПДн страхователей по поручению страховщика. Для этого требуется договор с условиями, предусмотренными ч. 3 ст. 6 ФЗ-152: перечень действий, цели, обязательство конфиденциальности. По позиции судов, оператор отвечает за утечку через подрядчика наравне с собственной инфраструктурой.

Несоблюдение срока уведомления об инциденте. При утечке — 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152), 72 часа на отчёт о результатах расследования (Приказ РКН №187). Пропуск срока — ч. 11 ст. 13.11: штраф 1–3 млн ₽, независимо от масштаба утечки.

Что подготовить страховщику до проверки РКН

Актуальное уведомление в реестре pd.rkn.gov.ru — цели, категории, основания, сроки хранения по каждому продукту
Отдельные согласия страхователей на обработку медицинских ПДн — отдельный документ по ст. 9 ФЗ-152 в ред. ФЗ-156
Политика обработки ПДн на сайте с разделами по ч. 2 ст. 18.1 — цели, основания, третьи лица, сроки
Договоры с подрядчиками (агрегаторы, ИТ, колл-центры) с условиями поручения по ч. 3 ст. 6 ФЗ-152
Регламент реагирования на утечку: контакты ответственного, форма уведомления РКН, срок 24/72 часа

Как рассчитывается штраф и что влияет на его размер?

С 30.05.2025 штраф за утечку персональных данных привязан к числу субъектов, чьи данные скомпрометированы. Ст. 13.11 КоАП в редакции ФЗ-420 устанавливает три диапазона для юридических лиц.

Ч. 12 — утечка от 1 000 до 10 000 субъектов: 3–5 млн ₽. Ч. 13 — от 10 000 до 100 000 субъектов: 5–10 млн ₽. Ч. 14 — более 100 000 субъектов: 10–15 млн ₽. Если страховщик уже привлекался по ч. 12–14 ранее, следующая утечка квалифицируется по ч. 15: оборотный штраф 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 15 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — повторная утечка влечёт оборотный штраф: 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽.»

На итоговый размер штрафа влияют несколько факторов, которые суд и регулятор учитывают как смягчающие или отягчающие обстоятельства. К смягчающим относятся: первичность нарушения, добровольное уведомление РКН о проблеме до проверки, оперативное устранение нарушения, наличие задокументированных инвестиций в информационную безопасность. К отягчающим — повторность, непредоставление документов инспектору, неисполнение предписания.

Специальное правило снижения — примечание 3.4-2 к ст. 4.1 КоАП: если оператор инвестировал в защиту информации не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) исчисляется как одна десятая минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для страховщика с выручкой 2 млрд ₽ это означает снижение потенциального минимума с 20 млн до 15 млн ₽. Документальное подтверждение инвестиций — договоры с ИБ-подрядчиками, приказы о закупке средств защиты, платёжные документы за три года.

Для микропредприятий и субъектов МСП при первичном нарушении без причинения вреда возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП. Эта норма не применяется к оборотным составам (ч. 15 и ч. 18).

Если финансовый директор страховщика готовит бюджет на комплаенс — стоимость аудита 152-ФЗ составляет от 100 000 ₽. Штраф по ч. 13 ст. 13.11 при утечке 50 000 клиентов — 5–10 млн ₽. Это арифметика бюджета, а не юридическая абстракция.

Заказать аудит 152-ФЗ

Три сценария взаимодействия страховщика с Роскомнадзором

Сценарий 1. Плановая проверка — уведомление за 30 дней. РКН включил страховщика в план, направил уведомление. У компании есть 30 дней до начала проверки. Ситуация: уведомление в реестре не обновлялось три года, телематическое страхование добавлено без внесения изменений по ст. 22 ФЗ-152. Доказательства нарушения у инспектора будут сформированы уже в первый день по выписке из реестра и сведениям с сайта. Вероятный исход без подготовки — протокол по ч. 1 ст. 13.11 и предписание об устранении. Стратегия: в 30-дневный период — актуализировать уведомление, подготовить пакет ОРД, назначить ответственного по ст. 22.1 ФЗ-152. Это не исключит протокол, но превратит нарушение из длящегося в устранённое, что суды учитывают при снижении штрафа.

Сценарий 2. Жалоба страхователя — внеплановая проверка. Застрахованный направил жалобу в РКН: страховщик передал его медицинские данные третьей стороне без надлежащего согласия. Ситуация: согласие включено в текст договора, отдельного документа нет. Доказательства нарушения — сам договор. Вероятный исход — протокол по ч. 2 ст. 13.11: штраф 300–700 тыс. ₽. Стратегия: до рассмотрения дела — переоформить согласия по требованиям ст. 9 ФЗ-152 в ред. ФЗ-156, документально подтвердить устранение. Ходатайство о снижении штрафа до минимума с приложением доказательств устранения снижает итоговую сумму.

Сценарий 3. Утечка базы клиентов — уведомительный порядок. Ночью зафиксирован несанкционированный доступ к базе данных 80 000 страхователей. Ситуация: 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 истекают утром следующего дня. Доказательства реагирования фиксируются в журнале инцидентов. Вероятный исход без своевременного уведомления — протокол по ч. 11 ст. 13.11 (1–3 млн ₽) плюс протокол по ч. 13 ст. 13.11 (5–10 млн ₽). При своевременном уведомлении — только по ч. 13 или ниже с учётом смягчающих. Стратегия: заранее разработать регламент реагирования, определить ответственного CISO или юриста, зафиксировать форму первичного уведомления по Приказу РКН №187.

Как это применяется на практике

Кейс 1. Страховщик в Приволжском федеральном округе (осень 2024) получил внеплановую проверку после жалобы страхователя на передачу медицинских данных агрегатору без согласия. Инспектор установил: согласие включено в полис, отдельного документа нет, договор с агрегатором не содержит условий поручения по ч. 3 ст. 6 ФЗ-152. Возбуждены два производства — по ч. 1 и ч. 2 ст. 13.11. Финансовый директор инициировал подготовку пакета ОРД в ходе проверки. По итогам суд снизил штраф до нижней границы диапазонов, приняв во внимание факт устранения нарушений до вынесения постановления. Общая сумма штрафов составила менее 500 тыс. ₽ по обоим составам.

Кейс 2. В деле об утечке клиентских данных МФО в Сибирском федеральном округе (начало 2025 года) регулятор возбудил производство по ч. 12 ст. 13.11 (утечка около 3 500 субъектов). Компания уведомила РКН в течение 20 часов, представила 72-часовой отчёт с описанием технических мер. Суд, рассматривая дело, принял во внимание оперативность реагирования и документально подтверждённые расходы на средства защиты за предыдущие два года. Штраф назначен в нижней части диапазона ч. 12 — около 3 млн ₽ без применения отягчающих обстоятельств. Без подготовленного регламента реагирования 24-часовой срок был бы нарушен, что добавило бы штраф по ч. 11 ст. 13.11 ещё на 1–3 млн ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, приоритизированный план устранения
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на утечку
Защита при штрафе в арбитраже — оспаривание протокола, применение ст. 4.1 и ст. 4.1.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Страховщик не вправе отказывать в заключении договора или дискриминировать клиента по признаку отсутствия биометрии в ЕБС. Принуждение к сдаче биометрии или отказ в обслуживании при её отсутствии образует состав ч. 8 ст. 14.8 КоАП, введённой ФЗ-420. Для дистанционной идентификации страховщик может использовать альтернативные способы, не требующие размещения биометрии в ЕБС.

2. Что грозит МФО за утечку персональных данных?

МФО как оператор ПДн несёт ответственность по тем же составам ст. 13.11 КоАП, что и банк или страховщик. За утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ по ч. 12; от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13; более 100 000 — 10–15 млн ₽ по ч. 14 (все в редакции ФЗ-420, действует с 30.05.2025). Дополнительно — штраф 1–3 млн ₽ по ч. 11 за неуведомление РКН в течение 24 часов.

3. Какое правовое основание для обработки данных в банке или страховой компании?

Общее основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Для медицинских данных при страховании жизни и здоровья — п. 2.3 ч. 2 ст. 10 ФЗ-152. Для скоринга на основе данных из БКИ — отдельное согласие субъекта на запрос в БКИ по ФЗ-218. Автоматизированные решения, существенно влияющие на права субъекта, регулируются ст. 16 ФЗ-152.

4. Где хранится биометрия клиента — в базе страховщика или в ЕБС?

С 01.06.2023 хранение исходных биометрических данных вне единой биометрической системы (ЕБС) запрещено для всех операторов, включая страховщиков. Оператором ЕБС выступает АО «Центр Биометрических Технологий» на основании ФЗ-572 от 29.12.2022. Страховщик, применявший собственную биометрическую верификацию, обязан был перейти на ЕБС или отказаться от биометрической идентификации до этой даты.

5. Как оспорить автоматический отказ в страховании или кредите?

Ст. 16 ФЗ-152 обязывает оператора, принимающего автоматизированные решения, которые затрагивают права субъекта, обеспечить возможность оспаривания такого решения. Субъект вправе потребовать разъяснений, запросить вмешательство человека в процесс принятия решения. Оператор обязан рассмотреть возражение и предоставить ответ в течение 10 рабочих дней со дня обращения по ст. 20 ФЗ-152.

Итог

Страховщик одновременно обрабатывает специальные категории ПДн, работает с биометрией, взаимодействует с подрядчиками и партнёрами — БКИ, медицинскими организациями, агрегаторами. Каждый из этих потоков данных формирует самостоятельный риск по ст. 13.11 КоАП в диапазоне от 150 тыс. ₽ (нарушение реестра) до оборотного штрафа в сотни миллионов при повторной утечке. Стоимость аудита и подготовки ОРД составляет от 100 000 до 300 000 ₽ — это несоразмерно меньше минимального штрафа по ч. 12 ст. 13.11 за утечку тысячи страхователей.

Практика DATUM включает сопровождение страховщиков, МФО и банков при проверках Роскомнадзора, подготовку ОРД с учётом специфики финансового сектора и защиту в арбитраже по ст. 13.11 КоАП, в том числе применение механизмов снижения по ст. 4.1 КоАП и ст. 4.1.1 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

21 января 2029 года