Главная » Эксперты » Обработка персональных данных в лизинге: как защитить бизнес при получении кредитного отчета и проверке по 115-ФЗ
21.04.2026, 11:30
Количество просмотров 1927

Обработка персональных данных в лизинге: как защитить бизнес при получении кредитного отчета и проверке по 115-ФЗ

В сфере обработки персональных данных пересекаются различные акты: требования 152-ФЗ, отраслевых законов и разъяснения регуляторов. Иногда возникают противоречия, а бизнес оказывается в ловушке – фактически приходится выбирать, какой из законов нарушить. Разобраться в этом помогает юрист-консультант по защите персональных данных Б-152 Мария Уханова.
Обработка персональных данных в лизинге: как защитить бизнес при получении кредитного отчета и проверке по 115-ФЗ
Фото: Предоставлено автором

Хотя формально коллизия норм может рассматриваться как смягчающее обстоятельство, штрафы все равно приходят. 

  • За обработку персональных данных без согласия клиента до 300 тыс. руб., повторно — до 500 тыс. руб.

  • За неудаление данных по требованию регулятора до 500 тыс. руб.

  • За нарушения финансового контроля по 115-ФЗ до 100 тыс. руб.

Проблема носит системный характер и затрагивает разные отрасли: ритейл, финтех, маркетинг, HR-менеджмент и т. д. Мы же рассмотрим ее на примере деятельности лизинговых компаний, которые одновременно обязаны соблюдать и общее законодательство о персональных данных, специальные нормы о кредитных историях и требования финансового мониторинга.

Почему отозвать согласие на кредитный отчет невозможно, пока действует договор

Кредитный отчет предоставляется только с согласия субъекта кредитной истории. Единственное исключение, когда получать такое согласие не требуется – информационная часть кредитной истории предоставляется юридическим лицам и индивидуальным предпринимателям в целях выдачи займа (кредита) без согласия субъекта кредитной истории (ч. 9 ст. 6 218-ФЗ), что к лизинговым компаниям, как правило, не относится.

Закон выделяет несколько сроков, в течение которых согласие на получение кредитного отчёта лизинговой компанией действительно:

  • 6 месяцев – в случае получения пользователем кредитной истории согласия;

  • срок действия договора – в случае, если в течение срока действия согласия с субъектом кредитной истории был заключён договор лизинга (ч. 10 ст. 6 218-ФЗ).

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе (ч. 1 ст. 9 152-ФЗ).

Закон устанавливает требования к согласию субъекта кредитной истории. Оно должно содержать информацию о ФИО, дате рождения, паспортных данных, ИНН, СНИЛС субъекта, цели согласия, наименование пользователя кредитной истории. Приведем пример такого согласия:

Где возникает коллизия?

Проблема в следующем: 

Закон о персональных данных

Закон о кредитных историях

Клиент может в любой момент забрать свое согласие на обработку данных.

Когда заключается договор лизинга с субъектом, он дает согласие на получение кредитного отчета. И это согласие должно действовать весь срок договора, чтобы лизинговая компания могла контролировать свои риски, то есть отозвать это согласие нельзя.

Закон о кредитных историях не говорит прямо, можно ли отозвать это согласие, пока договор ещё в силе. Формально право на отзыв есть, а реально им воспользоваться, скорее всего, не получится.

Закон о персональных данных при отзыве согласия предусматривает, что оператор уничтожает данные субъекта, если у оператора нет иного правового основания осуществлять обработку данных субъекта без его согласия. 

 

Риск для оператора – продолжить обработку данных при наличии отзыва согласия.

Закон о кредитных историях предусматривает, что согласие должно действовать 6 месяцев со дня его дачи + в течение действия заключенного договора, то есть даже если субъект отзывает согласие, то оно должно продолжать действовать.

Риск для оператора – запретить обработку данных при наличии отзыва согласия.

Пример: субъект направляет лизинговой компании отзыв согласия и отказывается от заключения потенциального договора. Оператор уничтожает все данные на преддоговорной стадии, однако Закон о кредитных историях устанавливает срок действия согласия и, таким образом, не позволяет реализовать субъекту право на отзыв.

Пример: субъект направляет лизинговой компании отзыв согласия и отказывается от заключения потенциального договора. Оператор отказывается уничтожать данные и принимать отзыв согласия, поскольку по Закону о кредитных историях согласие должно и продолжает действовать. Оператор не имеет возможности в этой ситуации исполнить требование Закона о персональных данных.

152-ФЗ предусмотрены случаи обработки персональных данных, на которые не распространяется действие 152-ФЗ, однако обработка персональных данных, предусмотренная 218-ФЗ, под такое исключение не попадает.

Судебная практика по вопросу защиты персональных данных

  1. Суды применяют законы совместно. Например, Девятый арбитражный апелляционный суд в своем Постановлении от 06.10.2021 № 09АП-52190/2021 отмечает, что передача кредитного отчета в нарушение требований 218-ФЗ, обязывающих осуществлять передачу кредитного отчета с согласия субъекта кредитной истории, не отвечает требованиям п. 1 ч. 1 ст. 6 152-ФЗ. Таким образом, мы придерживаемся мнения, что 152-ФЗ и 218-ФЗ действует совместно, 152-ФЗ применяется в части, которая не противоречит 218-ФЗ.

  2. ЦБ РФ занимает осторожную позицию. В своих разъяснениях Банк России отмечает, что «…возможность субъекта отказаться от предоставления согласия в ряде случаев может быть реализована только при отказе субъекта от получения финансового продукта в целом». Таким образом, ЦБ РФ допускает отказ от дачи согласия на получение кредитного отчёта, что, в свою очередь, является отказом от предоставления финансовой услуги. При этом ЦБ прямо указывает, что не уполномочен официально толковать федеральные законы, а его мнение не является окончательным.

  3. Роскомнадзор (РКН) – ключевой регулятор. Именно РКН надзирает за исполнением 152-ФЗ. Ввиду правовой неопределенности нами был направлен официальный запрос в центральный аппарат РКН с просьбой дать разъяснения по этой коллизии. 

Ответ регулятора:

Таким образом, из ответа РКН мы видим, что отзыв согласия на получение кредитного отчёта невозможен, однако мы предполагаем, что данная ситуация возникает уже при наличии заключенного договора. В случае если договор не заключен, такое согласие субъект может отозвать, как об этом написано в разъяснениях Банка России.

Возможность отозвать согласие на получение кредитного отчета отражена в судебной практике. Так, в Решении Симоновского районного суда города Москвы рассматривалось дело, связанное с запросом кредитного отчета со стороны банка без согласия истца:

«Согласно материалам дела 07.10.2023 и 30.12.2023 ответчиком осуществлены запросы кредитного отчета ФИО, однако его согласие Банком не представлено, согласие на обработку персональных данных отозвано 11.09.2023 года».

Штрафы за нарушение права субъекта на отзыв на обработку персональных данных достигают до 90 тыс. рублей для юридических лиц. Штрафы — лишь часть возможных потерь. Кроме того, вам грозят:

  • компенсации морального вреда;

  • расходы на внеплановый аудит и срочное приведение процессов в соответствие;

  • репутационные издержки.

Совокупный финансовый эффект часто кратно превышает размер административного штрафа.

Практический вывод и рекомендации

  1. До заключения договора отзыв согласия на кредитный отчет возможен и, по сути, означает прекращение переговоров о сделке.

  2.  После заключения договора ситуация спорная. Теоретическое право на отзыв (152-ФЗ) противоречит логике делового оборота и обеспечению исполнения договора (218-ФЗ). Мы рекомендуем закладывать в договоры лизинга положения, разъясняющие взаимосвязь согласия на получение кредитного отчета с возможностью исполнения договора, и быть готовыми к правовому диалогу в случае попытки отзыва.

Как законно передавать персональные данные клиентов в информационно-аналитические сервисы для проверки по 115-ФЗ

Компании часто используют сторонние информационно-аналитические сервисы для целей идентификации клиентов, представителей клиентов, выгодоприобретателей и бенефициарных владельцев по 115-ФЗ. Требования к идентификации таких лиц определяются уполномоченным органом. 

Данные требования закреплены в Приказе Росфинмониторинга от 23.04.2025 № 74 «Об утверждении требований к идентификации клиентов, представителей клиентов (в том числе идентификации единоличного исполнительного органа как представителя клиента), выгодоприобретателей и бенефициарных владельцев» (далее – Приказ РФМ № 74).

Организации вправе на основании агентского договора или договора поручения привлекать третьих лиц для сбора сведений и документов, необходимых для идентификации клиентов, представителей клиентов, выгодоприобретателей и бенефициарных владельцев или обновления сведений о них (ч. 4 Приказа РФМ № 74).

Нужно ли для этого отдельное согласие клиента на обработку персональных данных? 

Исходя из нашей логики и практики – да.

Обоснование для целей 115-ФЗ:

  • Согласно Приказу Росфинмониторинга № 74, привлечение третьих лиц (обработчиков) для сбора данных — это право организации, а не обязанность.

  • Закон допускает альтернативу: самостоятельную проверку по открытым государственным реестрам (ЕГРЮЛ, ЕГРИП и др.).

  • Поскольку передача персональных данных в информационно-аналитические сервисы не является единственно возможным и предписанным законом способом, для неё необходимо получить от субъекта отдельное, информированное согласие на передачу данных третьему лицу.

Важное дополнение

Когда вы получаете сведения о клиенте из информационно-аналитических систем, вы получаете персональные данные не от самого субъекта. В этом случае возникает обязанность по ч. 3 ст. 18 152-ФЗ: до начала обработки уведомить субъекта об источнике его данных и других сведениях.

Итоговая рекомендация экспертов Б-152

В форму согласия на обработку персональных данных для юридических лиц и ИП необходимо включить следующие блоки, предусматривающие:

  1. Согласие на передачу ПДн третьим лицам (с указанием целей: идентификация по 115-ФЗ) для их обработки в информационно-аналитических сервисах.

  2. Согласие на получение ПДн о субъекте от таких третьих лиц.

Соблюдение этих правил не только минимизирует риски крупных штрафов по 152-ФЗ, но и выстраивает прозрачные и доверительные отношения с контрагентами.

Читайте также:
Китайский кинорынок 2025. Искусственный интеллект становится главным драйвером
Китайский кинорынок 2025. Искусственный интеллект становится главным драйвером



Рубрика:
{}Безопасность
Теги:
#МАРИЯ УХАНОВА
#Б-152
Новости в вашей почте
mail
PLUSworld в соцсетях:
telegram
vk
dzen
youtube

ТАКЖЕ ПО ТЕМЕ

JPMorgan включает Европу в сферу действия инициативы финансирования национальной безопасности
Web3-атаки - чем опасна новая специализация киберпреступников
Третий этап борьбы с кибермошенничеством: Минцифры анонсирует «Антифрод 3»
Мошенники придумали новый способ кражи денег с карты
JPMorgan включает Европу в сферу действия инициативы финансирования национальной безопасности
Web3-атаки - чем опасна новая специализация киберпреступников
Третий этап борьбы с кибермошенничеством: Минцифры анонсирует «Антифрод 3»
Мошенники придумали новый способ кражи денег с карты