Финансовые данные — это ядро цифрового профиля клиента: на их основе строятся модели риска, принимаются решения о выдаче кредита или страхового покрытия, запускаются антифрод‑и AML‑сценарии. При этом «персональные данные в кредитовании» и в страховании обрабатываются в условиях двойного, а иногда и тройного регулирования: 152‑ФЗ как базовый слой, отраслевые законы (банк/кредит/страхование) как надстройка и специальные режимы (AML/CFT, кредитные истории, КИИ) как «диктат исключений», где согласие далеко не всегда является главным юридическим ключом.

В отличие от общих требований для интернет‑магазинов, в финансах ошибка в архитектуре данных — это не только риск административного штрафа, но и риск жёсткой надзорной оценки зрелости контроля. А зрелость системы защиты ПДн для финансовой организации — уже нематериальный актив: его фактически «читают» и регулятор, и партнёры, и рынок.

Три слоя регулирования: как 152‑ФЗ работает в связке с отраслевыми законами

152‑ФЗ задаёт каркас комплаенса: обработка должна быть законной и справедливой, цели — конкретными и заранее определёнными, а объём данных — не избыточным по отношению к заявленным целям. В том же контуре — базовые основания обработки: по согласию или без согласия, если обработка необходима, например, для исполнения договора или выполнения обязанностей, установленных законом.

Банковская тайна как фундаментальный принцип

Для банков к требованиям 152‑ФЗ добавляется самостоятельный режим конфиденциальности — банковская тайна. Статья 26 закона «О банках и банковской деятельности» прямо закрепляет обязанность кредитной организации и Банка России гарантировать тайну об операциях, счетах и вкладах клиентов, а также обязанность сотрудников хранить такую тайну.

Отраслевое законодательство: 115‑ФЗ, 218‑ФЗ, 353‑ФЗ

115‑ФЗ (AML/CFT) заставляет финансовые организации собирать, актуализировать и хранить идентификационные сведения, а также в установленных случаях передавать информацию уполномоченному органу. В этом контуре ключевое основание обработки — не согласие клиента, а прямая обязанность по закону.

218‑ФЗ (кредитные истории) создаёт отдельный правовой режим для обмена данными через БКИ (кредитная история) и управления «согласиями/ограничениями» внутри этого режима. Важный инструмент защиты клиента в последние годы — право субъекта кредитной истории подать заявление о внесении сведений о запрете на заключение договоров потребительского займа (кредита) (и о снятии такого запрета).

353‑ФЗ (потребительский кредит (займ)) регулирует «фронт» отношений с заёмщиком: условия договора, раскрытия и отдельные права клиента. При этом в публичных материалах и даже во внутренних регламентах часто встречается опасная упрощённая формулировка: «кредитор обязан объяснять отказ» — её нельзя автоматически выводить из 353‑ФЗ и лучше не превращать в обещание клиенту.

Сравнительная таблица особенностей обработки ПДн в разных секторах

Ниже — практическая «карта данных» по сегментам. Это удобная основа для реестра процессов обработки ПДн, матрицы доступов и подготовки к проверке.

Банки и КПК: кредитная история, залоги, поручители

Ключевая зона напряжения — стык «внутреннего» режима (банковская тайна, кредитное досье, внутренние модели) и внешнего обмена: БКИ, антифрод‑провайдеры, оценщики, страховщики, колл‑центры. Любая передача должна быть разложена по ролям (оператор/обработчик), целям, минимальному составу и правам доступа — иначе один инцидент становится «доказательством» системного провала.

МФО: данные для моментального скоринга и тонкости взыскания

МФО конкурируют скоростью принятия решения, поэтому соблазн «дотянуть» больше данных всегда высок: альтернативные источники, device‑fingerprint, поведенческие модели, данные от агрегаторов. Комплаенс‑правило здесь жесткое: если источник сомнителен, а правовое основание и цель не доказуемы, весь скоринг превращается в риск избыточной обработки и «токсичный» актив при проверке и спорах, потому что нарушается принцип соответствия цели и недопустимости избыточности.

Страховщики: здоровье, биометрия, детализация убытков

У страховщиков конфликт заложен в природе продукта: качественный андеррайтинг и урегулирование убытков требуют глубокой фактуры, но 152‑ФЗ требует ограничения целей и минимизации. Поэтому «взрослая» модель обработки в страховании — это раздельные контуры и правила доступа: «продажа/андеррайтинг» отдельно, «урегулирование» отдельно, сроки хранения и состав данных — разные, а расширение состава данных — только по триггеру страхового случая и только под доказательственную задачу.

Сквозные процессы: где кроются главные юридические риски?

От скоринга до отказа: что можно, а что нельзя автоматизировать?

Скоринг персональных данных и профилирование почти всегда основаны на автоматизированной обработке, и главная ошибка — подменить управление риском «сбором всего, что возможно». Правильная логика выглядит так: фиксируется цель (оценка кредитного риска/страхового риска), описываются признаки и источники, доказывается минимизация, а также устраняются признаки, которые не объясняются целью или тянут к дискриминационным эффектам.

Борьба с отмыванием (AML/CFT): когда согласие не требуется

AML‑контур — зона, где «согласие клиента» не является ключевым юридическим основанием. Процесс строится на законной обязанности: идентификация, обновление данных, хранение подтверждающих материалов и передача сведений в установленных законом случаях.

Здесь критичны две вещи: качество KYC‑данных и сегрегация доступов, чтобы AML‑данные не «расползались» в маркетинг или скоринг вне цели. С практической точки зрения это означает разные витрины, разные группы доступа и разные правила логирования.

Работа с должниками: красные линии для коллекшен-деятельности

Даже если взыскание «внутреннее», риски такие же, как у внешнего коллекшена: источник контактов должен быть законным, цель — узкой, а разглашение информации о долге третьим лицам недопустимо. Самые частые проблемы — обработка телефонов «родственников/знакомых» без основания и «обогащение профиля» должника из серых баз; по смыслу принципов 152‑ФЗ это бьёт сразу по законности, цели и минимизации.

Технические требования: защита как обязательство перед регулятором

152‑ФЗ требует обеспечить безопасность ПДн и применять организационные и технические меры защиты. Для финансового сектора это автоматически означает «планку выше среднего»: строгий контроль доступа, разграничение привилегий, шифрование, мониторинг событий, предотвращение утечек, контроль подрядчиков и прозрачное управление инцидентами.

Модели угроз по лекалам Банка России

Кейс (адаптирован): «Страховая компания в 2024 году получила предписание от Банка России за отсутствие актуальной модели угроз безопасности ПДн в своей автоматизированной системе, разработанной в соответствии с профильным указанием регулятора».

Что меняет статус субъекта КИИ (187‑ФЗ)?

Если организация является субъектом критической информационной инфраструктуры, требования к безопасности и управлению инцидентами усиливаются кратно. 187‑ФЗ вводит отдельные обязанности по защите значимых объектов КИИ и построению системы безопасности таких объектов.

Для руководства это означает простую вещь: ИБ и защита ПДн — это часть операционной устойчивости и «лицензионной гигиены», а не проект «когда будут деньги». Отложенная модернизация в КИИ‑контуре обычно обходится дороже — потому что платится не только бюджетом, но и временем управления и репутацией.

Права клиента финансовой организации в эпоху алгоритмов

Клиент сохраняет базовые права субъекта ПДн: получить информацию об обработке, требовать уточнения, блокирования или прекращения обработки при наличии оснований. Но в финансах всегда есть «второй слой» — специальные режимы, где права реализуются иначе.

Так, в контуре кредитных историй субъект может подать заявление о внесении сведений о запрете на заключение договоров потребительского займа (кредита) (и о снятии запрета); это прямо предусмотрено 218‑ФЗ в актуальных редакциях. Для бизнеса это новый обязательный элемент клиентского сервиса: нужно не только «знать про запрет», но и корректно обрабатывать отказ в выдаче, когда запрет установлен.

Можно ли требовать объяснения отказа в кредите?

Юридически безопасная позиция для организации: не превращать «объяснение отказа» в публичное обещание, если вы не готовы обеспечить единый стандарт объяснимости и доказуемости. При этом внутренний стандарт объяснимости нужен всегда: какие данные использовались, на каком основании, откуда они получены и почему обработка не была избыточной.

Цена ошибки: от штрафов до потери лицензии

В финансах санкционный риск всегда мультипликативен: нарушение принципов 152‑ФЗ (законность, цели, минимизация, безопасность) часто «подхватывается» отраслевыми режимами — например, банковской тайной. Поэтому утечка финансовых данных почти всегда читается как дефект управления доступом и слабость контроля подрядчиков, а значит, превращается в кризис доверия за считанные дни.

Кейс: санкции за нарушение банковской тайны и требований к ПДн

Типовой сценарий выглядит так: сотрудник или подрядчик получает доступ к данным операций/счетов без принципа «необходимого минимума», после чего сведения используются вне заявленных целей (например, для сторонних предложений). Это одновременно нарушение режима банковской тайны и нарушение принципов 152‑ФЗ о целях и недопустимости избыточности, то есть риск «двойного удара» по организации.

Репутационный коллапс после утечки

Если утечка затрагивает данные операций, счетов, платежного поведения или кредитной истории, клиент воспринимает это не как «техническую неполадку», а как потерю контроля над жизненно важной информацией. Поэтому к 2026 году зрелость защиты ПДн для финансовой организации — один из главных критериев надежности в глазах рынка и регулятора, даже если он не формализован в одном документе.

Чек-лист для руководителя финансовой организации на 2026 год

1. Проведите инвентаризацию целей и оснований обработки по всем продуктам и каналам (сайт, офис, партнёрские продажи, колл‑центр), отдельно выделите контуры «по закону», где согласие не является опорой.

2. Пересоберите реестр данных для скоринга/андеррайтинга: источники, легальность получения, доказуемость минимизации; исключите «серые» интеграции и неавторизованные API.

3. Разведите контуры по целям: обслуживание договора, AML, БКИ, маркетинг, взыскание — разные правила доступа, разные сроки хранения, разные журналы действий.

4. Проверьте соблюдение режима банковской тайны: матрицы доступа, контроль выгрузок, принцип need‑to‑know, персональная ответственность сотрудников и подрядчиков.

5. Обновите модель угроз и меры защиты ПДн: шифрование, IAM/IDM, DLP/SIEM, контроль привилегий, мониторинг инцидентов и поставщиков.

6. Оцените применимость 187‑ФЗ (КИИ) и, если вы субъект КИИ, включите требования по безопасности значимых объектов в годовой план ИБ и комплаенса.

7. Настройте клиентские права без «самострела»: быстрый отзыв маркетингового согласия, корректная обработка запросов по ПДн, процедуры по правам субъекта кредитной истории (включая запрет/снятие запрета).

Заключение

В финансовом секторе работа с персональными данными давно перестала быть задачей «юриста» или «айтишника». Это стратегическая функция управления рисками: 152‑ФЗ задаёт принципы, банковская тайна — отдельный режим конфиденциальности, а 218‑ФЗ добавляет специальный контур БКИ (кредитная история) и новые права клиента, включая запрет на заключение договоров потребительского займа (кредита).

Инвестиции в compliance‑архитектуру данных — это инвестиции в устойчивость, доверие клиентов и возможность безопасно масштабировать бизнес. В 2026 году утечка финансовых данных способна разрушить репутацию за несколько дней, а восстановление доверия занимает годы.