Персональные данные в лизинге: согласие на кредитный отчет и проверки по 115-ФЗ

Лизинговые компании регулярно работают с персональными данными клиентов, представителей клиентов, выгодоприобретателей и бенефициарных владельцев. На практике им приходится одновременно учитывать требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях» и Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

Именно на стыке этих законов возникают вопросы, которые нельзя решить формальной ссылкой на один нормативный акт. Для лизингового бизнеса особенно важны две ситуации:

1. можно ли клиенту отозвать согласие на получение кредитного отчета до заключения договора и во время действия договора лизинга;
2. нужно ли получать согласие на передачу персональных данных в информационно-аналитические сервисы, например в «Контур.Фокус» или СПАРК, при проверке клиента по 115-ФЗ.

Разберем оба вопроса с позиции защиты персональных данных, кредитных историй и практического compliance.

Кредитный отчет предоставляется пользователю кредитной истории с согласия субъекта кредитной истории. Для лизинговых компаний это базовое правило: они используют кредитную историю для оценки платежной дисциплины, финансового поведения и рисков сделки.

Исключение есть для информационной части кредитной истории: она может предоставляться юридическим лицам и индивидуальным предпринимателям в целях выдачи займа или кредита без согласия субъекта кредитной истории. Для лизинговых компаний это исключение, как правило, не закрывает рабочий сценарий, потому что речь идет не о выдаче займа или кредита, а о заключении и сопровождении договора лизинга.

Поэтому в стандартной модели лизинговая компания должна иметь корректное согласие на получение кредитного отчета. Такое согласие должно быть оформлено так, чтобы компания могла подтвердить факт его получения, цель, дату оформления и связь с конкретным пользователем кредитной истории.

218-ФЗ устанавливает специальные сроки действия согласия субъекта кредитной истории.

По общему правилу согласие, полученное пользователем кредитной истории, действует шесть месяцев со дня оформления. В действующей редакции закона есть отдельный годовой срок для согласий, связанных с субъектами малого и среднего предпринимательства: согласие субъекта кредитной истории, отнесенного к субъектам МСП, а также согласие физического лица, предоставленное в целях заключения сделки с субъектом МСП, считается действительным в течение одного года со дня оформления.

Если в течение срока действия согласия с субъектом кредитной истории заключен договор лизинга, согласие сохраняет силу на весь срок действия такого договора. Это ключевая норма для лизинговых компаний: она показывает, что законодатель связывает доступ к кредитному отчету не только с этапом одобрения сделки, но и с периодом ее исполнения.

Практический смысл этой нормы понятен. Пока действует договор лизинга, компания оценивает кредитный риск, отслеживает изменение финансового положения клиента и управляет риском неисполнения обязательств. Но именно здесь возникает конфликт с общими правилами 152-ФЗ об отзыве согласия.

152-ФЗ исходит из общего принципа: субъект персональных данных дает согласие свободно, своей волей и в своем интересе, а также может его отозвать. После отзыва оператор обязан прекратить обработку или обеспечить ее прекращение, если у него нет иных законных оснований для продолжения обработки.

218-ФЗ работает иначе. Он прямо говорит, что при заключении договора лизинга в течение срока действия согласия такое согласие сохраняет силу на весь срок действия договора. При этом закон не содержит ясного механизма, который объяснял бы, как действует отзыв согласия на кредитный отчет после заключения договора лизинга.

В результате появляется правовая неопределенность. Формально право на отзыв согласия предусмотрено 152-ФЗ. Но специальная норма 218-ФЗ связывает действие согласия с договором лизинга и фактически защищает возможность пользователя кредитной истории получать кредитный отчет в течение срока договора.

Стоит отметить, что суды применяют 218-ФЗ и 152-ФЗ совместно. Так, Девятый арбитражный апелляционный суд в своем Постановлении от 06.10.2021 № 09АП-52 190/2021 отмечает, что передача бюро кредитных историй кредитного отчета в нарушение требований 218-ФЗ, обязывающих осуществлять передачу кредитного отчета с согласия субъекта кредитной истории, не отвечает требованиям п. 1 ч. 1 ст. 6 152-ФЗ.

Позиция Б-152 солидарна с судебной практикой и состоит в том, что 152-ФЗ и 218-ФЗ должны применяться совместно: 152-ФЗ действует в части, которая не противоречит специальным правилам 218-ФЗ о кредитных историях. Поэтому оценивать отзыв согласия нужно не абстрактно, а с учетом стадии сделки.

До заключения договора лизинга клиент вправе отказаться от предоставления согласия на получение кредитного отчета или отозвать ранее выданное согласие. В такой ситуации у лизинговой компании обычно нет возможности полноценно оценить кредитный риск и принять решение о сделке.

Практически это означает прекращение переговоров или отказ от предоставления финансового продукта. Такой подход соответствует логике Банка России: возможность субъекта отказаться от согласия в ряде случаев может быть реализована только через отказ от получения финансового продукта в целом.

Для лизинговой компании важно не превращать отказ от согласия в спор о персональных данных. Нужно заранее и понятно объяснять клиенту юридические и деловые последствия отказа: без кредитного отчета компания не сможет провести риск-оценку и принять решение о заключении договора на заявленных условиях.

После заключения договора ситуация становится сложнее. С одной стороны, 152-ФЗ сохраняет общий механизм отзыва согласия. С другой — 218-ФЗ устанавливает, что согласие на получение кредитного отчета сохраняет силу в течение срока действия договора лизинга.

Поэтому в действующем договоре лизинга отзыв согласия нельзя рассматривать так же, как отзыв согласия на маркетинговую рассылку или обработку данных для необязательного сервиса. Здесь обработка связана с оценкой и сопровождением финансового риска по действующему обязательству.

По имеющейся у Б-152 позиции, подтвержденной в ответе Роскомнадзора на запрос компании в отношении клиента, отзыв согласия на получение кредитного отчета в период действия заключенного договора не должен автоматически блокировать возможность лизинговой компании получать кредитный отчет.

Суды рассматривают требования 152-ФЗ и 218-ФЗ во взаимосвязи. В одном из дел суд указал, что передача кредитного отчета с нарушением требований 218-ФЗ о согласии субъекта кредитной истории не соответствует требованиям 152-ФЗ об обработке персональных данных на основании согласия.

Это важный вывод для лизинговых компаний: одно из оснований обработки персональных данных по статье 6 152-ФЗ (например, согласие на обработку персональных данных или обработка для исполнения договора) само по себе не заменяет специальное согласие субъекта кредитной истории, если такое согласие требуется по 218-ФЗ. Если для получения кредитного отчета требуется согласие субъекта кредитной истории, компания должна быть готова доказать его наличие, срок действия и применимость к конкретному запросу.

В судебной практике также встречаются дела, где запрос кредитного отчета после отзыва согласия на обработку персональных данных оценивается критически, если пользователь кредитной истории не может подтвердить наличие действующего согласия или иного законного основания. Поэтому лизинговой компании важно не только получить согласие, но и выстроить доказуемую процедуру его хранения, учета и применения.

Относительно возможности отозвать согласие на получение кредитного отчета отражено в судебной практике. Так, в Решении Симоновского районного суда города Москвы рассматривалось дело, связанное с запросом кредитного отчета со стороны банка без согласия истца: «Согласно материалам дела 07.10.2023 и 30.12.2023 ответчиком осуществлены запросы кредитного отчета ФИО, однако его согласие Банком не представлено, согласие на обработку персональных данных отозвано 11.09.2023 года.».

Документы по кредитным отчетам должны быть понятны не только юристам, но и тем, кто работает с клиентом и отвечает на обращения. Внутри компании должны совпадать три уровня: форма согласия, договорная конструкция и операционный процесс запросов в бюро кредитных историй.

В форме согласия стоит проверить:

• кто является пользователем кредитной истории;
• для какой цели запрашивается кредитный отчет;
• на какой срок действует согласие с учетом 218-ФЗ;
• каким способом согласие получено и как компания подтверждает его получение;
• как согласие связано с заключением и исполнением договора лизинга;
• где и сколько хранится согласие после окончания его срока действия.

В договоре лизинга или комплекте преддоговорных документов целесообразно отдельно разъяснить, что доступ к кредитному отчету используется для оценки риска, принятия решения о сделке и сопровождения действующего договора. Это снижает риск спора о том, что согласие было формальным, непонятным или не связанным с реальной целью обработки.

Вторая типовая ситуация связана с проверкой клиентов, представителей клиентов, выгодоприобретателей и бенефициарных владельцев по 115-ФЗ. Лизинговые компании используют информационно-аналитические сервисы, чтобы быстрее собрать и проверить сведения о контрагенте: регистрационные данные, связи, признаки риска, сведения из открытых источников и государственных реестров. В описываемом сценарии используются «Контур.Фокус» и СПАРК.

С 11 июля 2025 года действуют требования к идентификации, утвержденные Приказом Росфинмониторинга от 23.04.2025 № 74. Эти требования позволяют организациям на основании агентского договора или договора поручения привлекать третьих лиц для сбора сведений и документов, необходимых для идентификации или обновления сведений. При этом сама идентификация проводится непосредственно организацией, которая обязана выполнить требования 115-ФЗ.

Это важное разграничение. Закон допускает привлечение внешнего сервиса, но не делает его единственным способом проверки. Организация может использовать общедоступные сведения из ЕГРЮЛ, ЕГРИП, государственных реестров, открытых баз данных федеральных органов и иных источников, доступных на законных основаниях.

Позиция Б-152: если лизинговая компания передает персональные данные клиента, представителя клиента, выгодоприобретателя или бенефициарного владельца в информационно-аналитический сервис для проверки по 115-ФЗ, согласие нужно получать отдельно и информированно.

Логика такая. Выполнение 115-ФЗ является обязанностью организации, но передача персональных данных конкретному коммерческому сервису не всегда является единственно возможным и прямо предписанным законом способом выполнения этой обязанности. Приказ Росфинмониторинга № 74 говорит о праве привлечь третье лицо для сбора сведений и документов, а не об обязанности использовать конкретный сервис.

Поэтому передача персональных данных в сервис вроде «Контур.Фокус» или СПАРК должна быть отражена в документах по персональным данным. Клиент должен понимать, кому могут передаваться его данные, для какой цели, какие действия будут совершаться и какие категории данных затрагиваются.

Особенно осторожно нужно подходить к данным физических лиц, которые появляются в проверке юридического лица: руководителей, представителей, бенефициарных владельцев, выгодоприобретателей. Для бизнеса это часто «данные контрагента», но с точки зрения 152-ФЗ это персональные данные конкретных физических лиц.

При работе с информационно-аналитическими системами лизинговая компания может получить персональные данные не от самого субъекта, а из внешнего источника. В таком случае нужно оценить обязанность по части 3 статьи 18 152-ФЗ: до начала обработки оператор должен предоставить субъекту информацию об операторе, цели и правовом основании обработки, перечне персональных данных, предполагаемых пользователях, правах субъекта и источнике получения данных.

В законе есть исключения, при которых такая обязанность не применяется. Но их нужно не предполагать автоматически, а проверять по конкретному процессу: откуда получены данные, на каком основании, был ли субъект уже уведомлен, связана ли обработка с федеральным законом или договором.

Для лизинговых компаний безопаснее заранее описать этот процесс в документах и уведомлениях, чем реагировать на претензию субъекта или запрос регулятора уже после проверки. Если в текущем процессе субъекты не уведомляются о проверке через сервисы третьих лиц, в том числе через «Контур.Фокус» и СПАРК, нужно отдельно зафиксировать, применимы ли исключения из части 3 статьи 18 152-ФЗ. Если исключения не применимы, механизм уведомления нужно встроить до начала такой обработки.

Для юридических лиц и индивидуальных предпринимателей, которые осуществляют проверку перед заключением договора лизинга или в период его исполнения, в комплект документов целесообразно включить следующие документы.

Первый блок — согласие на передачу персональных данных третьим лицам для целей идентификации, проверки и обновления сведений по 115-ФЗ. В нем нужно описать категорию третьих лиц или конкретных получателей, цель передачи, категории персональных данных и действия с ними.

Второй блок — согласие на получение персональных данных о субъекте от третьих лиц и из информационно-аналитических сервисов. Это особенно важно, если компания получает не только сведения, переданные самим клиентом, но и дополнительные данные из внешних источников.

Третий блок — уведомление или механизм уведомления по статье 18 152-ФЗ для случаев, когда данные получаются не от субъекта. В документе должны быть отражены источник данных, цель обработки, правовое основание и круг пользователей данных.

Четвертый блок — поручение обработки персональных данных, если сервис фактически обрабатывает данные по заданию лизинговой компании. В договоре с таким сервисом должны быть закреплены цели обработки, перечень действий с персональными данными, обязанности по конфиденциальности, требования к защите данных и ответственность сторон.

Если ваша компания использует внешние сервисы для KYC, AML и проверки контрагентов, стоит проверить не только договор с сервисом, но и весь путь персональных данных: от анкеты клиента до выгрузки отчета и хранения результатов проверки.

В описываемой схеме компания передает данные в сервис, и, как правило, ответ сервиса сохраняет в информационную систему, реже в папку с названием приблизительно «Проверка по 115-ФЗ»; это хранение результата проверки тоже нужно описать в процессе обработки персональных данных.

За оценкой можно обратиться к экспертам Б-152.

На практике риски чаще возникают не из-за отсутствия проверки, а из-за того, что процесс проверки не описан в документах по персональным данным.

Частые ошибки:

• использовать одно общее согласие «на все случаи», без отдельной цели получения кредитного отчета;
• не различать согласие на обработку персональных данных и согласие субъекта кредитной истории по 218-ФЗ;
• не объяснять клиенту последствия отказа от согласия на кредитный отчет до заключения договора;
• продолжать запросы в бюро кредитных историй без проверки срока и наличия и действительности согласия;
• передавать данные в информационно-аналитический сервис без отражения такой передачи в согласии и политике обработки ПДн;
• не уведомлять субъекта, если персональные данные получены не от него и исключения из статьи 18 152-ФЗ не применяются;
• считать, что обязанность по 115-ФЗ автоматически легализует любой способ сбора и передачи данных;
• сохранять отчет внешнего сервиса в досье или папку проверки по 115-ФЗ, но не описывать это как отдельный этап обработки и хранения персональных данных.

Главный риск в таких ситуациях — не сама проверка, а невозможность доказать, что компания соблюдала одновременно требования 152-ФЗ, 218-ФЗ и 115-ФЗ.