Как удалить персональные данные из МФО?

Что считается персональными данными в МФО и где они хранятся

Персональные данные в микрофинансовых организациях — это любая информация, по которой вас можно идентифицировать напрямую или косвенно. К базовому набору относятся: ФИО, дата рождения, паспортные сведения, адрес регистрации и проживания, телефон, e‑mail. К расширенным — ИНН, СНИЛС, сведения о занятости и доходах, фотографии и видеоселфи для удалённой идентификации, банковские реквизиты, номера карт (в токенизированном виде), история обращений, IP‑адрес и данные устройства, кредитная и платёжная история.

При подаче заявки МФО также получает технические метаданные: источник трафика, тип браузера, cookie‑идентификаторы и отпечаток устройства. Они используются для антифрода и скоринга. Биометрические данные обрабатываются только при наличии отдельного согласия и в строго определённых целях идентификации.

Где и как МФО хранит ваши данные

Данные аккумулируются в CRM, скоринговых платформах и хранилищах документов МФО, а также у привлечённых операторов: платёжных провайдеров, антифрод‑сервисов, сервисов рассылок, колл‑центров, бюро кредитных историй (БКИ). Передача третьим лицам допускается по договору поручения и при наличии законного основания. Типично МФО размещает инфраструктуру в дата‑центрах на территории страны, соблюдая требования информационной безопасности и резервного копирования.

Сроки хранения зависят от цели: исполнение договора займа, выполнение требований законодательства о противодействии отмыванию доходов, бухгалтерский учёт, статистика и отчётность. По окончании целей данные подлежат уничтожению или обезличиванию, за исключением случаев, когда закон предписывает их сохранность на установленный срок.

Какие категории наиболее чувствительны

• Паспортные копии и селфи с документом — используются для идентификации.
• Реквизиты карт и счетов — применяются для выдачи и погашения займа, хранятся в токенах.
• Кредитная история — формируется и обновляется через БКИ в рамках 218‑ФЗ.
• Контактные данные — могут применяться для уведомлений и маркетинговых коммуникаций, только при наличии согласия.

Зная, какие данные и где хранятся, проще сформулировать корректное требование на их удаление или ограничение обработки.

Правовая база: 152‑ФЗ и 115‑ФЗ — когда МФО может хранить и обязано удалять данные

Правила обработки персональных данных задаёт 152‑ФЗ «О персональных данных». Он допускает обработку при наличии законного основания: согласие субъекта, исполнение договора займа, исполнение обязанностей МФО, установленных законом, защита прав и законных интересов. Одновременно 152‑ФЗ обязывает прекращать обработку и уничтожать данные после достижения целей или при отзыве согласия, если не осталось иных правовых оснований.

Важная связка — 115‑ФЗ о противодействии легализации доходов. Он требует от МФО идентифицировать клиентов и хранить документы и сведения не менее 5 лет с даты прекращения отношений или проведения операции. Это означает: даже при отзыве согласия МФО вправе продолжать хранение минимально необходимого массива, если это прямо предписано 115‑ФЗ.

Дополнительные требования

• 218‑ФЗ «О кредитных историях» — обмен информацией с БКИ и сроки её актуализации.
• 402‑ФЗ «О бухучёте» — хранение первичных учётных документов (обычно не менее 5 лет).
• Закон «О рекламе» — запрет рассылок без согласия и обязанность предоставлять простой отказ.

Итог: МФО обязана удалить или обезличить данные, когда отпала цель обработки и нет иных оснований их хранения. Но при наличии требований 115‑ФЗ, 402‑ФЗ и обязательств перед БКИ МФО сохраняет минимальный набор информации в установленные сроки. В запросе на удаление разумно просить уничтожить всё, что обрабатывается только на основании согласия (маркетинг, профилирование) и ограничить остальное до законного минимума.

Контроль за соблюдением 152‑ФЗ осуществляет Роскомнадзор, за МФО на финансовом рынке — Банк России.

Можно ли удалить данные при действующем займе или задолженности

Полное удаление персональных данных при активном договоре займа практически невозможно, потому что они необходимы для исполнения договора: начисления процентов, платежей, уведомлений, отчётности в БКИ. Закон позволяет продолжать обработку без согласия — на основании договора и требований законодательства.

Если есть просрочка, МФО вправе хранить и обрабатывать сведения для взыскания долга и защиты прав в суде. Кроме того, применяется 115‑ФЗ, который требует сохранности идентификационных данных минимум 5 лет.

Что реально сделать в период действия договора

• Отозвать согласие на маркетинг и профилирование для рекламных целей.
• Запретить передачу контактов партнёрам для рекламы и кросс‑продаж.
• Потребовать ограничить доступ к данным внутри МФО по принципу «необходимого и достаточного».
• Уточнить, исправить неточности, заблокировать спорные сведения до проверки.

После полного исполнения обязательств (закрытия займа) можно требовать уничтожения данных, обрабатываемых только по согласию, и максимального сокращения объёма хранимого массива до требований 115‑ФЗ и 402‑ФЗ. Учтите, что сведения о договоре займа и его исполнении продолжают направляться в БКИ по 218‑ФЗ и не подлежат удалению, если они верны.

Даже при наличии долга вы вправе потребовать прекратить рекламные контакты, а взаимодействие по взысканию должно соответствовать 230‑ФЗ: ограничение времени звонков, запрет общения с третьими лицами без вашего согласия и уважение к частной жизни.

Как отозвать согласие на обработку персональных данных в микрофинансовой организации

Отзыв согласия — эффективный способ прекратить необязательные обработки: маркетинг, аналитика, рассылки, передачу партнёрам. Шаги простые и формализованные.

Пошаговая инструкция

• Найдите в политике МФО перечень согласий и канал для обращений субъекта ПДн. Часто это e‑mail для персональных данных или форма в личном кабинете.
• Подготовьте заявление. Укажите ФИО, паспортные данные, контакт для ответа, реквизиты договора (если есть). Чётко обозначьте, какие согласия отзываетe: реклама (SMS, звонки, e‑mail, push), передача партнёрам, профилирование.
• Сошлитесь на 152‑ФЗ: требуете прекратить обработку на основании согласия и уничтожить такие данные, если нет иных законных оснований хранения.
• Попросите подтвердить исполнение, раскрыть список третьих лиц, которым передавались данные по согласию, и направить им требование прекратить обработку.
• Направьте заявление через личный кабинет, на официальный e‑mail из политики или заказным письмом с описью вложения.

МФО обязана ответить в срок, установленный 152‑ФЗ, как правило в течение 30 календарных дней с момента получения запроса. До истечения срока ожидания допустим контрольный запрос.

Помните: отзыв согласия не блокирует законные основы обработки — договор, 115‑ФЗ, 402‑ФЗ. Поэтому корректнее формулировать: «прекратить все обработки, основанные исключительно на согласии, и ограничить доступ к остальным данным до минимально необходимого».

Образец заявления на удаление и ограничение обработки персональных данных в МФО

Ниже — универсальная структура заявления. Её примут в любой МФО. Заполните свои сведения и адаптируйте под ситуацию.

Шаблон

Заявление
От: ФИО, дата рождения, паспорт: серия №, кем и когда выдан, адрес регистрации, телефон, e‑mail.
К: наименование МФО, ИНН/ОГРН (если известно), номер договора займа (при наличии).

Текст:
Прошу в соответствии с 152‑ФЗ прекратить обработку моих персональных данных, осуществляемую на основании согласия, и уничтожить такие данные при отсутствии иных законных оснований их хранения. Прошу ограничить обработку до минимально необходимой для исполнения обязательных требований законодательства (в т.ч. 115‑ФЗ, 402‑ФЗ) и защиты прав.
Прошу прекратить рассылки и звонки рекламного характера, отозвать мои согласия на маркетинг, профилирование и передачу данных партнёрам. Обязать всех получателей, которым вы передавали мои данные на основании согласия, прекратить их обработку и уничтожить.

Дополнительно прошу:
— предоставить перечень категорий данных, целей, правовых оснований и сроков хранения;
— раскрыть список третьих лиц (операторов/порученных лиц), которым передавались мои данные;
— подтвердить уничтожение (или блокировку) актом/письмом;
— при наличии спорных данных — заблокировать и провести проверку.

Дата, подпись. Приложения: копия паспорта (стр. с фото), доверенность представителя (если есть), копия договора/скриншоты.

Отправляйте заявление в электронном виде с усиленной подписью (если есть) или скан‑копией, либо почтой с описью — так вы зафиксируете факт направления и сроки.

Какие документы приложить к заявлению на удаление данных

Правильно подобранные приложения ускоряют рассмотрение и снижают риск отказа из‑за невозможности идентификации заявителя.

• Копия разворота паспорта с фото и данными. Закрывайте лишнее, если МФО его не запрашивала (например, код подразделения), но оставьте сведения, достаточные для идентификации.
• Реквизиты договора займа, номер счёта/заявки, даты обращений — облегчают поиск в системе.
• Скриншоты согласий в личном кабинете или формы заявки, где вы ставили галочку на маркетинг/передачу партнёрам.
• Подтверждение получения спама/звонков: скриншоты SMS, e‑mail с заголовками писем, список номеров входящих звонков.
• Доверенность, если обращается представитель. Укажите объём полномочий: запрос, отзыв согласий, получение ответа.
• Опись вложения и квитанция, если направляете почтой. Это докажет факт и дату отправки.

Не передавайте МФО лишних сведений. Принцип минимизации — ваш союзник. Если сомневаетесь, что нужно, запросите у МФО перечень документов для идентификации субъекта ПДн. Любые биометрические материалы (селфи, видео) направляйте только при явной необходимости и через защищённые каналы.

Храните копии всего отправленного комплекта и исходящих номеров заявлений. Это пригодится при взаимодействии с Роскомнадзор и в суде.

Куда направить запрос: электронная почта, личный кабинет, заказное письмо

Выберите канал, который обеспечит подтверждение отправки и контроль сроков. Лучший подход — дублирование по двум каналам.

Рекомендованные способы

• Личный кабинет МФО. Фиксирует обращение и присваивает номер. Сохраните скриншоты.
• Официальный e‑mail из политики обработки ПДн/контактов для субъектов. В теме письма укажите «Отзыв согласия/Удаление ПДн». Попросите подтверждение прочтения.
• Заказное письмо с описью вложения и уведомлением о вручении. Укажите юридическое лицо МФО и её юридический адрес. Опись и уведомление — ключевые доказательства в спорах.

Дополнительно можно обратиться через форму обратной связи на сайте или по телефону горячей линии с просьбой зарегистрировать заявление (но основной текст лучше дублировать письменно).

Если МФО использует отдельный адрес для запросов субъектов ПДн, направляйте туда в первую очередь. Уточнить реквизиты можно в политике конфиденциальности или пользовательском соглашении.

Сроки рассмотрения запроса и как получить официальный ответ МФО

Общий срок ответа оператором по 152‑ФЗ — как правило до 30 календарных дней с момента получения запроса субъекта ПДн. На практике МФО часто отвечает быстрее, но вправе использовать весь срок для проверки полномочий и данных.

Как зафиксировать официальный ответ

• Письмо на e‑mail с подписью уполномоченного лица и исходящим номером.
• Сообщение в личном кабинете с текстом решения и датой исполнения.
• Бумажный ответ за подписью руководителя/ответственного за ПДн.

Просите указать: какие данные уничтожены/обезличены, что осталось и на каком основании, сроки хранения остаточного массива, список третьих лиц, которым направлены уведомления о прекращении обработки. Корректно запросить «акт уничтожения» или ссылку на внутренний журнал операций, если такой практикуется.

Если ответ не пришёл в срок, направьте повторное уведомление и предупредите о планируемом обращении в Роскомнадзор. Это дисциплинирует и ускоряет обработку.

Что делать при отказе: жалоба в Роскомнадзор и судебная защита

Отказы бывают законными (есть обязательные основания хранения) и незаконными (игнорирование отзыва согласия, рассылки без согласия, отказ раскрыть сведения об обработке). Если считаете отказ необоснованным, действуйте последовательно.

Алгоритм

• Запросите у МФО правовое обоснование отказа и конкретные нормы законов.
• Подготовьте жалобу в Роскомнадзор. Приложите копии заявления, доказательства отправки, ответ МФО, примеры нежелательных коммуникаций. Укажите, какие права нарушены по 152‑ФЗ.
• При необходимости обратитесь в суд с требованиями: признать действия незаконными, обязать прекратить обработку/уничтожить данные, компенсировать моральный вред. В обоснование — 152‑ФЗ, ГК и КоАП 13.11 (штрафы за нарушения).

Жалоба в контролирующие органы часто приводит к исправлению нарушений без суда. Но фиксируйте каждое действие документально — это основа успеха.

Если спор связан с неправомерной передачей коллекторам — параллельно жалуйтесь в ФССП (надзор за коллекторами по 230‑ФЗ) и информируйте Банк России как мегарегулятора финансового рынка.

Как прекратить звонки и рекламу МФО: отписка и запрет передачи контактов партнёрам

Коммуникации для продвижения допускаются только при наличии согласия и с возможностью простого отказа. Вы вправе в любой момент отозвать согласие и потребовать прекратить рекламные контакты.

Что сделать прямо сейчас

• Отпишитесь по ссылке в письме, ответьте «СТОП» на SMS (если предусмотрено), отключите push в приложении.
• Направьте заявление об отзыве согласия на маркетинг и запрете передачи контактов третьим лицам для рекламы.
• Попросите внести вас в внутренний «stop‑list» и подтвердить, что данные исключены из систем рассылок.
• Зафиксируйте нарушения: скриншоты, номера отправителей, дату и время звонков.

Если после отписки рассылки продолжаются, это риск нарушения закона «О рекламе» и 152‑ФЗ. Направьте претензию МФО и, при необходимости, жалобу в Роскомнадзор. Дополнительно можно пожаловаться оператору связи на спам‑рассылки.

Запрет передачи данных партнёрам критичен: иначе контакты уйдут в экосистемы продаж, и поток звонков сохранится даже после локальной отписки у одного отправителя.

Переданы данные коллекторам: как требовать удаление и ограничение по 230‑ФЗ

При просрочке МФО вправе поручить взыскание коллекторам или уступить право требования. Тогда ваши данные обрабатывает новое лицо. Это не отменяет требований 152‑ФЗ и норм 230‑ФЗ.

Как действовать

• Направьте заявление кредитору (МФО) и коллекторскому агентству одновременно. Требуйте раскрыть правовое основание, объём данных, источник и цель обработки.
• Отзовите согласия на маркетинг, запретите звонки третьим лицам, ограничьте каналы связи (только письменно/через ЛК).
• Попросите минимизировать массив данных до необходимого для взыскания, запретить любую передачу вне целей взыскания.
• Фиксируйте нарушения по 230‑ФЗ (время, частота, тональность общения) и жалуйтесь в ФССП.

Полное удаление у взыскателя возможно только после исполнения обязательств или при отсутствии правового основания (например, ошибка в передаче данных). Но вы вправе требовать блокирования спорной информации и прекращения любых маркетинговых коммуникаций.

Данные в бюро кредитных историй (БКИ): можно ли удалить и как исправить ошибки

Записи в кредитной истории не удаляются по желанию, если они верны и внесены на законных основаниях по 218‑ФЗ. Удаление возможно только при ошибке источника или некорректной передаче данных.

Алгоритм исправления

• Закажите бесплатный отчёт 1–2 раза в год (право предоставлено 218‑ФЗ) через портал Госуслуг или сайты БКИ.
• Если нашли ошибку, подайте «заявление о споре» в БКИ. БКИ запросит подтверждение у источника (МФО) и проведёт проверку.
• Срок проверки — до 30 дней. На период проверки сведения могут быть помечены как спорные.
• Если источник подтверждает ошибку, запись корректируют/исключают. Если нет — добавьте комментарий субъекта и обжалуйте в суд.

Параллельно направьте в МФО заявление об исправлении первичных данных и требование передать корректную информацию в БКИ. Сохраняйте все ответы — это ускорит обновление истории.

БКИ работают под надзором Банка России. При систематических нарушениях со стороны источника или БКИ направляйте жалобу регулятору.

Уничтожение копий паспорта и банковских карт: как потребовать от МФО

Копии документов относятся к чувствительным категориям. Они должны обрабатываться строго в заявленных целях и храниться не дольше, чем это необходимо. Требование об их уничтожении — стандартная часть «privacy‑гигиены» после закрытия займа.

Как сформулировать запрос

• Попросите уничтожить копии паспорта, фото/видео с документом, изображения банковских карт и иные файлы, обрабатываемые только на основании согласия и цели дистанционной идентификации.
• Уточните, что сохраняется минимально необходимый набор сведений, если это требуется 115‑ФЗ (идентификационные данные).
• Попросите подтвердить факт уничтожения и удалить резервные копии по завершении регламентных сроков бэкапов.

Номера карт должны храниться в токенизированном/маскированном виде, а CVV/CVC — не подлежат хранению. Если МФО использовала агрегатора платежей, требуйте направить поручение партнёру удалить токены, созданные только для вашей сессии, если они больше не нужны.

Если МФО ссылается на обязательное хранение, попросите указать конкретную норму закона и срок. Это поможет отделить действительно обязательные случаи от «на всякий случай».

Как проверить, что персональные данные удалены или заблокированы

Проверка исполнения — важная стадия. Не останавливайтесь на формальной отписке.

Инструменты контроля

• Запросите перечень категорий, статусов и сроков хранения ваших данных после обработки заявления.
• Попросите акт уничтожения/журнал операций или официальный ответ с указанием даты и способа удаления.
• Проверьте прекращение рекламных SMS, e‑mail, звонков. Зафиксируйте факт отсутствия контактов в течение 30 дней.
• Убедитесь, что личный кабинет более не содержит копий документов и лишних согласий.
• Проверьте отчёт БКИ через 2–4 недели: отражаются ли корректные статусы по закрытому займу.

Если видите следы несанкционированной обработки (например, новые рассылки или звонки партнёров), направьте повторное требование с приложением доказательств и предупреждением о жалобе в Роскомнадзор. Последовательность действий и документальные подтверждения — лучший аргумент.

Безопасная альтернатива полному удалению: блокирование и ограничение обработки

Когда полное уничтожение невозможно из‑за закона или действующего договора, используйте механизм ограничения и блокирования. Это снижает риски и объём доступных данных без нарушения требований.

Что запросить

• Блокировку категорий, которые не нужны для обязательных целей, с документальной фиксацией статуса.
• Сегрегацию доступа: только узкий круг сотрудников по принципу необходимости.
• Отключение маркетинговых целей и профилирования, исключение из DMP/CDP и систем рассылок.
• Минимизацию сроков хранения и раннее обезличивание там, где это допустимо.

В запросе укажите, что согласны на законодательно необходимые обработки, но требуете техническое и организационное ограничение всех прочих. Блокирование — рабочий компромисс, который защищает ваши интересы и не мешает МФО исполнять закон.

Частые ошибки при удалении персональных данных из МФО и как их избежать

Ошибки стоят времени и нервов. Ниже — типовые и способы их предотвратить.

• Требование «удалить всё сразу» при действующем займе. Решение: просите удаление только обработок на основании согласия и ограничение остального.
• Отсутствие идентификации заявителя. Решение: прикладывайте копию документа и реквизиты договора.
• Отправка на общий e‑mail поддержки без регистрации обращения. Решение: используйте официальный канал из политики ПДн и просите исходящий номер.
• Игнорирование партнёров и рассылочных сервисов. Решение: требуйте уведомить всех получателей и прекратить передачу данных.
• Нет доказательств. Решение: сохраняйте описи, квитанции, скриншоты, ответы МФО.
• Отсутствие контроля БКИ. Решение: закажите отчёт и исправьте ошибки через процедуру спора.

Главный принцип — точность формулировок и доказательность. Сошлитесь на 152‑ФЗ, 115‑ФЗ, 218‑ФЗ, требуйте конкретики и фиксируйте каждый шаг. Так вы добьётесь результата быстрее и без лишних конфликтов.