Нужно ли согласие на обработку персональных данных клиентов банка?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Нет, отдельное согласие в большинстве случаев не требуется. Банки обрабатывают персональные данные клиентов (ФИО, паспортные сведения, ИНН, СНИЛС, адрес, контактные данные, сведения о счетах, операциях, кредитной истории) в силу закона и договора банковского обслуживания. Эта обязанность закреплена в законах о банках и банковской деятельности, о персональных данных и о противодействии легализации доходов.

Когда согласие не требуется:

• при открытии счёта или заключении кредитного договора;
• при ведении бухгалтерского и налогового учёта;
• при передаче данных в ЦБ РФ, налоговую инспекцию, Росфинмониторинг и иные госорганы в рамках законодательства;
• при хранении данных в целях выполнения требований 115-ФЗ (о противодействии легализации доходов).

Когда согласие обязательно:

• если банк хочет использовать контактные данные клиента для маркетинговых рассылок, рекламы дополнительных услуг, предложений партнёров;
• при передаче данных третьим лицам, не связанным с банковской деятельностью;
• при использовании фото, аудио- и видеозаписей клиента для иных целей, не предусмотренных законом или договором.

Обоснование по законодательству

• Ст. 6 ФЗ-152, ч. 1, п. 2 — согласие не требуется, если данные обрабатываются для исполнения договора.
• Ст. 6 ФЗ-152, ч. 2, п. 2 — обработка допускается без согласия, если она обязательна по закону.
• ФЗ-395-1 «О банках и банковской деятельности» (ст. 26) — закрепляет обязанность банков хранить тайну о клиентах и операциях.
• ФЗ-115 «О противодействии легализации доходов» — обязывает банки собирать и хранить данные клиентов для идентификации и контроля.
• Ст. 9 ФЗ-152 — согласие обязательно, если данные используются для иных целей (например, маркетинг).

Практика и позиция Роскомнадзора

Роскомнадзор подтверждает: банки обрабатывают персональные данные клиентов в силу закона и договора, но любая маркетинговая активность требует согласия.

Пример: банк использовал телефоны клиентов для звонков с рекламой дополнительных услуг без согласия. Проверка РКН квалифицировала это как нарушение ФЗ-152.
Другой случай: кредитная организация хранила и обрабатывала данные клиентов только в рамках требований ЦБ и 115-ФЗ. Нарушений не выявлено.

Важный момент для банков

Банки находятся в особом правовом режиме: они обязаны собирать и хранить большие массивы персональных данных, включая сведения о финансовых операциях. Эти данные могут использоваться только для целей, предусмотренных законом и договором.

Рекомендации и выводы

Нет, согласие клиентов банка на обработку данных не требуется для заключения и исполнения договоров и выполнения требований закона. Но:

1. Получайте отдельные согласия на рекламу, рассылки и партнёрские проекты.
2. Обеспечьте строгий режим хранения и защиты банковской информации.
3. Отразите порядок работы с данными клиентов в политике ПДн и локальных актах.
4. Включите регламенты по обработке данных клиентов в комплект документов по ФЗ-152.

Компания ICTech поможет банкам и финансовым организациям выстроить правильную систему работы с персональными данными: подготовить формы согласий, регламенты обработки и полный пакет документов по ФЗ-152 и отраслевому законодательству.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге