Является ли передача данных в банк обработкой ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, передача данных в банк является обработкой персональных данных. В соответствии с ФЗ-152 любая операция с персональными данными — сбор, хранение, передача, систематизация, уничтожение — относится к обработке. Когда организация передаёт в банк данные сотрудников или клиентов (например, для открытия зарплатных карт, перечисления платежей или обслуживания договора), это квалифицируется как обработка ПДн.

Когда согласие не требуется:

- если передача данных происходит для исполнения договора, стороной которого является субъект (например, клиент заключил кредитный договор с банком и предоставил свои данные);
- если данные сотрудников передаются для исполнения трудового договора и перечисления зарплаты;
- если обязанности по передаче данных прямо предусмотрены законом (например, при взаимодействии с банком в рамках налоговых и финансовых операций).

Когда согласие может потребоваться:

- если данные передаются банку для дополнительных целей, не связанных с договором или законом (например, участие в маркетинговых акциях, реклама банковских продуктов);
- если в банк передаются данные третьих лиц, которые не являются клиентами и не дали согласие.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — передача данных относится к обработке.
• Ст. 6 ч. 1 п. 2 ФЗ-152 — согласие не требуется, если обработка необходима для выполнения обязанностей оператора, установленных законом.
• Ст. 6 ч. 1 п. 5 ФЗ-152 — согласие не требуется, если обработка необходима для исполнения договора, стороной которого является субъект.
• Ст. 19 ФЗ-152 — оператор обязан обеспечивать защиту ПДн при их передаче.

Практика и позиция Роскомнадзора

Роскомнадзор подтверждает: передача данных в банки — это обработка ПДн, и она допустима без согласия, если основана на законе или договоре. Нарушения фиксируются, если:

• данные передаются в банк избыточно (например, сведения, не относящиеся к обслуживанию договора);
• согласие не оформлено, когда данные используются для маркетинговых целей;
• не обеспечена защита при передаче данных (например, пересылка номеров паспортов по незащищённым каналам).

Пример: в одной организации при оформлении зарплатных проектов в банк передавались не только данные сотрудников, необходимые для открытия счетов, но и избыточные сведения, включая копии дипломов. Это было признано нарушением принципа минимизации обработки ПДн.

Важный момент для компаний

Передача данных в банк — стандартная практика, но важно учитывать цели и объём передаваемых сведений. Если цель — расчёт заработной платы или исполнение договора, согласие не требуется. Если же банк будет использовать данные для рекламы или иных дополнительных услуг — необходимо отдельное согласие субъекта.

Рекомендации и выводы

Да, передача данных в банк является обработкой ПДн. Чтобы действовать корректно:

1. Передавайте только те сведения, которые необходимы для исполнения договора или установлены законом.
2. Если банк планирует использовать данные в маркетинговых целях — оформляйте отдельное согласие.
3. Обеспечьте безопасные каналы передачи данных.
4. Закрепите порядок передачи данных в банк в локальных актах и включите его в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации выстроить процесс передачи данных в банки, подготовить согласия и регламенты, чтобы полностью соответствовать ФЗ-152 и избежать претензий при проверках.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге