Персональные данные и согласия: как IT–компаниям работать с банковской тайной? Часть 2
В этой статье мы расскажем, чем режим передачи персональных данных схож с банковской тайной, и рассмотрим, какие легальные способы передачи данной информации существуют.
Будет полезно: банкам, кредитным и некредитным организациям, финтех компаниям, микрофинансовым организациям, ИТ-компаниям и иным компаниям, которые бы хотели сотрудничать с банками, использовать в своих целях данные, составляющие Банковскую тайну.
Содержание:
Статью подготовили:
Введение
В прошлой статье мы писали о том, что такое банковская тайна, и нужно ли включать условия о соблюдении режима конфиденциальности в отношении информации, составляющей банковскую тайну, в договоры между банком и компанией. В этой статье мы продолжим.
Можно ли вообще передать банковскую тайну? Если да, то как?
Вот, к примеру, выписка по счетам клиента защищается режимом банковской тайны. Но, как только клиент получил ее и отнес в другой банк, она перестает быть банковской тайной для получателя? Давайте разбираться!
Банковская тайна. Соотношение с Персональными данными
Банковская тайна – это мощный инструмент в руках банков, поскольку она много может рассказать о человеке, его привычках и платежеспособности. Этим по своей природе она схожа с персональными данными. Именно поэтому случаи предоставления банковской тайны строго ограничены законом. Но, если в ее состав входят персональные данные, которые регулируются другим законом, какое законодательство будет в приоритете? Сейчас объясним.
Предоставление банковской тайны третьим лицам
Согласно п. 2 ст. 857 ГК РФ сведения, составляющие банковскую тайну, могут быть предоставлены:
- самим клиентам или их представителям;
- в бюро кредитных историй;
- государственным органам и их должностным лицам в определенных случаях;
- иным лицам в случаях, установленных Законом «О банках и банковской деятельности».
Гражданский кодекс РФ и Закон о банках предусматривают строго определенные ситуации, когда банк может предоставить иным лицам сведения, составляющие банковскую тайну. Поэтому на этот способ распространения банковской тайны не стоит рассчитывать при выстраивании бизнес процессов компании, если хотите работать с банковской тайной.
При этом случаи регулирования предоставления банковской тайны в B2B довольно редкое явление.
Передача банковской тайны
В отношении банковской тайны законодательно не закреплено понятие «передача банковской тайны». Поэтому рассмотрим схожий процесс в отношении персональных данных.
В соответствии с п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Этот перечень не является исчерпывающим и не исключает возможности обработки персональных данных иными способами.
На практике получается, что банки при передаче сведений, которые составляют банковскую тайну, используют именно согласия клиентов, по аналогии с тем, как это происходит с персональными данными. Они руководствуются позицией ЦБ РФ, который в одном из своих писем указал, что:
«...передача информации, составляющей банковскую тайну физического лица, третьим лицам допускается исключительно при наличии письменного согласия физического лица».
Позиция ЦБ РФ основана на судебном решении о передаче персональных данных, в котором разъясняется следующее:
«сведения, составляющие банковскую тайну физического лица, одновременно являются персональными данными этого лица».
Важно учитывать, что в решении суда и в Письме ЦБ РФ позиция формируется в отношении персональных данных, определяемых в соответствии с ФЗ №152, а не в отношении сведений, составляющих банковскую тайну.
Аналогично, в совместном письме ЦБ РФ и Роскомнадзора изложена позиция, что согласие клиента может использоваться в качестве самостоятельного правового основания для обработки персональных данных третьими лицами, учитывая следующее:
- обработка кредитором персональных данных в других целях, а также поручение и раскрытие персональных данных третьим лицам возможны только с согласия заемщика;
- получение отдельного согласия заемщика на обработку его персональных данных, а также на поручение и на передачу их каждому третьему лицу осуществляется через оформление отдельного документа либо через предоставление заемщику возможности проставления отдельной подписи;
- недопустимо получение общего согласия заемщика на обработку его персональных данных неограниченным кругом операторов. По аналогии недопустимо поручение и передача его персональных данных;
- обработка персональных данных должна ограничиваться достижением конкретных заранее определенных законных целей, и не допускается обработка, несовместимая с целями сбора.
Таким образом, оформляя согласие в отношении персональных данных, банк уже попадает в зону действия ФЗ № 152, который устанавливает самостоятельные требования обработки персональных данных граждан, в том числе на основании согласия субъекта.
Но есть же отличия между согласием на передачу персональных данных и согласия на передачу информации банковской тайны? Рассмотрим еще несколько документов ЦБ РФ.
Относительно согласия на получение кредитного отчета ЦБ РФ указывает следующее:
«Если форма согласия включается в договор потребительского кредита (займа) или иной документ, в том числе в электронной форме, рекомендуем пользователям обеспечить возможность проставления субъектом отдельной отметки о согласии на получение его кредитного отчета».
Таким образом подход, который установлен в отношении персональных данных, проецируется Банком России на другие сведения, которые составляют банковскую тайну.
Наиболее последовательно эта позиция отражена в Ответах ЦБ РФ на вопросы банков, поступившие в рамках ежегодной встречи кредитных организаций с руководством регулятора:
- банковская тайна при определенных обстоятельствах может рассматриваться как персональные данные (в случаях, если банковская тайна подпадает под определение персональных данных);
- предоставление банковской тайны с согласия клиента правомерно;
- согласие клиента на предоставление его банковской тайны третьим лицам должно быть явно выраженным, конкретным, сознательным (как и для предоставления персональных данных);
- бремя доказывания получения согласия клиента лежит на банке.
В подтверждение изложенной выше позиции, в Информационном письме Банка России, которым утвержден «Стандарт для урегулирования задолженности заемщиков», отражено разделение на категории согласий. Одним из таких является согласие на получение сведений, составляющих банковскую тайну.
Таким образом, Банк России последовательно формирует позицию, что передача сведений, составляющих банковскую тайну, возможна при наличии согласия лица, к которому эти сведения относятся. В основе позиции лежит прямая аналогия с требованиями Закона «О персональных данных».
Однако, необходимо учитывать, что письма ЦБ РФ имеют рекомендательный характер. На практике это означает, что суды при оценке конкретных кейсов могут сделать противоположные выводы.
Возможность обработки банковской тайны
На уровне законодательства не существует понятия «обработка банковской тайны», однако ЦБ РФ отмечает в рамках аутсорсинга возможность «обрабатывать конфиденциальную информацию банка», к которой относятся, как персональные данные, так и банковская тайна. Стандартом Банка России предусмотрена возможность передачи на аутсорсинг «функции, связанной с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах)».
Подробнее об аутсорсинге в финансовых компаниях мы расскажем в другой нашей статье, где полностью разберем особенности этой конструкции, а также предъявляемые к ней требования законодательства.
Послесловие
В этой статье мы узнали, что требования к банковской тайне довольно схожи с требованиями к персональным данным. Особенно это выражается в обязанности получить согласие на передачу, обработку такой информации. Эта позиция последовательна, ее придерживаются как ЦБ РФ, так и суды. А о том как лучше и правильнее оформить это согласие, мы расскажем в следующих наших статьях.
Если у вас остались вопросы, вы можете обратиться к нам: +7 (969) 790-00-90, написать в телеграм @aglrequest или по электронной почте info@ag-legal.ru. Или задать их в комментариях под статьей.
Также подписывайтесь на наш канал, где мы отслеживаем новости права для ИТ-компаний.