Банки и 152‑ФЗ: идентификация клиентов и безопасность

Банки и 152‑ФЗ: идентификация клиентов и безопасность

Банки ежедневно работают с миллионами персональных данных (ПДн): от паспортов и адресов до биометрии и транзакционной истории. Федеральный закон № 152‑ФЗ «О персональных данных» задает обязательные правила, как эти сведения собирать, хранить, использовать и защищать. В этом материале разберем, что означает «идентификация 152 ФЗ» для банков, как корректно применять биометрию, на каких основаниях передавать данные третьим лицам и какие меры безопасности требуются, чтобы снизить риски утечек и штрафов.

Роль 152‑ФЗ в банковском секторе

Для кредитных организаций 152‑ФЗ — базовый закон о ПДн, дополняющий отраслевые нормы. Он закрепляет понятия, принципы и цели обработки (обзор, структура и статьи, текст закона). Банки — операторы ПДн: определяют цели и состав данных, организуют защиту, отвечают перед клиентами и регулятором. Запрос «152 фз банк» обычно о том, какие требования применяются к кредитным организациям: правовые основания, идентификация, биометрия, безопасность ИСПДн.

Важно понимать сопряжение 152‑ФЗ с KYC/AML‑требованиями (идентификация по иным законам), требованиями к локализации данных и безопасности сетевой инфраструктуры. Детальнее о связанных актах — в разделе связанных законов.

Какие данные обрабатывает банк: перечень и правовые основания

Банк обрабатывает разные категории ПДн — от базовых до специальных и биометрических. Принципы минимизации, законности и целевого характера закреплены в ст. 5 и принципах обработки.

Категория ПДн	Примеры	Основание обработки
Идентификационные	ФИО, дата рождения, пол, гражданство, паспорт, ИНН, СНИЛС	Договор с клиентом, исполнение закона (ст. 6)
Контактные	Адрес, телефон, e‑mail, адрес для корреспонденции	Договор/согласие; законный интерес при информировании в рамках договора (ст. 6)
Финансовые и транзакции	Счета, карты, операции, лимиты, задолженность	Договор/закон (бухучет, комплаенс); мониторинг операций
Технические	Данные интернет‑банка, журналы событий, IP, cookies	Обеспечение безопасности сервиса, исполнение договора
Записи коммуникаций	Колл‑центр (аудио), чаты	Защита прав, качество сервиса, доказательства исполнения
Специальные категории	Здоровье (редко: страховые продукты), убеждения (не обрабатываются)	Только при наличии условий ст. 10 и явного согласия
Биометрические	Лицо, голос, отпечаток	Только при соблюдении ст. 11 и отдельного согласия; ЕБС — по спецпорядку
ПДн для распространения	Публичные профили/отзывы клиента	Только с отдельным согласием по ст. 10.1

Подробнее о категориях биометрии — в разделе биометрические ПДн.

Основания обработки и согласия клиента

152‑ФЗ допускает обработку ПДн банка без согласия в ряде случаев: для исполнения договора, выполнения обязанностей по закону, защиты прав и законных интересов. Подробно — в материале обработка без согласия.

Ключевые основания:

• Договор с клиентом (открытие счета, выпуск карты, дистанционное обслуживание) — ст. 6.
• Исполнение обязательных требований (идентификация, бухгалтерский учет, обмен с госорганами).
• Согласие клиента — для маркетинга, рассылок, «публичного» размещения ПДн, а также для биометрии и специальных категорий. См. согласие на обработку ПДн и согласие на распространение ПДн.
• Отзыв согласия оформляется по правилам заявления и отзыв согласия.

Идентификация клиента по 152‑ФЗ: очно и дистанционно

Идентификация — это подтверждение личности и актуальности сведений, на основе которых банк оказывает услуги и обеспечивает безопасность. В связке с 152‑ФЗ это означает, что данные для идентификации обрабатываются законно, пропорционально целям и защищенно. Запрос «идентификация 152 фз» часто касается именно этого блока.

Практика банков:

• Очная идентификация в офисе: документ‑основание, фотофиксация, копии документов — с минимизацией избыточных данных и разумными сроками хранения.
• Дистанционная идентификация: через ЕСИА, ЕБС (при наличии согласия), подтверждение по 2‑факторной схеме (одноразовые пароли, пуши, подпись), видеоверификация.
• Аутентификация при входе/операциях: многофакторная (пароль + устройство + биометрия), риск‑бэйз подход (SCA), журналирование действий.
• Периодический пересмотр анкет и обновление документов — с уведомлением клиента и корректным логированием изменений.

Важно: все доказательства идентификации (журналы, аудио/видео, метаданные) — это ПДн и должны защищаться по правилам 152‑ФЗ.

Биометрия в банке и 152‑ФЗ: как действовать законно

Биометрические данные — чувствительная категория. Для «биометрия банк 152 фз» ключевое — законное основание, информирование и защита шаблонов.

Рекомендации:

• Отдельное информирование и согласие на биометрическую обработку (цель, состав, сроки, хранение) — см. биометрические ПДн и ст. 11.
• Возможность альтернативы (небиометрические сценарии) без ухудшения базового сервиса.
• Хранение биошаблонов с криптографической защитой и раздельным хранением от анкетных данных.
• ЕБС: действовать в установленном порядке, фиксировать источники и основания, обеспечивать корректность обмена.
• Исключить «избыточность» — собирать только то, что нужно для идентификации/аутентификации.

Передача третьим лицам по 152‑ФЗ: подрядчики, бюро кредитных историй, платёжные системы

Передача ПДн профильным партнерам регулируется 152‑ФЗ и спецзаконами. Под «передача третьим лицам 152 фз» обычно понимают:

• Поручение обработки: колл‑центры, процессинг, облака. Требуется договор с оператором‑исполнителем, меры защиты и контроль — см. поручение обработки ПДн.
• Обмен с бюро кредитных историй, платежными системами, госорганами — при наличии правового основания (закон/договор).
• Трансграничная передача — только при соблюдении российских требований и оценке уровня защиты в стране получателя: трансграничная передача ПДн.

Общее правило: банки должны прозрачно информировать субъектов о получателях, целях и основаниях. Детально — в разделе передача третьим лицам и в реестре операторов ПДн.

Безопасность ИСПДн банка: технические и организационные меры

Банковская ИСПДн должна соответствовать требованиям 152‑ФЗ и подзаконных актов ФСТЭК и ФСБ (требования ФСТЭК и ФСБ, меры безопасности ПДн, уровни защищенности ИСПДн).

Ключевые практики:

• Классификация ИСПДн и актуальная модель угроз.
• Криптографическая защита каналов и хранилищ (шифрование), сегментация сети, Zero Trust.
• MFA, PAM, контроль привилегий, журналирование и хранение логов согласно срокам.
• SIEM/SOC‑мониторинг, DLP, антифрод‑модели для транзакций.
• Тестирование на проникновение, статический/динамический анализ приложений.
• Резервирование и план восстановления (BCP/DRP) в сертифицированных ЦОД (серверы, хостинг, ЦОД, облака).
• Веб‑часть: HTTPS/TLS и безопасная конфигурация (SSL/HTTPS).

Инциденты и утечки обрабатываются по регламенту: ограничение последствий, уведомление заинтересованных сторон, при необходимости — уведомление Роскомнадзора и взаимодействие по плану реагирования (инциденты и утечки).

Роли, документы и внутренний контроль

Для соблюдения 152‑ФЗ банку нужны понятные роли и документы:

• Назначить ответственного за ПДн (ответственный).
• Принять и опубликовать Политику обработки ПДн, утвердить локальные регламенты.
• Сформировать пакет документов: перечни ПДн, модели угроз, планы реагирования, матрицы доступов.
• Наладить внутренний контроль и обучение сотрудников.
• Зафиксировать меры безопасности в технической документации ИСПДн.
• Обеспечить уведомление/актуализацию сведений в реестре операторов, если требуется (см. уведомление Роскомнадзора).

Сроки хранения, блокировка и уничтожение ПДн

Сроки хранения должны быть обоснованы: договорные отношения, требования бухгалтерии, комплаенс‑сроки. По завершении срока ПДн блокируются и уничтожаются в порядке, закрепленном в локальных актах. Подробно: сроки хранения, уничтожение и блокировка, прекращение обработки.

Права клиента и взаимодействие с банком

Субъект ПДн вправе получать информацию об обработке, требовать уточнения/удаления при наличии оснований, отзывать согласие, оспаривать решения. Механика и сроки ответов — в правах субъектов и разделе о заявлениях и отзыве согласия. Хорошей практикой является единое окно (портал) запросов с SLA‑контролем.

Проверки и ответственность

Роскомнадзор проводит плановые и внеплановые проверки исполнения 152‑ФЗ (проверки). Наказания — от предупреждений до значимых штрафов (ответственность и штрафы, КоАП 13.11). Изучите судебную практику и план действий при нарушении ПДн.

Типовые нарушения и последствия:

Нарушение	Риск/последствия
Отсутствие оснований обработки (нет договора/согласия)	Штрафы по КоАП 13.11, предписания, блокировка процессов
Неинформирование о передаче третьим лицам	Штрафы, риск претензий клиентов
Недостаточные меры безопасности (утечка)	Высокие штрафы, репутационные потери, обязательные уведомления
Несоблюдение сроков и порядка ответов субъектам	Штрафы, предписания, повышенное внимание регулятора

Чек‑лист соответствия для банка

• Проведите инвентаризацию ИСПДн и потоков ПДн. Оцените законность оснований. См. чек‑лист 152‑ФЗ.
• Обновите Политику, договорные шаблоны, согласия (включая биометрические). Используйте генератор политики и согласий.
• Проведите аудит соответствия, устраните пробелы, подготовьтесь к проверке.
• Укрепите периметр и криптографию, настройте SIEM/DLP, пересмотрите модель угроз.
• Обучите персонал и тестируйте готовность к инцидентам (обучение и курсы).
• При необходимости привлеките экспертов: консалтинг и документы под ключ.

Следите за изменениями и выводы

Требования к обработке ПДн развиваются: уточняются механизмы информирования, расширяются подходы к биометрии и локализации, появляются новые стандарты безопасности. Отслеживайте изменения 2025 и актуальный текст 152‑ФЗ.

Вывод: соблюдение 152‑ФЗ банком — это продуманная идентификация клиентов, минимизация и прозрачность обработки, строгая защита ИСПДн, корректная «передача третьим лицам 152 фз», а также четкая работа с правами субъектов. Нужна помощь в настройке процессов, документов и контролей? Обратитесь к нашим экспертам — проведем аудит, подготовим пакет документов и поможем выстроить безопасность «под ключ».