Какие разделы политики конфиденциальности обязательны в банковском приложении
Прежде чем переходить к чек-листу, разберёмся в структуре документа. Мы изучили политики конфиденциальности крупнейших банков и выделили восемь обязательных блоков, которые должны присутствовать в каждом легитимном приложении.
1. Сведения об операторе персональных данных. Это полное наименование банка, его ИНН, ОГРН и юридический адрес. Без этих данных невозможно проверить, кто именно является оператором по смыслу 152-ФЗ. Если банк не указал реквизиты — это первый тревожный сигнал.
2. Цели обработки персональных данных. Банк обязан перечислить, зачем он собирает информацию: для идентификации клиента, исполнения кредитного договора, выполнения требований ЦБ РФ (в том числе по 115-ФЗ о противодействии отмыванию), маркетинговых рассылок. Если цель сформулирована как «улучшение качества сервиса» — это слишком размытое основание, и вы не сможете понять, на что именно даёте согласие.
3. Перечень собираемых данных. Минимальный набор для банковского приложения: ФИО, номер телефона, серия и номер паспорта, СНИЛС. Расширенный набор может включать биометрические данные (лицо, голос), геолокацию, данные об устройстве. Каждый пункт должен быть обоснован конкретной целью — иначе банк нарушает принцип минимизации данных.
4. Основания обработки. Согласие субъекта, исполнение договора, законные интересы банка, обязанность по закону (например, 115-ФЗ). Проверьте, что банк не ссылается исключительно на «законные интересы» — это позволяет обрабатывать данные без вашего явного согласия.
5. Сроки хранения. Банк должен указать, как долго он хранит данные после закрытия счёта или удаления аккаунта. По 115-ФЗ, данные по операциям клиентов хранятся не менее пяти лет после прекращения отношений. Если срок не указан или обозначен как «бессрочно» — это нарушение.
6. Условия передачи третьим лицам. Банк обязан перечислить категории получателей: бюро кредитных историй, государственные органы, партнёры, операторы связи. Каждая передача должна иметь правовое основание.
7. Права субъекта персональных данных. Право на доступ, исправление, удаление, отзыв согласия и обжалование действий банка в Роскомнадзоре. Если эти права не описаны — политика не соответствует 152-ФЗ.
8. Меры защиты. Описание технических и организационных мер: шифрование TLS, двухфакторная аутентификация, антивирусная защита, ограничение доступа сотрудников к персональным данным.
> Согласно статье 6 Федерального закона № 152-ФЗ, обработка персональных данных допускается только при наличии одного из законных оснований: согласия субъекта, договора, нормативного акта или законного интереса оператора.
Таблица проверки: на что обратить внимание в политике конфиденциальности банка
Мы составили сравнительную таблицу, которая поможет быстро оценить политику конфиденциальности любого банковского приложения. Сопоставьте формулировки из документа с колонкой «Норма» — если политика отклоняется от неё, стоит задуматься о целесообразности регистрации.
| Параметр | Норма (152-ФЗ / практика) | Тревожный сигнал |
|---|---|---|
| Оператор | Полное наименование, ИНН, ОГРН | Анонимное указание или отсутствие реквизитов |
| Цели обработки | Конкретный перечень: идентификация, кредитование, отчётность перед ЦБ | Размытые формулировки: «улучшение сервиса», «аналитика» |
| Объём данных | Минимум, необходимый для достижения цели | Сбор биометрии и геолокации без обоснования |
| Срок хранения | Конкретный период (например, 5 лет после закрытия счёта) | «Бессрочно» или полное отсутствие срока |
| Передача третьим лицам | Перечень получателей + правовое основание | «Мы можем передавать данные партнёрам» без уточнения |
| Отзыв согласия | Описан порядок и срок отзыва (не более 30 дней) | Нет информации об отзыве или срок превышает 30 дней |
| Шифрование | TLS 1.2+, end-to-end для биометрии | Отсутствие упоминания протоколов шифрования |
| Юрисдикция | Российская Федерация, хранение данных на территории РФ | Хранение за рубежом без обоснования |
Риски: что происходит с персональными данными после регистрации без проверки
Если вы зарегистрировались в банковском приложении, не изучив политику конфиденциальности, вот что может произойти.
1. Передача данных кредитным бюро и партнёрам. Банк обязан передавать информацию в бюро кредитных историй (БКИ) — это требование закона. Но партнёрским компаниям данные передаются только с вашего согласия. Проверьте, что в политике чётко разделены эти два случая: обязательная отчётность и добровольная передача.
2. Таргетированная реклама на основе финансовых данных. Если политика разрешает использовать данные для маркетинга, банк может передать информацию о ваших расходах и доходах рекламным сетям. Результат — реклама кредитов, страховок и инвестиционных продуктов, основанная на вашей реальной финансовой активности.
3. Сохранение данных после удаления аккаунта. По 152-ФЗ, при отзыве согласия банк обязан удалить данные в течение 30 дней. Однако не все банки чётко указывают, какие данные остаются и на каком основании. По нашему опыту, после удаления аккаунта данные о транзакциях сохраняются до пяти лет — это законно (требование 115-ФЗ), но вы должны об этом знать заранее.
4. Биометрические данные без возможности удаления. Если вы прошли верификацию по лицу, банк хранит биометрический шаблон. В политике должно быть указано, можно ли отозвать согласие на обработку биометрии и как именно это сделать. По данным Роскомнадзора, в 2025 году количество обращений, связанных с биометрическими данными, выросло на 34%.
5. Передача данных за пределы РФ. Некоторые банки используют облачные сервисы, расположенные за рубежом. Если политика не указывает юрисдикцию хранения, ваши данные могут находиться в стране с менее строгим законодательством о защите персональных данных.
> По результатам проверок Роскомнадзора в 2025 году, 38% выявленных нарушений 152-ФЗ в сфере финансовых сервисов были связаны с отсутствием порядка отзыва согласия на обработку персональных данных (источник: официальные данные Роскомнадзора).
Когда не стоит регистрироваться в банковском приложении
Существуют ситуации, когда регистрация в банковском приложении сомнительна даже при наличии приемлемой политики конфиденциальности.
1. Банк не имеет лицензии ЦБ РФ. Проверьте наличие лицензии на сайте Центрального банка (cbr.ru/registries). Без лицензии банк не подпадает под полный объём требований 115-ФЗ и 152-ФЗ, а ваши данные не защищены на уровне государственного регулирования.
2. Политика содержит ссылки на иностранные юрисдикции. Если в политике указано, что данные могут обрабатываться в странах без адекватного уровня защиты персональных данных (не из перечня Роскомнадзора), регистрация сопряжена с повышенными рисками утечки.
3. Отсутствует порядок отзыва согласия. Если вы не можете найти информацию о том, как отозвать согласие на обработку данных, банк нарушает 152-ФЗ. Регистрироваться в таком приложении не стоит.
4. Сбор биометрии без обоснования. Если банк требует скан паспорта и фото лица для открытия дебетовой карты с остатком до 50 000 ₽ — это избыточный объём данных. Минимальная идентификация для таких продуктов не предполагает биометрическую верификацию.
5. Политика не обновлялась более двух лет. Дата последнего обновления политики должна быть указана в документе. Если политика датирована 2023 годом или ранее, она может не соответствовать актуальным требованиям законодательства, включая поправки 2024–2025 годов.
6. Невозможно скачать текст политики. Если документ доступен только в формате веб-страницы и его нельзя сохранить или распечатать, вы не сможете зафиксировать условия на момент регистрации. Это существенно затруднит доказательную базу в случае спора с банком.
Что такое политика конфиденциальности в банковском приложении?
Политика конфиденциальности — это юридический документ, в котором банк описывает, какие персональные данные он собирает через приложение, для каких целей, как долго хранит и кому передаёт. Документ регулируется Федеральным законом № 152-ФЗ «О персональных данных» и является обязательным для всех банков, имеющих лицензию ЦБ РФ.
Можно ли пользоваться банковским приложением, не соглашаясь с политикой конфиденциальности?
Нет. Согласие с политикой конфиденциальности является обязательным условием регистрации в любом банковском приложении. Без согласия банк не сможет идентифицировать вас как клиента и открыть счёт. Однако вы можете ознакомиться с политикой до регистрации и отказаться от установки приложения, если условия вас не устраивают.
Что делать, если я уже зарегистрировался, но политика мне не нравится?
Вы имеете право отозвать согласие на обработку персональных данных в любой момент. Для этого направьте запрос в банк через приложение, по электронной почте или заказным письмом. Банк обязан рассмотреть запрос и удалить данные в течение 30 дней, за исключением тех, которые он обязан хранить по закону (например, данные по 115-ФЗ — до пяти лет). После отзыва согласия необходимо закрыть все счета и расторнуть договор.