Какие обязанности операторов платежных систем в сфере охраны сведений составляющих банковскую тайну

Обновлено: 28.03.2024

В связи с поступающими от территориальных учреждений Банка России обращениями по вопросам о предоставлении кредитными организациями информации, касающейся банковских счетов клиентов, федеральному антимонопольному органу Центральный банк Российской Федерации сообщает следующее.

Согласно статье 26 Федерального закона "О защите конкуренции на рынке финансовых услуг" федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации и органы местного самоуправления (их должностные лица), финансовые организации (их руководители), граждане, в том числе индивидуальные предприниматели, обязаны представлять в федеральный антимонопольный орган достоверные документы, давать письменные и устные объяснения и представлять иную информацию, необходимую для осуществления федеральным антимонопольным органом его законной деятельности, за исключением сведений, составляющих банковскую тайну.

Статья 857 Гражданского кодекса Российской Федерации предусматривает, что банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

В соответствии с частями 1 и 2 статьи 26 Федерального закона "О банках и банковской деятельности" кредитная организация гарантирует тайну об операциях, о счетах своих клиентов и корреспондентов. Справки по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, выдаются кредитной организацией им самим, судам и арбитражным судам (судьям), Счетной палате Российской Федерации, органам государственной налоговой службы, таможенным органам Российской Федерации в случаях, предусмотренных законодательными актами об их деятельности, а при наличии согласия прокурора - органам предварительного следствия по делам, находящимся в их производстве.

Таким образом, в федеральных законах отсутствует указание на обязанность кредитных организаций предоставить сведения, составляющие банковскую тайну, в федеральный антимонопольный орган и его территориальные подразделения.

Вместе с тем Банк России не усматривает нарушений законодательства Российской Федерации, если информация по счетам клиентов будет предоставлена кредитной организацией федеральному антимонопольному органу с согласия владельца счета или собственника имущества владельца счета.

Статья 27. Обеспечение защиты информации в платежной системе

1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.

(в ред. Федеральных законов от 03.07.2019 N 173-ФЗ, от 02.08.2019 N 264-ФЗ)

(см. текст в предыдущей редакции)

1.1. Запрещается размещение в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", информации, позволяющей в целях неправомерного завладения или создания условий для неправомерного завладения денежными средствами клиентов операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, поставщиков платежных приложений, операторов платежных систем, операторов услуг платежной инфраструктуры осуществлять доступ к информационным системам операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, поставщиков платежных приложений, операторов платежных систем, операторов услуг платежной инфраструктуры, электронным средствам платежа или программному обеспечению, которое применяется указанными клиентами с использованием технического устройства, подключенного к информационно-телекоммуникационной сети "Интернет", и используется при предоставлении (получении) услуг операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, поставщиков платежных приложений, операторов платежных систем, операторов услуг платежной инфраструктуры, а также к базам данных, содержащим полученную с использованием информационно-телекоммуникационных сетей, в том числе сети "Интернет", информацию об указанных клиентах.

(часть 1.1 введена Федеральным законом от 01.07.2021 N 250-ФЗ)

2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.

3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи.

(в ред. Федеральных законов от 03.07.2019 N 173-ФЗ, от 02.08.2019 N 264-ФЗ)

(см. текст в предыдущей редакции)

4. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, установленном Банком России.

(часть 4 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

5. В целях обеспечения защиты информации при осуществлении переводов денежных средств Банк России осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

(часть 5 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

6. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента по форме и в порядке, которые установлены Банком России.

(часть 6 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

7. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры вправе получать от Банка России по форме и в порядке, которые им установлены, информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Статья 15. Оператор платежной системы и требования к его деятельности

(в ред. Федерального закона от 28.11.2018 N 452-ФЗ)

(см. текст в предыдущей редакции)

(в ред. Федерального закона от 28.11.2018 N 452-ФЗ)

(см. текст в предыдущей редакции)

3. Оператор платежной системы, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора услуг платежной инфраструктуры (за исключением расчетного центра) и с иной деятельностью, если это не противоречит законодательству Российской Федерации.

4. Банк России осуществляет деятельность оператора платежной системы на основании настоящего Федерального закона в соответствии с нормативными актами Банка России и заключаемыми договорами.

5. Оператор платежной системы обязан:

1) определять правила платежной системы, организовывать и осуществлять контроль за их соблюдением участниками платежной системы, операторами услуг платежной инфраструктуры;

2) осуществлять привлечение операторов услуг платежной инфраструктуры, за исключением случая, если оператор платежной системы совмещает функции оператора услуг платежной инфраструктуры, исходя из характера и объема операций в платежной системе, вести перечень операторов услуг платежной инфраструктуры, обеспечивать бесперебойность оказания услуг платежной инфраструктуры участникам платежной системы, а также информировать Банк России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры в день такого приостановления (прекращения) в порядке, установленном Банком России;

(п. 2 в ред. Федерального закона от 05.05.2014 N 112-ФЗ)

(см. текст в предыдущей редакции)

3) организовывать систему управления рисками в платежной системе в соответствии со статьей 28 настоящего Федерального закона, осуществлять оценку и управление рисками в платежной системе, обеспечивать бесперебойность функционирования платежной системы в порядке, установленном Банком России;

(в ред. Федерального закона от 05.05.2014 N 112-ФЗ)

(см. текст в предыдущей редакции)

4) обеспечивать возможность досудебного и (или) третейского рассмотрения споров с участниками платежной системы и операторами услуг платежной инфраструктуры в соответствии с правилами платежной системы.

6. Оператор платежной системы, не являющийся кредитной организацией, обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее одного года осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам.

8. К регистрационному заявлению кредитной организации, намеревающейся стать оператором платежной системы, прилагаются следующие документы:

1) решение органа управления кредитной организации об организации платежной системы;

2) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов;

3) правила платежной системы, соответствующие требованиям настоящего Федерального закона;

4) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе.

9. Организация, не являющаяся кредитной организацией, намеревающаяся стать оператором платежной системы, должна соответствовать следующим требованиям:

1) обладать чистыми активами в размере не менее 10 миллионов рублей;

2) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, должны иметь высшее экономическое, высшее юридическое образование или высшее образование в сфере информационных и коммуникационных технологий, а при наличии иного высшего образования - опыт руководства отделом или иным подразделением кредитной организации или оператора платежной системы не менее двух лет;

(в ред. Федерального закона от 02.07.2013 N 185-ФЗ)

(см. текст в предыдущей редакции)

3) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, не должны иметь судимость за преступления в сфере экономики, а также фактов расторжения трудового договора с ними по инициативе работодателя на основании, предусмотренном пунктом 7 части первой статьи 81 Трудового кодекса Российской Федерации, в течение двух лет, предшествовавших дню подачи в Банк России регистрационного заявления.

10. К регистрационному заявлению организации, не являющейся кредитной организацией, намеревающейся стать оператором платежной системы, прилагаются следующие документы:

1) учредительные документы;

2) решение уполномоченного органа такой организации об организации платежной системы;

3) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов;

4) правила платежной системы, соответствующие требованиям настоящего Федерального закона;

5) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе;

6) письменное согласие кредитной организации, в том числе в форме заключенного с ней договора, стать расчетным центром платежной системы с учетом требований части 6 настоящей статьи;

7) документы, содержащие сведения о размере чистых активов организации, с приложением форм бухгалтерской отчетности, составленной на последнюю отчетную дату, предшествующую дате представления документов в Банк России для регистрации. Указанные формы отчетности должны быть подписаны единоличным исполнительным органом организации и главным бухгалтером (их заместителями);

8) документы, подтверждающие соблюдение требований, предусмотренных пунктами 2 и 3 части 9 настоящей статьи.

11. В срок, не превышающий 30 календарных дней со дня получения регистрационного заявления от организации, намеревающейся стать оператором платежной системы, Банк России принимает решение о регистрации указанной организации в качестве оператора платежной системы или решение об отказе в такой регистрации.

12. В случае принятия решения о регистрации организации в качестве оператора платежной системы Банк России присваивает организации регистрационный номер, включает информацию о ней в реестр операторов платежных систем, который является общедоступным, и направляет организации регистрационное свидетельство по форме, установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия указанного решения. Порядок ведения реестра операторов платежных систем устанавливается Банком России.

13. Организация, направившая в Банк России регистрационное заявление, вправе стать оператором платежной системы со дня получения регистрационного свидетельства Банка России.

14. Оператор платежной системы обязан указывать свой регистрационный номер при предоставлении информации о платежной системе.

16. Оператор платежной системы, не являющийся кредитной организацией, обязан соблюдать требования, предусмотренные частью 9 настоящей статьи, в течение всего времени осуществления деятельности оператора платежной системы.

17. Банк России отказывает кредитной организации в регистрации в качестве оператора платежной системы в случае:

1) непредставления документов, предусмотренных частью 8 настоящей статьи;

2) несоответствия разработанных правил платежной системы требованиям настоящего Федерального закона.

18. Банк России отказывает организации, не являющейся кредитной организацией, в регистрации в качестве оператора платежной системы в случае:

1) непредставления документов, предусмотренных частью 10 настоящей статьи;

2) установления несоответствия организации требованиям, предусмотренным частью 9 настоящей статьи;

3) несоответствия разработанных правил платежной системы требованиям настоящего Федерального закона.

19. В случае отказа в регистрации в качестве оператора платежной системы Банк России в письменной форме уведомляет об этом организацию, направившую регистрационное заявление, с указанием оснований отказа и приложением представленных для регистрации документов в срок не позднее пяти рабочих дней с даты принятия решения об отказе в регистрации.

21. К дополнительному регистрационному заявлению кредитной организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные частью 8 настоящей статьи.

22. К дополнительному регистрационному заявлению организации, не являющейся кредитной организацией, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные пунктами 2 - 8 части 10 настоящей статьи.

23. Банк России принимает решение о регистрации организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, или решение об отказе в такой регистрации в срок, не превышающий 30 календарных дней со дня получения дополнительного регистрационного заявления.

24. В случае принятия решения о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы Банк России включает информацию в реестр операторов платежных систем без присвоения нового регистрационного номера и направляет организации уведомление по форме, установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия соответствующего решения.

25. Организация вправе стать оператором другой платежной системы со дня получения уведомления Банка России о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы.

27. Банк России направляет организации новое регистрационное свидетельство с указанием платежных систем, оператором которых является организация, на следующий рабочий день после дня получения от организации ранее выданного регистрационного свидетельства.

28. Банк России принимает решение об отказе в регистрации кредитной организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных частью 8 настоящей статьи.

29. Банк России принимает решение об отказе в регистрации организации, не являющейся кредитной организацией, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных пунктами 2 - 8 части 10 настоящей статьи, либо при несоответствии оператора платежной системы установленным требованиям.

30. При изменении сведений об операторе платежной системы, указанных при его регистрации, оператор платежной системы обязан уведомить Банк России по установленной им форме в течение трех рабочих дней после дня наступления таких изменений. На основании полученного уведомления оператора платежной системы Банк России в течение трех рабочих дней со дня его получения вносит соответствующие изменения в реестр операторов платежных систем.

31. Банк России вправе принимать решения об исключении сведений об организации из реестра операторов платежных систем по следующим основаниям и в следующие сроки:

1) на основании заявления оператора платежной системы с указанием им рабочего дня, в который сведения об организации исключаются из реестра операторов платежных систем, - в рабочий день, указанный в заявлении, но не ранее дня представления заявления оператора платежной системы;

2) в случаях, предусмотренных частями 8 и 9 статьи 34 настоящего Федерального закона, - в рабочий день, следующий за днем принятия решения Банком России;

3) в случае установления Банком России при осуществлении надзора факта существенного несоответствия сведениям, на основании которых осуществлялась регистрация оператора платежной системы, - в рабочий день, следующий за днем принятия решения Банком России;

4) при отзыве Банком России лицензии на осуществление банковских операций у кредитной организации, являющейся оператором платежной системы, - в рабочий день, следующий за днем отзыва лицензии Банком России;

5) в случае ликвидации оператора платежной системы как юридического лица - в рабочий день, следующий за днем, в который Банку России стало известно о ликвидации юридического лица, являющегося оператором платежной системы.

32. Исключение сведений об организации из реестра операторов платежных систем по иным основаниям, за исключением оснований, предусмотренных частью 31 настоящей статьи, не допускается.

33. При исключении сведений об организации из реестра операторов платежных систем Банк России вносит соответствующую запись в реестр операторов платежных систем и не позднее дня, следующего за днем такого исключения, направляет организации уведомление об исключении сведений о ней из реестра операторов платежных систем, за исключением случая, предусмотренного пунктом 5 части 31 настоящей статьи. Не позднее дня, следующего за днем получения уведомления Банка России, организация обязана возвратить Банку России свое регистрационное свидетельство.

С 01.10.2022 в ч. 34 ст. 15 вносятся изменения (ФЗ от 19.11.2021 N 369-ФЗ). См. будущую редакцию.

34. Со дня, следующего за днем получения оператором платежной системы, не являющимся кредитной организацией, уведомления об исключении сведений из реестра операторов платежных систем, осуществление переводов денежных средств в рамках платежной системы прекращается, а переводы денежных средств, осуществление которых было начато до указанного дня, должны быть завершены центральным платежным клиринговым контрагентом и (или) расчетным центром в течение срока, установленного частью 5 статьи 5 настоящего Федерального закона. В отношении значимых платежных систем срок прекращения осуществления и завершения переводов денежных средств может быть увеличен Банком России, но не более чем до одного месяца.

35. Порядок завершения переводов денежных средств центральным платежным клиринговым контрагентом и (или) расчетным центром в случае отзыва у них лицензий на осуществление банковских операций определяется федеральным законом.

36. Оператор платежной системы обязан представлять в Банк России изменения правил платежной системы, изменения перечня операторов услуг платежной инфраструктуры не позднее 10 дней со дня внесения соответствующих изменений.

37. Операторы платежных систем могут заключить договор о взаимодействии своих платежных систем при условии отражения порядка такого взаимодействия в правилах платежных систем.

37.1. Оператор платежной системы и оператор иностранной платежной системы могут заключить договор о взаимодействии при условии отражения порядка взаимодействия в правилах платежной системы и правилах иностранной платежной системы.

(часть 37.1 введена Федеральным законом от 02.08.2019 N 264-ФЗ)

38. Деятельность оператора платежной системы, в рамках которой осуществляется перевод денежных средств между операторами по переводу денежных средств, находящимися на территории Российской Федерации, может осуществляться только организацией, созданной в соответствии с законодательством Российской Федерации и соответствующей требованиям настоящего Федерального закона.

До 01.01.2023 не применяются меры воздействия за несоблюдение срока направления заявления, установленного ч. 39 ст. 15 (Письмо Банка России от 31.03.2022 N ИН-04-45/48).

В соответствии с Положением о защите информации в платежной системе (утв. постановлением Правительства РФ от 13.06.2012 № 584) защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных:
а) на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
б) на соблюдение конфиденциальности информации;
в) на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.

Нормативные правовые акты, стандарты и рекомендации

  • Письмо Банка России от 05.08.2013 № 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
  • Письмо Банка России от 01.03.2013 № 34-Т "О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов"
  • Указание Банка России от 09.06.2012 № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств"
  • "Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах" (утв. Банком России 31.05.2012 № 379-П)
  • "Положение о порядке осуществления наблюдения в национальной платежной системе" (утв. Банком России 31.05.2012 № 380-П)
  • "Положение о порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе", принятых в соответствии с ним нормативных актов Банка России" (утв. Банком России 09.06.2012 № 381-П)
  • "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 № 382-П)
  • "Положение о требованиях к защите информации в платежной системе Банка России" (утв. Банком России 24.08.2016 № 552-П)
  • Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
  • Федеральный закон от 27.06.2011 № 161-ФЗ "О национальной платежной системе"
  • "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 № 195-ФЗ
  • Постановление Правительства РФ от 13.06.2012 № 584 "Об утверждении Положения о защите информации в платежной системе"

Надзорные органы

Аналитические материалы и комментарии

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: