Вопрос: От кредитных организаций, находящихся на обслуживании в НКО НКЦ (АО) <1>, поступило обращение в Клиринговый центр в связи с требованием о представлении Клиринговому центру обновленной отчетности по форме 0409053 <2>, представляемой в Банк России в соответствии с Указанием N 6406-У <3>, о необходимости скорректировать внутренние нормативные документы в целях учета как нормативных обязанностей организации, так и интересов банковского сообщества.
--------------------------------
<1> Далее - также Клиринговый центр.
<2> "Сведения об акционерах (участниках) кредитной организации, о лицах, осуществляющих контроль в отношении акционеров (участников) кредитной организации, лицах, осуществляющих функции единоличного исполнительного органа указанных лиц, лицах, являющихся номинальными держателями акций кредитной организации, а также об аффилированных лицах кредитной организации", далее - форма 0409053.
<3> Указание Банка России от 10.04.2023 N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)".
По итогам обсуждения полученного от Клирингового центра ответа мнения банков по вопросу необходимости получения согласий на обработку (передачу) НКО НКЦ (АО) персональных данных в составе формы 0409053 разделились.
Так, ряд банков считает, что ссылка НКО НКЦ (АО) в ответе на разработанные самим же Клиринговым центром правила, в соответствии с которыми указанная отчетность истребуется, не может являться основанием для обработки (передачи) персональных данных в отсутствие согласия субъекта персональных данных на такую обработку.
Отмечается, что Положение N 658-П <4> прямо не содержит права центрального контрагента запрашивать и обязанности банков предоставлять информацию об акционерах (участниках), контролирующих их лицах, а также ЕИО указанных лиц, отчетность 0409053, при этом в ответе НКО НКЦ (АО) не содержатся ссылки на нормы законодательства, устанавливающие такие требования/обязательства, а также ссылки на нормы законодательства, устанавливающие право/обязанность центрального контрагента включать рассматриваемое требование в правила, им разрабатываемые.
--------------------------------
<4> Положение Банка России от 01.11.2018 N 658-П "О требованиях к квалифицированному центральному контрагенту, порядке признания качества управления центрального контрагента удовлетворительным, об основаниях и порядке принятия решения о признании качества управления центрального контрагента неудовлетворительным, порядке доведения информации о принятом решении до центрального контрагента".
Одновременно другие кредитные организации полагают, что, поскольку:
- центральный контрагент обязан осуществлять мониторинг финансовой устойчивости участников клиринга в случаях, установленных нормативными актами Банка России;
- а участники клиринга, к финансовой устойчивости которых установлены требования, обязаны представлять центральному контрагенту отчетность, характеризующую их финансовое состояние, в объеме, порядке и сроки, которые определены правилами клиринга,
обработка (передача) персональных данных в составе отчетности 0409053 необходима для достижения целей, предусмотренных законом, а также для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, а следовательно, обработка таких персональных данных возможна без согласия физического лица на основании п. 2 ч. 1 ст. 6 Закона о персональных данных.
В связи с изложенным необходимо ли получение банками согласий для передачи на обработку НКО НКЦ (АО) персональных данных лиц, сведения о которых включаются в форму отчетности 0409053?
Ответ: Юридический департамент Банка России совместно с Департаментом инфраструктуры финансового рынка Банка России рассмотрел письмо от 25.07.2024 о представлении персональных данных центральному контрагенту и сообщает, что функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) <1>. Вместе с тем по существу обозначенных в письме вопросов полагаем возможным отметить следующее.
--------------------------------
<1> Пункт 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций".
Обработка персональных данных без согласия субъекта персональных данных допускается в случаях, когда такая обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора <2> функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 Закона о персональных данных <3>).
--------------------------------
<2> Согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператором является государственный орган, муниципальный орган, юридическое или физическое лицо самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
<3> Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
Согласно пункту 3 статьи 3 Закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая в том числе передачу (распространение, представление, доступ) персональных данных.
Участники клиринга, к финансовой устойчивости которых установлены требования, обязаны представлять центральному контрагенту отчетность, характеризующую их финансовое состояние, в объеме, порядке и сроки, которые определены правилами клиринга (часть 3 статьи 11 Закона о клиринге <4>).
--------------------------------
<4> Федеральный закон от 07.02.2011 N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте".
Таким образом, представление участниками клиринга (кредитными организациями) персональных данных центральному контрагенту, по нашему мнению, возможно без согласия субъекта персональных данных на основании пункта 2 части 1 статьи 6 Закона о персональных данных, поскольку обусловлено выполнением возложенных законодательством Российской Федерации на кредитную организацию, выступающую в качестве оператора, функций, полномочий и обязанностей.
Кроме того, отмечаем, что обязанности участников клиринга по предоставлению информации (в том числе отчетности) в соответствии с частью 3 статьи 11 Закона о клиринге корреспондирует обязанность центрального контрагента по обеспечению конфиденциальности предоставляемой ими информации (часть 1 статьи 20 Закона о клиринге).
Вместе с тем обращаем внимание, что при предоставлении участниками клиринга иной информации необходимо учитывать также положения других федеральных законов (например, статьи 26 Закона о банках <5>).
--------------------------------
<5> Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности".
Дополнительно сообщаем, что правила клиринга подлежат регистрации в Банке России (часть 1 статьи 4 Закона о клиринге), при этом Банк России не вмешивается в оперативную деятельность кредитных организаций и некредитных финансовых организаций, за исключением случаев, предусмотренных федеральными законами (статья 56 и статья 76.1 Закона о Банке России <6>).
--------------------------------
<6> Федеральный закон от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
Директор
Юридического департамента
А.В.МЕДВЕДЕВ
27.08.2024