Короткий вывод: что проверить в политике конфиденциальности за 5 минут
Коротко: за пять минут нужно найти в документе три вещи — перечень собираемых данных, список третьих лиц, которым банк их передаёт, и условия хранения. Если хотя бы один из этих пунктов отсутствует или формулировки размыты — это повод задуматься.
Далее мы разберём каждый из этих пунктов подробно и покажем, как выглядят политики трёх крупнейших банков — Тинькофф, Сбера и Альфа-Банка.
Какие персональные данные запрашивает онлайн-банк при открытии счёта
При открытии банковского счёта онлайн-банк собирает значительно больше данных, чем может показаться на первый взгляд. Стандартный набор включает:
1. ФИО, дата рождения, гражданство — базовая идентификация, без неё открытие счёта невозможно по закону.
2. Паспортные данные — серия, номер, дата выдачи, код подразделения. Банк обязан проверить их через ГУВМ МВД или систему ЕСИА.
3. ИНН — налоговый идентификатор, необходимый для автоматического расчёта налогов и контроля за доходами.
4. Контактные данные — номер телефона, адрес электронной почты, почтовый адрес.
5. Данные о доходах — в ряде случаев банк запрашивает сведения о трудоустройстве и размере заработной платы, особенно при оформлении кредита.
6. Биометрические данные — фотография и видео для верификации личности через приложение.
7. Геолокация и данные устройства — IP-адрес, тип устройства, операционная система.
По данным ЦБ РФ, в 2025 году более 78% банковских продуктов оформляется дистанционно, что означает автоматический сбор расширенного набора персональных данных. Обратите внимание: если банк запрашивает данные, которые не указаны в перечне — это нарушение.
> Согласно статье 5 Федерального закона № 152-ФЗ, обработка персональных данных должна быть ограничена достижением конкретных, заранее определённых целей. Банк не вправе собирать данные «на всякий случай».
Таблица проверки: сравнение политик обработки данных Тинькофф, Сбера и Альфа-Банка
Мы проанализировали актуальные версии политик конфиденциальности трёх крупнейших онлайн-банков по состоянию на январь 2026 года. Вот ключевые различия:
| Параметр | Тинькофф | Сбер | Альфа-Банк |
|---|---|---|---|
| Перечень собираемых данных | Расширенный: включает данные о трафике и поведении в приложении | Базовый + биометрия | Базовый + геолокация |
| Передача третьим лицам | До 12 категорий партнёров | До 8 категорий партнёров | До 10 категорий партнёров |
| Срок хранения данных | До 5 лет после закрытия счёта | До 3 лет после закрытия счёта | До 5 лет после закрытия счёта |
| Биометрия | Обязательна для удалённого открытия | Обязательна | Опционально |
| Право на удаление | Заявление через приложение, срок — 30 дней | Заявление в отделении или онлайн, срок — 30 дней | Заявление через чат, срок — 30 дней |
| Передача за рубеж | Да, в рамках группы компаний | Ограничена | Да, в рамках группы компаний |
Как видно из таблицы, Тинькофф собирает наибольший объём данных, включая информацию о поведении в приложении. Сбер более ограничен в передаче данных третьим лицам, но требует обязательной биометрии. Альфа-Банк занимает промежуточную позицию.
Где в политике прячут риски: на что обратить внимание
При чтении политики конфиденциальности онлайн-банка мы рекомендуем обратить внимание на следующие формулировки, которые могут скрывать риски:
1. Фразы с «в том числе» и «иные данные». Если в перечне собираемых данных есть пункт «иные данные, необходимые для оказания услуг» — это широкая формулировка, которая позволяет банку собирать практически любую информацию. По нашему опыту, именно такие формулировки чаще всего становятся основанием для споров.
2. Передача «партнёрам» без конкретного перечня. Если банк указывает, что передаёт данные «партнёрам», но не раскрывает список — вы не можете оценить, кому именно достанутся ваши данные. На cosmo2tree.com мы регулярно проверяем такие формулировки и рекомендуем выбирать банки с прозрачным списком партнёров.
3. Согласие на обработку «маркетинговых данных». Такая формулировка означает, что банк вправе использовать ваши данные для таргетированной рекламы и передавать их рекламным сетям.
4. Отсутствие конкретных сроков хранения. Если в политике написано «в течение срока, необходимого для достижения целей обработки» — это размытая формулировка, которая не даёт гарантий удаления данных.
5. Пункт о передаче данных за рубеж. Если банк является частью международной группы, данные могут передаваться в другие юрисдикции, где уровень защиты персональных данных ниже, чем в России.
Когда стоит отказаться от открытия счёта в конкретном банке
Есть несколько ситуаций, в которых стоит отказаться от открытия счёта:
1. Банк не раскрывает список третьих лиц. Если вы не можете узнать, кому банк передаёт ваши данные — это серьёзный риск. По данным Роскомнадзора, в 2025 году было выявлено более 120 нарушений в сфере передачи персональных данных банками.
2. Политика содержит формулировки «иные данные» и «иные цели». Такие формулировки дают банку слишком широкие полномочия.
3. Банк требует обязательной биометрии, но не объясняет, где она хранится. Биометрические данные — особая категория персональных данных, и их обработка регулируется строже.
4. Данные передаются в юрисдикции с низким уровнем защиты. Если банк является частью международной группы и передаёт данные за рубеж — убедитесь, что это безопасно.
5. Политика не соответствует требованиям 152-ФЗ. Если вы заметили нарушения — сообщите в Роскомнадзор.
> По данным Банка России, в 2025 году количество жалоб на нарушение банковскими организациями правил обработки персональных данных выросло на 23% по сравнению с 2024 годом.
Тот же принцип работает и при покупке техники: прежде чем подписать гарантийные обязательства, стоит сравнить условия гарантии на технику в интернет-магазине и в офлайн-магазине — прозрачность документов одинаково важна в любой сфере.
Часто задаваемые вопросы о защите данных в банковских приложениях
Можно ли отказаться от передачи данных третьим лицам?
Да, вы можете отказаться от передачи данных третьим лицам, но в ряде случаев это может повлечь отказ в обслуживании. Банк обязан указать в политике, какие данные являются обязательными для открытия счёта, а какие — факультативными. Если отказ от передачи данных делает невозможным оказание услуги — банк должен сообщить об этом заранее.
Как проверить, соблюдает ли банк политику конфиденциальности?
Вы можете подать запрос в банк на предоставление информации о том, какие ваши данные обрабатываются и кому они передавались. Банк обязан ответить в течение 30 дней. Также вы можете проверить наличие у банка сертификата соответствия требованиям ФСТЭК и Роскомнадзора.
Что делать, если банк нарушил условия обработки данных?
В случае нарушения вы можете подать жалобу в Роскомнадзор или обратиться в суд. Срок исковой давности по таким делам составляет 3 года. Рекомендуем сохранять все скриншоты политик и переписки с банком в качестве доказательной базы.