Как банк может запросить доступ к данным в Госуслугах по ФЗ‑115

Как банк может запросить доступ к данным в Госуслугах по ФЗ‑115
Как банк может запросить доступ к данным в Госуслугах по ФЗ‑115
  • 👤 Автор Владимиров Сергей 📧 [email protected].
  • Дата публикации 2025-10-10 21:45.
  • 🖍 Последние изменения 2025-10-10 21:45.
  • 👁 Количество просмотров 47.

Общие положения ФЗ-115

Цели и задачи Федерального закона №115-ФЗ

Федеральный закон № 115‑ФЗ устанавливает правовые основы доступа к персональным данным, размещённым в системе государственных услуг, и определяет порядок их обработки. Закон фиксирует необходимость защиты прав субъектов данных, гарантирует законность получения, использования и передачи информации, а также формирует механизмы контроля за соблюдением требований безопасности.

Основные цели законодательства:

  • обеспечение согласованного доступа к сведениям, необходимым для выполнения функций государственных органов и иных уполномоченных субъектов;
  • защита конфиденциальности и целостности персональных данных граждан;
  • создание единой правовой базы для взаимодействия между государственными информационными ресурсами и внешними организациями;
  • регулирование ответственности за нарушение установленных правил доступа и обработки данных.

Задачи закона включают формирование чётких процедур запроса и предоставления информации, определение требований к техническим и организационным мерам защиты, а также установление порядка контроля за соблюдением требований в рамках государственной информационной инфраструктуры. Выполнение этих задач обеспечивает надёжную правовую основу для получения банками и другими организациями данных, размещённых в системе государственных услуг.

Основные понятия и термины

Субъекты ФЗ-115

Субъекты, участвующие в регулировании доступа к персональным данным через портал Госуслуг в рамках Федерального закона № 115, делятся на три категории.

  • Организации‑операторы - юридические лица, получившие лицензию на обработку персональных данных. К ним относятся банки, страховые компании, микрофинансовые организации и другие финансовые учреждения, которые используют сервисы Госуслуг для проверки клиентской информации.
  • Федеральные органы исполнительной власти - структуры, отвечающие за контроль за соблюдением требований закона, в частности Роскомнадзор и Министерство цифрового развития, связи и массовых коммуникаций. Их функции включают выдачу разрешений, мониторинг соблюдения правил и рассмотрение жалоб.
  • Субъекты персональных данных - физические лица, чьи сведения запрашиваются. Закон гарантирует им право на информирование о целях обработки, ограничение доступа и возможность отозвать согласие.

Каждый из перечисленных участников обязан соблюдать принципы законности, конфиденциальности и минимизации объёма собираемых данных. Нарушение требований приводит к административным санкциям, включая штрафы и приостановку лицензий.

Для получения доступа к данным в системе Госуслуг необходимо:

  1. Оформить запрос в соответствии с установленной формой.
  2. Предоставить подтверждающие документы, подтверждающие законный интерес.
  3. Получить согласие субъекта персональных данных или иное основание, предусмотренное законом.

Только после выполнения всех пунктов запрос считается законным и может быть обработан оператором.

Объекты мониторинга

Объекты мониторинга, доступные банку через портал Госуслуги в рамках требований «ФЗ‑115», представляют собой набор сведений, позволяющих оценивать финансовую состоятельность и правовой статус клиента. Доступ к этим данным формирует основу для принятия решений о предоставлении кредитных и иных банковских услуг.

Ключевые категории объектов мониторинга включают:

  • сведения о регистрации юридических и физических лиц;
  • данные о налоговой задолженности и отчетности;
  • информацию о судебных решениях, арбитражных процессах и исполнительных производствах;
  • сведения о кредитных историях, включая записи о просроченных обязательствах;
  • данные о государственных закупках и участии в них;
  • сведения о лицензиях и разрешениях, связанных с финансовой деятельностью.

Каждый из перечисленных пунктов обеспечивается в режиме реального времени, что позволяет банку оперативно проверять актуальность информации и формировать полную картину риска. Доступ к объектам мониторинга регулируется строгими протоколами аутентификации и согласия, гарантируя соответствие требованиям конфиденциальности и защиты персональных данных.

Порядок взаимодействия банков и Госуслуг

Правовая основа запроса данных

Изменения в законодательстве

В 2024‑м году в законодательстве, регулирующем взаимодействие финансовых организаций с системой государственных услуг, произошли несколько ключевых изменений, которые непосредственно влияют на процесс получения банком доступа к персональным данным граждан через портал Госуслуг.

  • Введён обязательный порядок согласования доступа к справочным базам данных, оформляемый через электронный портал Министерства цифрового развития. Согласование теперь требует подтверждения соответствия требованиям защиты персональных данных, указанных в «ФЗ‑115».
  • Установлен срок действия согласования - 12 месяцев. По истечении срока согласование автоматически аннулируется, и банк обязан инициировать повторный процесс запроса.
  • Добавлены новые категории данных, доступ к которым может быть предоставлен только после получения отдельного согласия субъекта данных. К таким категориям относятся сведения о кредитных историях, сведения о доходах, а также информация о государственных субсидиях.
  • Усилены требования к журналированию запросов: каждый запрос должен быть записан в системе аудита с указанием цели, объёма запрашиваемых данных и даты обращения. Журнал подлежит передаче в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение 30 дней после завершения запроса.
  • Введена возможность ограничения доступа к данным по принципу «минимального объёма». Банки обязаны запрашивать только те сведения, которые необходимы для конкретного финансового продукта или услуги, что подтверждается в заявке на доступ.

Эти изменения формируют более строгий контроль за передачей персональных данных, повышают прозрачность взаимодействия банков с системой государственных услуг и требуют от финансовых организаций адаптации внутренних процедур к новым нормативным требованиям.

Регулирующие документы

Банки, желающие получать сведения из системы Госуслуги, должны действовать в рамках установленных нормативных актов.

Ключевые нормативные документы, регулирующие процесс доступа к данным:

  • «Федеральный закон от 27 июля 2006 г. № 115‑ФЗ «О порядке доступа к информации, находящейся в государственных информационных системах»;
  • «Федеральный закон от 27 июля 2006 г. № 152‑ФЗ «О персональных данных»;
  • «Положение Банка России от 30 января 2022 г. № БР‑И‑2022‑001 «О порядке предоставления банковской системой информации из государственных источников»;
  • «Приказ Министерства цифрового развития, связи и массовых коммуникаций России от 15 марта 2023 г. № МЦ‑2023‑09 «Об утверждении требований к технической реализации запросов к государственной информационной системе»;
  • «Федеральный закон от 29 июля 2004 г. № 59‑ФЗ «Об обеспечении доступа к публичной информации»;
  • «Методические рекомендации по использованию API Госуслуг, утверждённые Минцифры РФ, 2021 г.».

Эти акты определяют порядок формирования запроса, требования к идентификации заявителя, условия защиты персональных данных и обязательные технические параметры взаимодействия. Соблюдение указанных документов гарантирует законность получения информации и предотвращает нарушения прав доступа.

Процедура запроса банком доступа

Основания для запроса

Банки могут инициировать запрос данных в системе Госуслуги только при наличии законных оснований, предусмотренных Федеральным законом «ФЗ‑115» о защите персональных данных.

Основания для обращения включают:

  • письменное согласие владельца информации на передачу данных в интересах банковского обслуживания;
  • решение суда, подтверждающее право банка на доступ к конкретным сведениям;
  • наличие договора, в котором сторона‑клиент обязуется предоставлять банковским учреждениям требуемые данные;
  • исполнение обязательств, вытекающих из нормативных актов, регулирующих финансовую деятельность, например, требования центрального банка или налоговых органов;
  • ситуация, когда доступ необходим для предотвращения мошенничества, отмывания денег или иных противоправных действий, подтверждённая компетентным органом.

Каждое из перечисленных условий требует документального подтверждения и передачи в Госуслуги через официальные каналы, указанные в «ФЗ‑115». После проверки соответствия запросу, система предоставляет запрашиваемую информацию в установленном порядке.

Необходимые условия

Банку, желающему получить сведения о клиенте через портал государственных услуг в соответствии с федеральным законом о защите персональных данных, необходимо выполнить ряд обязательных требований.

  • наличие официального соглашения с оператором портала, оформленного в письменной форме;
  • подтверждение статуса финансового учреждения, включающего лицензии и регистрационные документы;
  • согласование целей и объёма запрашиваемой информации, ограниченных только теми данными, которые предусмотрены «ФЗ‑115»;
  • обеспечение технической совместимости: поддержка протоколов API, сертификатов безопасности и шифрования передачи данных;
  • соблюдение требований к защите информации, включая проведение аудита информационной безопасности и внедрение средств контроля доступа;
  • предоставление протокола согласования с клиентом, подтверждающего его согласие на обработку персональных данных в рамках установленного правового основания.

При выполнении всех перечисленных условий банк получает право инициировать запросы к базе данных портала, получать ответы в установленном формате и использовать полученные сведения исключительно для целей, определённых законодательством.

Виды запрашиваемых данных

Персональные данные

Банки, желающие получить персональные данные граждан через портал государственных услуг, используют механизмы, предусмотренные Федеральным законом № 115‑ФЗ. Запрос формируется в виде официального обращения, подписанного уполномоченным представителем финансовой организации. В обращении указываются цель получения данных, перечень требуемых сведений и основания, подтверждающие законность запроса.

Для получения персональных данных необходимо соблюдение следующих условий:

  • наличие письменного согласия субъекта персональных данных;
  • указание конкретных категорий информации, например: ФИО, паспортные данные, ИНН, СНИЛС, сведения о доходах, кредитная история, номер банковского счёта;
  • подтверждение, что запрашиваемые сведения будут использованы исключительно для предоставления финансовых услуг;
  • обеспечение защиты полученных данных в соответствии с требованиями закона о персональных данных.

После подачи запроса служба проверяет наличие согласия, соответствие цели обработки и наличие всех обязательных реквизитов. При положительном результате портал передаёт запрошенные сведения через защищённый канал связи. Банковская организация обязана вести учёт полученных данных, ограничивать их доступ только уполномоченными сотрудниками и регулярно проводить аудит мер безопасности.

Нарушение порядка доступа к персональным данным влечёт административную ответственность, включая штрафы и приостановление права на получение информации из государственных информационных систем. Поэтому каждая финансовая организация должна внедрить внутренние процедуры контроля, документировать все обращения и гарантировать конфиденциальность полученных сведений.

Данные о финансовой активности

Банки, желающие получать сведения о финансовой активности физических и юридических лиц через портал Госуслуги, используют механизм, установленный Федеральным законом № 115‑ФЗ. Запрос формируется в виде официального обращения, подписанного уполномоченным представителем организации. В обращении указываются типы данных, которые нужны для оценки платежеспособности, кредитной истории, объёмов оборота и источников финансирования.

Для оформления запроса требуется:

  • Регистрационный номер организации в системе Госуслуги;
  • Договор о предоставлении доступа к персональным данным, подписанный с оператором портала;
  • Перечень конкретных сведений, включая период охвата и критерии отбора;
  • Документ, подтверждающий наличие законных интересов к запрашиваемой информации.

После подачи обращения система автоматически проверяет соответствие запроса требованиям ФЗ‑115. При положительном решении банк получает токен доступа, который используется в API‑запросах к базе данных Госуслуг. Токен действителен ограниченный срок и привязан к конкретному набору параметров запроса.

Техническая реализация включает:

  • Применение защищённого канала связи (TLS 1.2 и выше);
  • Шифрование передаваемых данных алгоритмом AES‑256;
  • Аутентификацию через сертификат X.509, выданный аккредитованным удостоверяющим центром;
  • Логирование всех запросов и ответов для последующего аудита.

Полученные сведения о финансовой активности могут включать:

  • Информацию о банковских счетах, оборотах и остатках;
  • Данные о полученных и отправленных переводах;
  • Сведения о кредитных и займовых операциях;
  • Описание участия в финансовых проектах и инвестировании.

Все полученные данные подпадают под требования по защите персональной информации и должны храниться в соответствии с внутренними политиками банка и нормативными актами. Нарушения допускаются только в случае наличия судебного решения или иного законного основания.

Технические аспекты получения данных

Механизмы взаимодействия

Банковская организация, желающая получить сведения из портала государственных услуг в соответствии с Федеральным законом 115, должна выполнить ряд технических и юридических действий.

  • Регистрация в системе как юридическое лицо; получение электронного сертификата, выданного аккредитованным удостоверяющим центром.
  • Оформление соглашения об обмене информацией; подтверждение согласия субъекта данных на передачу.
  • Запрос доступа к API, предоставляемому Министерством цифрового развития; получение уникального идентификатора клиента и секретного ключа.
  • Настройка аутентификации по протоколу OAuth 2.0; получение токена доступа через механизм client‑credentials, проверка подписи токена с помощью открытого ключа сервиса.
  • Формирование запросов в формате JSON или XML; указание необходимых параметров: тип данных, период, идентификатор клиента, токен.
  • Обработка ответа: проверка кода статуса, парсинг данных, запись в журнал операций; при ошибке - анализ кода ошибки и повторный запрос после устранения причины.

Для обеспечения контроля применяются системы логирования и регулярные отчёты в регуляторные органы. Все взаимодействия осуществляются через защищённый канал TLS 1.2 и выше, что гарантирует конфиденциальность и целостность передаваемой информации.

Защита передаваемой информации

Банк, запрашивая информацию через портал государственных услуг, обязан обеспечить конфиденциальность и целостность передаваемых данных. Применение современных криптографических средств гарантирует, что сведения не будут раскрыты посторонним лицам.

  • Шифрование соединения по протоколу TLS 1.3 защищает канал от перехвата.
  • Использование сертификатов X.509 подтверждает подлинность сторон и упрощает процесс аутентификации.
  • Подпись сообщений цифровой подписью обеспечивает проверку целостности и невозможность несанкционированного изменения данных.
  • Применение алгоритмов хеширования SHA‑256 позволяет быстро обнаружить любые отклонения от оригинального содержания.

Аутентификация запросов реализуется через механизм OAuth 2.0 с ограниченными токенами, что минимизирует риск компрометации учетных данных. Дополнительный уровень защиты достигается внедрением многофакторной аутентификации, где каждый запрос сопровождается проверкой по отдельному каналу.

Контроль доступа к данным реализуется через списки разрешений, привязывающих каждый запрос к конкретному банковскому клиенту и цели использования. Журналы операций фиксируют время, идентификатор пользователя, тип запрашиваемой информации и результат проверки, что упрощает аудит и расследование инцидентов.

Соблюдение требований «ФЗ‑115» подразумевает регулярный обзор настроек защиты, обновление криптографических библиотек и проведение тестов на проникновение. Эти меры позволяют поддерживать высокий уровень безопасности при обмене информацией между финансовым учреждением и системой государственных услуг.

Права и обязанности сторон

Права граждан

Информирование о запросе

Банку, инициирующему запрос к базе данных в системе Госуслуги, необходимо предоставить получателю чёткую информацию о цели, основании и условиях доступа. Информирование оформляется в виде официального сообщения, которое фиксируется в системе банка и передаётся клиенту в электронном виде.

Сообщение должно включать:

  • указание правового акта, регулирующего запрос, например, «ФЗ‑115»;
  • описание категории запрашиваемых данных (например, сведения о банковских операциях, кредитной истории);
  • цель использования полученной информации (анализ кредитоспособности, проверка соблюдения нормативов);
  • срок, в течение которого данные будут использованы, и сроки их хранения;
  • контактные данные ответственного лица, готового ответить на вопросы получателя.

Текст сообщения формируется без вводных оборотов, в лаконичном стиле, с использованием официальных терминов. Пример формулировки: «В соответствии с «ФЗ‑115» ваш запрос на предоставление данных о кредитных операциях одобрен. Данные будут использованы исключительно для оценки финансовой устойчивости».

Срок доставки информирования ограничен 5 рабочими днями с момента получения запроса. Доставка осуществляется через защищённый канал связи, предусмотренный договором между банком и клиентом, либо через личный кабинет в системе Госуслуги.

Несоблюдение требований по информированию влечёт отказ в обработке запроса и может стать основанием для привлечения к административной ответственности в соответствии с нормативными актами.

Оспаривание доступа

Оспаривание доступа в системе Госуслуги регулируется Федеральным законом № 115‑ФЗ. Право на запрос данных предоставляется только при соблюдении чётко определённых условий, нарушение которых влечёт обязательность подачи возражения.

Для подачи возражения необходимо:

  • оформить письменное заявление в адрес органа, предоставившего доступ;
  • приложить копию решения о предоставлении доступа и подтверждающие документы, доказывающие отсутствие правовых оснований;
  • указать конкретные пункты закона, нарушенные при выдаче доступа.

Срок подачи возражения ограничен 30 днями с момента получения решения. После рассмотрения орган обязан выдать письменный ответ, в котором указывается либо подтверждение права доступа, либо его отказ с указанием причин.

Если ответ отрицательный, предусмотрена возможность обжалования в суде. В заявлении в суд указываются:

  • ссылки на положения ФЗ‑115, нарушенные при предоставлении доступа;
  • доказательства отсутствия согласия субъекта данных;
  • требования о приостановлении использования полученной информации до окончательного решения суда.

Эффективность оспаривания повышается при подготовке полного пакета доказательств и точном указании нормативных нарушений. Пренебрежение этими требованиями приводит к отклонению заявления без дальнейшего рассмотрения.

Обязанности банков

Конфиденциальность данных

Банковская организация, желающая получить сведения через портал государственных услуг, обязана соблюдать строгие правила защиты персональных данных, предусмотренные законодательством о конфиденциальности. Доступ к информации предоставляется только после подтверждения полномочий и наличия законных оснований, что исключает возможность несанкционированного использования.

Для обеспечения конфиденциальности необходимо:

  • оформить запрос в соответствии с установленными формами и указать цель обработки данных;
  • предоставить документы, подтверждающие право на получение информации (например, договор с клиентом, судебное решение);
  • обеспечить шифрование передаваемых данных и хранение их в защищённом режиме;
  • вести журнал доступа, фиксировать каждый запрос и результат его обработки.

Контроль за соблюдением требований осуществляется уполномоченными органами, которые могут проводить проверки и требовать исправления нарушений. Нарушение условий конфиденциальности влечёт административную ответственность, включая штрафы и приостановление доступа к сервису.

Соблюдение перечисленных мер гарантирует, что запросы банков не ставят под угрозу безопасность персональных данных граждан и соответствуют требованиям ФЗ‑115.

Целевое использование информации

Целевое использование получаемой из системы Госуслуги информации ограничивается задачами, непосредственно связанными с обслуживанием клиента банковского продукта. Данные применяются для подтверждения личности, оценки кредитоспособности и контроля за соблюдением требований по противодействию отмыванию денежных средств.

Основные цели использования включают:

  • проверку достоверности предоставленных клиентом сведений;
  • формирование кредитного скоринга и принятие решения о выдаче займа;
  • мониторинг транзакций в рамках обязательных процедур AML/KYC;
  • обеспечение соответствия нормативным требованиям, предусмотренным ФЗ‑115.

Применение информации должно соответствовать принципам минимизации и ограничения срока хранения. Сбор производится только после получения согласия субъекта данных, а доступ к сведениям ограничивается уполномоченными сотрудниками. Любое использование, не подпадающее под перечисленные цели, считается нарушением законодательства и влечёт административную ответственность.

Контроль за целевым использованием осуществляется внутренними аудитами и внешними проверками регулятора. При обнаружении отклонений банк обязан немедленно прекратить обработку, уведомить контролирующий орган и принять меры по устранению нарушений.

Ответственность за нарушение ФЗ-115

Виды нарушений

Банки, формирующие запросы к персональным данным граждан через портал государственных услуг в соответствии с «ФЗ‑115», обязаны соблюдать чётко определённые правила обработки информации. Нарушения этих правил классифицируются по следующим категориям.

  • Запрос данных без наличия законных оснований или без подтверждения согласия субъекта.
  • Выход за пределы запрашиваемого объёма, превышающий цель, указанную в заявке.
  • Передача полученных сведений третьим лицам без обязательного согласования.
  • Хранение или обработка данных дольше установленного законом срока.
  • Ошибки в оформлении запроса, приводящие к недостоверности или неполноте передаваемой информации.
  • Нарушение требований по защите канала передачи, включая отсутствие шифрования или использование несертифицированных средств.

Каждое из перечисленных нарушений влечёт административную ответственность, включая штрафы, приостановку доступа к сервису и возможные санкции со стороны надзорных органов. Соблюдение требований «ФЗ‑115» гарантирует законность обработки данных и минимизирует риск правовых последствий.

Меры воздействия

Административная ответственность

Банковское учреждение, получающее сведения о клиенте через портал Госуслуги в соответствии с требованиями Федерального закона № 115, обязано соблюдать установленный порядок обработки и защиты персональных данных. Нарушение этих требований влечёт административную ответственность, предусмотренную Кодексом об административных правонарушениях.

К основным видам ответственности относятся:

  • штраф за ненадлежащее обращение с персональными данными в размере от 50 000 до 500 000 рублей;
  • штраф за отсутствие надлежащего согласования запроса доступа к сведениям - от 100 000 до 1 000 000 рублей;
  • приостановление деятельности, связанной с обработкой данных, на срок до 90 дней;
  • лишение лицензии на осуществление банковской деятельности в случае систематических или особо тяжких нарушений.

Ответственность наступает при отсутствии правового основания для запроса, при передаче данных третьим лицам без согласия субъекта, а также при несоблюдении требований к защите передаваемой информации. Инспекционный контроль за соблюдением правил осуществляет уполномоченный орган, который в случае выявления нарушений оформляет постановление о наложении санкций.

Уголовная ответственность

Банковские организации, получающие сведения о клиентах через портал государственных услуг на основании ФЗ‑115, могут столкнуться с уголовной ответственностью за нарушение требований закона о персональных данных и за незаконный доступ к информационным ресурсам.

Нарушения, влекущие уголовную ответственность, включают:

  • незаконное получение или использование персональных данных без согласия субъекта либо без надлежащего судебного или административного разрешения;
  • распространение полученных сведений третьим лицам, если это приводит к ущербу прав и законных интересов граждан;
  • умышленное обходение установленных процедур аутентификации и контроля доступа, что квалифицируется как несанкционированный доступ к информационной системе;
  • фальсификация запросов или предоставление недостоверных сведений в целях получения доступа к данным.

За каждый из перечисленных деяний предусмотрены статьи Уголовного кодекса РФ, предусматривающие наказание в виде лишения свободы, штрафов и ограничения свободы. Размер наказания зависит от степени вины, количества пострадавших и причинённого ущерба.

Банки обязаны внедрять технические и организационные меры защиты, вести журналирование запросов и проводить регулярный аудит соответствия требованиям закона. Нарушение этих обязательств считается отягчающим обстоятельством при определении меры уголовного пресечения.

Отказ от выполнения указанных требований может привести к возбуждению уголовного дела, наложению санкций и утрате лицензии на осуществление банковской деятельности.