24 ноября, воскресенье
-4°$ 102,58
Прочтений: 22005

Без согласия согласен: как российский банк собирает биометрию, а клиенты узнают об этом случайно

Томичи согласились на передачу биометрии банку, даже не заметив этого действия

Без согласия согласен: как российский банк собирает биометрию, а клиенты узнают об этом случайно
Фото: Дмитрий Кандинский / vtomske.ru

В 2023 году российские банки передали все ранее собранные биометрические данные клиентов в Единую биометрическую систему (ЕБС). Перед этим они должны были предупредить граждан об этом. В начале 2024 года некоторые клиенты Тинькофф-банка с удивлением узнали, что у них зарегистрирована биометрия, хотя согласия, по их словам, они не давали. В банке же говорят, что гражданин мог согласиться на сдачу биометрии через банкомат, посредством сторис в приложении или вообще при входе в мобильное приложение банка.

Редакция vtomske.ru попросила юристов прокомментировать данную ситуацию.

«Биометрия зарегистрирована»

В январе журналист портала vtomske.ru внезапно выяснила, что еще в декабре 2023 года у нее была зарегистрирована упрощенная биометрия. В аккаунте на портале «Госуслуги» было написано, что данные зарегистрировал Тинькофф-банк. Упрощенный биометрический профиль самый простой, он позволяет, например, оплачивать покупки до 2,5 тысячи рублей, проезд и проходить в госорганизации без паспорта. Проблема была в том, что никакого явного согласия на это журналист не давала.

Упрощенный биометрический профиль — самый простой и фактически для клиента бесполезный. Формально он позволяет оплачивать покупки улыбкой до 2 500 рублей, проезд и проходить в госорганизации без паспорта.

Читать больше на Финтолк: https://fintolk.pro/tinkoff-bank-tajkom-registriruet-vashu-biometriyu-kak-udalit-svoi-dannye-iz-sistemy/

Удалить биометрию можно там же, на «Госуслугах», что корреспондент vtomske.ru и сделала. После удаления в Тинькофф-банке не смогли пояснить, как они получили биометрию, однако выяснилось, что такие случаи не единичны.

В Томске редакция vtomske.ru нашла двух человек, которые, зайдя на портал госуслуг, внезапно выяснили, что у них зарегистрирована упрощенная биометрия. Сделано это банком «Тинькофф». При этом томичи утверждают, что согласия они не давали. В «Тинькофф» настаивают, что банк обрабатывает биометрию и передает ее в ЕБС только после согласия клиента. Вопрос в том — как дается это согласие и что является согласием клиента?

Томичи обратились в поддержку кредитной организации, где им сообщили, что:

  • в одном случае согласие на обработку биометрических данных было дано при входе в мобильное приложение — в нижней части экрана мобильного телефона было сообщение: «Продолжая, вы соглашаетесь на использование Тинькофф-банком биометрических данных;

  • во втором случае — посредством сторис (временной короткой видеоистории) в мобильном приложении банка.

Одному из томичей Тинькофф-банк ответил, что есть пять способов, как клиент может дать согласие на обработку биометрических данных:

  • подписать договор на встрече по новому продукту. Про биометрию будет написано в пункте 2.24 условий обслуживания;

  • перейти в сторис в мобильном приложении и нажать «Разрешить»;

  • открыть баннер в приложении и нажать «Разрешить»;

  • ввести пин-код в банкомате. На экране в это время будет уведомление: «Продолжая, высоглашаетесь...» Если нажать «Отказаться», обработать биометрию и передать ее в ЕБС в банке не смогут;

  • авторизоваться в личном кабинете или приложении «Тинькофф» на Android с версией 6.254 и выше (из App Store приложение банка удалено). В нижней части экрана будет сообщение: «Продолжая, вы соглашаетесь...» Если нажать «Отказаться», обработать биометрию и передать ее в ЕБС в банке не смогут.

Редакции vtomske.ru удалось найти другие случаи, когда клиенты банка не знали, что они дали согласие на обработку биометрии. Об этом рассказывал пользователь портала vc.ru, телеграм-канал «Осторожно, новости!», издание «Финтолк». Обсуждение ситуации было и на «Хабре».

На vc.ru представитель Тинькофф-банка оставил комментарий. По его словам, когда клиент дает согласие в банкомате, он делает это через простую электронную подпись.

«Простая электронная подпись — это аналог собственноручной подписи. Поэтому нам не нужно ваше дополнительное письменное согласие от руки. Согласие на подписание таким способом вы дали при первичном подписании договора. В пунктах 2.16.1—2.16.7 условий обслуживания описали, как и в каких случаях эта подпись применима. Законодательство не запрещает заключать договоры подобным образом. Использование простой электронной подписи регламентировано Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи"», — прокомментировали в «Тинькофф».

Что такое ЕБС?

Начнем с биометрических данных. Это уникальные характеристики, которые позволяют идентифицировать человека (поскольку их невозможно или очень сложно изменить). Среди таких характеристик — отпечатки пальцев, изображение лица, голос, а также радужная оболочка глаза. Из этого перечня банки чаще всего используют изображение лица.

Единая биометрическая система (ЕБС) была запущена в июле 2018 года по инициативе Центробанка и Минцифры. В декабре 2022-го президент Владимир Путин подписал закон о порядке работы ЕБС. Согласно ему, все организации, собирающие биометрические данные, должны были передать их в государственную систему до 30 сентября 2023 года, предупредив об этом клиентов заранее.

В Минцифры отмечают, что на «Госуслугах» биометрия не хранится. На портале есть лишь информация о биометрии, размещенной в ЕБС. Она отображается в личном кабинете портала.

С конца сентября 2023 года Тинькофф-банк начал запрашивать у клиентов согласие на обработку их фотографий, сделанных при оформлении продуктов, для перевода в формат биометрических данных, чтобы передать в ЕБС. Об этом писал «Коммерсантъ». Для общения с клиентами был выбран необычный способ — банк разместил уведомление в сторис в верхней части своего мобильного приложения. Банк просил клиентов дать согласие на обработку биометрии, чтобы обезопасить финансовые операции, выдачу кредита и облегчить аутентификацию клиента при дистанционном обслуживании.

Тогда под сторис появились тысячи комментариев. Среди прочего пользователи спрашивали, как оформить отказ от обработки данных, поскольку в мобильном приложении банк предусмотрел только кнопку «Разрешить».

Законно ли собирать биометрию через банкомат или сторис?

Банк может получить согласие на сбор биометрии через банкомат или мобильное приложение, но при этом клиент должен обязательно совершить активное действие, говорит генеральный директор юридической компании LEGAL RIGT Максим Юзифович.

— Например, в чат-боксе поставить галочку, подписывая некое пользовательское соглашение, документ, в составе которого может быть сделана оговорка о предоставлении биометрических данных. Таким образом, клиент дает безоговорочное согласие на предоставление, сбор и обработку биометрии, которое может быть впоследствии отозвано. Прямого согласия клиента на передачу данных в ГИС ЕБС не нужно. Если он не увидит или проигнорирует уведомление банка, то информация уйдет в единую базу, — поясняет Юзифович.

Как поясняет адвокат Томской коллегии адвокатов Данил Сильчук, обобщенно алгоритм получения биометрических данных клиента выглядит следующим образом:

  • Банк должен получить согласие клиента на сбор и обработку его персональных данных, включая биометрические данные.

  • Банк должен предоставить клиенту полную информацию о том, какие данные будут собираться и как они будут использоваться.

  • Банк должен обеспечить защиту этих данных от несанкционированного доступа и использования.

  • Банк может собирать биометрические данные клиента различными способами, например путем сканирования отпечатков пальцев или фотографирования лица.

  • Банк должен хранить собранные данные в соответствии с требованиями законодательства РФ.

  • Банк может использовать собранные данные для идентификации клиента при предоставлении услуг или проведении операций.

— Банк может получить согласие на сбор биометрических данных через банкомат или мобильное приложение. Однако для этого необходимо, чтобы клиент подтвердил свое согласие на сбор и обработку персональных данных путем ввода специального кода или использования электронной подписи. В любом случае банк должен предоставить клиенту полную информацию о том, какие данные будут собираться и как они будут использоваться, — рассказал Сильчук.

Как отказаться от использования биометрии?

Максим Юзифович отмечает, что клиент вправе в любой момент заявить о своем отказе от каких-либо действий с биометрией. Для этого необходимо обратиться в банк и отозвать согласие на обработку, хранение и передачу биометрических данных.

Существует несколько способов направить в банк отказ. Самый простой — просто написать об отказе в чате с банком в приложении. Другой вариант — оформить отказ в «Личном кабинете» на сайте банка. Также можно отправить отказ по электронной почте; отправить документ в отделение банка по почте; оформить отказ лично в отделении кредитной организации.

Отзыв своей биометрии не может являться основанием для отказа в предоставлении услуг банком, замечает адвокат Данил Сильчук.

— Предоставление биометрических данных банку является добровольным решением, которое любой клиент кредитной организации вправе свободно выразить. В случае если клиент разрешил передавать данные, но впоследствии передумал, то он вправе отозвать свое согласие. Если клиент полагает, что его права, связанные с обработкой персональных данных, нарушены, он может обратиться с жалобой в Роскомнадзор, — резюмировал адвокат.

Как отмечают в Минцифры, удалить свои данные из Единой биометрической системы можно в любой момент: в «Личном кабинете» на портале госуслуг, отозвав согласие на размещение у оператора ЕБС — Центра биометрических технологий.

Смотрите также

Комментарии