Из банков утекают данные клиентов

С вероятностью 66% ваши персональные данные окажутся в открытом доступе или будут продаваться на черном рынке. Если банк незаконно передал информацию о вас другому лицу, вы вправе обратиться в суд или попросить об этом Роскомнадзор

Из банков утекают данные клиентов

За январь – сентябрь 2020 г. в России утекло 96,5 млн записей персональных данных и платежной информации. 4 февраля 2021 г. об этом сообщила первый зампред Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова на конференции, посвященной формированию единой цифровой среды доверия в обществе.

Давайте-ка посчитаем вместе: население России составляет 146,8 млн человек. Если на каждого человека приходится по одной записи персональных данных, то 96,5 млн записей – это примерно 66% от их общего объема. При грубом подсчете именно с такой вероятностью сведения о нас окажутся в открытом доступе.

Чаще утечки информации обнаруживают в госсекторе, IT-индустрии и сфере финансов. Особенно большой резонанс вызвала утечка персональных данных клиентов Сбербанка летом 2019 г., когда на черном рынке оказалась база данных с информацией о владельцах 60 млн кредитных карт.

В России персональные данные защищаются прежде всего Законом «О персональных данных», а в банковской сфере – Законом «О банках и банковской деятельности» и нормами Гражданского кодекса РФ.

В статье речь пойдет о наших правах и возможностях их защитить в отношениях с банками.

Как банки используют персональные данные и как клиенты на это соглашаются?

Банк является оператором персональных данных, которые он собирает и обрабатывает для выполнения своих функций. Под обработкой данных подразумевается целый набор действий: сбор, запись, систематизация, накопление, хранение, уточнение и т.д.

Такая работа с личной информацией клиентов возможна только с их письменного согласия. Но обычно человек не обращает внимания на то, когда и в каком объеме он разрешает обрабатывать свои персональные данные. Согласие может быть дано при посещении офиса в бумажном документе или через Интернет во время заполнения формы на сайте и даже просмотра информации на нем.

Например, Сбербанк разместил на своем сайте такую информацию для пользователей:

«Продолжая работу на сайте, я выражаю свое согласие ПАО Сбербанк на автоматизированную обработку моих персональных данных … с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам…»

Чтобы узнать, какие полномочия предоставлены кредитной организации, можно обратиться с письменным запросом в отделение банка или найти образец согласия на обработку персональных данных на его сайте.

Тут может возникнуть вопрос: а что, если не соглашаться на обработку данных? Субъект персональных данных принимает решение об их предоставлении и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона «О персональных данных»). Вы можете не передавать данные банку или не разрешить их обрабатывать. Но в этом случае банк вправе отказать вам в оказании услуг.

Что будет с персональными данными, когда отношения с банком прекратятся?

Закрытие счета или погашение кредита не означает автоматического уничтожения персональных данных. Для этого необходимо подать заявление об их отзыве или уничтожении. Чтобы быть уверенным в том, что их у банка не осталось, можно запросить акт о прекращении обработки данных или выписку из журнала учета уничтожения персональных данных.

На сайте Роскомнадзора подробно расписано, как уничтожаются личные данные клиентов:

«Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются оператором».

При этом даже в случае запрета обрабатывать данные клиента банк может продолжать это делать. Например, при сохранении договора с банком для работы с ним (п. 5 ч. 1 ст. 6 Закона «О персональных данных»). Также кредитное учреждение сохраняет личную информацию о клиенте в течение не менее 5 лет с момента истечения срока договора согласно ч. 4 ст. 7 Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». И наконец, кредитные организации сохраняют первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее 5 лет (ст. 17 Закона «О бухгалтерском учете»).

Суды придерживаются такой же позиции. Один из примеров: гражданин обратился с требованием о прекращении правоотношений с банком и направлении ему акта об уничтожении сведений, содержащих персональные данные. В заявленных требованиях суд отказал, поскольку банк должен хранить персональные данные клиентов в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу1.

Может ли банк передать персональные данные клиентов другим организациям?

Банк вправе поручить обработку данных сторонней организации с согласия субъекта персональных данных (п. 3 ст. 6 Закона «О персональных данных»). Это возможно, например, при проведении рекламной кампании и сборе заявок или хранении собранной информации на серверах IТ-компаний.

Но для таких действий необходимо согласие клиентов. И, как правило, они его дают. Выше приводилась выдержка из согласия на обработку персональных данных с сайта Сбербанка. В нем есть такая фраза: «…передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам». Чаще встречаются более расплывчатые формулировки – просто упоминается о передаче данных сторонним организациям. Иногда ставят ссылку на перечь организаций-партнеров, которым может передаваться информация.

С кредитной организацией трудно будет договориться о корректировке таких формулировок. Как уже было сказано, в случае несогласия предоставить персональные данные банк может отказать в оказании услуг. Тем не менее всегда обращайте внимание, на что вы даете свое согласие, особенно при заключении договоров с организациями из других сфер.

Как защитить свои права?

Чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор. Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы.

Читайте также
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
07 Октября 2019 Советы

В случае нарушения ваших прав вы можете обратиться в суд с требованием о возмещении морального вреда. Но доказать придется и факт передачи персональных данных, и незаконность такой передачи. Вы вправе также заявить требование о запрете дальнейшего распространения информации и иного нарушения прав. Но, как указано выше, в подобных требованиях суд может отказать, если речь будет идти об обязанности банка хранить данные в течение 5 лет или о предоставлении информации уполномоченным органам.

Подавать исковое заявление можно в суд по месту регистрации гражданина. На это указал Верховный Суд РФ в Определении от 14 июля 2020 г. № 58-КГ20-2 (читайте об этом в новости «ВС: Роскомнадзор вправе подавать иск в порядке гражданского судопроизводства»).

Суды нередко выносят решения в пользу граждан. Только размеры компенсации морального вреда составляют всего несколько тысяч рублей. Например, в одном из дел, рассмотренных Новосибирским областным судом, передача информации о клиенте банком коллекторской организации была признана незаконной, но размер компенсации морального вреда составил лишь 5 тыс. руб.2

Чтобы попробовать увеличить размер компенсации, можно запастись справками о своих физических и нравственных страданиях. Например, подойдут выписки из медицинских документов, подтверждающие осмотры терапевта и невролога, к которым пришлось обращаться с жалобами на головные боли, нарушение сна и иные симптомы, возникшие из-за постоянных звонков коллекторов.


1 Апелляционное определение Московского городского суда от 14 июня 2019 г. по делу № 33-25479/2019.

2 Определение Новосибирского областного суда от 21 января 2014 г. по делу № 33-383/2014.

Читайте также: