«Тинькофф» и биометрия. Можно ли не смотреть stories и зачем банку согласие клиентов?
Прочитал новость, что «Тинькофф» запросил у клиентов согласие на обработку фотографий для биометрии.Постарался немного разобраться в причинах такого поведения банка.
Форма такого согласия многих удивила (прим. Она была сделана в виде Stories приложения банка), а причины столь внезапного запроса не совсем понятны.
Меня зовут Александр Малютин, я судебный юрист, и моя специализация — банкротство, оспаривание сделок и субсидиарная ответственность руководителей. Мне также нравится разбирать судебную практику, погружаться в правовую теорию и делиться этим в своём ТГ-канале Прочёл в законе.
Нормативно-правовое обоснование запроса
Из комментариев к статье на VC следует, что банк ссылается на Закон № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"(далее - Закон № 572).
Далее немного про закон и о возможных причинах появления Stories. С одной стороны, для кого-то вероятно информация новой не будет. С другой, вдруг кому-то поможет принять решение о том как поступить.
Что обрабатывается и размещается в Единой биометрической системе?
Обрабатываются биометрические персональные данные следующих видов (ч. 4 ст. 3 Закона № 572):
Изображение лица человека, полученное с помощью фотовидеоустройств;
- Запись голоса человека, полученная с помощью звукозаписывающих устройств.
Получается, что это относится к основным видам биометрических данных.
Они также перечислены в Постановление Правительства РФ от 30 июня 2018 г. № 772
Кроме того, насколько я понимаю, к биометрическим данным также можно отнести (с точки зрения теоритической):
- Отпечатки пальцев;
- Отмечаток радужки глаза;
- Геометрия лица;
- Особенности ввода текста.
Перечень сведений, которые могут быть отнесены к биометрическим
данным полагаю будет дополняться Постановлением Правительства РФ от 30 июня 2018 г. № 772.
Что с согласием на предоставление данных?
Предоставление физическими лицами своих биометрических персональных данных не может быть обязательным.
Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание. (ч. 11 – 13 ст. 3 Закона № 572)
Зачем это всё банку?
Рискну предположить, что ответ кроется в ч. 14 ст. 4 Закона № 527
В случае, если в информационных системах организаций финансового рынка в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, размещаемым в единой биометрической системе, организации финансового рынка обязаны разместить такие биометрические персональные данные в единой биометрической системе без получения ими согласия соответствующего субъекта персональных данных на это размещение, а также на их обработку оператором единой биометрической системы
(прим. норма приведена не в полном объеме. Выбрана ключевая, на мой взгляд, мысль).
Таким образом, получается, что если у банка уже есть биометрические данные, то он обязан их разместить в системе. Само согласие клиента на это не нужно.
Зачем же тогда банк разместил Stories?
В соответствии с ч. 15 ст. 4 "Организации не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой биометрической системе обязаны уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. В случае получения до истечения указанного в настоящей части срока возражения от субъекта персональных данных против размещения его персональных данных в единой биометрической системе такое размещение не осуществляется".
Просто предположение
Рискну предположить, что:
- Либо у банка есть те данные, которые относятся к биометрическим. А с учетом того, как написан закон, совсем не факт, что фотография не относится к таковым данным;
- Банк снижает риски и планирует передать в систему всё, что может попадать под виды биометрических данных.
Что если не просмотреть Stories?
Этот вопрос с теоретической точки зрения мне интересен больше всего. Закон устанавливает обязанность уведомить клиента о факте грядущей передаче. Уведомление должно позволять подтвердить факт его получения.
Считается ли факт размещения Stories в приложении банка надлежащим уведомлением? На мой взгляд - это минимум спорно.
С другой стороны, СМИ сделали всё за банк. Новость получила широкое распространение, теперь о намерении передать данные знают даже те, кто не заходил в приложение.
В результате, у меня есть подозрение, что даже если не заходить месяц в приложение банка, не смотреть stories, то это будет рассмотрено как отсутствие возражений. Если рассматривать такой подход, то при отсутствии возражений банк передаст данные в единую систему.
В завершении напомню, что субъект персональных данных вправе обратиться к оператору единой биометрической системы с требованием о блокировании или об уничтожении его биометрических персональных данных.