Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Деньги
Маркетинг
Сервисы
Карьера
Личный опыт
Крипто
AI
Маркетплейсы
Образование
Право
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Александр Малютин
Право

«Тинькофф» и биометрия. Можно ли не смотреть stories и зачем банку согласие клиентов?

Прочитал новость, что «Тинькофф» запросил у клиентов согласие на обработку фотографий для биометрии.Постарался немного разобраться в причинах такого поведения банка.

Форма такого согласия многих удивила (прим. Она была сделана в виде Stories приложения банка), а причины столь внезапного запроса не совсем понятны.

Меня зовут Александр Малютин, я судебный юрист, и моя специализация — банкротство, оспаривание сделок и субсидиарная ответственность руководителей. Мне также нравится разбирать судебную практику, погружаться в правовую теорию и делиться этим в своём ТГ-канале Прочёл в законе.

t.me
Прочёл в законе
«Тинькофф» и биометрия. Можно ли не смотреть stories и зачем банку согласие клиентов?

Нормативно-правовое обоснование запроса

Из комментариев к статье на VC следует, что банк ссылается на Закон № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"(далее - Закон № 572).

Далее немного про закон и о возможных причинах появления Stories. С одной стороны, для кого-то вероятно информация новой не будет. С другой, вдруг кому-то поможет принять решение о том как поступить.

Что обрабатывается и размещается в Единой биометрической системе?

Обрабатываются биометрические персональные данные следующих видов (ч. 4 ст. 3 Закона № 572):

  1. Изображение лица человека, полученное с помощью фотовидеоустройств;

  2. Запись голоса человека, полученная с помощью звукозаписывающих устройств.

Получается, что это относится к основным видам биометрических данных.

Они также перечислены в Постановление Правительства РФ от 30 июня 2018 г. № 772

Кроме того, насколько я понимаю, к биометрическим данным также можно отнести (с точки зрения теоритической):

  • Отпечатки пальцев;
  • Отмечаток радужки глаза;
  • Геометрия лица;
  • Особенности ввода текста.

Перечень сведений, которые могут быть отнесены к биометрическим

данным полагаю будет дополняться Постановлением Правительства РФ от 30 июня 2018 г. № 772.

Что с согласием на предоставление данных?

Предоставление физическими лицами своих биометрических персональных данных не может быть обязательным.

Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание. (ч. 11 – 13 ст. 3 Закона № 572)

Зачем это всё банку?

Рискну предположить, что ответ кроется в ч. 14 ст. 4 Закона № 527

В случае, если в информационных системах организаций финансового рынка в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, размещаемым в единой биометрической системе, организации финансового рынка обязаны разместить такие биометрические персональные данные в единой биометрической системе без получения ими согласия соответствующего субъекта персональных данных на это размещение, а также на их обработку оператором единой биометрической системы

(прим. норма приведена не в полном объеме. Выбрана ключевая, на мой взгляд, мысль).

Таким образом, получается, что если у банка уже есть биометрические данные, то он обязан их разместить в системе. Само согласие клиента на это не нужно.

Зачем же тогда банк разместил Stories?

В соответствии с ч. 15 ст. 4 "Организации не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой биометрической системе обязаны уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. В случае получения до истечения указанного в настоящей части срока возражения от субъекта персональных данных против размещения его персональных данных в единой биометрической системе такое размещение не осуществляется".

Просто предположение

Рискну предположить, что:

  • Либо у банка есть те данные, которые относятся к биометрическим. А с учетом того, как написан закон, совсем не факт, что фотография не относится к таковым данным;
  • Банк снижает риски и планирует передать в систему всё, что может попадать под виды биометрических данных.

Что если не просмотреть Stories?

Этот вопрос с теоретической точки зрения мне интересен больше всего. Закон устанавливает обязанность уведомить клиента о факте грядущей передаче. Уведомление должно позволять подтвердить факт его получения.

Считается ли факт размещения Stories в приложении банка надлежащим уведомлением? На мой взгляд - это минимум спорно.

С другой стороны, СМИ сделали всё за банк. Новость получила широкое распространение, теперь о намерении передать данные знают даже те, кто не заходил в приложение.

В результате, у меня есть подозрение, что даже если не заходить месяц в приложение банка, не смотреть stories, то это будет рассмотрено как отсутствие возражений. Если рассматривать такой подход, то при отсутствии возражений банк передаст данные в единую систему.

В завершении напомню, что субъект персональных данных вправе обратиться к оператору единой биометрической системы с требованием о блокировании или об уничтожении его биометрических персональных данных.

33
16 комментариев
Рефлексия и снобизм

Тинькофф напрямую на своём сайте же написал, зачем он это делает, и какие именно биометрические данные у него хранятся.

https://www.tinkoff.ru/bank/help/agreement/

Открытым остаётся вопрос, что там с согласиями на использование данных, которые у Тинька есть сейчас. Я подозреваю, что не все клиенты на встрече подписывали согласие именно на биометрические данные, потому что законодательство по ним менялось. Старые клиенты могли давать лишь "общее" согласие, но не биометрическое.
Хотя, конечно, надо проверять в каждом случае.

1
Ответить
Знай свои права

Вот это поворот. А мне банк ответил, что не обрабатывает биометрию.

2
Ответить
Александр Малютин
Автор

И там еще интересно, насколько обычная фотка, сделанная курьером подходит под такие данные. В комментах к новости кидают сообщения тинька мол "она не относится к таким данным")

1
Ответить
Знай свои права

https://vc.ru/legal/872877-tinkoff-vnes-v-ukbo-bezuslovnoe-soglasie-klienta-na-obrabotku-ego-biometricheskih-personalnyh-dannyh

vc.ru
«Тинькофф» внёс в УКБО безусловное согласие клиента на обработку его биометрических персональных данных — Право на vc.ru
1
Ответить
Прозектор на удаленке

По поводу согласия - насколько я знаю, у тинькофф банка на встрече клиентом подписывается оферта где указано что клиент обязуется ознакомиться с укбо (условия обслуживания), и следить за обновлениями на их офиц.сайте. В общем то в укбо они и обновили тему с биометрией. Вообще не уверен что даже в верхах все продумали в плане как со всего народа биометрию собрать и получить минимум отказов. Ну и в копилку непопулярных мнений: на мой взгляд ниче плохого в сборе биометрии нет, это приблизит к цифровизации всех сервисов, что по моему удобно.

Ответить
Знай свои права

В УКБО уже внесли новый пункт согласия на обработку биометрии п.2.24.

Ответить
dr. Dolittle

Такое себе. Доверять свои данные тинькофф вообще не хочу. Мне хватает того, что мне мошенники стали названивать после того, как стал клиентом тинька

Ответить