Что делать если банк незаконно слил вашу биометрию в ЕБС (например, Тинькофф)

К нам обращаются люди с жалобами о том, что они, будучи клиентами банка Тинькофф, столкнулись с ситуацией, когда их биометрические данные были собраны банком без дачи письменного согласия на это и переданы в ЕБС, также без согласия и даже уведомления.

При этом, сотрудники поддержки в банке сообщали, что согласия давались на сбор биометрии в банкомате Тинькофф, когда снимали с карты деньги и во время сессии в окне банкомата появился баннер с информацией о сборе биометрии, и в тот момент, когда ввелся пин-код карты, вы дали согласие на ее сбор.

Давайте разбираться насколько это законно и что делать, если такая ситуация произошла с вами.

Как мы отмечали ранее, в соответствие с ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" одним из видов персональных данных являются биометрические данные граждан, к которым относятся в том числе фотография. Данная категория персональных данных может обрабатываться только при наличии письменного согласия субъекта. Исключения составляют ситуации, перечисленные в ч. 2 ст. 11 Федерального закона № 152-ФЗ и вопросы кадрового учета в них не входит.

В силу требований (ч. 1 ст. 11 Закона № 152-ФЗ и ФЗ – 572 "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных...") получение и использование биометрических данных возможно только при наличии письменных согласий на их обработку и не может быть обязательным (п. 11 ст. 3 ФЗ- 572).

Согласно ч. 1 ст. 9 ФЗ «О персональных данных», субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Соответственно, чтобы банк мог получить ваши биометрические данные, вы должны подписать документ, в котором будет четко прописано, что вы согласны на получение банком именно биометрических данных, а не просто персональных, и на дальнейшую их обработку, включая передачу в ЕБС.

Любые другие формы сбора биометрии и передачи в ЕБС (банкомат, пин-код, фото при получении банковской карты без указания что это биометрия и будет импорт в ЕБС) – НЕЗАКОННЫ.

Согласно ч. 1 ст. Статья 10 Закона о ЕБС государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы вправе использовать единую биометрическую систему для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия лица на совершение определенных действий.

То есть, ни в каком банкомате либо еще каком месте биометрию для размещения в ЕБС никто снимать без вашего письменного согласия не имеет право.

Итак, что необходимо сделать, если есть подозрение, что банк без вашего согласия собрал и «слил» биометрию в ЕБС?

·  Необходимо узнать, есть ли Ваша биометрия в ЕБС. Как это сделать мы писали ранее в нашей заметке

·  Если обнаружили свои биометрические данные в ЕБС, не паникуем и помним, что по-прежнему остается возможность отзыва уже данных согласий на сдачу биометрии и возможность их удаления, блокировки, уничтожении у оператора ЕБС (Как это сделать написано в вышеуказанной заметке).

·  Предварительно делаем скрин, на котором видно, что Ваша биометрия есть в ЕБС, когда и каким образом (кто передал) она туда попала.

·  Связываемся со службой поддержки банка и выясняем каким образом ими получены ваши биометрические данные и как они попали в ЕБС без вашего согласия. Желательно вести переписку, а НЕ звонить. Делаем скрины переписки.

·  После удаления, блокировки и уничтожения, подготовить:

- заявление в Роскомнадзор - образец 1

- заявление в Центробанк – образец 2,

о привлечении банка, как юридического лица, к административной ответственности, поскольку такая ответственность введена Федеральным законом от 12.12.2023 N 589-ФЗ за размещение и обновление банками, многофункциональными центрами предоставления государственных и муниципальных услуг, иными организациями в случаях, определенных федеральными законами, биометрических персональных данных субъекта персональных данных в государственной информационной системе "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" с нарушением установленных законодательством Российской Федерации требований и влечет наложение административного штрафа на должностных лиц в размере от ста тысяч до трехсот тысяч рублей; на юридических лиц - от пятисот тысяч до одного миллиона рублей.

·  Заявления можно направить через интернет-приемную, при этом не забываем записать номер и дату обращения, либо на адрес для корреспонденции указанных организаций по почте заказным письмом с уведомлением.