«А если честно!» продолжает следить за ситуацией неправомерного изъятия биометрических данных в отделении Сбербанка Горно-Алтайска.
Краткая предыстория. Одна из читательниц нам написала о том, что сотрудник отделения банка без ее согласия взял у нее биометрические данные «для ее же безопасности». Мы описали ситуацию на своем сайте. В Instagram c подтвержденного аккаунта Сбербанка был опубликован комментарий с инструкцией, как гражданин может отозвать свои биометрические данные. Мы передали ее читательнице. И теперь она сообщает, как ситуация развивается дальше.
В апреле она отправила письмо в «Сбербанк», в котором задала шесть вопросов:
1) Для каких целей ОАО «Сбербанк» проводит сбор биометрических данных клиентов;
2) На основании каких документов действует ОАО «Сбербанк» в вопросе сбора биометрических данных, их хранения, изменения и прочее;
3) Куда поступают биометрические данные клиентов ОАО «Сбербанк» и как организована защита этих данных;
4) Какие обязательства берет на себя ОАО «Сбербанк» в случае утечки персональных данных своих клиентов, в том числе биометрических;
5) Возможен ли отзыв биометрических данных клиентов ОАО «Сбербанка»;
6) До какого времени возможно обслуживание в банке без сдачи биометрических данных.
Думается, что большинство россиян так или иначе перечисленные выше вопросы волнуют. На обращение был получен довольно «сухой» и, на наш взгляд, не вполне правдивый ответ.
На первый вопрос представитель банка Ярослав Колупаев ответил, что биометрия является последним достижением в области идентификации. По второму вопросу Колупаев пояснил, что банк действует исходя из 152-го федерального закона «О персональных данных». Неужели там есть что-то про банки?
Любопытным оказался ответ на вопрос о защите данных. Исходя из ответа, банк якобы создает свои биометрические шаблоны, которые используются для дополнительной безопасности, а данные в другие системы не передаются. Кроме того, действительно можно отозвать разрешение на свои биометрические данные, написав заявление в отделение Сбербанка. Ну, а проверять вас по биометрии могут только с вашего письменного согласия.
Ответы Колупаева, однако, не вызвали доверия, и мы решили проверить - так ли это на самом деле (спойлер: как оказалось, нет).
Но, обо всем по порядку.
Оказывается, еще в канун празднования Нового 2018 года, а если быть точным, то 31 декабря 2017 года, был подписан Федеральный закон N 482-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации". И законодательным актом, который после внесения изменений как раз и стал юридическим основанием для сбора персональных биометрических данных, стал, как бы неожиданно это не звучало, Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 18.03.2019) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма":
"5.6. Банк, соответствующий критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи, обязан после проведения идентификации при личном присутствии клиента - физического лица, являющегося гражданином Российской Федерации, с его согласия и на безвозмездной основе размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента - физического лица, и сведения, предусмотренные абзацем вторым подпункта 1 пункта 1 настоящей статьи, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система), его биометрические персональные данные».
Именно Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 18.03.2019) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" является тем юридическим основанием, которое дает право банкам собирать наши биометрические данные!
И то, что сотрудник ПАО «Сбербанк» назвал юридическим основанием в работе с персональными биометрическими данными только Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ, говорит о его некомпетентности или о сознательном умалчивании о Федеральном законе от 07.08.2001 N 115-ФЗ (ред. от 18.03.2019) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"?
Следующим важным моментом является суть второй части выше процитированной статьи ФЗ-115 от 07.08.2001:
«Порядок размещения и обновления указанных в настоящем пункте сведений, а также состав сведений, необходимых для регистрации клиента - физического лица в единой системе идентификации и аутентификации, и состав сведений, размещаемых в единой биометрической системе, устанавливаются в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Надзор за соблюдением банками порядка размещения и обновления таких сведений осуществляется Центральным банком Российской Федерации в установленном им порядке».
То есть, создана некая Единая биометрическая система, которая, как мы поняли из упомянутого Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации» и из СМИ, является базой не только для банков, но и для «государственных органов и иных организаций». Получается, что и в вопросе хранения биометрических данных, указанная Сбербанком в ответе на запрос информация: «Биометрические шаблоны, собранные Сбербанком, используются для дополнительной безопасности и не передаются в другие системы», так же является недостоверной?
Более того, работу с Единой биометрической системой осуществляет оператор биометрической системы, функцией которого является осуществление «передачи информации о результатах проверки соответствия предоставленных биометрических персональных данных гражданина Российской Федерации его биометрическим персональным данным, содержащимся в Единой биометрической системе, в государственные органы, банки и иные организации».
И к нему – главному инструменту связи между единой биометрической базой и другими участниками биометрической системы - законом предъявляется одно единственное требование согласно статье 14 п. 16: он должен занимать «существенное положение в сети связи общего пользования на территориях не менее чем двух третей субъектов Российской Федерации».
Требования к сохранности информации, безопасности, защите, гарантиях и ответственности в случае утери данных в законе отсутствуют.
По всей видимости, Оператором может стать любая частная фирма. Тем более, что государство готово платить за предоставление сведений: «24. Размер и порядок взимания оператором единой биометрической системы платы за предоставление государственным органам и организациям сведений… по согласованию с оператором единой биометрической системы и иными государственными органами и организациями в случаях, установленных федеральными законами». (ФЗ-149 от 27.07.2006 ст.16 п.24)
На данный момент оператором Единой биометрической системы является ПАО «Ростелеком». Кстати, ответ на вопрос об ответственности в случае утери данных ОАО «Сбербанк», в лице своего сотрудника, предпочел опустить.
А теперь о возможности отзыва согласия на обработку биометрических данных. Как пишет Сбербанк, отзыв согласия на обработку персональных биометрических данных возможен. Однако, в Федеральном законе от 07.08.2001 N 115-ФЗ (ред. от 18.03.2019) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", который, как мы поняли, является основным нормативным документом, регламентирующим деятельность банков («государственных учреждений и иных организаций») в сфере работы с биометрическими данными, информации о возможности отозвать свои данные нет. И тут обратимся, наконец, к единственному упомянутому сотрудником Сбербанка Федеральному закону "О персональных данных" от 27.07.2006 N 152-ФЗ.
Статья 9 пункт 2 гласит: «2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона». А в этих статьях содержатся практически все возможные случаи взаимодействия человека с государственными органами и иными организациями. То есть получается, что наши биометрические данные будут использоваться в любом случае?
Конечно, это не значит, что тем, кто по незнанию передал оператору свои биометрические данные и теперь хочет отозвать, бесполезно писать отзыв своего согласия – это акт доброй воли, который сам по себе уже имеет огромное значение!
Нужно к этому еще добавить требования пересмотра в принципе всего законодательства в этой области. И тогда возможны реальные положительные изменения.
Ставьте лайки и подписывайте на наш канал, чтобы не пропускать наши материалы.
Ждем ваших комментарием! Помогите нам стать лучше!
Материалы по теме:
В Сбербанке Горно-Алтайска собирают биометрические данные в принудительном порядке?
У Сбербанка можно отозвать разрешение на обработку биометрических данных
