«Тинькофф банк» собирает и отправляет биометрические данные клиентов в «Госуслуги».
При этом согласием на их сбор могут посчитать даже клик на сторис в приложении банка.
Несколько месяцев назад приложение «Тинькофф банка» стало предлагать клиентам дать согласие на обработку биометрических данных. В банке объяснили это желанием «лучше защитить клиентов от мошенников», а также разработкой функции подтверждения оплаты лицом. Ближе к концу года вариантов дачи согласия на обработку биометрии стало больше. Так, "согласиться" на сбор данных можно при подписании договора с представителем банка, авторизации в свежей версии приложения «Тинькофф» на Android, клике на сторис или баннер в приложении, а также после ввода пин-кода в банкомате. Собранные биометрические данные передают в «Госуслуги», в банке объяснили это требованиями федерального законодательства.
О том, что «Тинькофф Банк» передал клиентскую биометрию в «Госуслуги», узнал и журналист «Осторожно, новости» — несмотря на то, что в декабре просил банк больше не предлагать эту услугу. В поддержке ему заявили, что согласие было получено, когда он ввел пин-код в банкомате. Чтобы отменить это решение, вопрос пришлось решать через колл-центр банка. При этом согласие могут снова попробовать получить в любой момент: не зная всех условий, отказаться от этого клиенту очень сложно.
Читатели «Осторожно, новости» пожаловались, что «Тинькофф банк» передает биометрию в «Госуслуги» без их ведома — они обнаружили это после нашей прошлой публикации.
За несколько дней после выхода новости о передаче биометрии в редакцию «Осторожно, новости» обратились несколько десятков пользователей «Тинькофф банка». Все они узнали, что сервис собрал их биометрию через приложение (достаточно было кликнуть на баннер) или ввод пин-кода в банкомате. «После вашей публикации о том, что Тинькофф собирает биометрию без согласия пользователей, решила проверить эту историю у себя. Оказалось, что и я каким-то магическим образом (видимо, когда клала деньги в банкомате) дала на это согласие», — рассказала одна из наших читательниц. В каждом случае отказ от обработки нужно было заверять по телефону — при этом поддержка отговаривала от него аргументами про противодействие мошенникам. У некоторых клиентов спрашивали данные об образовании или семье, а также запрашивали информацию о состоянии счета.
С такой же проблемой столкнулись и клиенты «Сбербанка». Наши читатели посещали отделение банка, после чего обнаруживали на «Госуслугах», что сотрудники передали в систему образцы их голоса. Для отзыва согласия нужно было снова идти в банк. В Минцифры «Осторожно, новости» пояснили, что данные передают не в Госуслуги, а в Единую биометрическую систему в соответствии с положениями закона о биометрии. Туда в течение месяца после сбора данных их обязан передать банк. При этом представители Минцифры пояснили «Осторожно, новости», что банк обязан уведомлять клиента о том, что собрал биометрию ровно за месяц до её передачи в систему. На практике согласие на сбор получают незаметно для клиента.
«Тинькофф банк» отправил в единую биометрическую систему данные мужчины, который никогда не был их клиентом.
В конце ноября читатель «Осторожно, новости» Дмитрий Ч. обратился к брокеру, чтобы с его помощью взять кредит. Тот отправил заявки в несколько банков, в том числе в «Тинькофф». Клиентом банка Дмитрий так и не стал, однако в новогоднюю ночь ему в Госуслуги пришло уведомление о регистрации биометрии в Единой биометрической системе. При этом МТС-банк и ОТП-банк, куда брокер также подал заявки, биометрию не регистрировали.
Как в таком случае отказаться от сбора и хранения биометрии банком, непонятно. Дмитрий считает, что такое разрешение он дал, когда подписывался в согласии на обработку персональных данных. В Минцифры вчера ответили на наши публикации и рассказали, что на Госуслугах биометрия не хранится, там есть только информация о размещённых в Единой биометрической системе (ЕБС) данных. Их можно удалить оттуда в любой момент через меню в «Госуслугах» или заявление в Центр биометрических технологий — компанию-оператора ЕБС. Банки удаляют биометрию после её передачи в базу, сделать это они должны в течение месяца. При этом банки получают согласие на биометрию практически незаметно для клиентов — достаточно просто ввести PIN-код в банкомате или нажать на сторис в приложении. С аналогичными жалобами в нашу редакцию также обращались клиенты Сбера и банка Ozon.