Риски мошенничества после обработки паспортных данных в банке: нужно ли менять паспорт?

Отказ в выдаче кредита после сбора документов: риски утечки данных и порядок действий

Анализ ситуации: что произошло и какие права нарушены

Вы подали онлайн-заявку, получили одобрение, приехали в офис, где сотрудник снял копию паспорта, сфотографировал вас, взял подпись на согласии на обработку персональных данных, но кредит так и не выдали. Обещанный звонок от службы безопасности не поступил. Вы обоснованно опасаетесь за сохранность своих данных.

Банк в данной ситуации выступает как оператор персональных данных — лицо, которое организует и осуществляет обработку ваших персональных данных. Согласно Федеральному закону "О персональных данных":

"Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3, пункт 1)

Копия паспорта, ваше фото, подписанное согласие — всё это относится к персональным данным, включая биометрические (фотография).

Обязанности банка по защите ваших персональных данных

1. Обязанность обеспечить конфиденциальность

Закон прямо устанавливает, что:

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7)

Также на банк распространяется обязанность по сохранению банковской тайны:

"Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов" (Источник: Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности", статья 26)

2. Обязанность по обеспечению безопасности данных

Банк обязан принимать меры для защиты ваших данных:

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1)

3. Обязанность уничтожить данные при отсутствии цели обработки

Ваши данные собирались для рассмотрения заявки на кредит. Поскольку в итоге решение о выдаче кредита не принято (вам даже не дали мотивированного отказа), данные должны быть уничтожены, если цель обработки отпала:

"При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность... Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных... Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5, части 5-7)

Обязан ли был банк звонить и каков срок рассмотрения заявки?

Закон не устанавливает обязанности банка звонить лично от "службы безопасности". Однако есть общие требования к порядку рассмотрения заявок:

[Кредитная организация] "обязана рассмотреть обращение... в течение 15 рабочих дней со дня регистрации обращения" (Источник: Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности", статья 30.1, часть 7)

При этом:

"По результатам рассмотрения заявления заемщика о предоставлении потребительского кредита (займа) кредитор может отказать заемщику в заключении договора без объяснения причин" (Источник: Федеральный закон от 21.12.2013 N 353-ФЗ "О потребительском кредите (займе)", статья 7, часть 5)

Если отказ не был вам сообщён — это может быть нарушением порядка информирования, но прямой обязанности звонить именно по телефону закон не устанавливает. Вы можете направить официальный запрос в банк и получить ответ.

Ответственность банка за возможную утечку данных

Административная ответственность

За утечку персональных данных предусмотрены крупные штрафы:

"Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные... влекут наложение административного штрафа на юридических лиц — от трех миллионов до пятнадцати миллионов рублей" (Источник: КоАП РФ, статья 13.11, части 12-14)

Отдельная ответственность — за разглашение информации ограниченного доступа:

"Разглашение информации, доступ к которой ограничен федеральным законом... влечет наложение административного штрафа на граждан от пяти тысяч до десяти тысяч рублей; на должностных лиц — от сорока тысяч до пятидесяти тысяч рублей; на юридических лиц — от ста тысяч до двухсот тысяч рублей" (Источник: КоАП РФ, статья 13.14)

Также ответственность за нарушение банковской тайны:

"За разглашение банковской тайны... должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом" (Источник: Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности", статья 26)

Гражданско-правовая ответственность

Вы имеете право требовать возмещения убытков и компенсации морального вреда:

"Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 17, часть 2)

"Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных... подлежит возмещению в соответствии с законодательством Российской Федерации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 24, часть 2)

Риски мошенничества: насколько реальна угроза?

Наличие копии паспорта и фотографии может быть использовано мошенниками, но есть важные нюансы:

1. Для оформления кредита через банк обычно требуется личное присутствие, биометрическая идентификация или квалифицированная электронная подпись (КЭП), которую сложно подделать по фото.
2. Микрофинансовые организации (МФО) могут принимать заявки онлайн, и копии документов там порой используются недобросовестно.
3. Факторинговые и коллекторские агентства — также возможны риски.

Стоит ли менять паспорт?

Нет, менять паспорт нецелесообразно по следующим причинам:

• Замена паспорта не аннулирует уже имеющиеся у банка копии
• Мошенники могут использовать копию старого паспорта в связке с новыми данными
• Процедура замены сложна и требует оснований (утеря, смена фамилии, возраст, порча)

Что делать для минимизации рисков?

1. Установите самозапрет на выдачу кредитов через кредитную историю

С 1 марта 2025 года заработал механизм, когда вы можете установить запрет на заключение договоров потребительского кредита (займа) без вашего согласия. Проверьте через квалифицированные бюро кредитных историй — это наиболее эффективный способ защиты от мошеннических кредитов.

2. Направьте банку требование об уничтожении персональных данных

Вы имеете право потребовать от банка прекратить обработку и уничтожить ваши данные:

"Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 14, часть 1)

Банк обязан выполнить это требование в течение 10 рабочих дней.

3. Регулярно следите за кредитной историей

Рекомендую проверять свою кредитную историю не реже одного раза в год (бесплатно — дважды в год). При обнаружении неизвестных вам кредитов немедленно обращайтесь в бюро кредитных историй и полицию.

Куда и как обращаться?

1. В банк — с официальным запросом

Направьте письменное заявление через официальный сайт банка или заказным письмом с уведомлением. Банк обязан ответить в течение 15 рабочих дней. В заявлении можно:

• Попросить подтвердить, что ваши данные не были переданы третьим лицам
• Потребовать уничтожить ваши персональные данные
• Указать на нарушение порядка рассмотрения заявки

2. В Роскомнадзор — при подозрении на нарушение

Роскомнадзор — это уполномоченный орган по защите прав субъектов персональных данных:

"Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 23, часть 2)

Жалоба в Роскомнадзор — правильный шаг если вы подозреваете, что банк нарушил правила обработки данных. Однако без доказательств утечки далеко идти не стоит.

3. В полицию — если произошло мошенничество

Если вы узнали, что на ваше имя оформили кредит или совершили сделку — немедленно обращайтесь в полицию с заявлением о мошенничестве (статья 159 УК РФ).

4. В Банк России — для контроля за банком

Банк России осуществляет надзор за соблюдением банками требований законодательства, в том числе Закона "О потребительском кредите":

"Надзор за соблюдением кредитными организациями и некредитными финансовыми организациями требований настоящего Федерального закона осуществляет Банк России" (Источник: Федеральный закон от 21.12.2013 N 353-ФЗ "О потребительском кредите (займе)", статья 16, часть 1)

Выводы и рекомендации

1. Менять паспорт не нужно — это не решит проблему, а создаст новые сложности. Лучше установить запрет на кредиты через кредитную историю и следить за ней.

2. Напишите официальный запрос в банк — потребуйте подтвердить уничтожение ваших персональных данных и указать, передавались ли они третьим лицам. Это зафиксирует факт нарушения (если оно есть) и создаст доказательную базу.

3. Подайте жалобу в Роскомнадзор — если банк не ответит или ответ будет неудовлетворительным. Это можно сделать через портал Роскомнадзора.

4. Фактического нарушения пока нет, поэтому полиция не возбудит дело без признаков конкретного преступления. Но если позже обнаружатся мошеннические кредиты — обратитесь в полицию немедленно.

5. Регулярно проверяйте кредитную историю — минимум раз в год, а лучше раз в полгода.

6. Установите в бюро кредитных историй запрет на выдачу кредитов без вашего согласия — это ваш главный инструмент защиты на 2025 год.

Если ситуация вас сильно беспокоит или обнаружатся следы мошенничества — рекомендую обратиться к адвокату, специализирующемуся на защите прав потребителей финансовых услуг.