Проблема с требованием банка сканировать паспорт при отсутствии согласия на обработку персональных данных

Отказ банка в обслуживании без предоставления скан-копии паспорта: законность и ваши права

Анализ вашей ситуации

Вы столкнулись с требованием банка обязательного сканирования вашего паспорта для совершения операции, несмотря на то, что сотрудники проверили подлинность документа и визуально идентифицировали вас. Банк ссылается на внутренние регламенты. Вы готовы предоставить данные иными способами (ручной ввод, подписание согласия), но отказываетесь от создания полной графической копии из-за опасений за безопасность персональных данных. Ключевой конфликт заключается в противоречии между вашим правом контролировать способы обработки своих персональных данных и обязанностями банка по идентификации клиентов и противодействию легализации преступных доходов (ПОД/ФТ).

Применимые правовые нормы и их толкование

1. Обязанность банка по идентификации клиента. Банк обязан идентифицировать клиента до приема на обслуживание. Закон определяет идентификацию как "совокупность мероприятий по установлению... сведений о клиентах... и подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий". (Источник: Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации...", статья 3).

   Более детально, для физического лица необходимо установить: фамилию, имя, отчество, дату рождения, реквизиты документа, удостоверяющего личность, и другие сведения (Источник: Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации...", статья 7, пункт 1, подпункт 1). Эти сведения фиксируются в анкете (досье) клиента, которая может быть оформлена на бумажном и (или) электронном носителе (Источник: Положение Банка России от 15.10.2015 N 499-П, глава 5, пункт 5.1).

   Вывод: Закон обязывает банк установить и зафиксировать определенный перечень сведений (текстовые данные), но не содержит прямого требования обязательно создавать и хранить графическую копию (скан) всего паспорта в качестве единственного способа фиксации.

2. Принципы обработки персональных данных. Ваши паспортные данные являются персональными. Их обработка должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. "Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5).

   "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и однозначным." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, пункт 1).

   Вывод: Если целью является идентификация и фиксация паспортных данных для ПОД/ФТ, то обработка должна быть минимально необходимой. Создание полной копии документа (включая фото и подпись) может быть расценено как избыточное по отношению к цели установления текстовых сведений (ФИО, номер, серия и т.д.). Требование безусловного сканирования без учета иных способов фиксации может противоречить принципу избыточности.

3. Согласие на обработку персональных данных. Обработка персональных данных допускается, в частности, с согласия субъекта (вас) или если она необходима для исполнения договора, стороной которого вы являетесь, или для выполнения банком обязанностей, установленных законом (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, пункт 1, подпункты 1, 2, 5).

   Если вы давали согласие в 2015 году, оно могло не конкретизировать способ обработки в виде сканирования. Вы имеете право его отозвать. Однако в этом случае банк вправе продолжить обработку ваших данных на ином законном основании, например, для исполнения договора банковского обслуживания или для соблюдения требований закона 115-ФЗ (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, пункт 2).

   Вывод: Банк может обрабатывать ваши паспортные данные и без отдельного согласия, если это необходимо для исполнения договора или закона. Однако способ обработки (скан) должен соответствовать принципам, указанным выше.

4. Права субъекта персональных данных и ответственность банка. Вы имеете право требовать от оператора (банка) уточнения, блокирования или уничтожения ваших данных, если они являются избыточными для заявленной цели обработки (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 14, пункт 1). В случае нарушения ваших прав вы вправе обжаловать действия банка в уполномоченный орган (Роскомнадзор) или в суд (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 17, пункт 1).

   Банк как оператор обязан обеспечивать безопасность ваших персональных данных (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19).

5. Правомерность отказа в обслуживании. Банк обязан отказать в приеме на обслуживание, если не проведена идентификация клиента в соответствии с требованиями закона 115-ФЗ (Источник: Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации...", статья 7, пункт 2.2). Однако в вашем случае идентификация фактически проведена (проверен оригинал паспорта). Отказ на основании непредоставления именно скана, а не иной формы фиксации тех же сведений, может быть расценен как неправомерный, особенно если он противоречит принципам обработки персональных данных.

   Банковское обслуживание, как правило, строится на основе публичного договора. "Отказ лица, осуществляющего предпринимательскую деятельность, от заключения публичного договора при наличии возможности предоставить потребителю соответствующие услуги не допускается..." (Источник: Гражданский кодекс Российской Федерации, статья 426, пункт 3). Недобросовестное использование банком своего права на отказ может быть квалифицировано как злоупотребление правом (Источник: Гражданский кодекс Российской Федерации, статья 10).

Выводы и конкретные рекомендации

1. Требование банка носит преимущественно внутренний характер. Прямого законодательного предписания об обязательном сканировании паспорта для целей ПОД/ФТ не существует. Закон требует фиксации сведений, а не конкретного способа их получения (скан, ручной ввод). Внутренние правила банка не должны противоречить федеральному законодательству, в частности, принципам обработки персональных данных.

2. У вас есть веские аргументы. Вы можете настаивать на том, что:

   • Идентификация проведена (оригинал паспорта предъявлен и проверен).
   • Вы не отказываетесь предоставить необходимые для идентификации сведения.
   • Создание полной графической копии является избыточным способом обработки для достижения заявленной цели (фиксации текстовых данных) и увеличивает риски для безопасности ваших данных.
   • Вы готовы подписать обновленное согласие на обработку персональных данных или подтвердить согласие на обработку, необходимую для исполнения договора/закона.

3. План действий:

   • Шаг 1: Обращение к руководству. В письменной форме (заявление в двух экземплярах, один с отметкой о приеме) обратитесь к руководителю отделения или в центральный офис банка. Изложите ситуацию, свои требования (обслуживание без сканирования, с фиксацией данных иным способом) и правовую аргументацию (ссылаясь на принципы 152-ФЗ об избыточности данных). Укажите, что в случае отказа будете вынуждены обжаловать действия банка.
   • Шаг 2: Жалоба в контролирующие органы. Если руководство банка не пойдет навстречу, направляйте жалобы:
     • В Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) — на нарушение банком требований Федерального закона "О персональных данных", в частности, принципа соразмерности и избыточности обработки.
     • В Центральный банк Российской Федерации (через онлайн-приемную) — как в надзорный орган, контролирующий соблюдение банками законодательства, в том числе 115-ФЗ и 499-П. Укажите, что банк, по вашему мнению, устанавливает избыточные по сравнению с требованиями закона процедуры, что приводит к необоснованному отказу в обслуживании.
   • Шаг 3: Судебная защита. В крайнем случае вы можете обратиться в суд с требованием о понуждении банка заключить публичный договор (оказать услугу) и/о компенсации морального вреда, причиненного нарушением ваших прав как субъекта персональных данных.

4. Обходного пути "по умолчанию" нет. Закон не предоставляет клиенту права диктовать банку технические процедуры, но устанавливает рамки, в которых эти процедуры должны работать. Ваша позиция сильна именно с точки зрения защиты персональных данных. Банку будет сложно доказать в Роскомнадзоре, что хранение скана всего паспорта строго необходимо для целей ПОД/ФТ, если установленные законом сведения могут быть зафиксированы иным, менее рискованным для клиента способом.

Рекомендуется начать с письменного диалога с банком, подкрепленного ссылками на закон. Если это не поможет, обращение в Роскомнадзор часто является действенной мерой, так как этот орган непосредственно занимается вопросами соразмерности обработки персональных данных.