Альфа-Банк с четырех попыток не может придумать логичное оправдание⁠⁠

В один прекрасный момент, читая ресурс, увидел пост о том, что банки регистрируют биометрию клиентов без разрешения. Решил проверить сам и да, на Госуслугах красовалась моя биометрия, вписанная АО "Альфа Банк" осенью 2023 года. Сразу удалил и пошел разбираться, уже ожидая типичное "ну вы сами подключили, нажав на кнопку"

Зайдя в поддержку банка 24 января, решил поинтересоваться, не охренели ли они когда я разрешил это делать. Далее в цитатах копипаст переписки с банком, чтобы избавить вас от скриншотов чата

Я - Добрый день! 18 декабря от имени Альфа Банка была зарегистрирована моя биометрия на Госуслугах. Разрешений я не давал. Подскажите, по какой причине банк передал мои биометрические данные третьим лицам без моего согласия?

Дарья - Добрый день, Илья. Сейчас проверю информацию и вернусь к вам. Это займёт несколько минут. Спасибо, что подождали. Подскажите, пожалуйста, с 7.11.23 по 23.11.23 вам поступало уведомление о передачи данных? Дело в том, что за 30 дней до начала передачи(в период с 7.11.23 по 23.11.23) была направлена рассылка о том что банк, в соответствии с ФЗ-572 обязан передать имеющиеся у него биометрические данные клиентов. Если вы не выражали отказа и не обращались в это время с отказом, то по закону данные обязаны быть переданы. Если вы не хотите, чтобы ваши биометрические данные были в ЕБС, то их можно удалить в любой момент

Я - Уведомлений не поступало. То есть, вы подтверждаете, что банк без моего подтверждения, на основе пассивной рассылки, не дошедшей до потребителя, предоставили мои личные данные?

Дарья - Илья, в системе вижу, что банк сообщения направлял, если сообщение не поступило, приношу вам свои извинения, за то, что вам пришлось столкнуться с такой ситуацией. Подсказать вам, как можно удалить биометрические данные?

Я - Могу попросить простой ответ на предыдущий вопрос? Банк передал мои данные без моего согласия, на основе рассылки, правильно вас понял?

Дарья - В системе вижу, что у вас есть в банке действующее согласие на обработку лицевой биометрии и голосовой, вы давали ранее согласие, поэтому данные были переданы. Могу направить обращение для уточнения, когда именно было получено согласие. Направить запрос?

Я - То есть, на основании предыдущего согласия, верно? Да, попрошу предоставить дату

Дарья - Да, но основании согласия. Сейчас направлю запрос для уточнения, это займёт несколько минут. Извините, пожалуйста, за то, что вам пришлось столкнуться с такой ситуацией.

Я - А также прошу предоставить дату, когда была проведена персональная идентификация по личному присутствию для передачи данных осенью 2023 года

Дарья - Поняла вас, добавлю также в обращение.

Было составлено обращение A24012412442, на которое был получен ответ, что они передают данные всех, кто не отказался, ссылаясь на 572-ФЗ от 29 декабря 2022 года. Но вы не беспокойтесь, данные защищены!

Естественно, интересовавших меня данных там не было, это уже и так было понятно, что сами захотели и сами отправили, причем открыто об этом заявляя. Но раз уж начали врать, что я на что-то соглашался, давайте уж до конца врать. Тем более, ст. 4 п. 1 572-ФЗ гласит, что я нужен им, чтобы мои данные куда-то отправлять:

Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе размещают в электронной форме:

Возвращаюсь в чат добиваться информации:

Я - Добрый день! Ответ на запрос A24012412442 не содержит ответа, а лишь повторную отписку.

Дарья - Добрый день, Илья. Сейчас проверю информацию и вернусь к вам. Это займёт несколько минут.

Я - При отсутствии вменяемого ответа, данная проблема будет передана в ЦБ РФ и Роспотребнадзор.

Дарья - Спасибо, что подождали. Информацию проверила. Согласна с вами, ответ по обращению не соответстувует вопросу. Извините, пожалуйста, за то, что вам пришлось столкнуться с такой ситуацией. Сейчас пробовала связаться с коллегой, который занимался рассмотрением, связаться с ним, к сожалению не получилось. Могу предложить направить сейчас повторное обращение, где дополнительно укажу  информацию по некорректному ответу. Подскажите, пожалуйста, подойдёт такой вариант?

Я - Да, конечно, отправьте повторное обращение, пожалуйста. Можно попросить отметить, что при похожей отписке, в третий раз запрос буду делать уже не через банк, поскольку нет желания стучаться в стены.

Дарья - Илья, укажу всё в обращении, вернусь в течение 10 минут.

Ну с кем не бывает, неправильно прочитали суть вопроса для отписки, не сложно попросить еще раз. Ждем, получаем ответ на обращение A2401259602 и они придумали новый интересный ответ.

Думаю, может это я дурак, законов не знаю. Иду смотреть 15 статью 572-ФЗ, именуюмую "Обработка биометрических персональных данных вне единой биометрической системы".

1. В информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов:

1) запрещена обработка, включая сбор и хранение, используемых в целях идентификации биометрических персональных данных, за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с федеральными законами;

2) запрещена обработка, включая сбор, используемых в целях аутентификации биометрических персональных данных, за исключением обработки в целях подтверждения соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы при соблюдении условий, установленных частями 1 и 3 статьи 16 настоящего Федерального закона, а также за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с федеральными законами;

3) запрещено хранение используемых в соответствии с частью 1 статьи 16 настоящего Федерального закона в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частью 1 статьи 16 настоящего Федерального закона.

2. По истечении срока, указанного в пункте 3 части 1 настоящей статьи, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.

3. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, в случае получения поданного в течение срока, указанного в пункте 3 части 1 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации в порядке, установленном Правительством Российской Федерации, вправе направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных такой организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы такой организацией или субъектом персональных данных биометрических персональных данных физического лица.

Интересная статья. Правда про передачу данных третьим лицам ничего не написано, тем более требований об этом. А статью 4 не отменяет. В общем, не получилось придумать. Идем на третий заход:

Я - Добрый день! Поведение сотрудников банка на мои запросы непозволительно. На запрос A2401259602, в котором повторно запрошен четкий ответ на вопрос, который был поставлен в запросе A24012412442 снова прислана отписка, не отвечающая на вопрос. Меня не интересует, когда и как Вы отправляли уведомления, которые не несут юридической силы, а также ошибки банка. Статья 15 ФЗ-572 также никак не связана с условиями передачи данных клиента, а именно с согласием и идентификацией. Сотрудники несколько раз сослались на передачу в соответствии с ФЗ-572. Поэтому повторяю в третий и последний раз вопрос, заданный в обоих обращениях: когда банк получил от меня согласие на передачу данных и когда была произведена идентификация с личным присутствием по этому поводу

Дарья - Добрый день, Илья. Сейчас проверю информацию и вернусь к вам. Это займёт несколько минут.

Я - Также информирую, что данная проблема, а так же полное отсутствие ответов на четко поставленные вопросы в двух обращениях, были переданы в Банк России, Роскомнадзор и Роспотребнадзор для оценки правомерности действий банка. Прошу составить новое обращение по тем же двум простым вопросам. На эти два вопроса меня интересует либо даты, которые фигурируют в запросе, либо четкий ответ о том, что это не было сделано. Другая информация, к этому не относящаяся, мне не необходима

Дарья - Занимаюсь вашим вопросом, потребуется ещё немного времени. Скоро буду. Спасибо, что подождали. Ваше обращение зарегистрировала под номером A2401278516. Ориентировочный срок рассмотрения 1 календарный день. О результатах уведомим по смс. Извините, пожалуйста, за то, что вам пришлось столкнуться с такой ситуацией.

Ничего нового, конечно, но пока пишутся заявления, можно и с банком пообщаться лишний раз. Тем более, все эти переписки потом будут полезны, возможно. Что ж, пришел третий ответ на запрос. Нашли дату! Правда не ту, нашли на сбор и хранение, 3 года назад при открытии счета. Если Альфа Банк не владеет Госуслугами, то не там они данные решили хранить, я думаю.

Может быть, сотрудники Альфа Банка считают, что раз можно хранить, то и отдавать? Надо проверить, пишу еще раз, получая самый фееричный диалог из всех за неделю:

Я - Добрый день! Хочу уточнить позицию банка по обращению A2401278516. Из текста следует, что согласие на сбор и обработку данных банк приравнивает к согласию на передачу данных, так ли это?

Арина - Добрый день, Илья! Сейчас всё проверю. Илья, спасибо за ожидание. Всё проверила, вижу, что последнему поступил ответ с датой, когда вы дали согласие на сбор и хранение биометрических данных, поскольку вы запрашивали эту информацию в предыдущих обращениях. При необходимости я могу предложить вам направить повторный запрос на уточнение данного вопроса, согласны?

Я - Нет, я не это запрашивал. Повторим с цитированием (здесь вставлен скриншот из прошлого диалога)

Анна - Сейчас всё проверю и вернусь к вам. Благодарю за ожидание. Нет, согласие на сбор и обработку данных и согласие на передачу данных - разные согласия. В период с 7.11.23 по 23.11.23 мы направляли уведомление с согласием на передачу данных в ЕБС. Если не отказываетесь, то данные передаём. Вам требуется, чтобы именно в ответе на обращение указали дату этого согласия?

Я - Естественно. По ФЗ 572, банк не имеет права передавать кому-то мои данные без согласия и личной идентификации. Рассылка без ответа не является подтверждением. Банк мои данные передал. Когда я дал разрешение на эти действия и банк подтвердил мою личность?

Анна - Поняла вас.

Я - Учитывая, что на 3 обращения банк не смог ответить на этот вопрос, резрешения на передачу данных у вас нет, я правильно понимаю? Вы разослали письмо и не получив утверждения решили, что с моей биометрией можно делать что угодно

Анна - Илья, без согласия ваши данные бы ни в коем случае не передали( Направила новое обращение, в котором попросила указать точную дату, когда вы дали именно это согласие. Простите, что снова приходится ожидать ответа🙏 В рамках чата у нас нет возможности проверить точную дату согласия(

Я - Ранее два человека в поддержке, включая вас, написали, что разослали сообщения и передел данные потому что я не отказался. Это согласие? Нет, это не согласие. За 3 попытки обращения ответ не был получен, что даст четвёртая?

Анна - Мы не получили отказ от передачи данных, поэтому их направили.( Переданные данные можно удалить.

Я - 9 минут назад вы написали: без согласия ваши данные бы ни в коем случае не передали Сейчас вы пишете: мы не получили отказ от передачи данных, поэтому из направили. Понимаете, в чем моя проблема?

Анна - Это и было согласие. Мы направляли уведомление о передаче данных. Если отказ не поступает, то данные передаём.

Я - То есть, вы подтверждаете, что отсутствие отказа равняется у вас согласию, что незаконно. Спасибо, эти данные будут переданы в контиолирующие организации. Или вы считаете, что если я не говорю ничего, вы можете делать что угодно? Если вы куда-то отправите рассылку, а я не отвечу, вы откроете мне, например, кредитку с процентами, какими захотите? Законодательство так не работает.

Анна - Для открытия каких-либо продуктов вы подписываете договор. По биометрическим данным банк обязан был передать имеющиеся данные.

Банк ни в коем случае ничего не делает без разрешения, но раз вы не отказались, то норм, мы считаем, что это ваше согласие. Удобно. Я посмеялся и стал ждать решений контролирующих органов, ибо с такой логикой добиваться чего-то от банка бессмысленно. Однако я забыл, что поддержка еще один запрос успела оформить, и ответ на него смог побить последний чат:

P.S. Жалобы поданы в Роспотребнадзор и Банк России, который продублировал жалобу в Роскомнадзор.

P.P.S. Все скриншоты с чатом приложу в конце поста.

P.P.P.S. @AlfaBank вы хоть научите саппорт одно и то же врать, а не вразнобой, ей богу.