Те, що співзасновник monobank Олег Гороховський опинився в центрі скандалу через публікацію персональних даних клієнтки Карина Кольб, знають вже, мабуть, всі. Історія зі скрінами допису Гороховського і поясненнями самої клієнтки розійшлася соцмережами. Гороховський і досі продовжує стверджувати, що клієнтка проходила відеоверифікацію на фоні прапору Росії. Кольб це спростовувала, доводячи, що це був про прапор Словенії, і додаючи, що її батько у ЗСУ, і що вона любить Україну.
Як би там не було, один факт залишається беззаперечним: співзасновник банку опублікував на своїй офіційній сторінці фото клієнтки банку з власними коментарями і висновками. Пізніше Гороховський запевнив клієнтів банку, що “з їхніми персональними даними все гаразд і ніколи не буде інакше” і що “висновки зроблені”, але перед клієнткою Кольб не вибачився і не пояснив, як до нього потрапило її фото.
Цей випадок висвітлює ширшу проблему: як банки працюють з конфіденційними даними клієнтів?
Розберемо ситуацію з юридичної точки зору: що входить до поняття конфіденційної інформації, якими нормативними актами це регулюється в Україні, кому банки можуть надавати такі дані та в яких випадках. Яка відповідальність банків за витік інформації про клієнта? Окреме питання: а що б було, якби подібний банківський скандал стався в одній із країн ЄС?
Юридичний аналіз ситуації допоможе зрозуміти, чи можуть бути порушення в діях співзасновника банку, і як клієнти можуть захищати свої права.
Конфіденційність даних клієнтів у банківській сфері: правове регулювання та межі розголошення
Коли ми відкриваємо рахунок у банку чи проходимо верифікацію, ми довіряємо установі свої особисті дані. Це не просто формальність – це конфіденційна інформація, яка захищена законом.
Конфіденційна інформація – це будь-які дані про вас, які не призначені для загального доступу і можуть вас ідентифікувати. У банківському контексті це не тільки ваші гроші на рахунку, але й все, що пов’язано з вашим життям як клієнта. Наприклад, якщо ви проходите відеоверифікацію, банк отримує ваше фото чи відео, і це теж конфіденційно, бо воно показує, хто ви, де ви, і як виглядаєте.
В Україні є кілька ключових документів, які детально описують правила для банків:
- Закон України “Про банки і банківську діяльність” – основний для банківської таємниці. Статті 60-62 визначають, що входить до таємниці, зобов’язання банків її зберігати, коли можна розголошувати (згода, суд, запити органів) і покарання за порушення.
- Закон України “Про захист персональних даних”.
- Цивільний кодекс України, де стаття 1076 гарантує банківську таємницю, забороняє розголошення без підстав і дає право на компенсацію шкоди.
- Кримінальний кодекс України передбачає покарання (стаття 182) за розголошення персональних даних (штраф, обмеження чи навіть позбавлення волі до 5 років). Стаття 232 – за розголошення банківської таємниці (штраф або пробаційний нагляд на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю).
Законодавство розрізняє два основні види конфіденційної інформації:
- Банківська таємниця (ст. 1067 Цивільного кодексу України). Це дані про ваші фінансові справи, які банк дізнається під час роботи з вами. Наприклад, номер рахунку, баланс, перекази грошей чи навіть структура вашого бізнесу, якщо ви підприємець.
- Персональні дані. Широке поняття, яке включає все, що дозволяє вас впізнати: ім’я, фото, адреса, дата народження чи навіть голосовий запис. У банку є паспортні дані клієнтів, фото з верифікації або інформація про майновий стан.
Простіше кажучи, все, що ви передаєте банку для відкриття рахунку чи операцій, стає конфіденційним. Банк не може використовувати це для чогось іншого, бо це ваша приватність.
Що саме входить до конфіденційних даних у банку?
- Особисті дані клієнта: ПІБ, паспорт, ІПН, фото чи відео з верифікації (наприклад, селфі чи відеодзвінок для підтвердження особи).
- Фінансові деталі: номер рахунку, баланс, історія платежів, кредити чи депозити.
- Інформація про операції: кому клієнт перераховував гроші, де і за що платив, скільки витратив.
- Додаткові відомості: якщо клієнт – бізнесмен, то конфіденційною інформацією є структура компанії, винаходи чи комерційні секрети.
- Біометрія чи голос: якщо банк використовує голосову ідентифікацію, то і це захищено законодавством.
Ст. 1067 ЦК чітко прописує: “У разі розголошення банком відомостей, що становлять банківську таємницю, клієнт має право вимагати від банку відшкодування завданих збитків та моральної шкоди”.
Чи має право банк розголошувати конфіденційні дані?
Ні, банк не має права розголошувати дані клієнта, наприклад, публікувати фото в соцмережах чи ділитися з друзями. Це заборонено вищеперерахованими законами згідно яких банк зобов’язаний гарантувати клієнту таємницю. Якщо банк розголосить дані, то порушить права клієнта, і він можете вимагати компенсацію за шкоду.
Розголошення можливе тільки за чіткими правилами: зі згоди клієнта (письмово або в електронній формі, наприклад, під час реєстрації в додатку) або якщо є законна підстава. Банк повинен вживати спеціальні заходи для захисту даних: обмежувати доступ, використовувати шифрування, підписувати договори з працівниками про нерозголошення. Якщо працівник банку “злив” дані, він несе відповідальність, аж до кримінальної.
Кому і в яких випадках банк може передати дані клієнта?
Банк може передати дані тільки обмеженому колу осіб чи органів, і тільки якщо є вагома причина. Ось як це працює:
- Клієнту або його представникам. Звичайно, клієнт завжди можете отримати свою інформацію, наприклад, виписку з рахунку.
- За згодою клієнта. Якщо він письмово дозволив, банк може поділитися даними, наприклад, з іншою компанією для кредиту.
- За рішенням суду. Якщо суд постановив, банк зобов’язаний надати дані про клієнта, наприклад, у справі про розлучення чи борги.
- Офіційним органам на запит. Це найпоширеніший випадок. Банк передає дані про клієнта тільки мотивованим запитом від уповноважених структур, і тільки те, що потрібно (наприклад, баланс чи операції за певний період). Хто може запитати такі дані: правоохоронні органи або податкова служба для перевірки доходів чи податків, Антимонопольний комітет, якщо йдеться про конкуренцію на ринку, виконавча служба для стягнення боргів.
Важливо: навіть правоохоронним органам банк не має права надавати все підряд – тільки конкретні дані, і отримувач теж зобов’язаний їх захищати. Якщо передача незаконна, банк чи працівник можуть бути покарані штрафом або отримати суворіше покарання.
Ці нормативно-правові акти оновлюються, але основні правила стабільні. Якщо є порушення, клієнт може скаржитися до НБУ чи до суду.
Що загрожує банку за розголошення даних клієнта
Маємо ситуацію: керівник\співзасновник банку публікує в соцмережах фото клієнта з процесу верифікації, додаючи коментарі, які виставляють людину в негативному світлі. Які можуть бути наслідки цих дій?
- Така публікація – це розголошення конфіденційних даних. У залежності від ситуації, може бути навіть кримінальна відповідальність.
- Якщо коментарі до фото поширюють неправдиву інформацію (наприклад, звинувачення в чомусь негативному), то це може трактуватися як наклеп – шкода честі та гідності (ст. 277 ЦК). За образи може бути адміністративне покарання, як за дрібне хуліганство (Кодекс про адмінправопорушення, стаття 173). І нагадуємо, що ст. 1067 ЦК чітко прописує: “У разі розголошення банком відомостей, що становлять банківську таємницю, клієнт має право вимагати від банку відшкодування завданих збитків та моральної шкоди”.
- Блокування рахунку без вагомої причини: банк може це робити за ризики (наприклад, за законом про протидію відмиванню грошей), але зобов’язаний пояснити. Якщо через помилкове припущення – це немотивоване, і суд може визнати незаконним (розірвання договору банківського рахунку регулює стаття 1075 ЦК).
Що може вимагати потерпілий клієнт у суді?
Якщо клієнт, наприклад, дівчина з нашого прикладу, подасть позов, вона має сильні підстави. Його можна подати проти банку як установи або особисто проти посадової особи (наприклад, керівника). Ось що можна вимагати:
- Спростування інформації. Суд може зобов’язати опублікувати вибачення чи спростування в тих же соцмережах, де був пост з розголошенням персональних даних.
- Компенсація моральної шкоди. За стрес і приниження – сума залежить від доказів (скріни коментарів, свідчення).
- Відшкодування матеріальної шкоди, якщо через блокування рахунку втрачено гроші чи можливості.
- Відновлення рахунку, якщо закриття було немотивованим.
- Притягнення до кримінальної відповідальності: Через заяву в поліцію за розголошення даних. Якщо виходити з реалій, це навряд закінчиться чимось серйозним, провадження відкриють, але наступного дня можуть закрити через відсутність складу злочину чи іншу формальну відписку.
А як повинен реагувати НБУ на витік конференційних даних
Національний банк України має великі повноваження для контролю за банками і може карати за порушення, як-от розголошення банківської таємниці.
Це регулюється вищезгаданим Законом України “Про банки і банківську діяльність”. За статтею 73, НБУ може дати письмове попередження, оштрафувати банк до 1% від статутного капіталу (або до 7,95 млн грн за проблеми з відмиванням коштів), обмежити операції, тимчасово заборонити певні види роботи, вимагати звільнити керівників, якщо вони погано виконували обов’язки, наприклад, не захищали конфіденційність (ст. 61), або навіть забрати ліцензію.
Якщо надійде скарга від клієнта, НБУ має швидко реагувати: штраф, який може сягати мільйонів, чи навіть тимчасове закриття банку. Для керівника це ризик втратити роботу чи потрапити під кримінал.
Ввечері, 11 березня, ЄП опублікувала позицію Нацбанку. З неї стало відомо, що НБУ вимагає пояснень щодо публікації Гороховського, у якій він поширив фото клієнтки банку, яку звинуватив у проросійських поглядах.
“Національний банк у межах здійснення функції захисту прав споживачів та нагляду аналізує обставини цієї ситуації та направив до банку запит щодо надання пояснень стосовно обставин поширення інформації, яка могла бути отримана під час проведення процедур ідентифікації або верифікації клієнта та може складати банківську таємницю”, – зазначили у регуляторі.
Там підкреслили, що можуть дати свою оцінку діям Гороховського лише після отримання відповіді банку та перевірки всіх фактів. До того моменту там відмовляються коментувати ситуацію, оскільки отримана під час здійснення наглядових дій інформація відноситься до банківської таємниці.
“У разі встановлення під час наглядових дій порушень банком вимог законодавства або нормативно-правових актів Національного банку регулятор може застосувати передбачені законом заходи впливу до банку”, – зазначають в НБУ. Нацбанк зазначив, що зможе застосувати до банку заходи впливу, передбачені постановою №346.
Якби цей скандал стався в ЄС
В Європейському Союзі такі порушення, як несанкціоноване розголошення персональних даних клієнта (наприклад, фото з верифікації чи контекстуальні деталі), регулюються Загальним регламентом про захист даних (GDPR), який передбачає суворі санкції для забезпечення високого рівня приватності.
Штрафи можуть сягати до 20 млн євро або 4% глобального річного обороту компанії за попередній фінансовий рік (вибирається більша сума), що для великих банків може означати мільярди євро. Для менш серйозних порушень, як недостатні заходи безпеки чи відсутність прозорості, максимум становить 10 млн євро або 2% обороту.
До 2025 року кумулятивна сума штрафів за GDPR досягла 5,88 млрд євро, з акцентом на сектори, включаючи фінанси, де регулятори все частіше карають за витоки чи незаконну обробку даних. Наприклад, іспанський CaixaBank отримав штраф у 6 млн євро у 2021 році за незаконну передачу інформації іншим компаніям у групі.
Регулятори, зокрема органи із захисту даних (DPA), швидко реагують на скарги чи виявлені порушення, проводячи розслідування та накладаючи санкції, часто з вимогою виправити помилки, як призупинення обробки даних чи публічні догани.
Культура приватності в ЄС значно вища, ніж в Україні, завдяки суворому законодавству та суспільній увазі, тому банки впроваджують жорстку внутрішню політику, обов’язкові аудити та навчання персоналу, щоб уникнути ризиків. Скандали трапляються рідко і призводять до негативних наслідків і втрати репутації.
Немає сумнівів у тому, що керівник банку з країни ЄС, як мінімум, був би звільнений (або самостійно склав би повноваження) за свідоме розголошення конференційних даних та публічне приниження клієнта.
Конфіденційність даних у банківській сфері – це не лише юридична вимога, але й основа довіри між клієнтами та фінансовими установами. Порушення правил розголошення персональної інформації може призвести до серйозних наслідків: штрафів, судових позовів та втручання регуляторів, як-от Національного банку України. Клієнти мають інструменти захисту: від скарг до НБУ до вимог компенсації моральної та матеріальної шкоди в суді, спираючись на закони про банки, персональні дані та Цивільний кодекс. Важливо пам’ятати, що банки зобов’язані обробляти дані тільки за згодою або законними підставами, а будь-яке самовільне поширення – це ризик для репутації та діяльності установи.
