У коментованій нами справі клієнт вимагав від банку після припинення договорів на обслуговування його рахунку знищити його персональні дані, проте банк відмовив з причин дотримання строку зберігання юридичної справи рахунку, який становить 5 років після припинення відносин. А отже, банк зобов’язаний зберігати й обробляти персональні дані у межах цього строку. Натомість фізособа звернулася до суду, проте й суд підтримав позицію банку.
* Постанова ВС від 29.11.2023 у справі №757/22027/22-ц.
Але для всіх нас у цій ситуації важливим є такий аспект: якщо персональні дані зберігаються банками протягом 5 років після закриття рахунку та припинення відносин із банком, то чи може клієнт отримати інформацію із закритого рахунку щодо операцій, проведених під час дії договору з банком? А це в разі втрати виписки банку буває досить важливо і дуже складно.
Як банк зберігає інформацію про клієнтів — персональні дані?
На сайті банку завжди можна ознайомитися з політикою конфіденційності та з інформацією щодо обробки персональних даних, її цілей, умов та підстав тощо.
Що каже закон?
Інформація про фізособу (персональні дані) — це відомості чи сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована (ч. 1, 2 статті 11 Закону №2657).
Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини.
До конфіденційної інформації про фізособу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров`я, а також адреса, дата і місце народження.
Персональні дані — це відомості чи сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована (стаття 2 Закону №2297).
Обробка персональних даних — це дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання та поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Обробка персональних даних здійснюється для конкретних і законних цілей. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних. Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки (стаття 6 Закону №2297).
Там само можна побачити й таке: якщо клієнт банку бажає отримати доступ, переглянути, оновити, виправити або видалити свої персональні дані, які зберігаються банком, чи скористатися будь-якими іншими правами, прописаними у статті 8 Закону № 2297, можна звернутися безпосередньо до банку за формою, яку той розробив саме з такою метою. Водночас, якщо клієнт банку не задоволений тим, як банк обробляє його дані, він має право подати скаргу до Уповноваженого Верховної Ради України з прав людини.
Як видалити/знищити персональні дані клієнта з банку?
Незважаючи на право знищити свої персональні дані, які обробляються банком, для такого знищення потрібне не лише звернення клієнта до банку, а й відповідні підстави, на яких ВС наголосив у коментованій нами справі.
Персональні дані підлягають видаленню або знищенню у разі:
— закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
— припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
— видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
— набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
Також не допускається обробка даних про фізособу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Персональні дані обробляються у формі, що допускає ідентифікацію фізособи, якої вони стосуються, не довше ніж це потрібно для законних цілей, задля яких вони збиралися або надалі оброблялися (ч. 6, 8 ст. 6 Закону №2297).
Водночас, відповідно до ст. 8 Закону №2297, суб’єкт персональних даних має право, зокрема, висунути вмотивовану вимогу:
— володільцю персональних даних із запереченням проти обробки своїх персональних даних;
— щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
Отже, звертаючись до банку з вимогою про знищення всіх персональних даних, які перебувають у володінні та розпорядженні банку, слід вказати на порушення, яке вчиняє банк. Зокрема, на відсутність згоди щодо обробки персональних даних, незаконне їх поширення.
Наприклад, оприлюднення з персональними даними документів, складених за операціями з клієнтами, їх заяв, скарг у відкритих джерелах, передання інформації приватним особам чи підприємствам для їх використання з власною метою (передання інформації операторам мобільного зв’язку до таких випадків не належить), надання доступу до ваших персональних даних працівникам, які не використовують їх під час виконанні своїх посадових обов’язків, тощо.
Подібні претензії від клієнтів банків докладно розглянуті у судах (див. постанову Броварського міськрайонного суду Київської області від 09.04.2020 у справі №361/1579/20, постанову Шевченківського районного суду Києва від 15.09.2020 у справі №761/23532/20).
Якщо ж порушення банком вимог Закону №2297 немає, то й підстав для видалення даних щодо такого клієнта теж немає.
Протягом якого періоду банки мають зберігати інформацію?
Вище ми зауважили, що персональні дані підлягають видаленню або знищенню у разі припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом.
Тому в разі закриття рахунку в банку та припинення договору банківського рахунку, по суті, клієнт з огляду на Закон має право вимагати знищення його персональних даних.
Проте не все так просто. Адже банк як суб’єкт первинного фінмоніторингу зобов’язаний зберігати (у спосіб, щоб оперативно надавати на запит відповідних суб’єктів державного фінансового моніторингу, та в обсязі, достатньому для відновлення інформації щодо конкретних фінансових операцій, у тому числі за потреби надання як доказів у кримінальному провадженні) документи (у тому числі електронні), їх копії, записи, дані, інформацію щодо заходів, вжитих з метою виконання вимог у сфері запобігання та протидії легалізації (відмиванню) доходів, зокрема щодо здійснення належної перевірки клієнтів (у тому числі ідентифікації та верифікації представників клієнтів, установлення їхніх повноважень), а також осіб, яким суб’єктом первинного фінансового моніторингу було відмовлено у встановленні ділових відносин та/або проведенні фінансових операцій, а також усі документи, що стосуються ділових відносин (проведення фінансової операції) з клієнтом (включаючи ділову, зокрема внутрішню, кореспонденцію, листування, звіти, запити, результати будь-якого аналізу під час здійснення належної перевірки клієнта), не менше ніж п’ять років після припинення ділових відносин із клієнтом або завершення одноразової фінансової операції без установлення ділових відносин із клієнтом (п. 18 ч. 2 ст. 8 Закону №361).
НБУ може встановлюватися триваліші строки та додаткові вимоги до порядку зберігання документів.
І це може стати у пригоді підприємцям (а на нашу думку, і юрособам), коли потрібна інформація щодо рахунку, а сам рахунок уже закритий.
Інша річ, що таку інформацію банк має, але не бажає нею ділитися, зокрема встановлюючи обмеження щодо періоду, за який можна, наприклад, переглянути виписки за рахунком. Чи має банк право таке робити? Чи може клієнт або колишній клієнт вимагати надання йому інформації за потрібний період?
Протягом якого періоду можна отримати від банку інформацію (виписку)?
Такі запитання доволі часто виникають у ФОПів, особливо останнім часом, коли йдеться про складання податкових декларацій чи подання уточнюючих розрахунків/декларацій тощо (у межах строків проведення перевірок податковими органами з урахуванням зупинення строків давності за ст. 102 ПКУ — а це на сьогодні майже 7 років, з 2017 до 2023 рр.). Проте ми передусім закликаємо уважно читати договори з банками та правила банківського обслуговування.
Наприклад, деякі банки у договорах вказують на можливість формування виписки, але не уточнюють, за який період. Інші — прямо у договорі зазначають, що виписка щодо рахунку може бути сформована за будь-який період, зокрема окремі банки дають інформацію за 2018 — 2019 роки, якщо у цей період ви вже мали укладений банком договір банківського рахунку.
При цьому, якщо звернутися до вебсайтів банків, то на сьогодні багато які з них установили функцію «Виписка за період», що дає право вказати на будь-який період з початку укладення договору.
Не можна не згадати і банки, які буквально у мобільних застосунках мають окрему функцію «Довідка про закритий рахунок ФОП», яка формує стандартну форму довідки, або дають змогу звернутися з окремим запитом про надання виписки щодо закритого рахунку, де уточнити, яка саме інформація цікавить ФОПа — загальна чи деталізована (рахунок, період, тип довідки, суть/інформація, яка має бути/бажана у довідці тощо). Щоправда, такий документ здебільшого надають за окрему плату.
Деякі банки-правонаступники ліквідованих банків можуть надавати відповідну інформацію й щодо архіву таких ліквідованих банків.
У будь-якому разі, як зазначив ВС, строк зберігання інформації щодо проведених фінансових операцій становить не менше ніж п’ять років після припинення ділових відносин із клієнтом (п. 18 ч. 2 ст. 8 Закону №361). А отже, й можливість формування виписок на сьогодні має становити не менше ніж 5 — 7 років з метою виконання податкових обов’язків ФОПами (з урахуванням строків проведення останньої перевірки).
Що стосується персональних даних клієнтів, то банки при складанні політики конфіденційності та захисту персональних даних вказують дещо продовжені строки. Зокрема, строк зберігання персональних даних при наданні банківської, фінансової послуги залежить від виду фінансової (банківської) послуги і може визначатися відповідно до нормативно-правових актів (у тому числі НБУ) та може бути встановлений від 5 до 10 років (у разі відмови у наданні послуги або в інших виняткових випадках строк може відрізнятися).
Нормативна база
- Закон №2657 — Закон України від 02.10.1992 №2657-ХІІ «Про інформацію.
- Закон №2297 — Закон України від 01.06.2010 №2297-VI «Про захист персональних даних».
- Закон №361 — Закон України від 06.12.2019 №361-ІХ «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення».