Коментар до Постанови ВС від 29.11.2023 у справі №757/22027/22-ц
У коментованій нами справі клієнт вимагав від банку після припинення договорів на обслуговування його рахунку знищити його персональні дані. Проте банк відмовив через дотримання строків зберігання юридичної справи рахунку, який становить 5 років після припинення відносин. А отже, банк зобов’язаний здійснювати зберігання та обробку персональних даних в межах цього строку. У подальшому фізособа звернулася до суду, проте й суд підтримав позицію банку.
Але для інших у такий ситуації важливий такий аспект: якщо банки зберігають персональні дані протягом 5 років після закриття рахунку та припинення відносин з банком, то чи може клієнт отримати інформацію стосовно закритого рахунку щодо операцій, проведених під час дії договору з банком? А це в разі втрати виписки банку буває досить важливо і дуже складно.
Як банк зберігає інформацію про клієнтів – персональні дані?
Відповідно до ч. 1, 2 статті 11 Закону України «Про інформацію» інформація про фізичну особу (персональні дані) – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини.
До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження.
Обробка персональних даних – це дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Обробка персональних даних здійснюється для конкретних і законних цілей. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних. Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки (стаття 6 Закону України «Про захист персональних даних».
На сайті банку завжди можна ознайомитись з політикою конфіденційності та з інформацією щодо обробки персональних даних, їх цілей, умов та підстав тощо.
Там само можна побачити й таке: якщо клієнт банку бажає отримати доступ, переглянути, оновити, виправити або видалити свої персональні дані, які зберігаються банком, або скористатися будь-якими іншими правами, прописаними у статті 8 Закону №2297, він може звернутися безпосередньо до банку за формою, яку банк розробив саме для таких цілей. Водночас якщо клієнт банку не задоволений тим, як банк обробляє його дані, він має право подати скаргу до Уповноваженого Верховної Ради України з прав людини.
Як можна видалити/знищити персональні дані клієнта з банку?
Проте незважаючи на право знищити свої персональні дані, які обробляються банком, потрібне не лише звернення клієнта до банку, а й відповідні підстави, на які ВС звернув увагу у коментованій нами справі.
Так, не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися (ч. 6, 8 ст. 6 Закону №2297).
Водночас відповідно до ст. 8 Закону №2297 суб’єкт персональних даних має право, зокрема, пред’являти вмотивовану вимогу:
- володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
Персональні дані підлягають видаленню або знищенню у разі:
- закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
- припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
- видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
- набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
Отже, звертаючись до банку з вимогою про знищення усіх персональних даних, які є у володінні та розпорядженні банку, слід вказати на порушення, зокрема, щодо незаконної обробки його персональних даних, незаконне їх поширення чи розповсюдження. Наприклад, оприлюднення ваших документів, заяв, скарг у відкритих джерелах, соцмережах з даними клієнта, передання інформації приватним особам чи підприємствам для їх використання у власних цілях (передання інформації операторам мобільного зв’язку до таких випадків не належить), надання доступу до ваших персональних даних працівникам, які їх не використовують при виконанні своїх посадових обов’язків тощо (постанова Броварського міськрайонного суду Київської області від 09.04.2020 у справі №361/1579/20, постанова Шевченківського районного суду Києва від 15.09.2020 у справі №761/23532/20).
А якщо клієнт не має даних щодо порушення банком вимог Закону №2297, то і підстав для видалення даних щодо такого клієнта немає.
Протягом якого періоду банки мають зберігати інформацію?
Втім, вище ми зауважили, що персональні дані підлягають видаленню або знищенню у разі припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом.
Тому у разі закриття рахунку в банку та припинення договору банківського рахунку, по суті, клієнт в силу Закону має право вимагати знищення його персональних даних.
Проте не все так просто. Відповідно до п. 18 ч. 2 ст. 8 Закону №361 банк як суб’єкт первинного фінмоніторингу зобов’язаний зберігати (у спосіб, щоб оперативно надавати на запит відповідних суб’єктів державного фінансового моніторингу, та в обсязі, достатньому для відновлення інформації щодо конкретних фінансових операцій, у тому числі у разі необхідності надання як доказів у кримінальному провадженні) документи (у тому числі електронні), їх копії, записи, дані, інформацію щодо заходів, вжитих з метою виконання вимог у сфері запобігання та протидії, зокрема щодо здійснення належної перевірки клієнтів (у тому числі ідентифікації та верифікації представників клієнтів, встановлення їх повноважень), а також осіб, яким суб’єктом первинного фінансового моніторингу було відмовлено у встановленні ділових відносин та/або проведенні фінансових операцій, а також усі документи, що стосуються ділових відносин (проведення фінансової операції) з клієнтом (включаючи ділову, зокрема внутрішню, кореспонденцію, листування, звіти, запити, результати будь-якого аналізу під час здійснення належної перевірки клієнта), не менше п’яти років після припинення ділових відносин з клієнтом або завершення разової фінансової операції без встановлення ділових відносин з клієнтом.
НБУ може встановлювати більш тривалі строки та додаткові вимоги до порядку зберігання документів.
І це може стати у пригоді підприємцям (на нашу думку, і юрособам) – коли потрібна інформація щодо рахунку, а сам рахунок вже закритий.
Інша річ, що таку інформацію банк має, але не бажає нею ділитися, зокрема, встановлюючи обмеження стосовно періоду, за який можна, наприклад, переглянути виписки за рахунком. Чи має банк право таке робити? Чи може клієнт або колишній клієнт вимагати надання йому інформації за потрібний період?
Протягом якого періоду можна отримати від банку інформацію (виписки)?
Не можемо не зауважити, що останнім часом такі запитання доволі часто виникають у ФОПів під час складання податкових декларацій чи подання уточнюючих розрахунків/декларацій тощо (в межах строків проведення перевірок податковими органами з урахуванням зупинення строків давності за ст. 102 ПКУ – а це на сьогодні майже 7 років – з 2017-го по 2023 рік). Втім, ми передусім закликаємо уважно читати договори з банками та правила банківського обслуговування.
Наприклад, деякі банки в договорах вказують про можливість формування виписки, при цьому не вказують, за який період. Інші – прямо у договорі вказують, що виписку щодо рахунку може бути сформовано за будь-який період. Зокрема, окремі банки дають інформацію за 2018 – 2019 рр., якщо у цей період ви вже мали укладений з банком договір банківського рахунку.
При цьому якщо звернутись до вебсайтів банків, то на сьогодні чимало банків встановили функцію «виписка за період», що дає право вказати будь-який період з початку укладення договору.
Не можна не згадати і такі банки, які буквально в мобільних додатках мають окрему функцію «Довідка про закритий рахунок ФОП», яка формує стандартну форму довідки з інформацією, яку включає безпосередньо банк, або звернутись з окремим запитом про надання виписки щодо закритого рахунку, де вказати, яка саме інформація цікавить ФОПа: окрема чи має бути деталізована (рахунок, період, тип довідки, суть/інформація, яка повинна/бажана у довідці тощо). Щоправда, такий документ зазвичай є платним.
Деякі банки-правонаступники ліквідованих банків можуть надавати відповідну інформацію й щодо архіву таких ліквідованих банків.
У будь-якому разі, як зазначив ВС, строк зберігання інформації щодо проведених фінансових операцій становить не менше п’яти років після припинення ділових відносин з клієнтом (п. 18 ч. 2 ст. 8 Закону №361). А отже, й можливість формування виписок на сьогодні має становити не менше 5-ти років з метою виконання податкових обов’язків ФОПами (з урахуванням строків проведення останньої перевірки).