«Злив» у соцмережах: скільки коштує банківська таємниця

Коли Олег Гороховський — один зі співзасновників сервісу monobank — опублікував у соціальних мережах скриншот із системи відеоверифікації, він, мабуть, не очікував, що жарт набуде такого юридичного продовження. А втім, праву байдуже до намірів. Воно оперує фактами. А факти в цій справі промовисті.

Розберімо, що саме й кому загрожує — без зайвого пафосу, але й без зайвої поблажливості.

Банківська таємниця: що це взагалі таке

Більшість людей вважає банківську таємницю чимось абстрактним — захистом банківських рахунків від чужих очей. Насправді ж закон трактує це поняття значно ширше.

Статті 60 й 61 Закону України «Про банки і банківську діяльність» визначають: будь-яка інформація щодо діяльності та фінансового стану клієнта, яка стала відома банку в процесі обслуговування, є банківською таємницею. Фотографія чи скриншот із системи відеоверифікації — це конфіденційна інформація, отримана виключно для надання банківських послуг. Розголошення її третім особам без рішення суду або письмової згоди клієнта є прямим порушенням.

Ключовий момент: клієнтка погодилася на відеоверифікацію для відкриття рахунку — і тільки для цього. Вона жодним чином не давала дозволу публікувати своє зображення у відкритому доступі. Факт підпису договору з банком означає передання даних у конкретних, чітко обмежених цілях. Перевищення цих меж є порушенням, незалежно від того, хто його вчинив і з якими мотивами.

Персональні дані: обличчя — теж «дані»

Стаття 14 Закону України «Про захист персональних даних» прямо визначає: візуальні та біометричні характеристики людини — це персональні дані. Поширення їх можливе лише за згодою суб'єкта. Або в інтересах національної безпеки. Але це роблять правоохоронні органи, а не топменеджери банків.

Публікація фотографії клієнтки без її згоди порушує цей закон незалежно від того, яке обличчя зображено — відомої особи чи пересічного громадянина. Апеляції до «суспільного інтересу» або «проросійського» контексту тут не рятують. Закон передбачає чіткий і вичерпний перелік підстав для розголошення персональних даних без згоди людини. «Я вважаю цю людину підозрілою» до цього переліку не входить.

Цивільний кодекс: репутація та гідність — теж юридичні категорії

Стаття 307 Цивільного кодексу України захищає право фізичної особи на власне зображення: знімати можна лише за згодою. Публікувати — теж. Статті 297 і 299 ЦКУ захищають право на повагу до честі, гідності та ділової репутації.

Публічне звинувачення у «проросійськості», підкріплене реальною фотографією верифікації та іронічними коментарями, — це не просто «думка» чи «жарт». Це потенційна підстава для цивільного позову про відшкодування моральної та матеріальної шкоди, якщо жертва публікації вирішить скористатися такими своїми правами.

Чи є тут кримінальний складник?

Залежно від кваліфікації правоохоронних органів — може бути. Стаття 182 Кримінального кодексу України передбачає відповідальність за порушення недоторканності приватного життя: незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу. Стаття 232 ККУ — за умисне розголошення банківської таємниці, якщо воно вчинене з особистих мотивів і завдало істотної шкоди.

Обидві статті є реальними й застосовуваними. Питання лише в тому, чи вирішить потерпіла сторона скористатися ними.

Де тут monobank — і де «Універсал Банк»?

Ось де починається найцікавіше юридичне питання цієї справи. monobank — не банк. Це IT-продукт, розроблений компанією Fintech Band. Банківську ліцензію має АТ «Універсал Банк». Саме він є юридичним посередником між клієнткою та послугою.

Клієнтка укладала договір із «Універсал Банком». Саме він — володілець її персональних даних у розумінні закону. Fintech Band у цій конструкції виступає розпорядником — підрядником, якому банк надав доступ до даних для надання IT-послуг.

Якщо підрядник «злив» дані клієнта — за це перед клієнтом і регулятором відповідає банк. Він надав доступ, він не забезпечив контролю. Клієнтка має повне право подавати позов до «Універсал Банку» — і саме банк буде відповідачем у суді.

Водночас це не знімає відповідальності безпосередньо з Олега Гороховського. Стаття 61 Закону України «Про банки і банківську діяльність» прямо вказує: особи, які в межах надання послуг банку отримали доступ до банківської таємниці, зобов'язані її не розголошувати. Аутсорсинг не є індульгенцією.

Що тепер робити «Універсал Банку»?

У банку є і ризики, і інструменти. Якщо клієнтка подасть позов, банк стає першою лінією відповідальності, але може застосувати регресний позов проти Fintech Band, тобто стягнути виплачені суми компенсації з підрядника, чиї дії спричинили збитки.

Є й інші кроки. Банк може застосувати передбачені договором штрафи за порушення NDA, обмежити доступ підрядника до «сирих» персональних даних, провести внутрішній аудит і першим повідомити НБУ — що значно підвищить шанси уникнути жорсткіших регуляторних санкцій (тим паче НБУ офіційно зацікавився цією історією).

Лінія захисту Гороховського

Будь-яка людина має право на юридичний захист. Адвокати Гороховського, найімовірніше, будуватимуть позицію навколо відсутності злого умислу, «добросовісної помилки», апеляції до суспільного інтересу в умовах воєнного стану. Також можливе покликання на те, що він діяв як приватна особа, а не посадова особа банку.

Проте найефективніший захист у таких справах — позасудовий. Якщо Гороховський зацікавлений у мінімізації ризиків, щедра фінансова компенсація в обмін на підписання NDA та відмову від претензій була б найпрагматичнішим виходом.

Примирення з клієнткою, однак, не може слугувати підставою для НБУ утриматися від власних дій. Регулятор керується публічним інтересом — і він тут очевидний.

НБУ як окремий актор

Відповідно до регулювань Національного банку, «Універсал Банк» несе повну відповідальність за дії свого підрядника. Якщо НБУ дійде висновку, що Fintech Band становить операційний і репутаційний ризик для банку та не підлягає належному контролю — регулятор має право вимагати розірвання договору між банком та IT-компанією.

Це, мабуть, найсерйозніший наслідок усієї цієї історії — не для клієнтки, а для самого monobank як продукту.

Жарт із юридичними наслідками

Ця ситуація — не просто репутаційний скандал. Це наочна демонстрація того, як навіть один публічний пост може одночасно торкнутися банківського права, законодавства про персональні дані, цивільних прав, Кримінального кодексу та регуляторного поля НБУ.

Банківська таємниця — це не бюрократична умовність. Це одна з підвалин довіри між клієнтом і фінансовою установою. Коли ця довіра порушується публічно й безкарно — руйнується не лише конкретний правочин. Руйнується інституція.

І саме тому закон тут не сентиментальний.

Це авторська колонка. Думка редакції може не збігатися з думкою автора.