Как Мегафон передал данные своих абонентов микрокредитным организациям

Конечно, передал с их «осознанного» согласия. Мы полностью разобрались в ситуации, узнали куда ушли данные, и выяснили как их защитить от больших компаний.

Привет, друзья!
На связи проект NN.
Мы разоблачаем мошеннические схемы, махинации связанные с безопасностью персональных данных и бережем толщину ваших кошельков.

У нас почти полмиллиона подписчиков на YouTube, и более 180 тысяч в Телеграм-канале, а теперь мы пришли на vc.ru.

Сегодня на наши радары попал один из операторов сотовой связи, и его недавнее обновление в мобильном приложении.

12 марта на Хабре прогремела новость о том, что Мегафон решил передавать данные клиентов третьим лицам, в числе которых микрокредитные организации.

Если конкретнее, изменились условия пользовательского соглашения по использованию приложения. Согласно обновлениям, Мегафон будет вправе отправлять персональные данные абонентов другим компаниям, или так называемым партнерам сотового оператора.

Конечно, как в любом пользовательском соглашении, пользователь вправе не согласиться с новыми условиями, и в его отношении они действовать не будут, без каких-либо последствий для сторон. Нажал кнопку «не согласен», и не переживаешь за свои данные.
Но Мегафон решил немного усложнить жизнь несогласным, и сделал следующее:

Огромная кнопка соглашаюсь доступна сразу при оповещении.

А вот кнопки НЕ согласен не существует. У пользователя есть другой, оригинальный способ отказаться от новых условий:

Почти в самом конце соглашения (на которое нужно перейти по гиперссылке, которую видно на скриншоте) необходимо поставить галочку напротив слов «не согласен». Но при этом кнопка соглашаюсь никуда не пропадает. Если нажать на неё при поставленной галочке, вы откажетесь от условий.

Именно такая логика работает, если вы не хотите принимать новые условия.

Это сильно сбивает с толку, но такова реальность Мегафона, и скорее всего большинство пользователей в итоге нажмут на нужную оператору кнопку, а их данные успешно попадут на стол финансовых организаций.

2022 год оказался щедрым на сливы персональных данных.
Согласно сведениям с сайта Коммерсант за 9 месяцев 2022 года произошло не менее 60 крупных утечек, а в сеть попало порядка 230 миллионов записей с личными данными россиян.

В ответ на тенденцию, с мая прошлого года активно разрабатывается закон об оборотных штрафах для компаний. Последние новости о прогрессе разработки закона, на момент написания статьи, удалось найти от 17 марта этого года, на сайте РБК.

Согласно источнику, первая утечка обойдется фиксированным штрафом (размер не уточняется), а вот вторая уже влетит оборотным штрафом от 5 до 500 миллионов рублей. При этом, положения закона будут действовать после его вступления в силу. Т. е. если компания ранее получала штрафы за утечки, она все равно не попадает под оборотную санкцию, и считается «провинившейся» впервые.

Однако это никак не делает погоды человеку, чьи данные попали в чужие руки.
Так как быть простому человеку?

А точнее, закон об их защите.
Давайте обратимся к нему, чтобы узнать насколько вообще данное соглашение соответствует нормам закона.

Согласно статье 3 Федерального Закона о персональных данных, под передачей таких данных подразумевается термин «обработка». Равно к этому термину относятся распространение, предоставление и доступ.

Далее, в статье 9 п. 1 указано, что «Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным».

Говоря простым языком, человек должен четко выразить свое согласие на обработку персональных данных.

Если внимательно изучить закон, ни в одном его пункте не указано понятие «Несогласие о передаче». Тоесть, чтобы разрешить обработку своих ПД достаточно просто выразить согласие (что мы и делаем довольно часто на сайтах, приложениях, подписывая документы и так далее). Однако нет никакого регламента о несогласии на данное действие.

Статья 23 закона гласит, что орган по защите прав субъектов персональных данных — это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Все мы знаем эту службу под сокращенным названием Роскомнадзор.

Если ваши персональные данные слили, и вы хотите привлечь виновника к ответственности, в первую очередь нужно обращаться именно туда. Они компетентны разобраться в ситуации, и в вынесении предписания об устранения нарушения, а также способны применить к нарушителю санкции.

Можно подать жалобу онлайн. Если Роскомнадзор обнаружит нарушения, то наложит на компанию штраф. Вас просто проинформируют, что жалобу рассмотрели и виновных привлекли к ответственности.

О судебной практике в подобных делах поговорим чуть ниже, а пока давайте подробнее рассмотрим то самое соглашение:

Мы скачали текст документа о новой услуге из приложения.
Вот прямая ссылка на этот же документ с официального сайта Мегафона.

Мы решили разобрать некоторые моменты в документе. Внесем ясности по порядку:

Документ является публичной офертой
В целом это ни на что не влияет, но публичная оферта — это предложение, адресованное всем, кто его увидит. Например, как ценник в магазине. Любой человек может принять публичную оферту, если того пожелает, и компания будет должна выполнить обязательства по оферте.

Далее цитаты:

> …и может быть принято Абонентом не иначе как путем присоединения к нему в целом.

Это означает, что вы полностью и безоговорочно принимаете условия нового договора, без каких-либо обсуждений.

> Принять условия настоящей оферты может абонент, физическое лицо, достигшее совершеннолетнего возраста и обладающее дееспособностью в полном объеме в соответствии с законодательством Российской Федерации, совершившее акцепт Условий (п 1.1)

Пример: если ваш ребенок что-то натыкал в телефоне, принятие условий не считается законным. Однако доказать, что подключали услугу не вы, крайне сложно.

> Абонент подтверждает, что Персональные данные, представленные Оператору в рамках заключенного Договора об оказании услуг связи, являются актуальными и достоверными и обязуется своевременно уведомлять Оператора об изменении своих Персональных данных (а именно: фамилии, имени, отчества; реквизитов документа, удостоверяющего личность) (п 2.3.)

Если хорошо разобраться, никто не вправе требовать ваши персональные данные, без вашего согласия, даже если они требуют актуализации. Такими полномочиями наделены некоторые органы исполнительной власти (например суды), и только в исключительных случаях, описанных в законе о персональных данных. Также, актуализация ПД допустима в трудовых отношениях.

> Абонент предоставляет свое согласие Оператору на обработку Персональных данных для целей: оказания Услуги, в том числе для целей взаимодействия с любым из Партнеров Оператора; направления от Партнеров
Оператора Абоненту предложений банковских и микрофинансовых продуктов; участия Абонента в акциях, конкурсах, иных маркетинговых мероприятиях и исследованиях (п 2.7.)

Если в двух словах, здесь крайне абстрактные формулировки, согласно которым партнеры Мегафона могут «взаимодействовать» с вами и разыгрывать «акции» с вашим участием. Что конкретно это может означать, и какие последствия несет, известно одному Богу.

> Абонент несет ответственность за любые действия третьих лиц, совершенные от имени Абонента при пользовании Услугой посредством его абонентского номера (п. 4.1.)

Опять же, пользования, но не подключения.

> Оператор не несет ответственности за обработку Персональных данных Абонента Партнером Оператора с момента их получения Партнером Оператора после заказа Абонентом Услуги (п. 4.5, цитирование сокращено без искажения сути пункта).

Пояснений не требуется.
В прошлом пункте ответственность за третьих лиц вы несете обязательно. В случае с Мегафоном ситуация другая.

Теперь давайте узнаем, кто такие эти партнеры Мегафона.

Внутри изученного выше документа есть ссылка на партнеров, которым данные и передаются.

Давайте подробнее изучим данные компании:

Первые 7 партнеров — это различные бюро кредитный историй (БКИ).
Для понимания, такие бюро занимаются составлением вашего кредитного рейтинга. БКИ — это обязательно лицензированные ЦБ организации, чья деятельность строго регулируется законом «О кредитных историях» (218—ФЗ).

Вполне возможно, что с помощью Мегафона БКИ дозаполняют недостающие данные, или узнают финансовые активности на счетах абонентов.
Достоверно выяснить какие данные могут повлиять на кредитную историю невозможно.

А вот узнать какие данные о вас есть в БКИ, и какие конкретные бюро ими располагают, можно с помощью Госуслуг:

Чаще всего, первый раз услуга бесплатная, и по запросу, вам на электронную почту вышлют отчет по вашей кредитной истории из выбранного БКИ. Один из членов редакции NN, например, записан в 4 бюро сразу.

Если вы решите отозвать свои персональные данные из БКИ, вам нужно будет пройти процедуру обнуления кредитной истории. Для этого нужно погасить все кредиты, и не брать никакие долги перед физлицами или организациями в течение 7 лет. После 7 лет вы вправе отозвать все свои данные. Это на два года больше, чем в банке. Единственное, что вы можете сделать быстро — это поправить неверные данные через официальный запрос.

После БКИ идет банк «Раунд» — единственный банк среди представленных партнеров. Банк на рынке уже 29 лет, обладает уставным капиталом более 500 млн. рублей. Данный банк непосредственно обслуживает компанию Мегафон, и выпускает их пластиковые карты.

Нам удалось найти недавние отзывы о банке на Яндекс картах (выделено желтым):

По нашему предположению, таким путем Мегафон законно передает персональные данные банку, которые раньше передать не мог.

Следующий партнер — ООО «Инплат».
Это сервис приема онлайн-платежей. Согласно информации с их сайта, ежедневно через из сервис проходит порядка 500 000 платежей, а среди их партнеров компании Вконтакте, Одноклассники, World of Tanks, Мамба и другие.

Микрокредитные организации — в партнерах их две штуки:

Это «Мигкредит» и «А деньги».
Первая на рынке более 12 лет, с уставным капиталом свыше миллиарда рублей. Вторая на рынке всего год, а уставной капитал чуть скромнее, всего 750 млн.

Обе организации специализируются на выдаче микрозаймов онлайн.

Последний партнер — Федеральная Служба Судебных Приставов.
Зачем им данные абонентов Мегафон? Возможно, чтобы звонить знакомым должника, изучив выписку звонков, или знать движение средств на балансе. Возможно просто для внутренней сверки.

В любом случае, именно этим компаниям и ведомствам Мегафон отправил данные всех, кто нажал кнопку «согласен» на дополнения к пользовательскому соглашению.

Раз это всего лишь дополнения к соглашению, давайте выясним, что из себя в принципе это соглашение представляет.

Мы долго пытались найти документ о пользовательском соглашении, но ничего не вышло. Только в разделе «Поддержка» обнаружился документ о политике конфиденциальности, но никакой информации о новых услугах там найти не удалось.

Чтобы разобраться, пришлось обратиться в службу поддержки приложения.
Под скринами будем приводить краткое резюме для экономии вашего времени:

Изначально к нам поприставал бот, но в итоге мы получили ответ оператора. Девушка не сразу поняла о чем речь, и ответила на старое обращение из 2021 года по недоступности одного сайта.

Сразу стало интересно.
Если верить поддержке, никакого пользовательского соглашения, которое обновил Мегафон, не существует.

Мы решили проверить так ли это, и переустановили приложение:

Действительно, в ходе процедуры нам не предлагали принять или ознакомиться с пользовательским соглашением.
Но раз Мегафон обновил его, значит где-то оно существует?

Наш оператор сменился, видимо из-за переустановки приложения.
Мы уточнили, в какой момент соглашение по использованию приложения заключается с абонентом, если этого не происходит в самом приложении. В ответ нам дали эту ссылку.

Можете ознакомиться — это условия оказания услуг связи, которые вы принимаете становясь абонентом. К слову, ни на одной из 46 страниц текста нет слова «приложение».
Мы продолжили разговор далее:

Наконец мы получили нужную ссылку! Что удивительно, она находилась там, где мы уже искали.
Но не успели мы проверить информацию, оператор тут же поспешил закончить с нами разговор.
Но мы не сдавались…

На той самой ссылке действительно было соглашение. Но совершенно не связанное с приложением Мегафон — речь там об онлайн-кинотеатре (полагаем другом партнере Мегафона).

Нам сообщили, что нужный документ — это как раз та самая политика конфиденциальности. И что именно туда и внеслись изменения. Сразу скажем, что данный документ никак не относится к тому, что мы ищем.

Но суть не в этом. Суть в двух других вещах:
1) Исходя из переписки, нам сообщили что обсуждаемые изменения как раз и внесли в политику конфиденциальности.

2) Документа «Пользовательское соглашение» в приложении не существует в принципе, и найти его нашей редакции не удалось при всех стараниях.

Возможно мы невнимательно смотрели, возможно оно спрятано, как в свое время Сбер прятал СПБ в приложении, а может быть оно доступно к прочтению лишь при обновлениях, и только по прямой ссылке.

Учитывая изложенное, мы можем сделать неутешительный вывод.
Нам нужно максимально оберегать свои персональные данные, прежде чем они куда-то попадут.

В первую очередь вам важно знать, что вы всегда вправе отозвать свое согласие на обработку персональных данных.

Согласно статьи части 2 статьи 9 Закона (152-ФЗ) вы вправе отозвать ваше согласие на обработку персональных данных, даже если ранее давали его.

Сделать это можно в письменной форме (общего регламента или формуляра нет) прямо в нужную вам организацию в свободной форме. Лучше всего подготовить два экземпляра, чтобы на одном из них представитель организации проставил отметку о получении вашего заявления.
В течение 30 дней с момента обращения ваши персональные данные должны быть, как указано в законе, «уничтожены».

Стоит знать, что даже при отзыве ваших персональных данных ими все равно могут воспользоваться в исключительных случаях (основания, указанные в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона): чаще всего это связано с вопросами деятельности судов, прокуратуры и иных органов исполнительной власти. Исходя из этой оговорки, уже не совсем понятно, уничтожаются ли данные. Но допустим, что данные процедуры могут производится в течение 30-ти дневного срока, до их уничтожения.

В случае с Мегафоном узнать как отозвать свои ПД можно в разделе на скриншоте по ссылке. Там же есть ссылка на необходимые бланки.

Интересный факт: вы не можете отозвать свои персональные данные у банка, т. к. по закону о противодействии легализации данные надлежит хранить не менее 5 лет.

И если хорошо покопаться в законах, наверняка найдется большое количество подобных оговорок для разных сфер, связанных с обработкой и хранением персональных данных.

Существует и судебная практика, однако её результаты вас вряд ли утешат.

За нарушение законодательства о персональных данных установлена административная, уголовная, гражданско-правовая, дисциплинарная ответственность. Самый популярный вид ответственности — административная в виде штрафа.
Размер зависит от характера нарушения.

Например, максимальный штраф для организации за обработку персональных данных без письменного согласия гражданина, когда согласие требуется, или за отсутствие в нем всех необходимых сведений составляет 150 000 руб. , за повторное правонарушение — 500 000 руб. (ч. 2, 2.1 ст. 13.11 КоАП РФ) , а за нарушение правил обработки персональных данных — до 100 000 руб. (ч. 1 ст. 13.11 КоАП РФ) .

В прошлом году суд оштрафовал Яндекс.Еду дважды за утечку персональных данных пользователей на общую сумму 120 000 рублей.

При определении размера компенсации морального вреда, суд оценивает публичность пострадавшего, содержание и объем распространенных персональных данных, степень распространения, а также руководствуется принципами разумности и справедливости.
Закон не ставит шансы на успех в зависимость от массовости обращений.

Есть и судебные прецеденты, где иск выигрывали граждане:

На одной ТВ-передаче распространили ФИО, дату рождения, место регистрации, паспортные данные, личную подпись лица. На такое распространение лицо согласие не давало и обратилось в суд за компенсацией морального вреда. Суд взыскал компенсацию в размере 40 000 рублей.

В результате утечки персональных данных пользователей Яндекс. Еды были поданы индивидуальные, а также коллективные иски. Коллективные иски на данный момент находятся на рассмотрении в суде, а некоторые индивидуальные уже завершены — пострадавшие получили по 5000 рублей компенсации.
Решения обжалованы.

В другом деле врач боролась с нарушением правил обработки персональных данных в связи с размещением ее профиля на сайте prodoctorov. ru. Истца волновал как сам факт создания профиля с использованием персональных данных без согласия, так и оставление анонимными пользователями негативных комментариев о ней. Все это выразилось в причинение нравственных страданий, которые суд оценил в 5 000 рублей.

В целом компенсация в размере до 5000 рублей является наиболее распространенной. Много это или мало, решайте сами.

Существует и уголовная ответственность (статьи 137 и 272 УК РФ), но связанны они с намеренным сбором данных о семейной/личной тайне человека, или взломом охраняемой законом компьютерной информации. Максимальная санкция статьи (с обоих случаях) до двух лет лишения свободы в исправительной колонии поселения.

Мобильные операторы и раньше шалили всяким, вроде подключения услуг без очевидного ведома абонента, ограничений скорости и доступа к безлимитному интернету, и космические, ничем не обоснованные стоимости услуг в роуминге.

Но отправка персональных данных абонентов финансовым организациям — это совершенно новое слово в работе крупной компании.

Помните, что ваши персональные данные это серьезный инструмент, который может обернуться против вас. Надоедливый спам это самое меньшее, что можно получить от слива ваших данных:

Вы можете получать звонки мошенников, на схемы которых попадаются довольно скептичные люди. И они будут знать о вас очень много. Настолько, что смогу обмануть не вас, а например, ваших родственников.
Вы можете стать жертвой продуманного сталкинга (преследования человека из-за избыточного внимания, чаще всего относимо девушек).
В конце концов ваш фактический адрес проживания может стать известным, если вы по каким-то причинам не хотите, чтобы кто-то знал ваше место проживания.

И это только верхушка айсберга.
Персональные данные — это полноценное оружие против человека.
Ведь кто владеет информацией, тот владеет и миром.

Сегодня мы по полочкам разобрали ситуацию с Мегафоном, и надеемся что материал будет вам полезен. Надеемся на обратную связь компании Мегафон, и аудитории vc.ru

С вами был проект NN, до встречи в новых расследованиях!

Выражаем благодарность сервису решения юридических задач Destra Legal за консультации в отдельных вопросах судебной практики о защите персональных данных, и помощь в создании материала.