Ежедневно мы оставляем продавцам и всевозможным сервисам огромное количество своих персональных данных. От имени, телефона и электронной почты до фотографий с паспортом и данных платежных карт. Потребитель вправе расчитывать на конфиденциальность предоставленных данных. Защищает потребителя в этом случае Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных".
Дмитрий зарегистрировался в сервисе Делимобиль через одноименное приложение для смартфона. Для регистрации сервис запросил фотографии страниц паспорта (основную и со сведениями о регистрации), водительского удостоверения (с обеих сторон), а также фотографию, на которой владелец держит открытым свой паспорт. Также в рамках регистрации были предоставлены адрес электронной почты, номер мобильного телефона и данные банковской карты.
Через несколько часов сервис прислал письмо на указанную электронную почту о том, что в результате проверки данных были выявлены несоответствия требованиям доступа к сервису, заявка на регистрацию отклонена. Уточнений не последовало. В мобильном приложении появилась надпись - Учетная запись заблокирована.
Да, условия договора (пункты 2.12-2.17) предусматривают право сервиса Делимобиль отказать в заключении договора. Этот договор не является публичным и отказ в предоставлении услуг сам по себе не является нарушением прав потребителя (NB. Вопрос неоднозначный, но это сейчас не является предметом нашего рассмотрения). Предметом рассмотрения являются вопросы обработки предоставленных персональных данных, перечень которых представляется достаточно обширным, а факт их обработки - чувствительным.
Регистрируясь в сервисе Дмитрий предоставил согласие на обработку персональных данных, нажав кнопку СОГЛАСЕН, и подтвердил, что ознакомился с политикой в отношении обработки персональных данных. Кстати, UI (user interface) сервиса разработан таким образом, что согласие и политику обработки персональных данных клиент может посмотреть только при регистрации. Потом - только непосредственно на сайте в соответствующем разделе.
Посмотрим, кому и в каком объеме, для каких целей были предоставлены персональные данные.
Исходя из условий договора клиент предоставляет данные ООО "Каршеринг Руссия" (интересно, что в наименовании используется слово Руссия, а не Россия - таким образом Делимобиль обходит ограничения по использованию слова "Россия" в наименовании, так как для этого требуется получения отдельного разрешения). Вместе с тем, в согласии указано, что клиент также предоставляет согласие на обработку персональных данных следующим лицам:
1) ООО "Смарт Мобилити Менеджмент".
Для каких целей предоставляются данные этой компании выяснять толком не удалось, указанные в договоре формулировки "для целей обеспечения функционала по ремонту и обслуживанию транспортных средств" ясности не вносят, ведь обслуживание и ремонт производится силами арендодателя.
2) ООО "Энитайм".
Был такой сервис проката машин, но закрылся. А зачем продолжать собирать для него персональные данные?
3) ООО "Делисамокат".
Удобно одним согласием закрыть все продукты бизнеса, но было добросовестнее об этом если не спросить заранее, то уведомить информативно, а не запрятать где-то в глубине документов.
4) ООО "Онтэк".
5) ООО "Телеконтакт!".
6) ООО "Майндбокс".
Номера 4-6 в нашем перечне - коллцентры. Почему 3? Возможно бизнес и найдет рациональный ответ, но это могут оказаться именно те ребята, которые: "Привет! Это Олег из театрального центра... У меня есть для тебя пара билетов."
7) Товарищество с ограниченной ответственностью "Ди-Мобилити Казахстан".
Тут вообще восторг. Персональные данные передаются иностранному юридическому лицу - резиденту Казахстана, которое не оказывает мне услуг на территории РФ. Зачем казахским друзьям мой паспорт, данные банковской карты? Как они обрабатывают мои персональные данные, действует ли в Казахстане какой-то аналогичный российскому режим защиты персональных данных?
8) ООО "Каршеринг Клуб".
То же, что с Казахстаном, только Беларусь. С этими у нас хотя бы союзное государство. В общем и целом тоже без объяснений для каких целей и в каком объеме обрабатываются персональные данные.
9) Московской административной дорожной инспекции (и иным органам, осуществляющим административное производство).
Тут мы не понимаем. МАДИ является органом исполнительной власти, утверждено Постановлением правительства города Москвы и действует на основании федеральных законов. В этом случае обработка персональных данных осуществляется без обязательного получения согласия. Разве что Делимобиль в инициативном порядке передает данные о клиенте. Иной бы даже задался вопросом - стучит?
10) ООО "Технологии цифровой безопасности".
Проводит анализ данных для регистрации в сервисах Делимобиль и заключения договора. Распознает данные в паспорте и правах, сравнивает лицо на сэлфи с фотографией в паспорте. Проверяет вас по открытым базам данных. Предоставляет Делимобилю какой-то результат, отчеты - а что потом делает с персональными данными? История умалчивает.
Итак, что мы имеем:
договор с Делимобиль не заключен, а согласие на обработку предоставленных персональных (как и сами данные) переданы самому Делимобилю и его десяти друзьям (в том числе иностранному юридическому лицу).
Отметим отдельно, что в соответствии с законом о персональных данных для предоставления отдельных категорий персональных данных (сюда входят и паспортные данные, и фотографии человека - т.н. биометрические персональные данные) требуется исключительно письменное согласие на обработку. Для такого согласия нужна собственноручная подпись клиента или электронная подпись. Но, как следует из особенностей функционирования сервиса, личного контакта с клиентом не происходит, любое взаимодействие предполагается удаленным способом. Для подписания электронной подписью требуется заключить соглашение об использовании аналога собственноручной подписи (условиями сервиса не предусмотрено), либо заключение основного договора. Но он в нашем случае не заключен! Это означает, что согласие, которое было предоставлено - не соответствует требованиям законодательства РФ.
А это основание для обращения в Роскомнадзор, конечно в электронном виде. Обращение официальное, рассматривается в соответствии с Федеральным законом №59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
Отказали? - Отозвать!
Но вернемся непосредственно к ушедшим от Дмитрия персональным данным. Поскольку Делимобиль отказал в заключении договора, клиент вправе отказать Делимобилю в дальнейшей обработке своих персональных данных. Тем более, что перечень предоставленных данных очень широк, а зачем казахскому и белорусскому юридическим лицам сведения о гражданине РФ, его фотография и данные его банковской карты - должным образом не обосновано.
Договор с Делимобилем (п. 2.11.4) предусматривает возможность отозвать предоставленное ранее согласие на обработку персональных данных путем направления письменного уведомления не менее, чем за 3 месяца до момента отзыва согласия (сам по себе этот чудовищный срок не может не вызвать праведного возмущения!). При этом частью 5 статьи 21 закона о персональных данных предусмотрен 30-дневный срок для прекращения обработки персональных данных с момента получения отзыва, если иной срок не предусмотрен договором. Получается, что договором предусмотрен иной и существенно более длительный срок для отзыва согласия. Но, как мы установили ранее, договор не был заключен, а значит действует срок, предусмотренный законом. 30 дней.
Сервис общается с клиентом в электронном виде, но любое обращение к себе со стороны клиента рассматривает только в письменной форме, без электронной подписи и электронной почты, что, по нашему мнению, порождает неравноправие и в целом выглядит недобросовестно. Не умолчим, что Делимобиль также не предоставляет форму отзыва согласия на обработку персональных данных, что с большой долей вероятности остановит большинство клиентов от направления такого отзыва.
Телеграм потребителя (@potrebgram) составил по просьбе Дмитрия форму отзыва согласия на обработку персональных данных, предлагаем ее и вашему вниманию.
Следует зафиксировать факт направления отзыва, сохранить и отсканировать почтовые квитанции.
Дальше алгоритм простой. Если кто-то из указанного перечня лиц по электронной почти или посредством мобильного приложения по истечении 30-дневного срока направляет вам какое-либо сообщение, будь то "kind reminder" о незавершенной регистрации, анонс новой акции или что бы то ни было - фиксируем такое обращение и направляется с новым обращением в Роскомнадзор и суд.
В заключение напомним, что ваши персональные данные являются вашим активом, ценность которого сложно переоценить. Призываем внимательно и настороженно относиться к их предоставлению, не пренебрегать возможностью прекращения обработки персональных данных лицами, которым вы предоставили согласие, а в случае их неправомерного использования - обращаться в Роскомнадзор и суд. И рассказать свою историю нам - Телеграм потребителя (@potrebgram).
Комментарий недоступен
Но... Но это же ссылка на пост в телеграм-канале... Чёрт побери, очень необычно, что конце 2019 года есть люди, которые не используют обход блокировок.