У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно‑техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина. Не то чтобы это был необходимый запас для суда, но раз уж начал готовить первый групповой иск по утечкам к гиганту, то сложно остановиться...
За полтора года нашей совместной (РКС + Сетевые свободы) работы по делу самой массовой утечки в российской кибер истории, мы прошли долгий путь от несостоявшегося коллективного иска к Яндекс.Еде до получения отказа силовиков признавать утекшие данные сведениями о частной жизни при принятии решения о возбуждении уголовного дела по ст.137 УК РФ (нарушение неприкосновенности частной жизни).
Ожидания
Мы ожидали появление первого в России кейса в виде группового иска по защите права на приватность пользователей российских платформ.
Я убежден, что как бы государство не пыталось драконовскими штрафами закошмарить бизнес, чтобы они “лучше защищали персональные данные”, ничего из этого не выйдет. Лишь только институт коллективных исков c существенной гражданско-правовой ответственностью корпораций перед своими пользователями способен поменять ситуацию с реальным, а не показательным обеспечением информационной приватности и безопасности.
Поэтому, полагая, что административные меры защиты (напомню, что Яндекс.Еда за утечку получила штраф в 60 000 рублей) являются недостаточными и неэффективными, мы решили использовать методы гражданско-правовой и уголовной защиты. Для гражданско-правовой защиты мы решили использовать относительно новую для российской цивилистики статью 244.20 ГПК РФ (групповые иски), а в рамках уголовно-правовой защиты - институт “потерпевшего” по уголовному делу в рамках ст.137 (нарушение неприкосновенности частной жизни) и ст.272 (неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ) УК РФ.
Вот, что из этого вышло.
Подготовка
Мы провели адвокационную кампанию и проделали невероятную работу, чтобы объяснить пострадавшим пользователям, почему важно судиться, и почему это не сложно, заверяя их в том, что всю грязную работу мы возьмем на себя и сделаем это абсолютно бесплатно. Но даже это приходилось терпеливо разъяснять гражданам, не доверяющим в принципе ни самому закону, ни судам, которые должны эти законы интерпретировать. Люди просто напросто не верят, что закон может служить реальным инструментом защиты информационной приватности.
У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно-техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина. Не то чтобы это был необходимый запас для суда, но раз уж начал готовить первый групповой иск по утечкам к гиганту, то сложно остановиться...И мы пошли в суд.
Результат
Гражданский процесс
-
Суд отказывает в принятии иска в качестве группового по правилам ст. 244.20 ГПК РФ, что влечет и отказ в принятии 1008 заявлений в упрощенном порядке о присоединении к иску
-
Суд разъединяет иск на 20 отдельных производств, ссылаясь на то, что в указанном деле у группы истцов нет однородных прав и законных интересов. Логика суда такая - персональные данные у каждого заявителя разные, а значит и рассматриваться они должны в качестве индивидуальных жалоб.
-
13 заявителям иск был удовлетворен, еще 7 отказали в удовлетворении иска в связи с недоказанностью позиции (ненадлежащие скриншоты)
-
По 5000 рублей суды первой и апелляционной инстанций присуждают заявителям, снижая ее в 20 раз от первоначально заявленной суммы.
Некоторые пользователи самостоятельно попытали счастье, но столкнулись с еще большим количеством сложностей. Так, например, Куйбышевский районный суд г. Санкт-Петербурга по одному из дел (Шацкий против Яндекс.Еды), отказывая в удовлетворении иска, указал следующее:
1. Не доказана причинно-следственная связь.
“Истцом не представлены доказательства, что именно ответчиком раскрыты третьим лицам либо распространены персональные данные истца. Информационное сообщение о произошедшей утечке данных клиентов ООО «Яндекс.Еда» без указания конкретных лиц, а также само по себе появление в информационных ресурсах сведений об истце, как о пользователе услуг сервиса «Яндекс.Еда», не свидетельствуют о том, что именно ответчиком совершены незаконные действия, направленные на нарушение прав истца”.
2. Скриншоты признаны неотносимым доказательством.
“Скриншот страницы сайта, который истец приобщил к материалам дела, не содержит информации, позволяющей отнести данный Интернет-ресурс к ведению ответчика, а также, что источником информации, размещенной на данном сайте, являлось именно ООО «Яндекс.Еда»”.
3. Не доказан недостаточный уровень защиты и осмотрительности оператора.
“Доказательств, свидетельствующих о том, что принятые ответчиком меры безопасности не соответствуют законодательству, противоречат техническим правилам и не обеспечиваются (не поддерживаются) техническими ресурсами, недостаточны и не эффективны, в материалы дела не представлено. Ответчиком, в свою очередь, в порядке применения организационных технических мер по обеспечению безопасности персональных данных, утверждена и обновляется Политика информационной безопасности сервиса «Яндекс.Еда», в июне 2018 г. ответчиком получен сертификат соответствия требованиям международного стандарта безопасности PCI DSS”.
Как видно, суд не сильно был заинтересован помогать пользователю в процессе, и фактически топит истца в недоказанности позиции, все больше соглашаясь с правовой позицией ответчика.
Правда, городской суд Санкт-петербурга решение все равно отменил и вынес новое решение. Однако, сумма взысканной компенсации опять не выросла больше 5 000 рублей.
Уголовный процесс
Из гражданского процесса и из самой позиции компании при полном равнодушии к обстоятельствам дела самого суда, нам к сожалению, не удалось узнать никаких деталей, связанных с произошедшей утечкой. Доступ к материалам дела об административном нарушении Роскомнадзором также не предусмотрен не публично, не по индивидуальным запросам, если вы не являетесь стороной, непосредственно привлеченной к административному производству. Поэтому у нас оставалась надежда, занырнув в уголовное дело на стороне потерпевших, получить чуть больше информации о самой утечке. После того, как Следственный комитет вынес Постановление о возбуждении уголовного дела по поводу утечки из «Яндекс.Еды» по трем составам:
- ч.1 ст. 137. УК РФ (нарушение неприкосновенности частной жизни);
- ч.3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации);
- ч.2 ст. 273 УК РФ (создание, использование и распространение вредоносных программ).
мы заявились в процесс от лица наших заявителей с ходатайством адвокатов о признании граждан в качестве потерпевших по уголовному делу, однако в этом всем было отказано.
Позиция Отдела киберпреступлений СК РФ сводится к тому, что сведения о заявителях (включая их имена, адреса жительства и телефоны) незаконно полученные и распространенные в результате совершения преступления, не могут быть отнесены к сведениям о частной жизни лица, образующим личную или семейную тайны. 23 августа 2023, не желая вмешиваться в работу следствия, Басманный суд поддерживает эту позицию.
Выводы
Назвать это победой сложно, но на этом кейсе нам удалось вскрыть все подводные камни законодательства о защите частной жизни, ради которой все новшества в части регулирования персональных данных и принимаются.
Результаты нашего эксперимента в полях все еще неутешительны для самих пользователей:
-
Несмотря на наличие множество гражданско-правовых, административных, уголовных мер защиты приватности гражданина, самостоятельное использование правовых инструментов защиты представляется неэффективным и затруднительным для пользователей, не обладающих специальными знаниями и юридическими компетенциями
-
Компании не готовы признавать утечки, сообщать о них публично, нести какую-либо ответственность перед пользователями, самостоятельно принимать меры, направленные на возмещение причиненного ущерба своим клиентам
-
Роскомнадзор не готов, да и не способен защитить чьи-либо права ввиду отсутствия независимого статуса (вряд ли он будет проверять и наказывать госкомпании), а также адекватного наказания за утечки в действующем КоАП (60к рублей все еще max штраф)
-
Суды не готовы применять институт групповых исков в отношении крупных IT-операторов, не принявших достаточные организационно-правовые и технические меры защиты персональных данных пользователей, что и приводит к утечкам
-
Суды не готовы подвергать компании, допустившие утечки пользовательских данных, каким-либо существенным суммам взыскания в пользу граждан. Максимальная сумма компенсации во всех случаях не превысила 5000 рублей.
-
Правоохранительные органы не готовы признавать даже широкий объем утекшей пользовательской информации в качестве сведений о частной жизни лица, и следовательно, осуществлять доследственную проверку компаний и расследовать вопросы, связанные с обстоятельствами утечек в отношении граждан.
Отсюда можно сделать вывод, что если ваши данные утекли, у вас не остается практически никаких инструментов защиты. Вы предстанете голым и незащищенным не только перед компанией, которой вы доверили данные, и тем, кто эти данные украл, но и почувствуете абсолютную беспомощность, когда обернетесь к государству и тем нормам права, которые специально были приняты для того, чтобы обеспечить право на тайну частной жизни.
Все это не способствует тому, чтобы компании относились к защите данных не как к карго-культу, а как к своей прямой обязанности перед пользователями для обеспечения которой компании надо тратить ресурсы и нанимать в штат подготовленных кадров в области защиты информации и data privacy. Если что, мы это умеем и всегда готовы наладить бизнес-процесс так, чтобы утечек в принципе не произошло, а если даже и произошло (все таки на все 100% от этого не застрахован никто), то компания правильно реагировала на такие инциденты.
Мы все еще продолжаем работать в поисках путей и других стратегий защиты, намереваясь переломить судебную практику по утечкам и отношения к этому компаний. Впереди нас ждет кассация, а также еще несколько интересных инициатив, которые мы сейчас готовим и о которых в самое ближайшее время расскажем.
Stay turned!
Автор: Sarkis Darbinyan