Яндекс.Еда, утечки и правосудие. Предварительные итоги

в 15:23, , рубрики: данные, законодательство, коллективный иск, персональные данные, приватность, судебная практика, утечки
Картинка: Midjourney AI

Картинка: Midjourney AI

У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно‑техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина. Не то чтобы это был необходимый запас для суда, но раз уж начал готовить первый групповой иск по утечкам к гиганту, то сложно остановиться...

За полтора года нашей совместной (РКС + Сетевые свободы) работы по делу самой массовой утечки в российской кибер истории, мы прошли долгий путь от несостоявшегося коллективного иска к Яндекс.Еде до получения отказа силовиков признавать утекшие данные сведениями о частной жизни при принятии решения о возбуждении уголовного дела по ст.137 УК РФ (нарушение неприкосновенности частной жизни). 

Ожидания

Мы ожидали появление первого в России кейса в виде группового иска по защите права на приватность пользователей российских платформ.

Я убежден, что как бы государство не пыталось драконовскими штрафами закошмарить бизнес, чтобы они “лучше защищали персональные данные”, ничего из этого не выйдет. Лишь только институт коллективных исков c существенной гражданско-правовой ответственностью корпораций перед своими пользователями способен поменять ситуацию с реальным, а не показательным обеспечением информационной приватности и безопасности.

Поэтому, полагая, что административные меры защиты (напомню, что Яндекс.Еда за утечку получила штраф в 60 000 рублей) являются недостаточными и неэффективными, мы решили использовать методы гражданско-правовой и уголовной защиты. Для гражданско-правовой защиты мы решили использовать относительно новую для российской цивилистики статью 244.20 ГПК РФ (групповые иски), а в рамках уголовно-правовой защиты - институт “потерпевшего” по уголовному делу в рамках ст.137 (нарушение неприкосновенности частной жизни) и ст.272 (неправомерный доступ к компьютерной информации),  273 (Создание, использование и распространение вредоносных компьютерных программ) УК РФ. 

Вот, что из этого вышло.  

Подготовка

Мы провели адвокационную кампанию и проделали невероятную работу, чтобы объяснить пострадавшим пользователям, почему важно судиться, и почему это не сложно, заверяя их в том, что всю грязную работу мы возьмем на себя и сделаем это абсолютно бесплатно. Но даже это приходилось терпеливо разъяснять гражданам, не доверяющим в принципе ни самому закону, ни судам, которые должны эти законы интерпретировать. Люди просто напросто не верят, что закон может служить реальным инструментом защиты информационной приватности.  

У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно-техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина. Не то чтобы это был необходимый запас для суда, но раз уж начал готовить первый групповой иск по утечкам к гиганту, то сложно остановиться...И мы пошли в суд.

Результат

Гражданский процесс

  • Суд отказывает в принятии иска в качестве группового по правилам ст. 244.20 ГПК РФ, что влечет и отказ в принятии 1008 заявлений в упрощенном порядке о присоединении к иску

  • Суд разъединяет иск на 20 отдельных производств, ссылаясь на то, что в указанном деле у группы истцов нет однородных прав и законных интересов. Логика суда такая - персональные данные у каждого заявителя разные, а значит и рассматриваться они должны в качестве индивидуальных жалоб.

  • 13 заявителям иск был удовлетворен, еще 7 отказали в удовлетворении иска в связи с недоказанностью позиции (ненадлежащие скриншоты) 

  • По 5000 рублей суды первой и апелляционной инстанций присуждают заявителям, снижая ее в 20 раз от первоначально заявленной суммы. 

Некоторые пользователи самостоятельно попытали счастье, но столкнулись с еще большим количеством сложностей. Так, например, Куйбышевский районный суд г. Санкт-Петербурга по одному из дел (Шацкий против Яндекс.Еды), отказывая в удовлетворении иска, указал следующее: 

1. Не доказана причинно-следственная связь. 

“Истцом не представлены доказательства, что именно ответчиком раскрыты третьим лицам либо распространены персональные данные истца. Информационное сообщение о произошедшей утечке данных клиентов ООО «Яндекс.Еда» без указания конкретных лиц, а также само по себе появление в информационных ресурсах сведений об истце, как о пользователе услуг сервиса «Яндекс.Еда», не свидетельствуют о том, что именно ответчиком совершены незаконные действия, направленные на нарушение прав истца”. 

2. Скриншоты признаны неотносимым доказательством. 

“Скриншот страницы сайта, который истец приобщил к материалам дела, не содержит информации, позволяющей отнести данный Интернет-ресурс к ведению ответчика, а также, что источником информации, размещенной на данном сайте, являлось именно ООО «Яндекс.Еда»”.

3. Не доказан недостаточный уровень защиты и осмотрительности оператора. 

“Доказательств, свидетельствующих о том, что принятые ответчиком меры безопасности не соответствуют законодательству, противоречат техническим правилам и не обеспечиваются (не поддерживаются) техническими ресурсами, недостаточны и не эффективны, в материалы дела не представлено. Ответчиком, в свою очередь, в порядке применения организационных технических мер по обеспечению безопасности персональных данных, утверждена и обновляется Политика информационной безопасности сервиса «Яндекс.Еда», в июне 2018 г. ответчиком получен сертификат соответствия требованиям международного стандарта безопасности PCI DSS”. 

Как видно, суд не сильно был заинтересован помогать пользователю в процессе, и фактически топит истца в недоказанности позиции, все больше соглашаясь с правовой позицией ответчика.

Правда, городской суд Санкт-петербурга решение все равно отменил и вынес новое решение. Однако, сумма взысканной компенсации опять не выросла больше 5 000 рублей. 

Уголовный процесс

Из гражданского процесса и из самой позиции компании при полном равнодушии к обстоятельствам дела самого суда, нам к сожалению, не удалось узнать никаких деталей, связанных с произошедшей утечкой. Доступ к материалам дела об административном нарушении Роскомнадзором также не предусмотрен не публично, не по индивидуальным запросам, если вы не являетесь стороной, непосредственно привлеченной к административному производству. Поэтому у нас оставалась надежда, занырнув в уголовное дело на стороне потерпевших, получить чуть больше информации о самой утечке.   После того, как Следственный комитет вынес Постановление о возбуждении уголовного дела по поводу утечки из «Яндекс.Еды» по трем составам:

- ч.1 ст. 137. УК РФ (нарушение неприкосновенности частной жизни);

- ч.3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации);

- ч.2 ст. 273 УК РФ (создание, использование и распространение вредоносных программ).

мы заявились в процесс от лица наших заявителей с ходатайством адвокатов о признании граждан в качестве потерпевших по уголовному делу, однако в этом всем было отказано. 

Позиция Отдела киберпреступлений СК РФ сводится к тому, что сведения о заявителях (включая их имена, адреса жительства и телефоны) незаконно полученные и распространенные в результате совершения преступления, не могут быть отнесены к сведениям о частной жизни лица, образующим личную или семейную тайны. 23 августа 2023, не желая вмешиваться в работу следствия, Басманный суд поддерживает эту позицию. 

Выводы

Назвать это победой сложно, но на этом кейсе нам удалось вскрыть все подводные камни законодательства о защите частной жизни, ради которой все новшества в части регулирования персональных данных и принимаются. 

Результаты нашего эксперимента в полях все еще неутешительны для самих пользователей: 

  • Несмотря на наличие множество гражданско-правовых, административных, уголовных мер защиты приватности гражданина, самостоятельное использование правовых инструментов защиты представляется неэффективным и затруднительным для пользователей, не обладающих специальными знаниями и юридическими компетенциями

  • Компании не готовы признавать утечки, сообщать о них публично, нести какую-либо ответственность перед пользователями, самостоятельно принимать меры, направленные на возмещение причиненного ущерба своим клиентам 

  • Роскомнадзор не готов, да и не способен защитить чьи-либо права ввиду отсутствия независимого статуса (вряд ли он будет проверять и наказывать госкомпании), а также адекватного наказания за утечки в действующем КоАП (60к рублей все еще max штраф) 

  • Суды не готовы применять институт групповых исков в отношении крупных IT-операторов, не принявших достаточные организационно-правовые и технические меры защиты персональных данных пользователей, что и приводит к утечкам

  • Суды не готовы подвергать компании, допустившие утечки пользовательских данных, каким-либо существенным суммам взыскания в пользу граждан. Максимальная сумма компенсации во всех случаях не превысила 5000 рублей. 

  • Правоохранительные органы не готовы признавать даже широкий объем утекшей пользовательской информации в качестве сведений о частной жизни лица, и следовательно, осуществлять доследственную проверку компаний и расследовать вопросы, связанные с обстоятельствами утечек в отношении граждан. 

Отсюда можно сделать вывод, что если ваши данные утекли, у вас не остается практически никаких инструментов защиты. Вы предстанете голым и незащищенным не только перед компанией, которой вы доверили данные, и тем, кто эти данные украл, но и почувствуете абсолютную беспомощность, когда обернетесь к государству и тем нормам права, которые специально были приняты для того, чтобы обеспечить право на тайну частной жизни.

Все это не способствует тому, чтобы компании относились к защите данных не как к карго-культу, а как к своей прямой обязанности перед пользователями для обеспечения которой компании надо тратить ресурсы и нанимать в штат подготовленных кадров в области защиты информации и data privacy. Если что, мы это умеем и всегда готовы наладить бизнес-процесс так, чтобы утечек в принципе не произошло, а если даже и произошло (все таки на все 100% от этого не застрахован никто), то компания правильно реагировала на такие инциденты.

Мы все еще продолжаем работать в поисках путей и других стратегий защиты, намереваясь переломить судебную практику по утечкам и отношения к этому компаний. Впереди нас ждет кассация, а также еще несколько интересных инициатив, которые мы сейчас готовим и о которых в самое ближайшее время расскажем.

Stay turned!

Автор: Sarkis Darbinyan

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js