Как стало известно в среду из публикации на Facebook-странице эксперта по работе с данными Леонида Филатова, арбитражный суд Москвы 11 марта 2016 признал оператора ПАО «МГТС» виновным в незаконном сборе персональных данных абонентов и присудил компанию к 30 тысячам рублей штрафа.
Истец – Роскомнадзор – обвинил МГТС в несоблюдении лицензионных требований и условий. Суд принял аргументацию истца. Мотив решения таков: МГТС, собирая персональные данные своих пользователей (IP-адрес, поисковые запросы, адреса посещаемых сайтов и время их посещения и другие сведения, позволяющие идентифицировать гражданина), а потом продавая эти данные другим компаниям, совершила административное правонарушение.
«Это значимый прецедент в отношении политики обращения с данными. Личные данные пользователей, вероятно, должны использоваться только с разрешения самих пользователей. Если они являются товаром для оператора, то это, во-первых, должно быть отражено в документах и политиках использования сервиса и, во-вторых, может влиять на стоимость услуги – пользователь в обмен на принадлежащую ему информацию должен получать адекватную компенсацию», — считает Филатов.
Чтобы установить факт продажи персональных данных третьей стороне, пришлось проводить «внеплановое мероприятие» — проверку контрагента МГТС, ООО «ОБМР». В результате проверки установлено, что ООО «ОБМР» получало от МГТС, обширный набор данных об абонентах, в частности, «случайный идентификатор в HTTP-запросе пользователя, позволяющий отличить трафик пользователя от трафика других пользователей для получения списка его предпочтений; IP-адрес из IP-пакета HTTP-запроса пользователя, позволяющий получить географическое положение пользователя» и иные сведения, идентифицирующие абонента.
Суд установил, что 1) эти данные – персональные, по российскому закону они не подлежат передаче без согласия на это гражданина и 2) МГТС продавала эти данные третьей стороне без ведома своих абонентов.
Такая деятельность, помимо прочего, противоречит условиям лицензии, которая разрешает МГТС лишь «оказание телематических услуг».
Сведения, подтверждающие наличие согласия абонентов на передачу сведений об абонентах, ПАО «МГТС» не представило, констатировал суд.
Практика передачи данных, идентифицирующих абонента с целью демонстрации ему адресных рекламных объявлений, от оператора связи рекламным компаниям через посредников вроде ООО «ОБМР», широко распространена и практически не регулируется государством.
На вопрос D-Russia.ru о том, породил ли судебный прецедент годичной давности аналогичные иски Роскомнадзора не только к МГТС, но и другим провайдерам, официальный представитель ведомства Вадим Ампелонский сообщил: «Были внеплановые проверки участников телекоммуникационного рынка».
