Казус Цитруса: кто ответит за разглашение личных данных
Безопасно ли сдавать неисправный смартфон в утилизацию, предварительно не удалив личные данные? Резонансный кейс Цитруса подсказывает - нет, подводные камни есть и здесь.
Как уже ранее писала LIGA.net, утопленный iPhone 6S киевлянки Виктории Графской пришел в ремонт в Цитрус. Гаджет и данные, по словам сервиса, не подлежали восстановлению. Но вместо китайской фабрики по утилизации iPhone попал на украинский черный рынок, “ожил”, обрел нового владельца. Последний начал требовать у Виктории пароль от аккаунта, угрожая разослать ее личные фото всем контактам в телефоне, что позже и сделал.
Так как магазин не спешил идти навстречу девушке, Стас Графский, брат Виктории, решил вынести дело в публичную плоскость. И компания, и пострадавшие написали заявление в Нацполицию. Правда, только против шантажистов. Дело приобрело уголовный акцент.
В понедельник 26 марта компания провела пресс-конференцию, куда пригласила и пострадавших. Мероприятие сняло часть вопросов, но оставило шлейф других. Кто же все-же виноват в инциденте? Какие из законов нарушил? И исчерпается ли конфликт увольнением недобросовестных сотрудников?
Что нового в позиции сторон
Как рассказал CEO Цитрус Виталий Кузнецов, один из сотрудников компании оценил телефон Виктории как нерабочий, а потом продал его сам себе, положив в кассу 500 грн. Далее он перепродал телефон другому человеку, который впоследствии и стал шантажировать Графскую.
На вопрос, как такое вообще могло случиться, Кузнецов отметил: имело место нарушение, заговор группы сотрудников, компания проводит проверку, было ли подобное и раньше.
Читайте также: Большой куш: кто захотел курировать импорт Xiaomi в Украине
Потом Цитрус попросил сотрудника вернуть телефон, что тот и сделал - очевидно, забрав телефон у мошенников назад. Правда, у них осталась резервная копия данных и пространство для маневра. Сотрудник сервисного центра был уволен “по соглашению сторон”. Ритейлер же предоставил полиции в Днепре все данные, объявил о задержании подозреваемых в шантаже и начале досудебного расследования. Следователь и юристы пострадавших об этом пока ничего не слышали.
CEO Цитруса признал свою вину в инциденте, извинился и предложил возместить моральный ущерб. К согласованию суммы стороны пока не пришли.
Ничего личного - только личные данные
В Цитрусе, похоже, перестраховались два раза. По словам Кузнецова, подписывая с компанией договор по программе “Абсолютная защита” (страховой полис для гаджета), компания имеет право на обработку всех данных пользователя.
Как рассказал партнер юридической фирмы Asters Юрий Котляров, для такой компании как Цитрус, как и для любой другой, очень важна внутренняя регламентация работы с устройствами потребителей, на которых хранится личная информация, включая и чувствительную.
Сам Цитрус, похоже, тоже это понял.
“Главный вывод, который Цитрус уже сделал, - это то, что безопасности информации нужно уделить больше внимания”, - отметил CEO компании.
Но в этот раз ситуация с распространением персональных данных, видимо, сойдет компании с рук.
“За провал с получением персональных данных и конфиденциальной информации скорее всего отвечать будет сотрудник Цитруса [который продал телефон] и тот, кто их использовал для вымогательства. В отношении Цитруса - не уверен”, - отмечает управляющий партнер компании Jurimex Юрий Крайняк.
Он добавляет: компания все-таки должна была предусмотреть, что на попадающих к ней смартфонах может оставаться какая-то личная информация. И установить защиту от ее вскрытия и распространения.
“Но прямых требований относительно правил утилизации подобных приборов в законе, к сожалению, нет”, - говорит Крайняк.
“У нас на законодательном уровне недостаточно или почти не урегулирован вопрос о хранении, обработке данных при сервисном обслуживании личных устройств. Время от времени передаем в обслуживание, ремонт свои телефоны, ноутбуки. На них хранится гораздо больше информации, чем то, что можно назвать просто персональными данными”, - констатирует проблему Юрий Котляров.
Кто виноват
Пока идет следствие, ни Цитрус, ни полиция не раскрывают никаких данных о подозреваемых и нарушениях, в которых те обвиняются. Сотрудничает ли со следствием и привлечен ли к ответственности человек, перепродавший телефон мошенникам, также неизвестно.
По мнению опрошенных LIGA.net юристов, уголовная ответственность может грозить не только подозреваемым мошенникам, в отношении которых открыто дело.
“Кража смартфона, если это действительно кража - это вопрос, который полностью может быть под контролем Цитруса. Потому что юридически смартфон скорее всего принадлежал Цитрусу, а значит он и проходит как потерпевший. И да, ответственность сотрудника за кражу не заканчивается увольнением”, - отмечает Юрий Крайняк.
Читайте также: Крупнейшая утечка. Как Facebook не уберег данные 50 млн юзеров
С другой стороны вряд ли бывшего сотрудника Цитруса можно привлечь к ответственности за распространение какой-то конфиденциальной информации.
“Для этого важен умысел (например, по статье 163 или 182 Уголовного кодекса). А у сотрудника, исходя из публикаций в СМИ, умысел был направлен на то, чтоб украсть смартфон и перепродать его, а не раскрыть какую-нибудь тайну переписки или еще что-то”, - отмечает юрист.
По словам старшего юриста юрфирмы Evris Любомира Мужика, главная ответственность за инцидент лежит на компании Цитрус.
“Именно с ним был заключен договор купли-продажи, ему же был возвращен дефектный девайс, он же и принял товар для последующей переработки. Именно к компании-ритейлеру и должен быть подан пострадавшей гражданский иск о возмещении морального ущерба. В свою очередь, уплаченную сумму в порядке регресса компания-ритейлер может стянуть с работника, даже после его увольнения”, - говорит Любомир Мужик.
Он добавляет, что если пострадавшая хочет еще и "крови", тогда нужно также привлекать к уголовной ответственности уволенного работника.
Антон Кобылянский
Евгений Шишацкий