вимкнути дудлвключити дудл

“Креативна” реклама інтернет-магазину приведе до судового розгляду. InternetUA. Дмитро Гадомський

Опубліковано мовою оригіналу.
 
В редакцию InternetUA прислали скриншот рекламного SMS-сообщения. В послании абонента «ненавязчиво» информировали о том, что его друг ждет от него подарок на день рождения. А также присутствовала ссылка, перейдя по которой абонент попадал на сайт интернет-магазина подарков Bodo. 
 
У именинника, зарегистрированного под никнеймом XXX только в соцсети “ВКонтакте”, действительно день рождения 12.07. А получивший SMS абонент числился в его друзьях в этой соцсети.
 
«Послание» стало для обоих сюрпризом. Неприятным. Именинник был возмущен тем, что его друзья получают сообщения, в которых он якобы вымогает у них подарки. Абонент поблагодарил за напоминание о празднике, но подчеркнул, что не станет клиентом интернет-магазина, от имени которого ему присылается спам. Дело в том, что ни именинник, ни абонент «МТС Украина» ранее не были клиентами данного е-маркета, не давали компании согласие на рассылку рекламных SMS и обработку их персональных данных.  
 
Как уже писал InternetUA, отправка рекламного сообщения без письменного согласия абонента или публичной оферты нарушает нормы сразу нескольких законов: «О защите прав потребителей», «О рекламе» и «О защите персональных данных».
 
Гарантии мобильного оператора
 
Ранее в пресс-службе компании «МТС Украина» нам рассказывали, что отправка подобных SMS (от рекламодателей, которым физлицо не давало согласия на рассылку) возможна только в случае, если абонент подписан на услугу «Мегаскидки» от «МТС Украина», в рамках которой ему приходит информация о скидках и акциях компаний, которые заказывают рассылку. «Все абоненты, которые получают такую рассылку, предоставляют свое согласие на ее получение – это обязательное условие», – подчеркнули в «МТС Украина».
 
В данном случае, по словам абонента, он не был подписан на услугу «Мегаскидки». Мы попросили представителей мобильного оператора прокомментировать инцидент.
 
Сначала в пресс-службе «МТС Украина»  нам сообщили: «В SMS есть признаки того, что это не наша легальная рассылка. Наши клиенты в обязательном порядке указывают контактный номер телефона в тексте сообщения».
 
После детальной проверки уточнили информацию: «Поскольку абонент не заказывал получение такой рассылки, она является спамом. Исходя из жалобы, по данному обращению мы в свою очередь обратились к агрегатору, который осуществлял рассылку, с требованием исключить данный номер из рассылки. Рассылка на данный номер заблокирована.
 
В дальнейшем, в случае возникновения подобных инцидентов, рекомендуем абоненту обращаться либо к отправителю спам-сообщения по указанному в сообщении контактному телефону, либо к своему оператору связи – любым удобным способом. Когда у нас есть обращение от пользователя с просьбой разобраться/отключить от рассылки, мы определяем исполнителя, и направляем ему требование исключить номер. Если бы рассылка проводилась по заказу наших клиентов, мы бы могли применить штрафные санкции вплоть до разрыва договорных отношений. По тем клиентам, которые подписывали с нами договор, жалоб от абонентов до сих пор не поступало».
 
В «МТС Украина» отказались назвать имя своего партнера – SMS-агрегатора, осуществившего спам-рассылку. Аргументировали свою позицию тем, что по закону «О защите персональных данных» они не имеют права разглашать эту информацию. Представители «МТС Украина» дважды передавали SMS-агрегатору просьбу связаться с редакцией InternetUA. Но последний так и не вышел на связь.    
 
Происки конкурентов
 
Представители интернет-магазина Bodo сообщили нам, что отправляют SMS-сообщения только своим покупателям и людям, которые, получив подарок от этих клиентов, оставили компании свои контактные данные. А к данной SMS-рассылке отношения не имеют, вначале заявила представившаяся руководителем отдела маркетинга сотрудница компании. После уточнения, можно ли считать этот ответ официальным, взяла свои слова обратно.
 
Предоставить официальную позицию компании нам пообещали после проверки, осуществлялась ли такая рассылка, подписывал ли получивший SMS абонент согласие на получение рекламной информации от Bodo. Юристы компании до сих пор отвечают на запрос InternetUA, в котором мы попросили выслать скриншот документа с согласием абонента «МТС Украина» получать новости от компании (в случае, если интернет-магазин делал данную рассылку).
 
Также в Bodo предположили, что рассылку могли заказать их конкуренты. Но не смогли пояснить, как конкурентам удалось отправить сообщение от альфа-имени Bodo (в скриншоте SMS оно указано вверху справа). Дело в том, что использовать это альфа-имя в SMS-рассылке де-юре имеет право только правообладатель данной торговой марки: согласно требованиям компаний, предоставляющих услуги SMS-рассылок, «в случае если имеется необходимость производить рассылку от имени компании, зарегистрированного бренда, торговой марки, необходимо предоставить письменное разрешение человека или компании, на которых оформлены документы, подтверждающие право владения им компанией, торговой маркой, брендом».
 
Причины усомниться в непричастности онлайн-магазина к данной рассылке возникли и у экспертов по интернет-маркетингу. «Обратите внимание на важный нюанс: при переходе по указанной в сообщении ссылке пользователь попадает на страницу интернет-магазина Bodo, в адресной строке браузера которой прописано www.bodo.ua/?utm_source=redirects&utm_medium=sms.bodo.com.ua&utm_campaig…. Выделенное – это UTM-метки.
 
Такие метки делаются для анализа эффективности рекламной кампании в Google Analytics. В данном случае рекламодатель узнает, сколько пользователей пришло к нему на сайт в рамках кампании, названной, судя по меткам, sms.bodo.com.ua. Метки свидетельствуют о том, что, во-первых, рассылка была массовой (для отправки одной SMS-ки никто не будет делать метки). Во-вторых, установить метки де-юре может только владелец домена  bodo.ua или его уполномоченное лицо», – пояснил руководитель отдела-маркетинга одной из крупных интернет кампаний.   
 
Взлом «ВКонтакте»? 
 
Еще больше вопросов возникло по поводу законности получения и использования отправителем SMS-сообщения персональной информации о дате рождения именинника и номерах мобильных телефонов его друзей. В SMS-сообщении использовался никнейм XXX, который именинник зарегистрировал только в соцсети “ВКонтакте”.
 
Сведения из его аккаунта о дате рождения и друзьях были доступны для всех зарегистрированных в этой соцсети (эти данные по умолчанию нельзя сделать в ВК видимыми только для друзей). Но номер мобильного телефона абонента – друга из «ВКонтакте», которому пришла SMS-ка, указывался только при регистрации аккаунта. По заверению администрации “ВКонтакте”, номер “закрыт” для других пользователей соцсети.
 
Передача персональных данных третьим лицам запрещена. Согласно украинскому закону «О защите персональных данных», не допускается обработка данных о физическом лице, которые являются конфиденциальной информацией, без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Схожая норма есть и в российском Федеральном законе №152 «О персональных данных».
 
Официально в администрации «ВКонтакте» придерживаются того же мнения. Соцсеть уверяет, что не передает конфиденциальные данные третьим лицам (исключение: госорганы и контрагенты). 
 
Отвечая на запрос InternetUA, в администрации «ВКонтакте» отрицали возможность утечки из компании персональной информации о пользователях.
 
Влад Леготкин, пресс-секретарь «ВКонтакте», Украина:
-  Мы, разумеется, никому не передаём конфиденциальные данные пользователей «ВКонтакте». Более подробно с порядком обработки и защиты информации о пользователях сайта можно ознакомиться на этой странице. Возможность утечки также исключается.
 
В первую очередь советую пользователю обратиться к команде поддержки «ВКонтакте». Не исключено, что страница могла подвергнуться, например, взлому. Чтобы защитить свою страницу от взлома важно всегда помнить об основных принципах безопасности при работе в интернете:
 — не переходить по подозрительным ссылкам и никогда не устанавливать программы, в надёжности которых нет уверенности;
 — регулярно проверять свой компьютер на вирусы и трояны;
 — использовать разные пароли для страницы «ВКонтакте», почтового ящика и остальных сайтов;
 — следить, чтобы страница была привязана к актуальному номеру телефона и почтовому ящику;
 — использовать надёжный пароль (более восьми символов, с наличием и букв, и цифр);
 — проверять мобильным антивирусом android-устройство.
 
К слову, пользователи часто самостоятельно указывают номер мобильного телефона в различных формах регистрации на сторонних сайтах. Здесь следует также быть осторожным, чтобы обезопасить себя.
 
Абонент, в свою очередь, сообщил нам, что не замечал взлома своей страницы «ВКонтакте», номер мобильного телефона не «светил» в общедоступных местах. Простейшая проверка в Google «Яндекс» показала, что поисковики не выдают информации по этому номеру.  
 
Мы попросили технического эксперта Владимира Шаруна проанализировать различные версии того, как конфиденциальная информация могла стать доступна отправителю SMS-рассылки.
- Вероятность продажи базы персональных данных «ВКонтакте» сотрудниками этой сети ниже, чем вероятность того, что это сделали марсиане. Во-первых, сотрудники, имеющие доступ к «святая святым» – базам данных крупных компаний, крайне лояльны к своим работодателям. Такие специалисты проходят серьезный отбор временем. Думаю, у них даже не возникает вопрос о возможности продать данные. Во-вторых, у них есть четкие инструкции, что делать, когда к ним кто-то подкатывает с сомнительными вопросами. В-третьих, крупные интернет компании не хранят все яйца в одной корзине: база, как правило, распределена между географически разнесенными серверами. Правилами хорошего тона безопасности является невозможность проведения произвольных запросов к базам. По концепции безопасности в базах нет функционала «скопировать», «сделать выборку» и т.п.
 
По вышеназванным причинам практически невозможен и взлом базы. Система хранения информации создана таким образом, что ее сломать драматически сложно. Кроме того, если бы был взлом, мы бы уже наблюдали большой резонанс в соцсети и СМИ. Также, думаю, отправитель SMS-рассылки не рискнул бы пользоваться данными, полученными откровенно уголовным путем, понимая, что вскоре к нему придут из органов с соответствующими вопросами.
 
Наиболее вероятная версия утечки персональной информации по мнению эксперта по интернет-маркетингу (пожелал остаться нензванным), такова: «Некая компания (к примеру, Digital-агентство) запустила в соцсети робота, который заходил на страницы пользователей и парсил их открытые данные (эта деятельность администрацией “ВКонтакте” не приветствуется: в пункте 6.3.11 их правил сказано, что нельзя осуществлять незаконные сбор и обработку персональных данных других лиц).
 
Таким образом, вероятно, получена информация о дате рождения и друзьях пользователя «ВКонтакте». Это же агентство купило базу телефонных номеров, скажем, у некой розничной сети, аптеки и т.п. (компании, в которой абонент, получая карточку, некогда оставлял свои персональные данные). Де-юре администрация этой некой компании не имеет права передавать персональные данные третьим лицам. Но, предположим, что кто-то из сотрудников решил подработать и «слил» базу агентству. Таким образом получены номер мобильного телефона, ФИО и регион проживания абонента «МТС Украина» (его никнейм в соцсети «ВКонтакте» зарегистрирован под реальным именем и фамилией – InternetUA).
 
Далее специальная программа сводит воедино две базы данных, находит соответствия в них и т.п. И все – база для спам-рассылки готова. Еще один вероятный подвариант: агентство, собиравшее информацию в соцсети, одновременно являлось SMS-агрегатором – партнером мобильных операторов.  Такие компании сами признают, что у них есть возможность сделать рассылку по операторским базам. Отдельный вопрос, что они не имеют права так подставлять своих партнеров, пользуясь этими базами в своих целях». Еще одна схема сбора персональных данных посредством мобильных приложений детально описана здесь.
 
В интернет-магазине Bodo подтвердили InternetUA, что некоторые SMS-рассылки делали с помощью агентства. Какого именно, не сообщили, сославшись на конфиденциальную информацию. Также в Bodo пока не нашли ответа на вопрос, каким образом компания получила а) номер мобильного телефона абонента, б) данные о том, что данный абонент является другом пользователя соцсети «ВКонтакте», никнейм которого указан в сообщении.
 
За подобную «креативную» рекламу абонент “МТС Украина” и пользователь “ВКонтакте” могут подать в суд на мобильного оператора, SMS-агрегатора, интернет-магазин и агентство. Согласно закону “О защите персональных данных”, запрещается сбор, хранение, использование и распространение, персональных данных о физическом лице без его согласия.
 
Даже при условии, что абонент “МТС Украина” и пользователь “ВК” “светили” свои персональные данные на каждом “столбе” (чего не было), они не давали разрешения на их сбор, использование и распространение. По этому же закону, субъект персональных данных имеет право обращаться с жалобами в суд.
 
О юридических нюансах рассказал Дмитрий Гадомский, адвокат, партнер практики IT и  медиа права АО «Юскутум»:
- Любой судебный процесс можно выиграть, если собрать достаточное количество доказательств своей правовой позиции и применить правильные нормы права. Данный спор – не исключение. Но для того чтобы провести судебный процесс как минимум в одной инстанции, понадобится судебны