Компания Tet вину отрицает и обжаловала приговор, а в Госинспекции данных констатируют серьезные нарушения, в том числе то, что через сервис Tet можно было узнать адреса и другие данные незнакомых людей. Сейчас нарушения устранены.
De facto напоминает, что несколько лет назад одним из главных новостных заголовков было принятие Регламента ЕC о данных, который грозил компаниям миллионами евро штрафов за разглашение данных клиентов и другие нарушения. В ЕС личные данные могут использоваться только в строго определенных целях и с разрешения самого человека.
В прошлом году в Латвии впервые был наложен штраф в размере более миллиона евро - нарушителем стала частично государственная компания Тet (ранее Lattelecom). Ее оштрафовали на 1,2 миллиона евро.
Компания Tet не проверяла личности людей перед подключением к своему сервису Tet+. Требовалось только подать заявку в интернете, и еще до заключения договора Tet разрешaл просмотр фильмов и сериалов, а также начал высылать счета.
"Все началось с того, что к нам поступила информация из полиции о том, что Tet передал коллекторам информацию о невыполнении договора о лице, которое этот договор не заключало", — сказала о возбуждении дела Ласма Дилба, заместитель директора Государственной инспекции данных.
В конкретном случае кто-то указал в заявлении имя и фамилию своей несовершеннолетней сестры и номер социального страхования своей взрослой сестры. Tet подключил услугу такому фиктивному лицу и начал присылать счета на указанный адрес электронной почты. Когда счета не были оплачены, Tet передал данные коллекторской компании Creditreform, в том числе имя и фамилию несовершеннолетней девочки, хотя никакого договора с Tet ни на кого из причастных заключено не было.
Полиция не усмотрела в этом уголовного правонарушения, но Госинспекция данных начала расследование и убедилась, что Tet+ можно подключить без заключения договора, а также путем ввода личных кодов детей в приложении.
В ходе проверки, проведенной в конце 2021 года, инспектор Госинспекции также заметил, что на портале самообслуживания Tet при знании личного кода какого-либо пользователя можно узнать и другие его данные. Оставалось обратиться в Tet+, введя этот персональный код, и Tet подготовит договор, в тексте которого уже будут указаны адрес, имя и фамилия владельца персонального кода. Компания получает эти данные, сравнивая личный код с данными в своей базе данных.
Компания не раскрывает, какая часть населения Латвии находится в базе данных Tet, но поскольку это крупнейшая телекоммуникационная компания в Латвии, у нее много нынешних и бывших клиентов.
По словам представителя Госинспекции Дилбы, "Tet - известная компания, которая предоставляет услуги в очень широком масштабе в Латвии. Cубъекты данных могут подвергаться реальному риску передачи их данных, если кто-то нечестно использует их личный код".
Сопоставление данных новых заявок с базой данных, созданной годами, тоже является нарушением регламента, считают в инспекции. В целом инспекция оценила нарушения Tet как средней тяжести и насчитала штраф в размере 3,2 млн евро, но по разным причинам он был уменьшен почти в три раза. B том числе потому, что компания больше не практикует такую практику и сотрудничала с инспекцией.
Однако в Tet категорически не согласны с решением проверки. В подтверждение того, что штраф не будет уплачен, в годовом отчете компании также говорится, что штраф не должен быть зарезервирован в качестве сбережений, поскольку решение может быть обоснованно оспорено.
Первая попытка не удалась. В конце апреля Рижский городской суд отклонил иск Tet и оставил решение инспекции без изменений. Суд указывает, что возражения касались не характера нарушения, а того факта, что самой проверкой были допущены различные процессуальные нарушения.
В суде подчеркивают, что приговор не вступил в законную силу, поскольку Tet обжаловал его 8 мая.
Сама компания не согласилась на интервью и прислала письменные ответы на вопросы:
"Во-первых, событие, в связи с которым Госинспекция данных приняла решение, связано с неправомерной попыткой лица обойти защитное решение обращения за услугой, а не с неправильным подходом к обработке данных.
Во-вторых, в деле нет потерпевших и никто не пострадал. В-третьих, считаем, что при вынесении решения допущены существенные отступления от процессуального регламента, без обеспечения объективного расследования, что привело к неправильному исходу дела.
Учитывая, что судебное разбирательство продолжается, мы считаем, что следует уважать способность суда вынести самостоятельное и законное решение, поэтому более подробно комментировать обстоятельства дела на данном этапе не считаем правильным".
А по поводу предоставления услуги только на основании заявки, а не по факту договора, Tet отвечает, что это не нарушает регламент и другие правила рынка: аналогично поступает, например, Netflix. При этом процедура постоянно совершенствуется, и в настоящее время клиент должен подтвердить свою личность при подаче заявления.
Проверка также констатировала, что компания исправила и устранила нарушения. Если штраф останется в силе, Tet должен будет выплатить в госбюджет штраф в размере 1,2 млн евро.