В этой статье будет рассмотренно продолжение известной по прошлому году истории о подходе к обработке персданных в «Ситимобил». Напомню, 23 декабря 2022 года стало известно об утечке данных водителей «Ситимобил». Компания признала факт утечки, уведомила Роскомнадзор, принесла извинения водителям и заявила о проведении внутреннего расследования. Среди многочисленных утечек (а всего по данным Роскомнадзора в 2022 было зафиксировано порядка 150 крупных утечек персональных данных) утечка у «Ситимобил» отличалась тем, что в открытый доступ попали не просто персданные, а изображения паспортов водителей.
На сегодняшний день информации о назначении штрафа компании еще нет. Но мне кажется, что при его назначении учтут, что в этой утечке были изображения паспортов и, как показано вот здесь изображения селфи водителей с паспортом одновременно. Не знаю можно ли фото, на котором есть и паспорт, и лицо крупным планом, классифицировать как биометрию, но очевидно, что с таким фото возможностей для нанесения ущерба водителю становится сильно больше.
В этой заметке я хочу показать свой взгляд пользователя на то, как происходит обработка изображений паспортов и персданных водителей в «Ситимобил» через 2.5 месяца после утечки.
Регистрация водителя
В середине февраля я решил попробовать зарегистрировать себя в качестве водителя в «Ситимобил». Далее привожу последовательность своих действий и скриншоты.
Я зашел на сайт https://city-mobil.ru/ и перешел в раздел «Стать водителем» https://city-mobil.ru/drivers.
Далее нажал на кнопку «Стать водителем» и попал вот на эту страницу https://city-mobil.ru/newdriver.
Как и было предложено я установил приложение «Ситистарт (работа в такси)» https://play.google.com/store/apps/details?id=ru.citymobil.driver и начал процедуру регистрации.
Прошел первый этап регистрации в приложении по номеру телефона.
После этого к процессу регистрации подключается бот компании и начинается самое интересное. Диалог на скриншотах ниже.
Для того чтобы посмотреть, что будет после отправки изображения паспорта, я отправил пустую фотографию (без паспорта). Бот предложил мне отправить селфи с паспортом. На скриншотах ниже показана не вся переписка. Нет моих ответов боту на вопросы: в каком регионе я хочу работать? В такси или доставке? На своей машине или нужна аренда?
На этом месте я напрягся. Водителя просят прислать изображения паспорта, но насколько я помню до этого этапа я не видел и не давал согласия на обработку своих персданных.
Я пошел искать этот документ обратно на сайт, но нашел только вот такой документ https://city-mobil.ru/privacy-policy. В нем была представлена «Политика конфиденциальности в отношении обработки персональных данных конечного пользователя Приложения Ситимобил и Сервиса». Про водителей и обработку персданных водителей в мобильном приложении «Ситистарт (работа в такси)» я в этом документе и на сайте ничего не нашел.
Так у меня появилась идея как-нибудь написать про эту ситуацию заметку на Хабр. Но буквально на следующий день история моей регистрации водителем «Ситимобил» получила совсем интересное продолжение.
Так как я не закончил процедуру, то мой будущий работодатель, зная мой номер телефона, решил перевести коммуникацию в мессенджер и уже там закончить регистрацию. Мне в WhatsApp написали, что НУЖНО отправить селфи с паспортом им в WhatsApp. Сам себя в мессенджере этот номер описывает емким и понятным словом «Лиды». Номер телефона я замазывать не стал, так как это видимо официальный номер для коммуникации с будущими водителями. Скриншоты ниже.
После этого желание написать про «Ситимобил» усилилось многократно… Удалять приложение я не стал и мне до сих пор периодически напоминают в приложении, что я еще не отправил селфи с паспортом. Последний раз такое напоминание было 8 марта 2023.
Про штрафы за утечки
Думаю, что когда штраф «Ситимобил» будет назначен, то он будет больше чем недавно назначенный штраф на 60 000 руб за утечку данных в компании Skyeng. О самой утечке даных у Skyeng стало известно 27 июня 2020 года, а штраф был назначен только 1 марта 2023 года. На это обратили внимание здесь. Если дело «Ситимобил» будет рассматриваться хотя бы полгода, то думаю, что это будет не просто повышение размера штрафа, но может быть к этому времени успеют ввести и оборотный штраф, про который очень много говорят. На мой взгляд, есть еще и перспектива подачи коллективного иска водителями на компенсацию морального вреда. Умножив 4 тысячи изображений на 50 тысяч рублей штрафа получим 200 млн руб. Понятно, что это все просто рассуждения…
В этой истории есть еще 1 интересный момент. 1 мая 2022 была завершена передача активов «Ситимобил» компании ООО «Транс-Миссия» (служба заказа такси «Таксовичкоф», входит в УК People&People). До этого «Ситимобил» принадлежала совместному предприятию VK и Сбера в области транспорта и доставки еды – «О2О холдинг». При назначении, скорее всего, будет важно на чей период владения приходятся данные в этой утечке. А значит и кто будет платить штраф?
Заключение
Как вы поняли изображение своего паспорта и селфи с паспортом отправлять я не стал и дальше по процессу трудоустройства не пошел. Вот и конец истории.
Эту заметку хочу закончить двумя вопросами с очевидными ответами.
Экономический вопрос. Если бы «Ситимобил» грозил штраф не на 60 000 руб., а на 500 млн руб. (про эту верхнюю границу размера оборотного штрафа писал Коммерсант 26.12.2022), работала ли вообще так компания с паспортными данными своих водителей? А после уже случившейся утечки?
Социальный вопрос. Почему «Ситимобил» так относился и продолжает относится к персданным тех, кто зарабатывает ей деньги?
P.S. Я не давал много ссылок, но вся информация легко ищется и проверяется. Если что-то вдруг упустил, пишите, пожалуйста, в комментариях, и я поправлю.
