Систему, используемую крупными розничными сетями для отслеживания краж, заподозрили в сборе биометрии граждан

Ассоциация профессиональных пользователей социальных сетей и мессенджеров (АППСИМ) направила в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций письмо с просьбой проверить законность использования системой "СтопШопЛифтер" биометрических данных посетителей торговых точек. По данным ассоциации на 2019 год, она внедрена в более чем 300 магазинах 14 сетей ритейла в России, включая "Перекресток", "Ленту", "Ашан", "Подружку", "Детский мир" и Metro Cash&Carry.

Эта система работает так: когда покупатель забыл оплатить товар и ушел с ним, то сотрудник магазина, выполняющий функции оператора системы, может просмотреть записи с камер видеонаблюдения и внести в базу данных "СтопШопЛифтер" фото и видео с ним, а также информацию о нем и о том, какую сумму он остался должен. Затем доступ к этим данным получают все торговые точки, в которых установлена система. Если этот человек вновь придет сюда, то по громкой связи начнет звучать голос, предупреждающий, что воровать плохо, а на специальное приложение работников придет оповещение с его снимком. Более того, охранники могут попросить клиента возместить ущерб. В случае, если он откажется, служба безопасности может вызвать сотрудников полиции.

В письме также уточняется, что камеры, которые обязательно устанавливаются на входную группу магазина, снимают биометрические слепки с лиц всех людей, заходящих в помещение.

В АППСИМ считают, что некоторые аспекты работы этой системы неправомерны: в частности, когда доступ к ее управлению получает директор или его заместитель, то включение в базу людей идет неконтролируемым образом - там случайно могут появиться добросовестные покупатели. При этом снятие и использование биометрических данных, в том числе с несовершеннолетних посетителей, происходит без согласия граждан на их обработку. Хранится эта информация на серверных мощностях коммерческих компания с "нерегулируемым кругом лиц".

Согласно закону "О персональных данных", обработка биометрических персональных данных осуществляется только при письменном согласии человека. Исключением может быть, например, реализация международных договоров РФ о реадмиссии в связи с осуществлением правосудия и исполнением судебных актов.

Также в составе "СтопШопЛифтера" есть модуль автоматической аналитики, идентифицирующий людей за счет распознавания лиц "забывчивых покупателей" и поиска данных человека по соцсетям.

"Учитывая, что сетевые ретейлеры всячески стимулируют своих покупателей заводить карту лояльности магазина, для получения которой обычно нужно указать номер мобильного телефона, а также ФИО и дату рождения, то получается, что система позволяет установить личность конкретного субъекта персональных данных", - сказали в Ассоциации.

Торговые сети "Пятёрочка" и "Перекрёсток" не используют данную систему, сообщили "РГ" в пресс-службе X5 Group.

В компании БИТ, являющейся разработчиком "СтопШопЛифтера", на момент выхода материала не отреагировали на запрос "РГ" по поводу работы системы.

В Роскомнадзоре заявили, что уже изучили письмо АППСИМ и не нашли в работе "СтопШопЛифтера" фактов нарушения требований закона "О персональных данных" в части, которая касается возможной обработки биометрических данных посетителей магазинов.

"Дополнительно ведомство направило это обращение в Минцифры России для рассмотрения на предмет возможного несоблюдения положений закона об осуществлении идентификации и аутентификации физических лиц с использованием биометрических персональных данных (№572-ФЗ)", - добавили в ведомстве.

По словам менеджера продуктов Innostage Евгения Суркова, подобные системы, с одной стороны, разгружают полицию от неприоритетной работы с мелкими правонарушителями, обеспечивая урегулирование конфликта без участия правоохранителей, а с другой, возможно злонамеренное использование данных не по назначению, к примеру, охранниками магазина.

"Формально на этапе генерации уведомлений выполняется не установление личности, а скорее индикация повторного входа пока еще не идентифицированного в полной мере субъекта. Если информация из системы будет вовремя удаляться - например, после урегулирования конфликта, - а также не будет сохраняться информация законопослушных граждан, такое использование данных будет максимально близко к полностью законному", - считает эксперт.

Управляющий партнер юридической фирмы Bishenov&Partners Максим Захаров назвал применение "СтопШопЛифтера" правомерным и обоснованным в контексте деятельности компаний, которые осуществляют видеонаблюдение - это нужно для обеспечения безопасности. Однако расширение доступа к системе до рядовых консультанты "кажется нецелесообразным, но может быть рассмотрено".

"С точки зрения действующего законодательства РФ, использование "СтопШопЛифтера" не нарушает Федеральный закон №152-ФЗ "О персональных данных", поскольку объекты, в которых осуществляется видеонаблюдение, являются общественными местами, а полученные в результате обработки данные никак не персонализированы", - добавил собеседник.

Говоря о потенциальном вреде системы для покупателей, Захаров отметил, что она разработана таким образом, что возможности нанесения ущерба им нет.