Белорусский активист Кристиан Шинкевич, который сейчас живет и учится в Польше, пользуясь новым европейским Общим регламентом по защите данных (GDPR), потребовал у соцсети «ВКонтакте» выдать все его персональные данные. Ему прислали файл, но там была далеко не вся информация, которую требует закон, и Кристиан попросил у соцсети остальное. В итоге ему заблокировали доступ к аккаунту, а на письма по электронной почте администрация не отвечает. Теперь соцсети грозит штраф в 20 млн евро, пишет telegram-канал «Ты сядешь за лайк».

25 мая 2018 года, когда вступил в силу GDPR, Кристиан на правах резидента Польской республики решил запросить у «ВКонтакте» свои персональные данные. Набор данных, которые он получил, банально не совпадает с требованиями GDPR. Вот что заявитель получил от «ВКонтакте»:

Реклама
  • историю изменения имени и фамилии на его странице;
  • группы с правами администратора (включая историю и изменение прав);
  • файлы, загруженные во «ВКонтакте», включая голосовые сообщения и удаленные файлы, с указанием url’a;
  • адреса фотографий, включая «сохраненки» в закрытом альбоме и удаленные фотографии, которые, к слову, доступны по прямой ссылке (пример от самого Кристиана);
  • все логи переписки, включая удаленные переписки;
  • всю история привязки-отвязки номера от аккаунта;
  • всю историю восстановления паролей к странице;
  • все комментарии на стене «ВКонтакте».

Список данных недостаточен не только с позиции закона. Дело как минимум в том, что «ВКонтакте» хранит логи IP-адресов пользователей, включая, разумеется, и динамические. А проведенная год назад декомпиляция приложения «ВКонтакте» для Android показала, что внедренный в него модуль мобильной аналитики myTracker собирает, буквально, все действия пользователей, часть из которых (напр., геоданные) однозначно относятся к персональным данные пользователя. И несмотря на то, что представители Mail.Ru Group заявляли, что «MyTracker отправляет данные на серверы Mail.ru Group для обработки и анализа, потом возвращает зашифрованные отчеты компании «ВКонтакте», положения GDPR требуют эту информацию отдавать.

Еще одной странность в том, как «ВКонтакте» передал эти данные. По словам Кристиана, агент поддержки «ВКонтакте» прислал ему запароленный zip-архив. Пароль от этого архива передал… тот же агент поддержки. По мнению исполнительного директора Центра цифровых прав Дениса Лукаша данные действия «ВКонтакте» нарушают не только GDPR, но и российский 152-ФЗ «О персональных данных»: «Разграничение прав доступа и их учет — базовое правило защиты информации. Выходит, сотрудник „ВКонтакте“ имеет доступ ко всем данным, копию которых обязан передать по запросу субъекта, в том числе ко всей переписке. Во всяком случае, обратных подтверждений нет. При этом сотрудник, по всей видимости, не имеет оправдания для наличия прав такого уровня доступа».

Кристиан запросил у «ВКонтакте» остальную информацию.

«ВКонтакте» могут оштрафовать на €20 млн из-за нарушения GDPR в отношении белоруса, Слуцк
Скриншот: Кристиан Шинкевич
Агент поддержки ответил, что для сбора этой информации потребуется дополнительное время. А потом Кристиан лишился доступа к аккаунту. Он утверждает, что ни почты, ни номера телефона, ни пароля не менял, а номер телефона и e-mail у него те же, что ему прислал сам «ВКонтакте». Техподдержка соцсети не реагирует на запросы белоруса еще с конца июля. 9 августа он написал в поддержку по электронной почте, но до сих пор не получил ответа.

В ответ на бездействие «ВКонтакте» Кристиан подал жалобу в польское Управление охраны персональных данных (Urząd Ochrony Danych Osobowych, UODO) с требованием привлечь соцсеть к ответственности, а также заблокировать ее на территории Польши.

Выводы и что теперь грозит «ВКонтакте»

По словам экспертов, «ВКонтакте» может получить штраф в 20 млн евро — а это 4% мирового оборота группы компаний.

  1. Действие GDPR однозначно распространяется на «ВКонтакте». Несмотря на то, что его территориальная сфера применения ограничивается ЕС, его действие распространяется на субъектов за пределами ЕС. В частности, он распространяется на российских операторов персональных данных как на компании, которые обрабатывают персональные данные жителей Евросоюза.
  2. Кроме того, «ВКонтакте» предоставляет свой сервис в Польше на польском языке. В этом можно убедиться, зайдя в языковые настройки соцсети и найдя там польский язык. Действия самой социальной сети для подготовки к действию GDPR позволяют утверждать, что «ВКонтакте» согласны с тем, что подпадают под действие закона.
  3. Если сотрудники «ВКонтакте» действительно изменили персональные данные на другое лицо, то они нарушили принципы обработки персональных данных, закрепленные в параграфе 1 статьи 5 регламента GDPR. «Причем неясно, какой из принципов они нарушили в первую очередь: то ли принцип законности и прозрачности обработки, то ли принцип ограничения целями, то ли несколько сразу», — говорит Денис Лукаш.
  4. Что касается штрафов, то, по его мнению, «ВКонтакте» может быть оштрафован сразу по двум событиям: нарушение основных принципов и нарушения прав субъекта. За что полагается штраф в размере до 20 миллионов евро — это 4% от мирового оборота группы компаний за последний финансовый год.
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии