Беларуский активист Кристиан Шинкевич, который сейчас живет и учится в Польше, пользуясь новым европейским Общим регламентом по защите данных (GDPR), потребовал у соцсети Вконтакте выдать все его персональные данные. Ему прислали файл, но там была далеко не вся информация, которую требует закон, и Кристиан попросил у соцсети остальное. В итоге ему заблокировали доступ к аккаунту, а на письма по электронной почте администрация не отвечает. Теперь соцсети грозит штраф в 20 миллионов евро, пишет telegram-канал «Ты сядешь за лайк».

25 мая 2018 года, когда вступил в силу GDPR, Кристиан на правах резидента Польской республики решил запросить у ВК свои персональные данные. Набор данных, которые он получил, банально не совпадает с требованиями GDPR. Вот что заявитель получил от ВК:

• историю изменения имени и фамилии на его странице; 
• группы с правами администратора (включая историю и изменение прав); 
• файлы, загруженные в ВК, включая голосовые сообщения и удаленные файлы, с указанием url'a;
• адреса фотографий, включая «сохраненки» в закрытом альбоме и удаленные фотографии, которые, к слову, доступны по прямой ссылке (пример от самого Кристиана);
• все логи переписки, включая удаленные переписки;
• всю история привязки-отвязки номера от аккаунта;
• всю историю восстановления паролей к странице;
• все комментарии на стене ВК.

Список данных недостаточен не только с позиции закона. Дело как минимум в том, что ВК хранит логи IP-адресов пользователей, включая, разумеется, и динамические. А проведенная год назад декомпиляция приложения ВК для Android показала, что внедренный в него модуль мобильной аналитики myTracker собирает, буквально, все действия пользователей, часть из которых (напр., геоданные) однозначно относятся к персональным данные пользователя. И несмотря на то, что представители Mail.Ru Group заявляли, что «MyTracker отправляет данные на серверы Mail.ru Group для обработки и анализа, потом возвращает зашифрованные отчеты компании «Вконтакте», положения GDPR требуют эту информацию отдавать.

Еще одна странность в том, как Вконтакте передал эти данные. По словам Кристиана, агент поддержки ВК прислал ему запароленный zip-архив. Пароль от этого архива передал...тот же агент поддержки. По мнению исполнительного директора Центра цифровых прав Дениса Лукаша данные действия ВК нарушают не только GDPR, но и росийский 152-ФЗ «О персональных данных»: «Разграничение прав доступа и их учет — базовое правило защиты информации. Выходит, сотрудник ВК имеет доступ ко всем данным, копию которых обязан передать по запросу субъекта, в том числе ко всей переписке. Во всяком случае, обратных подтверждений нет. При этом сотрудник, по всей видимости, не имеет оправдания для наличия прав такого уровня доступа».

Кристиан запросил у ВК остальную информацию.

Агент поддержки ответил, что для сбора этой информации потребуется дополнительное время. А потом Кристиан лишился доступа к аккаунту. Он утверждает, что ни почты, ни номера телефона, ни пароля не менял, а номер телефона и e-mail у него те же, что ему прислал сам ВК. Техподдержка соцсети не реагирует на запросы беларуса еще с конца июля. 9 августа он написал в поддержку по электронной почте, но до сих пор не получил ответа.

В ответ на бездействие ВК Кристиан подал жалобу в польское Управление охраны персональных данных (Urząd Ochrony Danych Osobowych, UODO) с требованием привлечь соцсеть к ответственности, а также заблокировать ее на территории Польши. 

Выводы и что теперь грозит Вконтакте

По словам экспертов, Вконтакте может получить штраф в 20 миллионов евро – а это 4% мирового оборота группы компаний.

1. Действие GDPR однозначно распространяется на ВКонтакте. Несмотря на то, что его территориальная сфера применения ограничивается ЕС, его действие распространяется на субъектов за пределами ЕС. В частности, он распространяется на российских операторов персональных данных как на компании, которые обрабатывают персональные данные жителей Евросоюза.
2. Кроме того, ВК предоставляет свой сервис в Польше на польском языке. В этом можно убедиться, зайдя в языковые настройки соцсети и найдя там польский язык. Действия самой социальной сети для подготовки к действию GDPR позволяют утверждать, что ВКонтакте согласны с тем, что подпадают под действие закона.
3. Если сотрудники ВК действительно изменили персональные данные на другое лицо, то они нарушили принципы обработки персональных данных, закрепленные в параграфе 1 статьи 5 регламента GDPR. «Причем неясно, какой из принципов они нарушили в первую очередь: то ли принцип законности и прозрачности обработки, то ли принцип ограничения целями, то ли несколько сразу», – говорит Денис Лукаш.
4. Что касается штрафов, то, по его мнению, «ВК может быть оштрафован сразу по двум событиям: нарушение основных принципов и нарушения прав субъекта. За что полагается штраф в размере до 20 миллионов евро – это 4% от мирового оборота группы компаний за последний финансовый год.