ВКонтакте может получить многомиллионный штраф за грубые нарушения GDPR
Ты сядешь за лайкАдминистрация ВКонтакте заблокировала доступ к аккаунту беларусского активиста Кристиана Шинкевича после того, как он потребовал довыдать его собственные персональные данные в соответствии с новым европейским Общим регламентом по защите данных (General Data Protection Regulation, GDPR). На такой версии событий настаивает сам активист, обратившийся в редакцию канала «Ты сядешь за лайк». По его мнению, блокировка доступа произошла из-за того, что ВК выдал ему не всю информацию по первому запросу и не желал реагировать на второй. На жалобы Шинкевича, отправленные электронной почтой, администрация социальной сети не отреагировала. Активист уже обратился с жалобой в польское Управление охраны персональных данных (Urząd Ochrony Danych Osobowych, UODO). По мнению экспертов, опрошенных нашим каналом, действия ВК содержат грубые нарушения GDPR. Компанию может ожидать штраф до €20 млн, либо 4% от годового оборота.
C чего все началось
Кристиан Шинкевич — студент Ягеллонского университета в Кракове, изучает экстренную медицину на факультете наук о здоровье. У себя на родине Кристиан учился в Педагогическом университете (БГПУ им. М. Танка), из которого он был отчислен после многократных угроз руководства вуза в связи с его политической позицией. Кристиан неоднократно критиковал министра образования Беларуси, правительство страны, участвовал в протестах против строительства на месте массового захоронения жертв сталинских репрессий в Куропатах. 25 марта 2017 года, во время ежегодной акции День воли (Дзень Волi) Кристиан был арестован и отпущен, а уже на следующий день — арестован заново и задержан до суда на сутки. Выйдя из здания суда со штрафом в $300, активист узнал от руководства БГПУ, что он отчислен. Сейчас Кристиан обучается благодаря польской правительственной программе им. К. Калиновского, созданной специально для белорусских студентов, которые подвергаются политическим преследованиям.
Кристиан уверен, что администрация ВКонтакте сотрудничает с белорусскими правоохранителями, несмотря на отсутствие документальных подтверждений. Во всяком случае, об этом ему неоднократно говорили представители деканата БГПУ. Так, секретарь деканата еще в 2016 году заявила активисту, что у руководства вуза есть данные об аккаунтах всех студентов, включая тех, кто зарегистрирован под фейковыми именами. Кроме того, руководство высших учебных заведений и комсомол регулярно отслеживают открытую активность студентов в ВК, вплоть до лайков под неугодными постами. По словам Кристиана, подавляющее большинство случаев преследования белорусских студентов связано с их активностью в ВК.
25 мая этого года, в день вступления в силу GDPR, Кристиан на правах резидента Польской республики решил запросить у ВК свои собственные персональные данные.
Как ВК отдает данные по GDPR и как должен на самом деле
Mail.Ru Group и конкретно ВКонтакте действительно готовились к вступлению GDPR в силу, утверждает близкий к холдингу источник. По имеющейся у нас информации, техническая реализация сбора данных для их передачи юзерам заработала в конце мая, за несколько дней до вступления закона в силу. Еще один источник утверждает, что вплоть до 25 мая поддержка социальной сети отказывала пользователям, желающим получить логи, сейчас желающие могут их запросить. (Отметим при этом, что для российских правоохранителей никаких «технических трудностей» с передачей любых запрашиваемых данных не возникало ни до 25 мая, ни после.)
Тем удивительнее, что набор персональных данных, выданных Кристиану, банально не совпадает с требованиями GDPR. Вот что заявитель получил от ВК:
— историю изменения имени и фамилии на его странице;
— группы с правами администратора (включая историю и изменение прав);
— файлы, загруженные в ВК, включая голосовые сообщения и удаленные файлы, с указанием url'a;
— адреса фотографий, включая «сохраненки» в закрытом альбоме и удаленные фотографии, которые, к слову, доступны по прямой ссылке (пример от самого Кристиана);
— все логи переписки, включая удаленные переписки;
— всю история привязки-отвязки номера от аккаунта;
— всю историю восстановления паролей к странице;
— все комментарии на стене ВК.
Проблема в том, что даже такой формально огромный набор данных не совпадает с тем, что требует GDPR, утверждает исполнительный директор Центра цифровых прав Денис Лукаш.
«К персональным данным по GDPR относится относится довольно широкий круг информации, шире, например, чем в Российском 152-ФЗ. В этом можно убедится, прочитав Art 4(1) GDPR и все еще актуальный 26-ти страничный Opinion WP29 4/2007. Последний издан при действовавшей тогда Директиве, однако сегодняшнее определение персональных данных еще более расширено, и включает определение из Директивы как частный случай. <...> К персональным данным относятся не только данные профиля, но и сообщения и лайки, так как они содержат идентификаторы, относящиеся к определенному лицу. Что Заявитель не учел, это то, что ВК даже должен предоставить доступ по Art 15 GDPR ко всем IP адресам стоящим за пользователем, даже если они были динамические. То, что динамические IP адреса являются персональными данными с позиции Европейских экспертов, можно убедиться, посмотрев Пример 15 в Opinion WP29 4/2007. Также стоит заметить, что ВК раскрывал персональные данные другим лицам (группы, друзья, владельцы игр, бизнес-страницы и т.п.), проводил маркетинговый анализ, а также, наверняка, ряд действий с персональными данными, о которых Заявитель мог не знать. Помимо метаданных, согласно para 1 Art 15 GDPR и para 3 Art 15, ВК следовало передать персональные данные заявителя, находящиеся в обработке. Как мы видим, уже этого анализа достаточно, что бы понять о расхождениях с законными требованиями по GDPR и их фактическом выполнении».
Список данных, выданных Кристиану, выглядит недостаточным не только с позиции закона. Дело как минимум в том, что ВК действительно хранит логи IP-адресов пользователей, включая, разумеется, и динамические (см. переписку ВК и башкирского «Центра Э»). А проведенная год назад декомпиляция приложения ВК для Android показала, что внедренный в него модуль мобильной аналитики myTracker собирает, буквально, все действия пользователей, часть из которых (напр., геоданные) однозначно относятся к персональным данные пользователя. И несмотря на то, что представители Mail.Ru Group заявляли, что «MyTracker отправляет данные на серверы Mail.ru Group для обработки и анализа, потом возвращает зашифрованные отчеты компании "В контакте"», положения GDPR требуют эту информацию отдавать.
Еще одной странностью, смутившей Кристиана, стал способ передачи его персональных данных. По его словам, его персональные данные были переданы с помощью запароленного zip-архива агентом поддержки ВК. Пароль от этого архива, в свою очередь, был передан...также агентом поддержки ВК. По мнению Дениса Лукаша, данные действия ВК являются нарушением не только GDPR, но и отечественного 152-ФЗ «О персональных данных»:
«По GDPR есть принцип минимализации и принятия организационных и технических мер защиты. Соответственно, опираясь на него, сотрудник ВК может найти ID пользователя и выгрузить информацию, она может быть зашифрована (zip с паролем). Здесь вроде все логично. Но эта мера защиты сводится к абсурду, если пароль дает тот же сотрудник. Это может свидетельствовать о том, что в ВК не обеспечена должная защита на организационном уровне защиты персональных данных ни по 152-ФЗ, ни по GDPR. Разграничение прав доступа и их учет — базовое правило защиты информации. Выходит, сотрудник ВК имеет доступ ко всем данным, копию которых обязан передать по запросу субъекта, в том числе ко всей переписке. Во всяком случае, обратных подтверждений нет. При этом сотрудник, по всей видимости, не имеет оправдания для наличия прав такого уровня доступа». Более разумным, по мнению Лукаша, способом защиты информации была бы, например передача персональных данных по одному каналу, а ключа к ней — по другому.
Кристиан, пришедший к аналогичным выводам, запросил у ВК всю информацию, которая показалась ему недостаточной, а также выразил недоумение из-за способа передачи его данных:
По словам активиста, агент поддержки ВК ответил, что для сбора этой информации потребуется дополнительное время.
VK strikes back
А потом Кристиан... лишился доступа к аккаунту.
Точнее, сама страница до сих пор существует. Вот только получить к ней доступ, используя старые телефон/e-mail и пароль, Кристиан не может. При этом, по его словам, ни почты, ни номера телефона, ни пароля он не менял, а номер телефона и e-mail у него те же, что ему прислал сам ВК.
Учитывая интерес к активисту со стороны белорусских правоохранителей и спецслужб, мы бы не исключали вероятность получения несанкционированного доступа к странице Кристиана. Проблема в том, что техподдержка ВК не реагирует на запросы Кристиана еще с конца июля. 9 августа он написал в саппорт ВК по электронной почте, и до сих пор не получил ответа. Активист полагает, что причиной такой реакции может быть не только нежелание отвечать на его запросы, но и тот самый пост в Facebook, на который мы ссылались выше.
В ответ на бездействие ВК Кристиан подал жалобу в польское Управление охраны персональных данных (Urząd Ochrony Danych Osobowych, UODO) с требованием привлечь ВК к ответственности, а также заблокировать его на территории Польши. Ниже мы приводим скриншот части заявления, оригинальный текст на польском и перевод доступны по ссылке:
Что может грозить ВК за нарушение GDPR, или еще одна порция юридических комментариев
Мы опросили нескольких экспертов, в чью компетенцию входит работа с персональными данными в рамках GDPR. Если суммировать их ответы на наши вопросы, картина получаются следующая.
- Действие Регламента GDPR однозначно распространяется на ВКонтакте. Несмотря на то, что территориальная сфера применения регламента GDPR ограничивается пределами ЕС (ст. 3 Регламента), его действие распространяется на субъектов за пределами ЕС. В частности, он распространяется на российских операторов персональных данных (телекоммуникационные компании, интернет- компании) как на компании, не учрежденные в Евросоюзе, но обрабатывающие персональные данные находящихся в Евросоюзе субъектов данных.
- Кроме того, ВК предоставляет свой сервис в Польше на польском языке. В этом можно убедиться как на скрине выше, так и зайдя в языковые настройки соцсети и найдя там польский язык. Это также является достаточным основанием полагать, что ВК подпадает под действие GDPR. Действия самой социальной сети, направленные на техническую реализацию передачи информации пользователям и приуроченные к моменту вступления GDPR в силу, позволяют утверждать, что ВКонтакте согласны с тем, что подпадают под действие Регламента.
- Если сотрудники ВК действительно изменили персональные данные на другое лицо, то они нарушили принципы обработки персональных данных, закрепленные в параграфе 1 ст. 5 Регламента. «Причем неясно, какой из принципов они нарушили в первую очередь: то ли принцип законности и прозрачности обработки, то ли принцип ограничения целями, то ли несколько сразу», — полагает Денис Лукаш.
- Что касается штрафов, то, по его мнению, «ВК может быть оштрафован сразу по двум событиям: нарушение основных принципов и нарушения прав субъекта. За что полагается штраф в размере до 20 миллионов евро (1,557 млрд рублей по текущему курсу. — прим.ред), или 4% от мирового оборота группы компаний за последний финансовый год.
В 2017 году выручка Mail.Ru Group, согласно аудированной финансовой отчетности компании, составила 51 млрд рублей, из них ВКонтакте заработала 13,8 млрд рублей.
И что мне делать со всей этой информацией?
- Если вы — ВК/Mail.Ru Group, то во-первых, [текстовый мем вырезан редакционной цензурой]. Во-вторых, хотелось бы получить от вас перечень всей информации, которая может быть доступна как гражданам и резидентам ЕС, так и гражданам России. Эти два перечня должен быть опубликованы публично, а еще лучше — перечислены в Terms of Service и доступны всем пользователям.
- Если вы — гражданин или резидент ЕС, то вы можете запросить у администрации ВК ваши персональные данные, а заодно проверить несколько вещей: а) соответствует ли перечень переданных вам персональных данных с требованиями GDPR; б) изменился ли технический способ передачи ваших данных с момента этой публикации. В случае существенного, на ваш взгляд, несоответствия действий ВК регламенту GDPR вы вправе обратиться с жалобой к национальному регулятору, либо обратиться за разъяснениями в Европейский совет по защите данных (European Data Protection Board, EPDB), а также приготовиться к обращению в Европейский суд справедливости (European Court of Justic, ECJ). Мы будем следить за кейсом Кристиана Шинкевича, а если вы хотите поделиться с нами вашим опытом, пишите нам в @zalaykbot.
- Если вы — гражданин России и хотите получить собственные персональные данные, то вы сможете сделать это в ближайшее время. Во всяком случае, пресс-служба соцсети заявила, что получение персональных данных скоро будет доступно всем пользователям. Мы будем внимательно следить за тем, чтобы перечень этих данных и процедура передачи соответствовали текущему законодательству.
- Если вы — гражданин Беларуси и у вас есть информация о взаимодействии ВКонтакте с местными правоохранителями и спецслужбами, напишите нам в @zalaykbot. Мы гарантируем конфиденциальность, а также гарантируем, что ни один документ не будет опубликован без вашего согласия.
Редакция канала «Ты сядешь за лайк» выражает благодарность всем источникам, предоставившим информацию и комментарии, лично Кристиану Шинкевичу, а также каждому, кто дочитал до этого места..