Як один маленький активіст GDPR-комплаєнс цілого Вконтакту пробив

Один білорус, резидент Польщі на прізвище Шинкевич, зробив те, що не змогла зробити 100-мільйонна аудиторія ВК. Що? Скористатися положеннями GDPR. Одного випадку було достатньо, щоб політика приватності ВК дала тріщину. Виходить, будь-хто може просто одним запитом пробити діру в юридичному захисті будь-якого ресурсу?

Ми вирішили розібратися, де саме налажав ВК.

(Тут є проблемка: ВК під санкціями, а домен заблокований на території України. В науково-практичних дослідженнях нам допоміг Tor — помічник у читанні публічних документів Вконтакте в Україні).

Скільки персональних даних збирає і обробляє Фейсбук, ми вже знаємо із перших вуст. Що саме і з якою метою збирає ВК, ми лише здогадувалися. Але очевидно, що не мало, бо в іншому випадку соцмережа не змогла б завести дружбу зі спецслужбами (але це не точно). Ще більше про обсяги такої інформації стало відомо після відповіді ВК на запит згаданого пана про доступ до даних на підставі пункту 8.1(a) політики приватності. ВК відповів не впевнено, тому компетентний орган Польщі (Urządu Ochrony Danych Osobowych) завів справу.

А що ВК? ВК не надав усі персональні дані, які він обробляє. Вконтакте цього не заперечив, але знайшов 3 аргументи для свого виправдання.

1. “Ми надали лише в межах запиту та в обсязі, необхідному за GDPR” (тут і далі жиром — постфактум коментарі PR-директора ВК, бо інших відомостей не маємо).

Регламент не містить положення, яке б надало контролеру певний розсуд, що надати, а що — ні. Саме тому, за загальним правилом, контролер повинен надати усі категорії даних, які він обробляє. Цього і стосувався запит активіста. Коментар активіста про те, що це не всі дані, агент Вконтакте ще й вирішив протлумачити як новий уточнювальний запит. На який йому знадобиться, відповідно, новий строк для відповіді.

2. “GDPR чітко не визначає перелік персональних даних”

Справді, переліку Регламент не визначає. Але цього і не потрібно. Цілком достатньо широкого визначення персональних даних, позицій Робочої групи 29 та рішень Суду Європейського Союзу.

Із цих документів зрозуміло, що динамічний IP та геолокаційні дані, які обробляються ВК і які не були згадані у відповіді, належать до персональних даних. Це можна сказати і про “лайки”, які дозволяють унікально ідентифікувати користувача і які обробляються ВК. Не просто ж так виник рух «Ти сядеш за лайк» (про їхню діяльність тут).

3. “Більше надати не дозволили технічні можливості”

Запит вимагає: назвіть категорії даних, які ви обробляєте. У відповіді достатньо було вказати ті ж IP-адреси, лайки. Тому в цьому ключі аргумент із технічними можливостями не цілком доречний.

Якщо мова про передачу усієї інформації про IP-адреси, геолокацію тощо, то так виглядає, що соцмережі був потрібний додатковий пошук інформації. Авжеж, поодинокий випадок звичного для організацій з ЄС запиту після річної підготовки ВК до GDPR-комплаєнсу — це вимагає чимало часу, щоб відповісти.

Усе ж. У випадках відстрочення відповіді GDPR вимагає про це повідомити одразу — у межах першого місяця, наданого на первинну відповідь із поясненням, чим зумовлене відстрочення. Попри те, що первинний запит подано 25 травня, ВК надав такі пояснення лише у нещодавніх коментарях.

Можливо, ВК передав перелік даних «незахищеним каналом»

GDPR вимагає вжиття організаційних та технічних заходів для захисту персональних даних. Доступ до даних з боку працівників організації повинен бути мінімальний.

Агент ВК переслав активісту запаролений zip-архів. Згодом цей же агент скинув і сам пароль. У Центрі цифрових прав уже сказали, що такий спосіб передачі даних є абсурдним, адже будь-який агент ВК може спокійно завантажити весь широкий обсяг даних, які обробляються соцмережею, хоча такого рівня доступу не має.

У ВК натомість стверджують, що лінк на архів може відкрити лише особа, яка подала запит. Агент, мовляв, такої можливості не має.

ВК заблокував акаунт користувача

Через підозру, що сторінка була продана/вкрадена, ВК обмежив користувачу доступ до акаунта, включно з можливістю відновити пароль. Хронологічно це сталося після подачі запиту та комунікації зі службою підтримки. ВК вирішив окремо не повідомляти про це, бо по ту сторону міг бути “злоумишлєннік”. Незвична практика. Адже майже будь-який інший ресурс, коли має підозри щодо вашої діяльності на самому ресурсі, зазвичай скидає сповіщення чи то на електронку, чи то на телефон. Презюмується, що ці контакті дані не є скомпрометованими. Але не у випадку з ВК.

До того ж, якщо є підозра, що сторінка вкрадена і що хтось отримав доступ до даних користувача, мова може іти про data breach (витік даних). За GDPR про такий витік контролер зобов’язаний був повідомити активіста протягом 24 годин. Незважаючи на 1-рік підгтовки до GDPR, у ВК про ці частини Регламенту забули.

Якщо ж є зв’язок між активізмом та обмеженням доступу, то постають набагато серйозніші питання, які стосуються обмеження реалізації прав, передбачених Регламентом, а також свободи слова . І це вже не лише про GDPR.

Крім проблем із відповіддю на сам запит, активіст добрався до інших серйозних проблем ВК. Нижче лише деякі:

1. Строк обробки даних. Якщо вказати про це в запиті, то контролер повинен надати інформацію, якщо це можливо, про тривалість зберігання даних. Активіст цього не просив, але відповідь на це питання буде також цікава. Адже, як вже зауважили тут, пункт 7.2.5. Правил користування ВК дозволяє зберігати копії персональних даних без обмежень строку. Пункт 7.1. політики приватності ВК також не містить обмежень щодо строку обробки.

2. Контроль за власними даними. Коли ми чистимо інформацію з профілю, ми маємо розумні очікування, що ця інформація більше не оброблятиметься, хоча легітимні інтереси ВК говорять про інше. Адже ВК зберігає видалені файли, публікації та коментарі також без обмеження строку. Наступним кроком для активіста може бути вимога припинити обробку таких даних. Цікаво, як реалізують її.

3. Мінімізація обсягу оброблюваних даних. Контролер повинен обробляти дані лише в обсязі, необхідному для досягнення певної мети. Для ВК буде викликом обґрунтувати обробку 12 категорій різних категорій даних, що згадані в 3 розділі політики приватності.

Так багато розмов, а штраф?

Останнім часом кажуть, що до штрафів ще далеко. Компетентні органи збираються взаємодіями з організаціями і допомагати їм у комплаєнсі. Втім, якщо говорити про штраф для ВК, то доцільно глянути на ступінь порушення GDPR у цьому випадку, як цього вимагає стаття 83 GDPR.

– з одного боку, соцмережа вжила велику кількість заходів для комплаєнсу з GDPR.

– з іншого боку, деякі нюанси цієї справи підвищують ступінь порушення GDPR і, відповідно, імовірність накладення штрафу. Зокрема це стосується того, що ВК посягнув на статтю 5 GDPR — базові принципи обробки персональних даних. Це і про прозорість обробки (не вся інформація), data minimization (забагато даних), обмеження строку зберігання (необмежений), цілісність та конфіденційність (ненадійний канал передачі).

Із цим усім тепер розбиратися полякам. А, соцмережі, можливо, варто поставити тимчасовий хрест на намірах надати доступ до даних усім користувачам соцмережі, про що нещодавно анонсувалося.

Але ми так подумали: навіть якщо і буде штраф, то що з того? Конституційний Суд РФ завжди може визнати його накладення неконституційним.

Originally published at axon.partners.