Приложение Burger King: насмешка над защитой персональных данных. Исправляем?

в 19:26, , рубрики: Burger King, gdpr, Аналитика мобильных приложений, безопасность, Блог компании РосКомСвобода, Законодательство в IT, запись экрана, информационная безопасность, метрика, персональные данные, разработка мобильных приложений, слежка

image

После того, как Хабр буквально за сутки разорвала серия статей про вкусную еду слежку за пользователями от Burger King (раз, два, три), разработчик приложения e-Legion опубликовал на Хабре ответный пост.

Да, ажиотаж эта тема вызвала серьезный, на текущий момент суммарно эти статьи просмотрели больше 230 тысяч раз и оставлено больше 1000 комментариев.

В своей статье разработчик пытается опровергнуть доводы молодого человека, рассказавшего о том, как приложение Burger King не очевидным образом мониторит поведение пользователей, и утверждает, что обработка персональных данных соответствует даже GDPR, который строже отечественного закона №152-ФЗ «О персональных данных».

РосКомСвобода покажет, почему приложение Burger King не соответствует закону №152-ФЗ и подарит ООО «Бургер Рус» час бесплатной консультации юриста по персональным данным.

Итак, поехали!

При скачивании, установке и первом запуске приложения перед использованием, ООО «Бургер Рус» (официальное юрлицо) не дает возможности ознакомится с Политикой обработки персональных данных, сведениями о реализуемых требованиях к защите персональных данных, как того требует ст. 18.1 152-ФЗ. Идет запрос мобильного телефона, предлагается ознакомится с пользовательским соглашением. Номер мобильного телефона в данном случае относится к прямо к определенному физическому лицу и является персональными данными.

image

В попытках отыскать Политику обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных переходим на сайт burgerking.ru
Ссылки на политику при беглом осмотре не найдено.

Переходим на страницу обратной связи.

image

Предлагается оставить целый букет персональных данных, при этом Политику их обработки и сведений о реализуемых требованиях к их защите также при беглом осмотре найти не удалось.
Одновременно выясняем, что через страницу обратной связи персональные данные обрабатываются на основании согласия, которое дается в неявной форме путем заполнения полей и нажатия на кнопку отправить. Других согласий на обработку персональных данных по обратной связи нам найти не удалось.

Обработка персональных данных на основании согласия подразумевает уведомление Роскомнадзора в соответствии со ст. 22 152-ФЗ. Ищем ООО «Бургер Рус» в реестре операторов персональных данных, ОГРН берем из соглашения пользователя. Найти также не удалось:

image

image

В процессе дальнейшей установки приложения также запрашивалось разрешение на управление вызовами, документальное отражение данной привилегии найти на сайте компании найти не удалось. Не ясно зачем и в каком объеме, нет транспарентности.

image

Из приложения также не найдена ссылка на сведения о Политике обработки персональных данных с соответствующими сведениями об их защите.

image

Посмотрим на Пользовательское соглашение.

п.2.7. обязывает покинуть приложение, если с чем-то не согласны. Это может говорить о том, что Burger King на компромиссы не готов. Запомним.

image

Вместо адреса электронной почты указана страница с контактами, что не соответствует сути условия. Соглашением адрес электронной почты не установлен, на странице контактов адрес электронной почты также отсутствует. Соглашение таким образом не устанавливает возможности электронного взаимодействия с пользователем, т.к. форма обратной связи договорной не является.

image

В пункте 3.3. похоже что компания лукавит. Пусть банковские карты не обрабатываются непосредственно ей, зато явно идет сбор идентификаторов по оплате, времени оплаты (и других данных по заказу), которые прямо или косвенно относятся к определяемому или определенному лицу. Хотелось бы посмотреть, нашло ли это отражение в политике.

image

п.4.10 вообще отличный. Если пользователь удалит приложение, расторгнув договор, его персональные данные продолжат обрабатываться в полном объеме, пока не будет направлено письменное уведомление. Не забываем про п.2.7.
Явное нарушение принципов обработки по ст.5 152-ФЗ и оснований обработки по ст.6 152-ФЗ

image

По п.5.1. вам безальтернативно предложено получать рекламу в неограниченном объеме, даже если вы расторгните договор по п.4.10

image

По п.5.4. с вами расторгнут соглашение в любой момент, заблокируют приложение. Скорее всего персональные данные в нарушение 152-ФЗ никто не уничтожит, рекламу получать продолжите.

В п.5.6. Соглашения, согласие на передачу персональных данных дано с нарушением п.3 ст.6 152-ФЗ, в частности не указаны третьи лица, которым передаются персональные данные.

image

Напоследок можно сказать, что по п.7.3. Компания не отвечает за утерю любых данных Пользователя. Одно это вопиющее нарушение положений 152-ФЗ, например, принципа конфиденциальности (ст. 7, ст. 19)

image

Как сообщил РосКомСвободе Денис Лукаш, исполнительный директор Центра цифровых прав:

GDPR накладывает более строгие требования к обработке персональных данных. Если нарушены основные принципы обработки персональных данных по 152-ФЗ, о возможных нарушениях по GDPR (если он применяется) можно даже и не говорить. Когда нарушения в компании видны только лишь при визуальном осмотре сайта, скорее всего нет (или присутствует формально) должной организационно — распорядительной документации, это прямое следствие. Внешние документы (это те с которыми может или должен ознакомится любой) должны быть всегда идеальными, а разработка приложения не только по GDPR, но даже по 152-ФЗ должна начинаться с принципов “privacy by design”.

Юристы РосКомСвободы полагают, что у ООО «Бургер Рус» есть как минимум признаки нарушений, п.5, п.6, п.18.1, п.19 Федерального закона «О персональных данных» и мы готовы подарить час бесплатной консультации Центра цифровых прав, юридическая служба которого поможет обеспечить безопасность пользователей на должном уровне.

Е-Legion и Burger King, стучитесь в личку!

Автор: Temych

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js