Польский студент пожаловался на ВКонтакте в местный Роскомнадзор

Студент одного из польских вузов (страна входит в ЕС) белорус Кристиан Шинкевич пожаловался на ВКонтакте в польское Управление охраны персональных данных (Urząd Ochrony Danych Osobowych, UODO), передал ^[1] SecurityLab. Шинкевич утверждает, что ВК нарушила европейский Общий регламент по защите данных (General Data Protection Regulation, GDPR).

Шинкевич возмущён, каким образом, в ответ на запрос, ВК выдала ему его персональные данные. Агент поддержки прислал запароленный zip-архив, пароль к архиву также предоставил агент, то есть данные, потенциально, «прозрачны» для службы поддержки ВК. Кроме того, в архиве обнаружились ^[2] (перечень на русском ^[3]) якобы удалённые, как считал Шинкевич, сообщения и другие данные — от момента заведения ВК-профиля до настоящего времени. По утверждению студента ВК хранит удалённые сообщения даже дольше, чем этого может требовать российский «Закон Яровой», предположительно — вечно.

Исполнительный директор Центра цифровых прав Денис Лукаш объяснил:

По GDPR есть принцип минимализации и принятия организационных и технических мер защиты. Соответственно, опираясь на него, сотрудник ВК может найти ID пользователя и выгрузить информацию, она может быть зашифрована (zip с паролем). Здесь вроде все логично. Но эта мера защиты сводится к абсурду, если пароль дает тот же сотрудник. Это может свидетельствовать о том, что в ВК не обеспечена должная защита на организационном уровне защиты персональных данных ни по 152-ФЗ, ни по GDPR. Разграничение прав доступа и их учет — базовое правило защиты информации. ВК может быть оштрафован сразу по двум событиям: нарушение основных принципов и нарушения прав субъекта. За что полагается штраф в размере до €20 млн, или 4% от мирового оборота группы компаний за последний финансовый год.

GDPR правила начали действовать в мае 2018 года, они экстерриториальны и применяются к компаниям, обрабатывающим персональные данные резидентов и граждан ЕС.