Aplicación Burger King: burla tu privacidad. ¿Estamos corrigiendo?

Después de que Habr literalmente rompió en un día una serie de artículos sobre usuarios de rastreo de alimentos deliciosos de Burger King ( uno , dos , tres ), el desarrollador de la aplicación e-Legion publicó una publicación de respuesta en Habr.

Sí, este tema causó una gran emoción, por el momento, en total, estos artículos se han visto más de 230 mil veces y se han dejado más de 1000 comentarios.

En su artículo, el desarrollador intenta refutar los argumentos de un joven que habló sobre cómo la aplicación Burger King obviamente no monitorea el comportamiento del usuario, y afirma que el procesamiento de datos personales incluso cumple con el RGPD , que es más estricto que la ley nacional No. 152-FZ "Sobre datos personales".

RosKomSvoboda mostrará por qué la aplicación Burger King no cumple con la Ley N ° 152-FZ y le dará a Burger Rus LLC una hora de asesoramiento legal gratuito sobre datos personales.

¡Entonces vamos!

Al descargar, instalar e iniciar la aplicación por primera vez antes de su uso, LLC Burger Rus (la entidad legal oficial) no brinda la oportunidad de familiarizarse con la Política de procesamiento de datos personales, información sobre los requisitos implementados para la protección de datos personales, como lo requiere el art. 18.1 152-FZ. Hay una solicitud de un teléfono móvil, se propone leer el acuerdo de usuario. El número de teléfono móvil en este caso se refiere directamente a un individuo específico y son datos personales.


En un intento por encontrar la Política de procesamiento de datos personales e información sobre los requisitos implementados para la protección de datos personales, vamos al sitio web burgerking.ru
No se encontraron enlaces a la política durante una inspección superficial.

Ve a la página de comentarios.


Se propone dejar una gran cantidad de datos personales, mientras que la Política para su procesamiento e información sobre los requisitos implementados para su protección tampoco se encontró durante una inspección rápida.
Al mismo tiempo, descubrimos que a través de la página de comentarios, los datos personales se procesan sobre la base del consentimiento, que se da de forma implícita al completar los campos y hacer clic en el botón Enviar. No pudimos encontrar otros consentimientos para el procesamiento de datos personales por retroalimentación.

El procesamiento de datos personales sobre la base del consentimiento implica la notificación a Roskomnadzor de conformidad con el art. 22 152-FZ. Estamos buscando Burger Rus LLC en el registro de operadores de datos personales, tomamos el PSRN del acuerdo del usuario. Encontrar también falló:




En el proceso de instalación adicional de la aplicación, también se solicitó permiso para gestionar llamadas; no se encontró ningún reflejo documental de este privilegio en el sitio web de la compañía. No está claro por qué y en qué medida, no hay transparencia.


La aplicación tampoco encontró un enlace a información sobre la Política de procesamiento de datos personales con la información relevante sobre su protección.


Veamos el Acuerdo de usuario.

cláusula 2.7. le obliga a abandonar la aplicación si no está de acuerdo con algo. Esto puede indicar que Burger King no está listo para el compromiso. Recuerda


En lugar de una dirección de correo electrónico, se indica una página con contactos, que no corresponde a la esencia de la condición. Por acuerdo, la dirección de correo electrónico no está configurada y la dirección de correo electrónico también falta en la página de contacto. Por lo tanto, el acuerdo no establece la posibilidad de interacción electrónica con el usuario, ya que El formulario de comentarios no es contractual.


En la cláusula 3.3. La compañía parece ser falsa. Deje que las tarjetas bancarias no se procesen directamente a ella, pero claramente hay una colección de identificadores para el pago, el tiempo de pago (y otros datos en el pedido), que directa o indirectamente se relacionan con la persona designada o específica. Me gustaría ver si esto se refleja en la política.


La sección 4.10 es generalmente excelente. Si el usuario elimina la aplicación al rescindir el contrato, sus datos personales se seguirán procesando en su totalidad hasta que se envíe un aviso por escrito. No te olvides de la cláusula 2.7.

Una clara violación de los principios de procesamiento de acuerdo con el Art. 5 152-FZ y los motivos de procesamiento de acuerdo con el Art.


De acuerdo con la cláusula 5.1. no se le ofrece la alternativa de recibir publicidad en una cantidad ilimitada, incluso si rescinde el contrato de acuerdo con el párrafo 4.10


De acuerdo con la cláusula 5.4. Terminará el acuerdo en cualquier momento, bloquee la aplicación. Lo más probable es que nadie destruya datos personales en violación de 152-; continúe recibiendo publicidad.

En la cláusula 5.6. Los acuerdos, el consentimiento para la transferencia de datos personales se da en violación de la cláusula 3 del artículo 6 de 152-FZ, en particular, los terceros a los que se transfieren datos personales no están indicados.


Finalmente, podemos decir que de acuerdo con la cláusula 7.3. La Compañía no es responsable por la pérdida de ningún dato del Usuario. Esto por sí solo es una violación flagrante de las disposiciones de 152-FZ (Artículo 7, Artículo 19)


Según RosKomSvoboda Denis Lukash, Director Ejecutivo del Centro de Derechos Digitales :

El RGPD impone requisitos más estrictos sobre el procesamiento de datos personales. Si se violan los principios básicos de procesamiento de datos personales de acuerdo con 152-, ni siquiera podemos hablar sobre posibles violaciones del GDPR (si corresponde). Cuando las violaciones en la empresa son visibles solo mediante una inspección visual del sitio, lo más probable es que no haya (o esté presente formalmente) la documentación organizativa y administrativa adecuada, esto es una consecuencia directa. Los documentos externos (aquellos con los que cualquiera puede o debería estar familiarizado) siempre deben ser ideales, y el desarrollo de aplicaciones no solo de acuerdo con GDPR, sino incluso de acuerdo con 152- debe comenzar con los principios de "privacidad por diseño".

Los abogados de RosKomSvobody creen que Burger Rus LLC tiene al menos signos de violaciones en virtud de las cláusulas 5, 6, 18.1, 19 de la Ley Federal "sobre datos personales" y estamos listos para brindar una hora de consulta gratuita al Centro de Derechos Digitales, cuyo servicio legal ayudará a garantizar la seguridad de los usuarios en el nivel adecuado.

E-Legion y Burger King, ¡llama al primer ministro!