AprÚs que Habr ait littéralement interrompu en une journée une série d'articles sur les
délicieux utilisateurs de
produits alimentaires de Burger King (
un ,
deux ,
trois ), le développeur de l'application e-Legion a publié un
message de réponse sur Habr.
Oui, ce sujet a suscité beaucoup d'enthousiasme, à l'heure actuelle, au total, ces articles ont été consultés plus de 230 000 fois et plus de 1000 commentaires ont été laissés.
Dans son article, le développeur essaie de réfuter les arguments d'un jeune homme qui a expliqué que l'application Burger King ne surveillait évidemment pas le comportement des utilisateurs, et affirme que le traitement des données personnelles
est mĂȘme
conforme au RGPD , qui est plus strict que la loi nationale n ° 152-FZ «sur les données personnelles».
RosKomSvoboda montrera pourquoi l'application Burger King n'est pas conforme à la loi n ° 152-FZ et donnera à Burger Rus LLC une heure de conseils juridiques gratuits sur les données personnelles.Alors allons-y!
Lors du tĂ©lĂ©chargement, de l'installation et du premier lancement de l'application avant utilisation, LLC Burger Rus (l'entitĂ© juridique officielle) ne donne pas la possibilitĂ© de se familiariser avec la politique de traitement des donnĂ©es personnelles, les informations sur les exigences mises en Ćuvre pour la protection des donnĂ©es personnelles, comme requis par l'art. 18,1 152-FZ. Il y a une demande pour un tĂ©lĂ©phone portable, il est proposĂ© de lire l'accord d'utilisation. Le numĂ©ro de tĂ©lĂ©phone mobile dans ce cas se rĂ©fĂšre directement Ă un individu spĂ©cifique et correspond Ă des donnĂ©es personnelles.
Dans le but de trouver la politique de traitement des donnĂ©es personnelles et des informations sur les exigences mises en Ćuvre pour la protection des donnĂ©es personnelles, nous allons sur le site
burgerking.ruAucun lien vers la stratégie lors d'une inspection rapide n'a été trouvé.
Accédez à la page de commentaires.
Il est proposĂ© de laisser tout un tas de donnĂ©es personnelles, tandis que la politique de leur traitement et les informations sur les exigences mises en Ćuvre pour leur protection n'ont pas non plus Ă©tĂ© trouvĂ©es lors d'une inspection rapide.
Dans le mĂȘme temps, nous dĂ©couvrons qu'Ă travers la page de commentaires, les donnĂ©es personnelles sont traitĂ©es sur la base du consentement, qui est donnĂ© sous forme implicite en remplissant les champs et en cliquant sur le bouton envoyer. Nous n'avons pas pu trouver d'autres consentements au traitement des donnĂ©es personnelles par rĂ©troaction.
Le traitement des données personnelles sur la base du consentement implique la notification à Roskomnadzor conformément à l'art. 22 152-FZ. Nous recherchons Burger Rus LLC dans le
registre des opérateurs de données personnelles, nous prenons le PSRN de l'accord d'utilisation. La recherche a également échoué:
Dans le cadre de la poursuite de l'installation de l'application, une autorisation a également été demandée pour la gestion des appels; aucune réflexion documentaire de ce privilÚge n'a été trouvée sur le site Web de la société. Il n'est pas clair pourquoi et dans quelle mesure, il n'y a pas de transparence.
L'application n'a pas non plus trouvé de lien vers des informations sur la politique de traitement des données personnelles avec les informations pertinentes sur leur protection.
Examinons l'accord d'utilisation.
clause 2.7. vous oblige Ă quitter l'application si vous n'ĂȘtes pas d'accord avec quelque chose. Cela peut indiquer que Burger King n'est pas prĂȘt Ă faire des compromis. N'oubliez pas.
Au lieu d'une adresse e-mail, une page avec des contacts est indiquée, ce qui ne correspond pas à l'essence de la condition. Par accord, l'adresse e-mail n'est pas définie et l'adresse e-mail est également manquante sur la page de contact. L'accord n'établit donc pas la possibilité d'une interaction électronique avec l'utilisateur, comme Le formulaire de feedback n'est pas contractuel.
Dans la clause 3.3. la sociĂ©tĂ© semble ĂȘtre malhonnĂȘte. Ne laissez pas les cartes bancaires lui ĂȘtre traitĂ©es directement, mais il existe Ă©videmment une collection d'identifiants de paiement, de dĂ©lai de paiement (et d'autres donnĂ©es sur la commande), qui concernent directement ou indirectement la personne dĂ©signĂ©e ou spĂ©cifique. Je voudrais voir si cela se reflĂšte dans la politique.
La section 4.10 est gĂ©nĂ©ralement excellente. Si l'utilisateur supprime l'application en rĂ©siliant le contrat, ses donnĂ©es personnelles continueront d'ĂȘtre traitĂ©es dans leur intĂ©gralitĂ© jusqu'Ă l'envoi d'une notification Ă©crite. N'oubliez pas la clause 2.7.
Violation explicite des principes de traitement conformĂ©ment Ă l'article 5 152-FZ et des motifs de traitement conformĂ©ment Ă l'article 6 152-FZSelon la clause 5.1. vous n'avez pas la possibilitĂ© de recevoir de la publicitĂ© en quantitĂ© illimitĂ©e, mĂȘme si vous rĂ©siliez le contrat conformĂ©ment au paragraphe 4.10
Selon la clause 5.4. Vous résiliez l'accord à tout moment, bloquez l'application. TrÚs probablement, personne ne détruira les données personnelles en violation de 152-; continuez à recevoir de la publicité.
Dans la clause 5.6. Les accords, le
consentement au transfert de données personnelles sont donnés en violation de la clause 3 de l'article 6 de 152-FZ, en particulier, les tiers auxquels les données personnelles sont transférées ne sont pas indiqués.Enfin, nous pouvons dire que selon la clause 7.3. La Société n'est pas responsable de la perte des données utilisateur.
Cela constitue à lui seul une violation flagrante des dispositions du 152-FZ (article 7, article 19)Selon RosKomSvoboda Denis Lukash, directeur exécutif du
Center for Digital Rights :
Le RGPD impose des exigences plus strictes au traitement des donnĂ©es personnelles. Si les principes de base du traitement des donnĂ©es personnelles conformĂ©ment Ă 152- sont violĂ©s, nous ne pouvons mĂȘme pas parler d'Ă©ventuelles violations du RGPD (le cas Ă©chĂ©ant). Lorsque les violations dans l'entreprise ne sont visibles que par une inspection visuelle du site, il est trĂšs probable qu'il n'y ait pas (ou n'est pas officiellement prĂ©sente) la documentation organisationnelle et administrative appropriĂ©e, c'est une consĂ©quence directe. Les documents externes (ceux que tout le monde peut ou devrait connaĂźtre) devraient toujours ĂȘtre idĂ©aux, et le dĂ©veloppement d'applications non seulement conformĂ©ment au RGPD, mais mĂȘme conformĂ©ment au 152- devrait commencer par les principes de la «confidentialitĂ© dĂšs la conception».
Les avocats de RosKomSvobody estiment que Burger Rus LLC a au moins des signes de violations en vertu des clauses 5, 6, 18.1, 19 de la loi fĂ©dĂ©rale sur les donnĂ©es personnelles et nous sommes prĂȘts Ă accorder une heure de consultation gratuite du Digital Rights Center, dont le service juridique contribuera Ă assurer la sĂ©curitĂ© des utilisateurs au bon niveau.
E-Legion et Burger King, frappez le PM!