Depois que Habr literalmente em um dia publicou uma série de artigos sobre usuários
deliciosos de rastreamento de
alimentos do Burger King (
um ,
dois ,
três ), o desenvolvedor do aplicativo e-Legion publicou uma
resposta no Habr.
Sim, esse tópico causou grande empolgação. No momento, no total, esses artigos foram vistos mais de 230 mil vezes e mais de 1000 comentários foram deixados.
Em seu artigo, o desenvolvedor tenta refutar os argumentos de um jovem que falou sobre como o aplicativo Burger King obviamente não monitora o comportamento do usuário e afirma que o processamento de dados pessoais ainda
cumpre com o GDPR , mais rigoroso do que a lei nacional nº 152-FZ “On Personal Data”.
O RosKomSvoboda mostrará por que o aplicativo Burger King não está em conformidade com a Lei nº 152-FZ e dará ao Burger Rus LLC uma hora de consultoria jurídica gratuita sobre dados pessoais.Então vamos lá!
Ao baixar, instalar e iniciar o aplicativo antes do uso, o LLC Burger Rus (a entidade legal oficial) não oferece a oportunidade de se familiarizar com a Política de Processamento de Dados Pessoais, informações sobre os requisitos implementados para a proteção de dados pessoais, conforme exigido pelo art. 18,1 152-FZ. Há um pedido de telefone celular, propõe-se a leitura do contrato do usuário. O número de telefone celular, neste caso, refere-se diretamente a um indivíduo específico e são dados pessoais.
Na tentativa de encontrar a Política de processamento de dados pessoais e informações sobre os requisitos implementados para a proteção de dados pessoais, vamos ao site
burgerking.ruLinks para a política durante uma inspeção superficial não foram encontrados.
Vá para a página de feedback.
Propõe-se deixar um monte de dados pessoais, enquanto a Política para processamento e informações sobre os requisitos implementados para sua proteção também não foi encontrada durante uma inspeção rápida.
Ao mesmo tempo, descobrimos que, através da página de feedback, os dados pessoais são processados com base no consentimento, que é fornecido de forma implícita, preenchendo os campos e clicando no botão Enviar. Não foi possível encontrar outros consentimentos para o processamento de dados pessoais por meio de feedback.
O tratamento de dados pessoais com base no consentimento implica notificação à Roskomnadzor, de acordo com o art. 22 152-FZ. Estamos procurando a Burger Rus LLC no
registro de operadores de dados pessoais, e usamos o PSRN do contrato do usuário. A localização também falhou:
No processo de instalação posterior do aplicativo, também foi solicitada permissão para gerenciar chamadas; nenhum reflexo documentário desse privilégio foi encontrado no site da empresa. Não está claro por que e em que medida não há transparência.
O aplicativo também não encontrou um link para informações sobre a Política de Processamento de Dados Pessoais com as informações relevantes sobre sua proteção.
Vejamos o Contrato do Usuário.
cláusula 2.7. obriga a sair do aplicativo se você não concordar com algo. Isso pode indicar que o Burger King não está pronto para se comprometer. Lembre-se.
Em vez de um endereço de email, é indicada uma página com contatos, que não corresponde à essência da condição. Por contrato, o endereço de email não está definido e também está ausente na página de contato. O contrato, portanto, não estabelece a possibilidade de interação eletrônica com o usuário, conforme O formulário de feedback não é contratual.
Na cláusula 3.3. a empresa parece ser falsa. Não permita que os cartões bancários sejam processados diretamente para ela, mas claramente existe uma coleção de identificadores para pagamento, prazo de pagamento (e outros dados do pedido), que direta ou indiretamente se relacionam com a pessoa designada ou específica. Eu gostaria de ver se isso se reflete na política.
Seção 4.10 é geralmente excelente. Se o usuário excluir o aplicativo rescindindo o contrato, seus dados pessoais continuarão sendo processados na íntegra até que um aviso por escrito seja enviado. Não se esqueça da cláusula 2.7.
Violação explícita dos princípios de processamento nos termos do artigo 5 152-FZ e dos motivos de processamento nos termos do artigo 6 152-FZDe acordo com a cláusula 5.1. não lhe é oferecida a alternativa de receber publicidade em um montante ilimitado, mesmo se você rescindir o contrato de acordo com o parágrafo 4.10
De acordo com a cláusula 5.4. Você rescindirá o contrato a qualquer momento. Bloqueie o aplicativo. Provavelmente, ninguém destruirá os dados pessoais em violação do 152-; continuará recebendo publicidade.
Na cláusula 5.6. Contratos, o
consentimento para a transferência de dados pessoais é dado em violação da cláusula 3 do artigo 6 do 152-FZ, em particular, terceiros para os quais os dados pessoais são transferidos não são indicados.Finalmente, podemos dizer que, de acordo com a cláusula 7.3. A empresa não é responsável pela perda de dados do usuário.
Isso por si só é uma violação flagrante das disposições do 152-FZ (Artigo 7, Artigo 19)De acordo com RosKomSvoboda Denis Lukash, diretor executivo do
Centro de Direitos Digitais :
O GDPR impõe requisitos mais rigorosos ao processamento de dados pessoais. Se os princípios básicos do processamento de dados pessoais de acordo com 152- forem violados, não podemos sequer falar sobre possíveis violações do RGPD (se aplicável). Quando as violações na empresa são visíveis apenas pela inspeção visual do site, provavelmente não existe (ou está formalmente presente) a documentação organizacional e administrativa adequada, isso é uma conseqüência direta. Documentos externos (aqueles com os quais qualquer um pode ou deve estar familiarizado) devem sempre ser ideais, e o desenvolvimento de aplicativos não apenas de acordo com o GDPR, mas mesmo de acordo com o 152- deve começar com os princípios de "privacidade por design".
Os advogados da RosKomSvobody acreditam que o Burger Rus LLC possui pelo menos sinais de violações sob as cláusulas 5, 6, 18.1, 19 da Lei Federal "Sobre dados pessoais" e estamos prontos para dar uma hora de consulta gratuita ao Digital Rights Center, cujo serviço jurídico ajudará a garantir a segurança dos usuários no nível adequado.
E-Legion e Burger King, bata no PM!