09.10.2020
Сервис заказа премиальных автомобилей с водителями Wheely пожаловался голландскому регулятору по защите данных (Dutch Data Protection Authority, DDPA) на совместный сервис Яндекс.Такси и Uber, компанию MLU, зарегистрированную в Недерландах. По мнению Wheely его коллеги передают информацию о клиентах Департаменту транспорта Москвы, не имея на то законных оснований, что противоречит Европейскому регламенту по защите данных GDPR.MLU собирает и производит обработку большого количества персональных данных своих клиентов, а также водителей, в том числе данные о местоположении. Благодаря этой информации можно понять, как часто человек посещает доктора, фитнес-центр, ресторан, когда приезжает на работу и когда возвращается домой. Это конфиденциальная информация, благодаря которой раскрываются такие подробности жизни субъектов персональных данных, как их семейные связи, профессиональные, политические, религиозные и сексуальные предпочтения.
В соответствии с GDPR эти данные нельзя передавать третьим лицам, в том числе Дептрансу, без законного обоснования. Wheely настаивает, что принудить компании к передаче персональных данных третьим лицам может только федеральный закон, а локальные приказы или указы московского правительства, или его департаментов, не имеют для этого достаточной силы.
В настоящий момент с Дептрансом делятся персональными данными практически все участники рынка такси Москвы, за исключением Wheely, которые занимают порядка 1% рынка.
За нарушение GDPR предусмотрены штрафы в размере 20 миллионов евро или 4% от выручки всей глобальной группы компаний. По данным Wheely более полумиллиона граждан ЕС и порядка 10 миллионов россиян воспользовались сервисами MLU, начиная с весны 2018 года, когда GDPR вступил в силу. Представители Wheely предупреждали коллег, что будут вынуждены сообщить голландскому регулятору о нарушениях, если сервис не прекратит незаконную на их взгляд передачу конфиденциальной информации, однако положительного ответа от MLU не получили.
По мнению Wheely, если не остановить неправомерный сбор персональных данных, это может привести к росту городов, как в России, так и в других странах, где осуществляется подобная практика. Требования GDPR экстерриториальны и распространяются в том числе на дочерние подразделения европейских компаний, которые работают за пределами Евросоюза.
Как считают в Wheely, сервис MLU решил пожертвовать конфиденциальностью своих клиентов, чтобы получить дополнительное конкурентное преимущество. Они передают персональные данные в Дептранс, а ведомство в ответ проявляет лояльность.
В 2017 году Дептранс уже пытался добиться от Wheely предоставления нужных данных. При этом, компания не является в чистом виде сервисом такси, а оказывает услуги перевозок по заказу. Деятельность таких организаций регулируется Ространснадзором, у московского департамента в данной сфере нет полномочий. Но с началом карантина весной 2020 года требования столичных властей ужесточились, помимо соблюдения санитарных мер потребовалось предоставлять данные о местоположении автомобилей.
Представители Яндекс.Такси и Дептранса не стали комментировать ситуацию. При этом, в Яндекс.Такси, ранее заявляли, что собирают только идентификатор водителя, номер машины и статус (свободен или занят). Вся информация передается по зашифрованным каналам и не содержит персональных данных пассажиров. В аналогичном ключе высказывался и руководитель Дептранса Максим Лексутов, по его словам, город не интересуют персональные данные пассажиров. Кто и в какое место едет, какой банковской карточкой пользуется, ведомство не спрашивает. Единственное, нужно знать местоположение и маршрут конкретной машины.
Тем не менее, 7 Октября появилась информация, что Дептранс расширил свои требования к предоставлению данных о водителях, чтобы точно знать, кто находится за рулем такси, кто оказывает услугу пассажиру.
Несмотря на то, что, по мнению Дептранса и Яндекс.Такси передача персональных данных клиентов не осуществляется, необходимо иметь четкое представление о том, что данные о местоположении человека, его передвижениях относятся к персональным данным, и их обработка подлежит регулированию согласно требованиям соответствующего законодательства.
Теги: контроль