Delivery Club отказывается удалять персональные данные или GDPR по-русски

В 2015 году я скачал приложение Delivery Club, указал свой номер телефона, в ответ получил SMS с кодом, и готово — стал клиентом этого сервиса.

Заказывал еду через приложение и мне всё нравилось. Приложение знало мой номер телефона, моё имя, а также мой адрес, с точностью до квартиры.

В 2016 году Delivery Club был выкуплен Mail.ru Group.

В 2019 Mail.ru Group создают совместное предприятие со Сбербанком на базе Delivery Club.

В этом году принимается Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных». В чём смысл этого закона? Краткая выжимка, взято из этого поста:

Теперь любые компании, в которые мы обращаемся каждый день: такси, доставка еды, частные клиники, интернет магазины – все без исключения компании, которые станут участниками этого эксперимента, будут предоставлять информацию о нас с вами не только своим контрагентам, но и государству, которое будет использовать эти данные «в целях повышения эффективного государственного и муниципального управления».

Я не возражал, чтобы мои данные, такие как номер телефона, имя и адрес обрабатывала одна компания. Когда DC был куплен MRG, я начал задумываться о том, кто и в каких целях теперь будет обрабатывать ПД. Как никак, у холдинга есть myTarget, а значит персонализированной рекламы станет больше. Но когда к делу подключились Сбербанка и наше государство, оба известные крупными утечками, я решил воспользоваться своим правом на остановку обработки моих персональных данных.

Вы не подумайте, я люблю доставку еды в целом, и, сервис DC в частности. Однако, в моей семье, еду, в основном, заказывает другой член семьи, так что мой аккаунт мне был не нужен, и, я решил заняться цифровой гигиеной.

Запрос на удаление персональных данных

На сайте Delivery Club ищу информацию, о том, как удалить аккаунт, и все персональные данные. Натыкаюсь на следующее:

«Помните, что нет никакого риска в том, чтобы сохранить аккаунт, для того, чтобы воспользоваться им в будущем. Тем не менее, если Вы всё-таки, хотите удалить аккаунт вместе с информацией о Вас и Ваши платёжные данные, мы обязательно с этим поможем. Пожалуйста, помните о том, что данное действие необратимо. Для удаления аккаунта напишите нам на [email protected] с почты, на которую зарегистрирован аккаунт.»

То, что нужно, думаю я! Пишу следующее сообщение:

«Здравствуйте! Прошу полностью удалить мой аккаунт и все персональные данные».

В ответ получаю:

«Пожалуйста, сообщите нам в ответном письме четырехзначный код, который поступил Вам в смс, это необходимо для блокировки Вашего аккаунта. Для удаления персональных данных Вам необходимо обратиться физическим запросом на юридический адрес: ООО "Деливери Клаб" ОГРН 1097746360568, ИНН/КПП 7705891253/997750001 125167, г. Москва, Ленинградский пр-кт, д. 39, стр. 80, этаж 7, пом. 1-6, 8, 9».

Немного в шоке от того, что необходимо обращаться с физическим запросом. Что это значит? Во время пандемии физически лично заявиться к ним в офис? Или написать физический запрос на аналоговом бумажном носителе? С другой стороны, мой цифровой запрос по электронной почте, тоже, в какой-то мере, физический – добрались же биты и байты по проводам до их почтового сервера.

Возражаю, говорю, что согласно ФЗ №152, вы должны принять мой запрос в любом виде, главное факт запроса. На всякий случай сообщаю код из смс. Сотрудники поддержки удаляют мой аккаунт, но не мои ПД. Далее сообщают следующее:

Все верно, для удаления Личного кабинета Вы обратились в службу поддержки клиентов. Мы удалили Ваш личный кабинет.

Касаемо отзыва персональных данных, то как написала коллега, нужно обратится на юридический адрес физическим письмом.

В соответствии с пунктом 4.7 Политики Конфиденциальности (https://www.delivery-club.ru/privacy-policy ), это 8 пункт Пользовательского соглашения (https://www.delivery-club.ru/agreement ), клиент в праве осуществить отзыв согласия на обработку персональных данных путем направления соответствующего письменного заявления с просьбой прекратить обслуживание его аккаунта по адресу, указанному в п. 7.2 настоящей Политики.

Пункт 7.2: Запросы направляются в письменной форме по адресу места нахождения Компании (Российская Федерация, 125167, г. Москва, Ленинградский пр-кт, д. 39, стр. 80, этаж 7, пом. 1-6, 8, 9,) или в иной форме, предусмотренной действующим законодательством Российской Федерации.

Указываю на то, что сам специалист сообщает, что я могу обратиться "или в иной форме, предусмотренной действующим законодательством Российской Федерации". Моё письменное обращение по имэйлу как раз подходит под это описание. Более того, гражданин имеет право отозвать своё согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причём законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями.

Но, как вы понимаете, с другой стороны мне отвечают отпиской о физическом обращении.

Могут ли они требовать отзыв персональных данных в виде физического обращения, хотя для регистрации требовалась всего-лишь смска? Или я неоправданно докопался до сотрудников техподдержки? Что думаете, по этому поводу, господа юристы по цифровому праву и сочувствующие?

P.S. позвонил спустя месяц на горячую линию, в ответ: «Добрый день, имя!». Следственно, даже закрытие аккаунта не привело к удалению хотя бы контактной информации.

0
126 комментариев
Написать комментарий...
Владислав Мальцев

"P.S. позвонил спустя месяц на горячую линию, в ответ: "Добрый день, имя!". 

- Алло, это анонимный номер доверия ФСБ?

- Да, <имя>.

Ответить
Развернуть ветку
Konstantin Mednikov

- Да, <имя>. Сейчас я переключу вас на специалиста по вашему вопросу
- Но ведь я его ещё не задал
- Мы уже знаем.

Ответить
Развернуть ветку
1 комментарий
Sandy Bell

А если вы не удалите...
Мы напишем в спортлото....

А если серьёзно, дожимать надо таких барыг.
Я за.

Ответить
Развернуть ветку
xxx xxx

Видимо у них большие планы на Ваши персональные данные, иначе что бы им мешало их удалить по первому требованию.

Ответить
Развернуть ветку
slimex
Автор

Немного не так. Мои, в частности, им не особо интересны. Но, чем больше данных собрано, тем легче обучаться искусственному интеллекту. Детальнее можно ознакомиться в книге Кай-фу Ли – AI Superpowers.

Для этого и приняли закон, про который написано выше.

Ответить
Развернуть ветку
23 комментария
Stan 1

Обычно волокита указывает на неготовность ИТ-систем. Сделать инфраструктуру для ФЗ 152 - недешевое удовольствие.

Ответить
Развернуть ветку
Victor Denisov

А какие там санкции законом предусмотрены для компаний? 
Если штрафов нет, так никто и не будет заморачиваться. 

Ответить
Развернуть ветку
slimex
Автор

Ответственность для юридического лица предусматривает наложение штрафа в размере от 15 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Ответить
Развернуть ветку
9 комментариев
Topre

Забавно все таки, что для указания и подтверждения моих данных - им мое присутствие в офисе не нужно. А вот как удалить...

Ответить
Развернуть ветку
Лев Коптев

Получать что-то полезное всегда приятнее, чем с этим расставаться.
По налогам как-то переплата получилась, и по идее налоговая же у нас одна (служба одна), а вот инспекции все сами по себе. И переплату можно вернуть только при личном обращении в ту инспекцию, в которой эта переплата образовалась.
От меня до той инспекции 150км, то есть терять день + бензин + обед = 1000-1200 прямых затрат + упущенная выгода (так как я не заработал) 3000+.
Чтобы вернуть 1500 надо потерять от 4500 )))
В итоге оставил как есть, уменьшили начисления на след. год.

Ответить
Развернуть ветку
7 комментариев
Yondu Udonta

Уф, это должна быть аксиома вдалбливаемая в голову с детства - пользуясь любыми рашкованскими сервисами, используй левую симку и еще идеально, левый емейл. Это не та страна где надо светить свои реальные данные.
Лайфхак, перед попыткой удаления данных, старайтесь их деперсонализировать, заменить емейл на временный (сгенерированный), телефонный номер на левый (симку можно купить у таджиков), и все остальное до чего дотянуться руки, потом уже пробуйте удалять в штатном режиме.

Ответить
Развернуть ветку
Лев Коптев

Все бы замечательно, но есть еще банки, например. Там симка, оформленная на таджика/левого чела может и сгодится, да где гарантия, что потом этот таджик не восстановит через 3-4 месяца симку и не сольет баланс карты и электронных кошельков.
Для себя выбрал такое решение: две симки (телефоны к счастью позволяют сейчас) - одна для всех звонков, вторая только для финансов. Поэтому если кто-то звонит на вторую симку, то автоматом идут лесом. 
Я бы просто уменьшил количество персональной инфы. С другой стороны все (все бизнесы) что-то хранят на других людей: имейлы, номера, дата рождения и тд. А потом мы тут же читаем кейс 'Как база имейлов клиентов помогла мне пережить пандемию'. 

Ответить
Развернуть ветку
6 комментариев
Степан Марципан

Цель понятна, непонятны мотивы. Вы считаете что у государства или главного гос.банка нет доступа к вашим данным? В телеге есть боты которые бесплатно или за символическую плату предоставляют все данные по человеку с номерами, адресами, предприятиями, номерами авто, соц.сетями и тд. Вы серьезно думаете государству это недоступно? 

Ответить
Развернуть ветку
slimex
Автор

Я стараюсь максимально ограничить свой "цифровой след". Если у кого-то уже есть доступ к моим данным, это же не означает, что я должен продолжать раздавать эти данные направо и налево, верно?

Ответить
Развернуть ветку
21 комментарий
Лев Коптев

Чем меньше каналов для утечки, тем проще эту утечку обнаружить, либо ликвидировать/уменьшить последствия.

Ответить
Развернуть ветку
6 комментариев
Алексей Федин

Лайфхак.... Загрузите сайт  ГОСУСЛУГИ... Пройдите в раздел, ДОСТУП К ДАННЫМ. Найдите "МИНЦИФРА", найдите ГДЕ ВЫ дали ИМ согласие и где вы МОЖЕТЕ ЕГО ОТОЗВАТЬ.  Данный квест прошел 3 дня назад.. ДЕЛЮСЬ.  p.s. для спящих =  было образовано НОВОЕ министерство и БЕЗ ВАШЕГО изъявления оно ПОЛУЧИЛО ДОСТУП к Вашим данным на сайте ГОСУСЛУГИ и без  юридически значимых действий совершенных Вами лично -кликания/кодов/смс (согласия, смс, входа по ip адресу и т.п.), ОТОЗВАТЬ/БЛОКИРОВАТЬ Вы не можете...  Кнопки НЭТ!!! САФФСЕМ!!! 

Ответить
Развернуть ветку
1 комментарий
Nanokassa_ru

Deleted

Ответить
Развернуть ветку
1 комментарий
Антон Мальцев

Отправляете заказным письмом с описью. Если не удаляют - обращаетесь в роспотребнадзор/прокуратуру/зоопарк (нужное подчеркнуть). Знаю знакомых которые таким образом долго какие-то банки троллили.

Думаю что по мылу тоже можно, но там нужна цифровая подпись какая-нибудь + нужно чтобы в договоре был указан официальный e-mail, по которому они обязуются принимать. e-mail с сайта тут может не иметь силы.

Ответить
Развернуть ветку
slimex
Автор

Скорее всего, заказное письмо возымеет куда больший эффект. Но всё-таки хотелось бы, чтобы удаление персональных данных было бы таким же лёгким и непринуждённым, как и их занесение в базы компаний. По аналогии с GDPR.

Кстати, если всё же написать письмо, наверняка придётся указать свои ФИО и номер паспорта, что приведёт к тому, что у DC будет ещё больше моих данных)

Ответить
Развернуть ветку
2 комментария
Roman Kuvshinnikov

Интересный кейс) Никогда не задумывался об этом, хотя стоит. Будет неплохо узнать дальнейшее развитие ситуации. Заказные письма с уведомлением имеют юридическую силу.  

Ответить
Развернуть ветку
Indig0

А как проверить, что данные действительно удалили? Если никак, то тогда какой вообще смысл этой процедуры по отзыву своих данных?

Ответить
Развернуть ветку
Apitan

1) Пишем официальный запрос по почте с требованием данные удалить
2) Через вышедший срок звоним и слышим "Здравствуйте, <имя>"
3) Катаем жалобу в РКН что ПД обрабатываются с нарушениями
4) РКН их бьёт по шапке

Ответить
Развернуть ветку
2 комментария
Roman
Ответить
Развернуть ветку
Тим Пазухин

обидно что кажется, что мы начинаем догонять запад по технологиям, но тут понимаешь что одна из крупнейших компаний в доставке еды настолько сильно противоречит своей же политике и закону. надо дожимать!

Ответить
Развернуть ветку
Василий Петров

давайте все заебем их звонками и письмами чтоб наши данные удалили

Ответить
Развернуть ветку
slimex
Автор

Только активная гражданская позиция поможет изменить ситуацию!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Apitan

Так суть в том, что ты либо обрабатывай ПД ответственно, либо плати штрафы, и чем дальше, тем больше.
И никого не волнует, есть ли злой умысел в том, что они остались в CRM, нарушил - виновен.

Ответить
Развернуть ветку
Алексей Федин

1. У Вас и ТОЙ стороны, в итоге переуступок НЕ ИМЕЕТСЯ подписанных ОБЕИМИ сторонами документов, иными словами... НЕТ ДОКУМЕНТА = Законодательство РФ.

2. Из этого проистекает Ваше право на обращение по 152 -ФЗ и 38-ФЗ далее отказ от рассылки рекламы. Берете данные фирм с  юр.адресом  и ценное  письмо с описью. Сэкономите на уведомлении. + кому надо Кредитные истории - можно дополнить... 
======= Публичное акционерное общество «Промсвязьбанк»
109052, Россия, г. Москва, ул. Смирновская, д. 10, строение 22
ЗАЯВЛЕНИЕ

Прошу прекратить распространение рекламы посредством отправки sms, звонков с предложением новых продуктов и прочей рекламной информацией по телефонному номеру (***) ***-**-** на основании:

ч.1 ст.18 Федерального закона "О рекламе" от 13.03.2006 N 38-ФЗ:
1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан
немедленно прекратить распространение рекламы в адрес лица, обратившегося к
нему с таким требованием.
п.15 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О
персональных данных"
Права субъектов персональных данных при обработке их персональных данных в
целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персон ал ь н ы х
д ан н ы х обработку его персон ал ь н ы х д ан н ы х, указанную в части 1 настоящей статьи.
Отзываю свое согласие на обработку персональных данных для целей рекламы согласно ч.2. Статьи 9. Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011)
«О персональных данных».

В случае продолжения/возобновления рекламных рассылок я буду отстаивать свои права и законные интересы в порядке, установленном законодательством РФ, в том числе ст.17 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных" и ст.38 Федерального закона "О рекламе" от 13.03.2006 N 38-ФЗ

«**» декабря 2020 года

И.И.Иванов

Ответить
Развернуть ветку
Ферма Киви

Закройся, удали везде свою персональную информацию и используй только наличку и лучше про телефон забыть. Тогда будешь спокоен за свои персональные данные. Поверь, это выход.

Ответить
Развернуть ветку
Sergey Furtaev

За месяц уже можно было физическую маляву им отправить, чтобы довести эксперимент до конца.
Неужели не интересно, чем всё закончится: удалением или очередной отпиской?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
neimovirne

Внутренние правила любых компаний не могут перечить конституции. Помните это при любом споре и будет вам счастье.

Ответить
Развернуть ветку
Yan

Сейчас с госуслугами есть сервис заказанное письмо. Оно электроно или физически позволяет отправить заказное письмо. Юридически компании обязаны его принять как любое заказанное с уведомлением об вручение. Так как хранятся данные об получение, методе его.

Ответить
Развернуть ветку
Юрий Б.

General Data Protection Regulation - это европейский закон, не имеющий отношения к России. Обращаться физическим письмом было сложно, как я понимаю.

Ответить
Развернуть ветку
L A

Честно говоря полное удаление данных юридически необратимо (если верим что они реально удаляются), поэтому от вас и потребовали документ к которому есть доверие(= ногами в офисе, уверен также подошло бы заверение у нотариуса или квалифицированная ЭЦП ФЛ).
Но опять же, чтобы удалить ПД вам в любом случае нужно предоставить заявление с указанием ФИО и паспортных данных. И это физическое(или подписанное ЭП) заявление будет хранится сколько там положено по ФЗ.

Несколько лет назад был интересный кейс: пришло физическое письмо заказчику. "Я такой-то такой-то прошу удалить мои ПД." . Ну ок, удаляем(реально удаляем во всех подконтрольных системах), составляем акт со звёздочкой про резервные копии, заказчик отвечает письмом "ок, удалено с приложением акта".
Через 2 месяца проверка РКН, по жалобе. Заявитель профессионально и юридически точно заявил РКН что заявлений не писал, подпись на заявлении не его, "пачиму удолили маи ПД????". Звездочка про бекапы спасла ситуацию (хотя формально наличие бекапа само по себе нарушение) и последствия были минимальны(и то только за то что собирали больше данных чем указано в политике, больше ровно на резервный email и код домофона).
Также заявитель пытался договориться что всего за 100к заявление заберёт.
Авантюристы фродят вот таким способом, результат — подход описанный в этом посте.
Уверен такие же письма и заявители приходили и деливери. 

Ответить
Развернуть ветку
slimex
Автор

Честные и законопослушные граждане не должны же страдать из-за фрода авантюристов?)

Ответить
Развернуть ветку
6 комментариев
Папа Римский

Добавил в закладки для изучения вопроса в целом.

Ответить
Развернуть ветку
Igor Filippov
 мы обязательно с этим поможем

Написано черным по белому: "поможем", а не "удалим".

Ответить
Развернуть ветку
Михаил Шевцов
иной форме, предусмотренной действующим законодательством Российской Федерации

К сожалению, у нас в стране иная форма, предусмотренная законодательством, - это электронный документ с усиленной квалифицированной ЭП. Либо на бумаге за собственноручной подписью. И в принципе больше никак. 

Не скажу, что в других странах хуже или лучше, но в США, например, во многих штатах согласие на обработку персональных данных ребенка младше 13 лет его родители могут дать только на бумаге. Из-за этого почти все сервисы в своих документах прописывают этот возрастной минимум.

Ответить
Развернуть ветку
В А

Юридически то оно разработано, а вот на деле... 

Ответить
Развернуть ветку
123 комментария
Раскрывать всегда