Delivery Club отказывается удалять персональные данные или GDPR по-русски

В 2015 году я скачал приложение Delivery Club, указал свой номер телефона, в ответ получил SMS с кодом, и готово — стал клиентом этого сервиса.

Заказывал еду через приложение и мне всё нравилось. Приложение знало мой номер телефона, моё имя, а также мой адрес, с точностью до квартиры.

В 2016 году Delivery Club был выкуплен Mail.ru Group.

В 2019 Mail.ru Group создают совместное предприятие со Сбербанком на базе Delivery Club.

В этом году принимается Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных». В чём смысл этого закона? Краткая выжимка, взято из этого поста:

Теперь любые компании, в которые мы обращаемся каждый день: такси, доставка еды, частные клиники, интернет магазины – все без исключения компании, которые станут участниками этого эксперимента, будут предоставлять информацию о нас с вами не только своим контрагентам, но и государству, которое будет использовать эти данные «в целях повышения эффективного государственного и муниципального управления».

Я не возражал, чтобы мои данные, такие как номер телефона, имя и адрес обрабатывала одна компания. Когда DC был куплен MRG, я начал задумываться о том, кто и в каких целях теперь будет обрабатывать ПД. Как никак, у холдинга есть myTarget, а значит персонализированной рекламы станет больше. Но когда к делу подключились Сбербанка и наше государство, оба известные крупными утечками, я решил воспользоваться своим правом на остановку обработки моих персональных данных.

Вы не подумайте, я люблю доставку еды в целом, и, сервис DC в частности. Однако, в моей семье, еду, в основном, заказывает другой член семьи, так что мой аккаунт мне был не нужен, и, я решил заняться цифровой гигиеной.

На сайте Delivery Club ищу информацию, о том, как удалить аккаунт, и все персональные данные. Натыкаюсь на следующее:

«Помните, что нет никакого риска в том, чтобы сохранить аккаунт, для того, чтобы воспользоваться им в будущем. Тем не менее, если Вы всё-таки, хотите удалить аккаунт вместе с информацией о Вас и Ваши платёжные данные, мы обязательно с этим поможем. Пожалуйста, помните о том, что данное действие необратимо. Для удаления аккаунта напишите нам на [email protected] с почты, на которую зарегистрирован аккаунт.»

То, что нужно, думаю я! Пишу следующее сообщение:

«Здравствуйте! Прошу полностью удалить мой аккаунт и все персональные данные».

В ответ получаю:

«Пожалуйста, сообщите нам в ответном письме четырехзначный код, который поступил Вам в смс, это необходимо для блокировки Вашего аккаунта. Для удаления персональных данных Вам необходимо обратиться физическим запросом на юридический адрес: ООО "Деливери Клаб" ОГРН 1097746360568, ИНН/КПП 7705891253/997750001 125167, г. Москва, Ленинградский пр-кт, д. 39, стр. 80, этаж 7, пом. 1-6, 8, 9».

Немного в шоке от того, что необходимо обращаться с физическим запросом. Что это значит? Во время пандемии физически лично заявиться к ним в офис? Или написать физический запрос на аналоговом бумажном носителе? С другой стороны, мой цифровой запрос по электронной почте, тоже, в какой-то мере, физический – добрались же биты и байты по проводам до их почтового сервера.

Возражаю, говорю, что согласно ФЗ №152, вы должны принять мой запрос в любом виде, главное факт запроса. На всякий случай сообщаю код из смс. Сотрудники поддержки удаляют мой аккаунт, но не мои ПД. Далее сообщают следующее:

Все верно, для удаления Личного кабинета Вы обратились в службу поддержки клиентов. Мы удалили Ваш личный кабинет.

Касаемо отзыва персональных данных, то как написала коллега, нужно обратится на юридический адрес физическим письмом.

В соответствии с пунктом 4.7 Политики Конфиденциальности (https://www.delivery-club.ru/privacy-policy ), это 8 пункт Пользовательского соглашения (https://www.delivery-club.ru/agreement ), клиент в праве осуществить отзыв согласия на обработку персональных данных путем направления соответствующего письменного заявления с просьбой прекратить обслуживание его аккаунта по адресу, указанному в п. 7.2 настоящей Политики.

Пункт 7.2: Запросы направляются в письменной форме по адресу места нахождения Компании (Российская Федерация, 125167, г. Москва, Ленинградский пр-кт, д. 39, стр. 80, этаж 7, пом. 1-6, 8, 9,) или в иной форме, предусмотренной действующим законодательством Российской Федерации.

Указываю на то, что сам специалист сообщает, что я могу обратиться "или в иной форме, предусмотренной действующим законодательством Российской Федерации". Моё письменное обращение по имэйлу как раз подходит под это описание. Более того, гражданин имеет право отозвать своё согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причём законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями.

Но, как вы понимаете, с другой стороны мне отвечают отпиской о физическом обращении.

Могут ли они требовать отзыв персональных данных в виде физического обращения, хотя для регистрации требовалась всего-лишь смска? Или я неоправданно докопался до сотрудников техподдержки? Что думаете, по этому поводу, господа юристы по цифровому праву и сочувствующие?

P.S. позвонил спустя месяц на горячую линию, в ответ: «Добрый день, имя!». Следственно, даже закрытие аккаунта не привело к удалению хотя бы контактной информации.

#жалобаDeliveryClub #жалобаMailRuGroup #жалобаСбербанк