Delivery Club отказывается удалять персональные данные или GDPR по-русски

В 2015 году я скачал приложение Delivery Club, указал свой номер телефона, в ответ получил SMS с кодом, и готово — стал клиентом этого сервиса.

Заказывал еду через приложение и мне всё нравилось. Приложение знало мой номер телефона, моё имя, а также мой адрес, с точностью до квартиры.

В 2016 году Delivery Club был выкуплен Mail.ru Group.

В 2019 Mail.ru Group создают совместное предприятие со Сбербанком на базе Delivery Club.

В этом году принимается Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных». В чём смысл этого закона? Краткая выжимка, взято из этого поста:

Теперь любые компании, в которые мы обращаемся каждый день: такси, доставка еды, частные клиники, интернет магазины – все без исключения компании, которые станут участниками этого эксперимента, будут предоставлять информацию о нас с вами не только своим контрагентам, но и государству, которое будет использовать эти данные «в целях повышения эффективного государственного и муниципального управления».

Я не возражал, чтобы мои данные, такие как номер телефона, имя и адрес обрабатывала одна компания. Когда DC был куплен MRG, я начал задумываться о том, кто и в каких целях теперь будет обрабатывать ПД. Как никак, у холдинга есть myTarget, а значит персонализированной рекламы станет больше. Но когда к делу подключились Сбербанка и наше государство, оба известные крупными утечками, я решил воспользоваться своим правом на остановку обработки моих персональных данных.

Вы не подумайте, я люблю доставку еды в целом, и, сервис DC в частности. Однако, в моей семье, еду, в основном, заказывает другой член семьи, так что мой аккаунт мне был не нужен, и, я решил заняться цифровой гигиеной.

Запрос на удаление персональных данных

На сайте Delivery Club ищу информацию, о том, как удалить аккаунт, и все персональные данные. Натыкаюсь на следующее:

«Помните, что нет никакого риска в том, чтобы сохранить аккаунт, для того, чтобы воспользоваться им в будущем. Тем не менее, если Вы всё-таки, хотите удалить аккаунт вместе с информацией о Вас и Ваши платёжные данные, мы обязательно с этим поможем. Пожалуйста, помните о том, что данное действие необратимо. Для удаления аккаунта напишите нам на [email protected] с почты, на которую зарегистрирован аккаунт.»

То, что нужно, думаю я! Пишу следующее сообщение:

«Здравствуйте! Прошу полностью удалить мой аккаунт и все персональные данные».

В ответ получаю:

«Пожалуйста, сообщите нам в ответном письме четырехзначный код, который поступил Вам в смс, это необходимо для блокировки Вашего аккаунта. Для удаления персональных данных Вам необходимо обратиться физическим запросом на юридический адрес: ООО "Деливери Клаб" ОГРН 1097746360568, ИНН/КПП 7705891253/997750001 125167, г. Москва, Ленинградский пр-кт, д. 39, стр. 80, этаж 7, пом. 1-6, 8, 9».

Немного в шоке от того, что необходимо обращаться с физическим запросом. Что это значит? Во время пандемии физически лично заявиться к ним в офис? Или написать физический запрос на аналоговом бумажном носителе? С другой стороны, мой цифровой запрос по электронной почте, тоже, в какой-то мере, физический – добрались же биты и байты по проводам до их почтового сервера.

Возражаю, говорю, что согласно ФЗ №152, вы должны принять мой запрос в любом виде, главное факт запроса. На всякий случай сообщаю код из смс. Сотрудники поддержки удаляют мой аккаунт, но не мои ПД. Далее сообщают следующее:

Все верно, для удаления Личного кабинета Вы обратились в службу поддержки клиентов. Мы удалили Ваш личный кабинет.

Касаемо отзыва персональных данных, то как написала коллега, нужно обратится на юридический адрес физическим письмом.

В соответствии с пунктом 4.7 Политики Конфиденциальности (https://www.delivery-club.ru/privacy-policy ), это 8 пункт Пользовательского соглашения (https://www.delivery-club.ru/agreement ), клиент в праве осуществить отзыв согласия на обработку персональных данных путем направления соответствующего письменного заявления с просьбой прекратить обслуживание его аккаунта по адресу, указанному в п. 7.2 настоящей Политики.

Пункт 7.2: Запросы направляются в письменной форме по адресу места нахождения Компании (Российская Федерация, 125167, г. Москва, Ленинградский пр-кт, д. 39, стр. 80, этаж 7, пом. 1-6, 8, 9,) или в иной форме, предусмотренной действующим законодательством Российской Федерации.

Указываю на то, что сам специалист сообщает, что я могу обратиться "или в иной форме, предусмотренной действующим законодательством Российской Федерации". Моё письменное обращение по имэйлу как раз подходит под это описание. Более того, гражданин имеет право отозвать своё согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причём законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями.

Но, как вы понимаете, с другой стороны мне отвечают отпиской о физическом обращении.

Могут ли они требовать отзыв персональных данных в виде физического обращения, хотя для регистрации требовалась всего-лишь смска? Или я неоправданно докопался до сотрудников техподдержки? Что думаете, по этому поводу, господа юристы по цифровому праву и сочувствующие?

P.S. позвонил спустя месяц на горячую линию, в ответ: «Добрый день, имя!». Следственно, даже закрытие аккаунта не привело к удалению хотя бы контактной информации.

0
126 комментариев
Написать комментарий...
L A

Честно говоря полное удаление данных юридически необратимо (если верим что они реально удаляются), поэтому от вас и потребовали документ к которому есть доверие(= ногами в офисе, уверен также подошло бы заверение у нотариуса или квалифицированная ЭЦП ФЛ).
Но опять же, чтобы удалить ПД вам в любом случае нужно предоставить заявление с указанием ФИО и паспортных данных. И это физическое(или подписанное ЭП) заявление будет хранится сколько там положено по ФЗ.

Несколько лет назад был интересный кейс: пришло физическое письмо заказчику. "Я такой-то такой-то прошу удалить мои ПД." . Ну ок, удаляем(реально удаляем во всех подконтрольных системах), составляем акт со звёздочкой про резервные копии, заказчик отвечает письмом "ок, удалено с приложением акта".
Через 2 месяца проверка РКН, по жалобе. Заявитель профессионально и юридически точно заявил РКН что заявлений не писал, подпись на заявлении не его, "пачиму удолили маи ПД????". Звездочка про бекапы спасла ситуацию (хотя формально наличие бекапа само по себе нарушение) и последствия были минимальны(и то только за то что собирали больше данных чем указано в политике, больше ровно на резервный email и код домофона).
Также заявитель пытался договориться что всего за 100к заявление заберёт.
Авантюристы фродят вот таким способом, результат — подход описанный в этом посте.
Уверен такие же письма и заявители приходили и деливери. 

Ответить
Развернуть ветку
slimex
Автор

Честные и законопослушные граждане не должны же страдать из-за фрода авантюристов?)

Ответить
Развернуть ветку
L A

Идентификация заявителя достоверным(от паспорта до ЭЦП) способом это не страдание.
... и паспорт в банках и росреестре тоже не нужно проверять?

Ответить
Развернуть ветку
slimex
Автор

Причём здесь паспорт в банках и росреестре?
Delivery Club'у он не нужен для регистрации в сервисе и при оформлении заказов.

Ответить
Развернуть ветку
L A

... а для подачи любых запросов связанных с обработкой этих ПД  паспорт нужен, всилу 152-фз ст14 п3 и там довольно конкретный перечень (и именно то что при обработке запроса на удалениие заявитель не был идентифицирован и стоило моему заказчику около 10 часов юристов и минимальной административки).

Ответить
Развернуть ветку
slimex
Автор

Вы ссылаетесь на пункт про формирование запроса на доступ к персональным данным.

Разве это равносильно запросу на удаление ПД?

Ответить
Развернуть ветку
L A

это не я, это на тот момент РКН так трактует ФЗ152.
Но это вполне очевидно из сути — недопустить неавторизованного удаления ПД(удаление более критичная операция чем иные так как необратима). 
Представьте придёт какой-то хрен и по такому же письму без удостоверения подпись  дёрнет ваши ПД из банков и вам отключат ДБО до объёма "как в ГК и написано ногами в отделении".

Ответить
Развернуть ветку
slimex
Автор

Звучит логично, но также могу указать и на другой пример — европейские и американские компании позволяют полностью удалить ПД по запросу в свободной форме, написанному с того же имэйла, с которого произведена регистрация. И, как показывает практика, никто там массово ДБО из-за этого не отключает. Хотелось бы, чтобы наш 152ФЗ работал не хуже аналогов от западных партнёров.

Ответить
Развернуть ветку
123 комментария
Раскрывать всегда