Премиальное "нетакси" Wheely пожаловалось в Управление Нидерландов по защите данных на местную компанию MLU Ltd. Это совместное предприятие Яндекса и Uber, которое управляет также «Яндекс.Такси», «Яндекс.Едой» и «Яндекс.Лавкой». В Wheely считают, что MLU нарушает регламент Евросоюза по защите персональных данных (GDPR), передавая данные о заказах Дептрансу Москвы.
Маршруты и местоположения пользователей в Wheely назвали раскрывающими "интимные подробности жизни пассажиров, их родственные связи и политические, профессиональные, религиозные и сексуальные предпочтения." Штраф за нарушение GDPR может достигать €20 млн, или 4% глобальной выручки нарушителя за предыдущий год, хотя голландский регулятор пока не штрафовал никого больше, чем на миллион.
Кроме того, в Wheely уверены, что намерение Дептранса получать сведения о поездках спровоцировано Яндексом и его готовностью делиться данными. "Яндекс.Такси" "еще в 2014 году договорились с властями Москвы о передаче данных по поездкам и машинам, подключенным к сервису", и город становился «все более голодным до данных».
Позиция же "Яндекса" в 2014 году заключалась в том, что город не получает информацию о поездках конкретных граждан, а только лишь, периодически, информацию о местоположени таксистов, без привязки к пассажирам, что позволяет улучшать работу городских служб Москвы.
В августе 2020 года суд постановил приостановить на 3 месяца работу Wheely в России, так как компания отказалась предоставить данные о перемещении машин в режиме реального времени. В Wheely считают, что готовность Яндекса сотрудничать с госорганами в области передачи данных даёт ему незаслуженное конкурентное преимущество перед другими транспортными сервисами, а также продолжит наращивать аппетиты регуляторов: в Москве и во всей стране они будут требовать всё больше информации.
Добавить 2 комментария
Не уверен, что GDPR защищает данные нерезидентов ЕС за пределами ЕС. Как-то быстро точного ответа на этот вопрос не смог найти.
А вот резиденты ЕС могут пожаловаться на нарушение — это да. Если ты гражданин, скажем, Эстонии, проехался в такси в Москве, и твои личные данные поступили прямо в дептранс Москвы — это хороший повод посудиться с голландским (или эстонским) Яндексом.
Но, честно говоря, не вижу причин, почему эти данные не могут приезжать в дептранс обезличенными (GDPR это разрешает).
Ну да, какой смысл говорить про нерезидентов, если достаточно резидентов.
В GDPR много прикольных требований. Например, принцип минимизации, «не собирать больше, чем требуется», «не хранить дольше, чем надо».
Само определение персональных данных как-то немножко конфликтует с «обезличиванием», ими считаются те, с помощью которых человека можно идентифицировать какими-то способами.
Другой вопрос — что Яндекс, как мне кажется, не та компания, которая на всё это положит болт или захочет справиться с требованиями, но не сможет. Поэтому это и кажется больше медийным наездом, чем правовым. Учитывая, какой хайп был с gdpr complance даже среди российских компаний, когда его вводили…