В конце января по Беларуси прокатилась волна задержаний родственников политзаключенных. Судя по всему, внимание силовиков привлекли люди, которым помогали из-за рубежа и заказывали продукты через «Е-доставку». Рассказываем, какие персональные данные белорусов собирают маркетплейсы, сервисы доставки и такси, можно ли по ним отследить человека и как их удалить, если вы перестали пользоваться данными услугами.
Как власти следят за персональными данными белорусов
Последние два года власти последовательно расширяют контроль за цифровой сферой жизни граждан Беларуси. Был принят ряд законов, которые позволяют силовикам почти в режиме реального времени следить за пользователями любых сайтов и сервисов.
Так, в мае 2022 года в Законе «Об органах внутренних дел» (статья 24) были расширены права силовиков в цифровой сфере. Им разрешили «…запрашивать и получать на безвозмездной основе без согласия физических лиц сведения из информационных ресурсов (систем), в том числе содержащих персональные данные, и иметь доступ, включая удаленный, к информационным ресурсам (системам), в том числе содержащим персональные данные, по письменному запросу или на основании соглашения, заключенного с собственником (владельцем) информационного ресурса (системы)».
В октябре 2022 года Лукашенко специальным указом разрешил ОАЦ и КГБ устанавливать средства для слежки и прослушки на оборудование владельцев интернет-ресурсов (раньше такие устройства можно было устанавливать только на технику интернет-провайдеров). Сайты и сервисы, за которыми стоит установить слежку, определяют сами силовики.
В течение 2023 года Лукашенко подписал еще как минимум два указа, связанные со сбором персональных данных белорусов. Они касаются банковских платежей и сервисов такси.
- Банки создают автоматизированную систему обработки инцидентов (АСОИ), которая будет собирать информацию о «подозрительных» платежах. Доступ к системе будут иметь почти все силовые органы.
- Власти обязали иностранные компании-перевозчики (например, «Яндекс.Такси») завести юридические лица в Беларуси и подавать информацию о своей работе в специальный реестр (к нему тоже силовики имеют бесплатный доступ). В автомобилях такси в обязательном порядке будут установлены камеры видеонаблюдения.
Маркетплейсы тоже усиливают взаимодействие с силовиками. Они планируют создать совместные рабочие группы по противодействию киберпреступности.
Что «знает» о белорусах «Е-доставка» и другие маркетплейсы?
После массовых задержаний белорусов, которым закупали продуктовую помощь через «Е-доставку», встал вопрос: а какие персональные данные собирает сервис? Они перечислены в политике обработки данных ЗАО «Интернет-магазин „Евроопт“».
При регистрации в личном кабинете на сайте «Е-доставки» вы передаете компании следующую информацию:
- имя и фамилию (данные помечены как «необязательные» — видимо, потому что вы можете указать при регистрации вымышленную информацию);
- номер мобильного телефона;
- адрес электронной почты;
- уникальный идентификатор клиента;
- IP-адрес устройства и метаданные браузера, с которых вы регистрируетесь и пользуетесь сервисом;
- UUID (универсальный уникальный идентификатор) — набор символов, который присваивается любому пользователю сервиса или программы.
Вся эта информация хранится на серверах интернет-магазина в течение 3 лет с момента последнего входа пользователя в личный кабинет.
При каждом заказе в магазине пользователь передает компании еще и информацию об адресе доставки (часто это место его проживания). И эти данные могут храниться уже 10 лет — в случае, если налоговая не проводила проверки у поставщика услуги.
Похожую информацию собирает и другой популярный маркетплейс — Wildberries.
При регистрации на сайте или в приложении и оформлении заказа:
- номер телефона;
- сведения об устройстве (IP-адрес) и браузере, версии приложения;
- адрес электронной почты;
- фамилия и имя (необязательно);
- размер одежды (необязательно);
- реквизиты электронных средств платежа (номер, срок действия, код CVV/CVC).
Данные о регистрации в сервисе хранятся 1 год после последнего входа в личный кабинет. Информация о покупках хранится 3 года (или 10 лет — в случае, если налоговая не проводила проверки у поставщика услуги).
В пользовательских соглашениях обоих маркетплейсов уточняется, что персональные данные пользователей могут передаваться третьим лицам — в том числе силовикам.
- «Евроопт»: «Мы вправе предоставлять ваши персональные данные третьим лицам, в частности банкам и их представителям, сервисным центрам (ремонтным организациям), государственным органам при наличии оснований, установленных законодательством Республики Беларусь».
- Wildberries: «Общество предоставляет персональные данные по запросам (требованиям) органов государственной власти и управления, органов местного самоуправления, контролирующих органов, правоохранительных органов, иных компетентных органов и организаций, имеющих право получать такую информацию в соответствии с законодательством. Персональные данные предоставляются исключительно по мотивированному, обоснованному и законному требованию государственного органа или иного полномочного лица».
Силовики могут отследить поездку на «Яндекс.Такси»?
«Яндекс» собирает данные (в том числе о геолокации) пользователей всех своих приложений и сервисов.
При регистрации в приложении (например, в сервисе такси «Яндекс GO») вы делитесь с российской компанией именем, номером телефона, электронной почтой, адресами, банковскими данными. Они хранятся на серверах, пока вы пользуетесь программой. После того как вы ее удалили, данные продолжают храниться «в течение срока исковой давности».
Кроме того, «Яндекс» собирает информацию, которую передает ваш девайс в автоматическом режиме:
- IP-адрес;
- идентификатор, тип и модель устройства;
- мобильная операционная система;
- сведения о браузере или мобильном приложении;
- адреса, которые вы искали или посещали.
Теоретически всю эту информацию «Яндекс» может передать по запросу государственным органам. Такая возможность прописана в соглашении о политике конфиденциальности (пункт 7).
«[Персональные данные могут быть переданы] любому национальному и/или международному регулирующему органу, правоохранительным органам, центральным или местным исполнительным органам власти, другим официальным или государственным органам или судам, в отношении которых „Яндекс“ обязан предоставлять информацию в соответствии с применимым законодательством по соответствующему запросу».
Не совсем понятно, сколько «Яндекс» хранит данные — например, историю ваших поездок в такси. В политике конфиденциальности (пункт 9) об этом говорится расплывчато.
«„Яндекс“ будет хранить вашу персональную информацию столько времени, сколько это необходимо для достижения цели, для которой она была собрана, или для соблюдения требований законодательства и нормативных актов. Если иное не требуется по закону или соглашению с вами, электронные письма и документы, которые вы храните в системах „Яндекса“ как часть Сервиса, будут храниться до тех пор, пока у вас есть учетная запись, но они могут быть удалены вами в любое время».
В документе утверждается, что пользователь сам может удалить свои персональные данные — для этого нужно удалить необходимую информацию (например, историю поездок на такси) через сайт или приложения «Яндекс». Но на эту функцию мы не рекомендуем полагаться. Лучше направить в компанию запрос об удалении персональных данных (как это сделать, рассказываем ниже).
Что делать, чтобы ваши персональные данные не попали в чужие руки?
Сохранить полную анонимность на маркетплейсах, сервисах доставки и такси почти невозможно. Вы можете использовать при регистрации вымышленные имя и фамилию, а также электронный адрес, в названии которого ничто не будет указывать на ваше реальное имя. Но на большинстве маркетплейсов и сервисов можно зарегистрироваться только с помощью белорусского номера мобильного телефона. Поэтому сохранить анонимность, воспользовавшись иностранным или виртуальным номером, не получится. Единственный вариант — белорусская сим-карта, зарегистрированная на другого человека. Но он подойдет далеко не каждому.
Если вы опасаетесь политического преследования со стороны властей и, например, пытаетесь выехать из страны — не пользуйтесь белорусской сим-картой, зарегистрированной на ваше имя. Лучше даже не вставлять ее в телефон. По сигналам сим-карты силовики могут вычислить местоположение ее владельца.
Зато любой пользователь может потребовать у сервиса отчитаться об использовании его персональных данных и — в случае необходимости — их удалить. Такие права граждан Беларуси прописаны в Законе «О защите персональных данных».
- Вы можете запросить от сервиса информацию о том, кто получал доступ к обработке ваших персональных данных. Сервис обязан предоставить сведения об этом в течение пяти дней либо объяснить причины отказа. Отказать могут, если данные обрабатывают органы государственной статистики или ими заинтересовались силовики: они касаются вопросов «национальной безопасности, обороны, борьбы с коррупцией и терроризмом, противодействия экстремизму, легализации преступных доходов и т.п.» или «в соответствии законодательству об оперативно-разыскной деятельности».
- Раз в год пользователь имеет право потребовать от сервиса отчитаться о предоставлении персональных данных третьим лицам. Такую информацию обязаны предоставлять в течение 14 дней или отказать с указанием причин (как и в первом пункте, они, скорее всего, будут связаны с интересом со стороны силовиков).
- Наконец, пользователь вправе в любое время без объяснения причин отозвать свое согласие на обработку персональных данных, а также их удалить. Сервис должен будет удалить данные в течение 15 дней и уведомить об этом их владельца.
О том, как правильно оформлять запросы сервисам по поводу персональных данных, можно прочитать в статье 14 Закона «О защите персональных данных».