Студент одного из польских вузов (страна входит в ЕС) белорус Кристиан Шинкевич пожаловался на ВКонтакте в польское Управление охраны персональных данных (Urząd Ochrony Danych Osobowych, UODO), передал SecurityLab. Шинкевич утверждает, что ВК нарушила европейский Общий регламент по защите данных (General Data Protection Regulation, GDPR).
Шинкевич возмущён, каким образом, в ответ на запрос, ВК выдала ему его персональные данные. Агент поддержки прислал запароленный zip-архив, пароль к архиву также предоставил агент, то есть данные, потенциально, "прозрачны" для службы поддержки ВК. Кроме того, в архиве обнаружились (перечень на русском) якобы удалённые, как считал Шинкевич, сообщения и другие данные — от момента заведения ВК-профиля до настоящего времени. По утверждению студента ВК хранит удалённые сообщения даже дольше, чем этого может требовать российский "Закон Яровой", предположительно — вечно.
Исполнительный директор Центра цифровых прав Денис Лукаш объяснил:
По GDPR есть принцип минимализации и принятия организационных и технических мер защиты. Соответственно, опираясь на него, сотрудник ВК может найти ID пользователя и выгрузить информацию, она может быть зашифрована (zip с паролем). Здесь вроде все логично. Но эта мера защиты сводится к абсурду, если пароль дает тот же сотрудник. Это может свидетельствовать о том, что в ВК не обеспечена должная защита на организационном уровне защиты персональных данных ни по 152-ФЗ, ни по GDPR. Разграничение прав доступа и их учет — базовое правило защиты информации. ВК может быть оштрафован сразу по двум событиям: нарушение основных принципов и нарушения прав субъекта. За что полагается штраф в размере до €20 млн, или 4% от мирового оборота группы компаний за последний финансовый год.
GDPR правила начали действовать в мае 2018 года, они экстерриториальны и применяются к компаниям, обрабатывающим персональные данные резидентов и граждан ЕС.