Taxislužba Yango posílala data zákazníků do Ruska. Evropské regulátory uložily firmě pokutu

Evropské orgány ochrany osobních údajů potvrdily, že holandská společnost MLU B.V., provozovatel aplikace Yango patřící ruskému Yandexu, přenášela osobní data uživatelů z EU na ruské servery. Případ otevírá zásadní otázku: jak bezpečné jsou aplikace s ruským technologickým zázemím?

Pokud jste v posledních dvou letech objednávali taxík přes aplikaci Yango, vaše jméno, telefonní číslo, platební údaje a trasy jízd mohly skončit na serverech v Rusku – tedy v zemi, jejíž bezpečnostní složky mají ze zákona právo k těmto datům přistupovat bez jakéhokoli soudního příkazu. Přesně to vyplývá z rozhodnutí regulátorů ochrany osobních údajů z Finska, Norska a Nizozemska, kteří po zdlouhavém šetření uložili provozující společnosti MLU B.V. vysokou pokutu za porušení evropského nařízení GDPR.

Případ Yango není jen dalším skandálem s únikem dat. Je to příběh o tom, jak ruská technologická firma dokázala po několik let operovat na evropském trhu za zdánlivě legitimní právní fasádou, přičemž její technická infrastruktura zůstávala plně propojena s Moskvou. A o tom, jak evropský regulační systém – přes všechny své nedostatky – nakonec dokázal tento systém odhalit.

Amsterdamská adresa, ruské servery

Yango je taxislužba provozovaná společností MLU B.V. se sídlem v Amsterdamu. Na první pohled šlo o standardní evropskou technologickou firmu – registrovanou v Holandsku, operující na území EU, formálně podléhající evropskému právu. Ve skutečnosti však byla MLU B.V. dceřinou společností ruského technologického giganta Yandex, přičemž její technická infrastruktura zůstávala závislá na serverech v Ruské federaci.

Právě zde leží jádro problému. Ruský zákon o lokalizaci dat ukládá firmám povinnost uchovávat data ruských uživatelů na domácích serverech a zároveň je zpřístupňovat bezpečnostním složkám na vyžádání. Jenže Yandex byl propojen způsobem, který fakticky umožňoval, aby přes jeho infrastrukturu proudila i data evropských klientů Yanga. Regulátoři toto propojení označili za zásadní problém neslučitelný s GDPR.

„Ochranné mechanismy společnosti Yango neodpovídaly požadavkům práva EU. Firma zůstávala technicky závislá na ruské serverové infrastruktuře.“

— Společné prohlášení regulátorů Finska, Norska a Nizozemska

Co konkrétně sbírala aplikace Yango?

Pro uživatele taxislužby nejde o abstraktní technický spor. Aplikace jako Yango sbírá velmi citlivá data: přesnou polohu v reálném čase, historii jízd, platební informace, telefonní čísla. V souhrnu jde o podrobný profil pohybu a chování uživatele – informace, které mohou být pro zpravodajské účely mimořádně cenné.

Česká republika přitom nepatřila mezi hlavní trhy Yanga v Evropě – služba operovala především ve Finsku, Francii, Srbsku nebo v arabských zemích. Přesto případ přímý dosah na české uživatele má: principy, které regulátoři formulovali, se vztahují na veškeré digitální služby s podobnou strukturou. A takových aplikací s ruským technologickým zázemím na trhu není zrovna málo.

Co víme o kauze

  • Pokuta byla uložena holandské společnosti MLU B.V., evropskému provozovateli taxislužby Yango
  • Šetření vedli regulátoři z Finska, Norska a Nizozemska společně
  • Firma přenášela osobní data uživatelů EU na servery v Rusku bez dostatečných ochranných záruk
  • Yandex je největší ruská technologická společnost, často přirovnávaná k Googlu
  • Ruský zákon umožňuje bezpečnostním složkám přistupovat k datům uloženým na ruských serverech bez soudního příkazu

Technologická fasáda jako obchodní strategie

Případ Yango ukazuje na strategii, kterou lze nazvat „regulatorní arbitráž“. Firma si zřídí sídlo v zemi s přívětivým podnikatelským prostředím – v tomto případě v Nizozemsku – a tím získá přístup na celý jednotný trh EU. Zároveň ale udržuje technologické vazby na mateřskou firmu mimo EU, kde platí jiná pravidla. Dokud někdo neprokáže, kudy data skutečně tečou, vypadá vše v pořádku.

Právě proto trvalo vyšetřování tak dlouho. Regulátoři museli technicky doložit, že data neopouštěla pouze virtuálně holandský server, ale fyzicky putovala do Ruska. Tuto práci odvedly příslušné orgány Finska, Norska a Holandska koordinovaně – a výsledek je jasný: MLU B.V. porušila GDPR, protože nedokázala zaručit, že ruské bezpečnostní složky k datům přístup nemají.

Precedens, který mění pravidla hry

Rozhodnutí je důležité hned z několika důvodů. Zaprvé, regulátoři poprvé tak explicitně propojili technologickou závislost firmy na ruské infrastruktuře s rizikem státního špionáže. Nejde tedy jen o formální porušení pravidel přenosu dat, ale o konstatování, že samotná architektura systému představovala bezpečnostní hrozbu.

Zadruhé, rozhodnutí naznačuje, jak budou evropské orgány přistupovat k podobným případům v budoucnu. Firmy, které mají „technologické kořeny“ v Rusku – tedy jejichž infrastruktura, personál nebo klíčové systémy zůstávají propojeny s ruským prostředím – budou považovány za potenciální bezpečnostní riziko. A pokud porušení prokážou, hrozí jim nejen pokuta, ale i zákaz činnosti.

Pro technologický průmysl je to signál, který nelze ignorovat. Řada firem – zejména v odvětví logistiky, mobilit nebo platebních služeb – dosud spoléhala na to, že formální sídlo v EU postačí jako štít proti regulatornímu dohledu. Případ Yango tento přístup zpochybnil.

Co z toho plyne pro české uživatele?

Okamžité praktické dopady pro Česko jsou omezené – Yango tu nefunguje jako masová služba. Ale symbolický a precedentní rozměr rozhodnutí je klíčový. Česká republika patří mezi země, které v posledních letech systematicky zpřísňují přístup k digitální bezpečnosti – ať už jde o vyloučení Huawei z budování 5G infrastruktury nebo o doporučení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) ohledně rizikových aplikací.

Rozhodnutí evropských regulátorů tento trend potvrzuje a dává mu pevnější právní rámec. Nestačí, aby firma splňovala formální požadavky GDPR na papíře. Musí být schopna technicky doložit, že data skutečně chrání – i před vlastní mateřskou společností. A pokud tuto schopnost nemá, nemá co dělat na evropském trhu.

Je to nepříjemné pro byznys. Ale z pohledu ochrany dat evropských občanů je to přesně ten druh přísnosti, který situace vyžaduje.

Článek vychází z veřejně dostupných rozhodnutí orgánů ochrany osobních údajů Finska, Norska a Nizozemska a z analýzy právní dokumentace společnosti MLU B.V.

Autor: Franz Hoffman

Podobné příspěvky

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Web používá Akismet ke snížení množství spamu. Zjistěte, jak jsou zpracovávány údaje z komentářů.