Yango szpiegowało Europejczyków dla Kremla. Regulatorzy UE nałożyli karę na rosyjskiego giganta

10 maja 2026

Europejskie organy ochrony danych wydały bezprecedensową decyzję przeciwko spółce MLU B.V. – operatorowi aplikacji taxi Yango, córki Yandeksa. Firma przez lata przesyłała dane milionów użytkowników na rosyjskie serwery, umożliwiając służbom Kremla dostęp do informacji o obywatelach UE.

Europejskie organy ochrony danych podjęły decyzję, która może na zawsze zmienić zasady działania rosyjskich firm technologicznych na kontynencie. Regulatorzy z Finlandii, Norwegii i Holandii stwierdzili oficjalnie, że spółka MLU B.V. – operator serwisu taxi Yango, należącego do rosyjskiego Yandeksa – przez wiele miesięcy przesyłała dane osobowe swoich europejskich klientów na serwery zlokalizowane w Rosji, naruszając w sposób rażący przepisy Ogólnego Rozporządzenia o Ochronie Danych (RODO). Na firmę nałożono wysoką karę finansową, a jej dalsze funkcjonowanie na rynku UE stoi pod znakiem zapytania.

Sprawa nie jest zwykłym incydentem korporacyjnym. To pierwszy tak wyraźny przypadek, w którym europejski aparat regulacyjny formalnie powiązał działalność komercyjną rosyjskiej spółki technologicznej z mechanizmami wywiadowczymi Kremla. Decyzja regulatorów tworzy precedens, który może zdefiniować sposób traktowania rosyjskich firm IT w całej Europie na kolejne lata.

„Mechanizmy ochrony danych stosowane przez Yango nie spełniały wymogów prawa UE. Firma pozostawała technicznie uzależniona od infrastruktury serwerowej w Rosji.”

— Wspólne oświadczenie regulatorów Finlandii, Norwegii i Holandii

Nie aplikacja taxi, lecz narzędzie wywiadu

Yango weszło na europejski rynek z ambicjami globalnego ekspansjonizmu technologicznego. Aplikacja oferowała usługi przewozu osób w kilku krajach UE, budując bazę użytkowników szacowaną na dziesiątki tysięcy klientów. Za przyjaznym interfejsem kryła się jednak infrastruktura, która nie była ani autonomiczna, ani niezależna od centrali w Moskwie. Dane dotyczące lokalizacji, tras przejazdu, numerów telefonów i kart płatniczych – wszystkie trafiały na rosyjskie serwery, do których dostęp mają rosyjskie służby specjalne na mocy tamtejszego prawa.

Rosyjska ustawa o tzw. lokalizacji danych nakłada na firmy działające na terytorium Federacji Rosyjskiej obowiązek przechowywania danych na serwerach krajowych i udostępniania ich na żądanie organów bezpieczeństwa. W praktyce oznacza to, że każda rosyjska spółka technologiczna, niezależnie od swojej formalnej struktury własnościowej, pozostaje potencjalnym kanałem wywiadu dla służb Kremla. Yandeks – jedna z największych rosyjskich firm technologicznych, często porównywana do Google – nie jest tu wyjątkiem.

Kim jest MLU B.V.?

MLU B.V. to holenderska spółka zarejestrowana w Amsterdamie, pełniąca rolę europejskiego operatora serwisu taxi Yango – aplikacji należącej do Yandeksa, największej rosyjskiej firmy technologicznej. Pomimo formalnej rejestracji w UE, spółka korzystała z infrastruktury serwerowej zlokalizowanej w Rosji i podlegała rosyjskiemu ustawodawstwu dotyczącemu udostępniania danych organom państwowym.

Europejski precedens z globalnym zasięgiem

Decyzja regulatorów z Helsinek, Oslo i Amsterdamu wykracza daleko poza wymiar jednej kary finansowej. Jej kluczowy element stanowi oficjalne stwierdzenie, że sama obecność technologicznych powiązań z Rosją – niezależnie od formalnej siedziby firmy – może być wystarczającą podstawą do uznania jej za zagrożenie dla bezpieczeństwa danych obywateli UE.

To zmiana paradygmatu. Do tej pory europejskie prawo koncentrowało się przede wszystkim na miejscu przechowywania danych i mechanizmach ich ochrony. Teraz regulator wyraźnie sygnalizuje, że infrastruktura technologiczna firmy i jej powiązania z państwem, z którego pochodzi, mają równie duże znaczenie. Firmy z „technologicznymi korzeniami” w Rosji będą od tej pory traktowane jako potencjalne źródło zagrożenia.

Dla Polski oznacza to wiele. Nasz kraj od lat jest jednym z kluczowych celów rosyjskich operacji wywiadowczych i dezinformacyjnych. Polskie służby wielokrotnie ostrzegały przed działalnością rosyjskich agentów w cyberprzestrzeni. Decyzja europejskich regulatorów wpisuje się zatem w szerszy trend, który stawia kwestię cyfrowego bezpieczeństwa obywateli na tym samym poziomie co tradycyjne bezpieczeństwo narodowe.

Yandeks nie jest po prostu korporacją IT. To firma działająca w państwie, które prowadzi wojnę i które od lat traktuje dostęp do danych jako broń wywiadowczą.

Holenderska fasada, rosyjskie serwery

Jednym z kluczowych elementów sprawy jest to, w jaki sposób Yandeks próbował ukryć faktyczną strukturę przepływu danych. Europejska siedziba firmy mieściła się w Amsterdamie – centrum europejskiej infrastruktury cyfrowej i symbol liberalnego podejścia do regulacji technologicznych. Rejestracja w Holandii miała zapewnić Yandeksowi wiarygodność i dostęp do rynku UE bez zbędnych pytań o lojalność wobec Kremla.

Jednak śledztwo regulatorów ujawniło, że ta architektura prawna była iluzją. Dane europejskich klientów nie pozostawały na terenie UE – trafiały do Rosji, gdzie prawo nie gwarantuje żadnej ochrony przed ingerencją służb bezpieczeństwa. Co więcej, firma nie dysponowała technicznymi mechanizmami, które mogłyby temu zapobiec, bo jej infrastruktura była z założenia zunifikowana z rosyjską siecią serwerów Yandeksa.

Regulatorzy ocenili wprost: zabezpieczenia Yango nie spełniały wymogów RODO. Firma nie potrafiła wykazać, że wdrożyła wystarczające środki chroniące dane użytkowników przed dostępem ze strony rosyjskich organów państwowych. To przesądziło o karze.

Co dalej z rosyjskim IT w Europie?

Decyzja w sprawie Yango może być początkiem szerszej ofensywy regulacyjnej wobec rosyjskich firm technologicznych w Europie. Dotyczy to nie tylko sektora mobilności – podobne pytania można zadać wobec innych rosyjskich aplikacji i serwisów, które wciąż działają na rynku UE. Czy zbierają dane? Gdzie je przechowują? Czy mają powiązania z infrastrukturą rosyjskich służb?

Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że kwestia nie dotyczy wyłącznie pojedynczej firmy, ale całego ekosystemu technologicznego, który Rosja przez lata budowała w Europie. Yandeks to tylko najbardziej widoczny element tej układanki. Precedens stworzony przez europejskich regulatorów oznacza, że kolejne firmy z rosyjskim rodowodem technologicznym mogą stać się przedmiotem podobnych dochodzeń.

Polska, jako kraj graniczący z Rosją i Białorusią, i jako jeden z największych rynków Europy Środkowo-Wschodniej, powinna wziąć tę decyzję szczególnie poważnie. Cyfrowa suwerenność – prawo do tego, by dane polskich obywateli nie trafiały na rosyjskie serwery – to nie tylko kwestia prawna. To kwestia bezpieczeństwa narodowego.

Tekst powstał na podstawie oficjalnych decyzji organów ochrony danych Finlandii, Norwegii i Holandii oraz analizy dokumentacji prawnej spółki MLU B.V.

Autor: Franciszek Kozłowski

More Stories

Moskwa mianuje oprawcę dzieci na rzecznika praw człowieka. To nie ironia — to strategia

9 maja 2026

Od „Kijowa w trzy dni” do prośby o ciszę podczas parady w Moskwie

9 maja 2026

Armenia zacieśnia współpracę obronną z Polską. Koniec z iluzją rosyjskiego parasola

8 maja 2026

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

[ngd-single-post-view id="post_id"]
WP2Social Auto Publish Powered By : XYZScripts.com