15 мая 2019

Эксперты: Госорганы игнорируют сигналы об утечках персональных данных

По словам главы Ассоциации участников рынков данных Ивана Бегтина, Роскомнадзору неоднократно сообщалось, что данные россиян, в том числе высокопоставленных чиновников, выложены в открытый доступ, и уже через 8 месяцев бездействия надзорного ведомства эксперты решили эту информацию передать СМИ.

Около 360 тысяч записей с личной информацией обнаружил в открытом доступе председатель Ассоциации участников рынков данных Иван Бегтин. Об этом говорится в его исследовании «Утечки персональных данных из открытых источников. Государственные информационные системы», копию которого эксперт передал журналистам РБК.

Утечки персональных данных были выявлены Бегтиным при изучении данных с сайтов восьми информационных государственных систем. Напомним, ранее сообщалось, что в открытом доступе оказались порядка 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве российских граждан.

Недавно стало известно, что в открытом доступе находятся 50 тысяч записей реестра субсидий федерального бюджета Минфина, 10 тысяч записей реестра отчетов некоммерческих организаций Минюста, 1 тысяча записей реестра обращений граждан на портале «Онлайн Инспектор» Роструда, по 2 тысячи записей информационной системы «Правовые акты ФАС России» и портала торгов по госимуществу ФАС, от 1 до 2 тысяч записей портала управления многоквартирными домами Москвы, около 2,5 тысячи записей московского портала закупок и 300 тысяч записей портала государственного и муниципального заказа федерального казначейства.

По словам Бегтина, данная им оценка масштабов утечки персональных данных носит приблизительный характер, поскольку он говорит о «записях» — а в каждой такой записи могут содержаться сведения о нескольких гражданах.

Бегтин обратил внимание на то, что среди людей, чьи данные находятся в открытом доступе, оказались первый заместитель председателя Госдумы Александр Жуков, бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский, а также председатель правления «Роснано» Анатолий Чубайс и другие топ-менеджеры корпорации.

Утечки возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов, считает Бегтин. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — говорит исследователь.

Более подробно Бегтин рассказывает об этом в своём Telegram-канале. По его словам, вся эта информация была отправлена журналистам через восемь месяцев после того, как материалы передавались Роскомнадзору, «они даже отвечали в форме «с чем-то мы согласны, с чем-то несогласны»». Эксперт также заявил о передаче столь важной информации другим госорганам о проблемах в их инфосистемах, но в итоге не прореагировал никто.

По наиболее серьёзным утечкам персональных данных, уточняет Бегтин, органы власти, операторы систем были предупреждены ещё 8 месяцев назад, а то и раньше:

«Некоторые по нескольку раз. Лично я понял, что механизм предупреждения любыми неформальными способами не работает. В этот раз проблема не в объёме, а в том, чьи данные раскрываются.

Особо про Минюст. Я скажу максимально вежливо — очень много вопросов по профессионализму тех, кто ведёт их реестры. Утечки персданных — это лишь один из примеров крайне низкого качества [обработки и хранения] данных в целом.

И да, конечно же, это не все государственные информационные ресурсы, на которых публикуют персональные данные. Это та их часть, до которой у меня дошли руки полгода назад всё задокументировать».

Эксперт заявил, что он всегда готов к диалогу, поэтому для связи с ним опубликовал адрес электронной почты — [email protected] и аккаунт в Telegram — https://t.me/ibegtin.

Раскрытие персональных данных противоречит законодательству, говорит старший юрист практики по интеллектуальной собственности Bryan Cave Leighton Paisner Ирина Шурмина, прежде всего федеральному закону «О персональных данных». «Вряд ли субъект предполагал, что эти персональные данные, в частности паспортные, будут раскрываться кому-то еще», — уточнила она.

Ответственность за подобные утечки предусмотрена в Кодексе об административных правонарушениях. «Там есть несколько составов, например обработка персональных данных без согласия субъекта персональных данных наказывается штрафом в размере до 75 тыс. руб., — пояснила Шурмина. — Штраф может взиматься за каждого человека, чьи персональные данные были раскрыты, иными словами, закон не мешает умножить 75 тыс. руб. на количество человек, чья персональная информация утекла».

В случае административной ответственности штраф взыскивается в пользу государства, уточнила Шурмина. Однако если субъект персональных данных сможет доказать, что столкнулся со значительными негативными последствиями из-за утечки, то, возможно, он добьется компенсации морального вреда. «Однако на практике причинение морального вреда доказать довольно затруднительно», — отметила эксперт.

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.