Страницы

РЖД и ПДн

Не так давно на Хабре поднималась тема про персональные данные и РЖД (пост прикрыли, но вот зеркало). Так вот, помимо кучи дыр, меня заинтересовали "замечательные" условия обработки персональных данных, размещенные на сайте rzd.ru .



(кстати сам URL как бы намекает, что защита своих перс.данных - дело пользователя..=))

Далее на страничке идут сведения о пользователе, которые РЖД теперь будет считать общедоступными: ФИО, пол, мыло, телефон, дата рождения, логин с паролем + ответы на секретные вопросы типа девичьей фамилии матери. 

Дело в том, что нельзя признать свои персональные данные общедоступными на каком-то одном сайте. Соглашаясь с такими условиями вы, фактически, разрешаете переслать либо опубликовать ваши ПДн кому угодно. Вы так же лишаетесь права  спросить у РЖД куда они ваши персональные данные передавали, как обрабатывают и защищают. Особо интересный момент - это "общедоступность" логина, пароля и секретного ответа! 

Теперь если сайт РЖД взломают и сведения о миллионах пассажиров попадут в сеть, если сотрудник РЖД продаст базу на сторону, если у вас угонят аккаунт - РЖД тут не причем. Всё общее! 

В последние несколько лет Интернет кипит в борьбе за privacy (вот нет в нашем языке аналога этому слову. В трех словах: неприкосновенность частной жизни). Каждый крупный сервис оброс политиками конфиденциальности, утверждающими что нет ничего ценней, чем персональные данные пользователя. Но РЖД выбрали свой путь (см. картинку в заголовке). Все равно никто не читает условия использования...

Через портал госуслуг я написал запрос в РКН, попросив проверить соответствие способов обработки персональных данных целям обработки (ст. 5 152-ФЗ), указал на отсутствие на сайте политики обработки персональных данных и попросил их организовать внеплановую проверку, т.к. есть серьезные подозрения в массовом нарушении прав тысяч граждан.

Спустя полтора месяца я получил ответ от РКН (полный текст).
Сообщаем, что ОАО «РЖД», как администратор интернет-ресурса www.rzd.ru (далее – Сайт), вправе самостоятельно устанавливать правила регистрации пользователей на Сайте. До начала процедуры регистрации на Сайте пользователь предупреждается, что указанные пользователем регистрационные данные являются общедоступными персональными данными и не нуждаются в защите, а также будут доступны всем посетителям интерактивных сервисов корпоративного веб-портала ОАО «РЖД».В связи с тем, что пользователь самостоятельно и добровольно принимает решение о регистрации на Сайте и предоставлении своих персональных данных, в случае несогласия с правилами регистрации на Сайте, пользователь вправе отказаться от такой регистрации.Решение вопроса о возможном нарушении прав пользователей (не как субъектов персональных данных), в части ограничения возможности использования ресурсов Сайта, находится вне компетенции Управления.Информация, представленная в Вашем обращении, не содержит в себе оснований для организации и проведения внеплановой проверки в отношении ОАО «РЖД».
Обобщив предыдущий ответ Роскомнадзора по поводу защиты персональных данных на портале госуслуг, можно сказать, что образ защищенного "в соответствие с требованиями 152-ФЗ" вебсайта у нас сформировался: на вебсайте должна быть галка "разрешаю всем всё!" и всем остальным можно не заморачиваться.

Соответственно пользователям я бы посоветовал читать условия использования сервисов, а вебмастерам - брать пример с РЖД и Госуслуг =(.

PS. Концовка письма чуть-чуть смягчила мою грусть по похороненному праву на личную тайну:
Управление выражает Вам признательность за проявленное внимание к вопросу исполнения законодательства Российской Федерации в области персональных данных и поддерживает Вашу активную гражданскую позицию.



12 комментариев:

  1. Ну что тут скажешь ?
    Это россия, сынок ..!))
    Грустно, но правда.

    ОтветитьУдалить
  2. А я могу сказать след-ее:
    Для того чтобы ПДн сделать общедоступными - необходимо получить ПИСЬМЕННОЕ согласие субъекта! Ст.8. ФЗ-152
    Наррушения со стороны РЖД-они не защищают ПДн, как написано выше. (общедоступный источник то они не создают).
    Ну а в целом слов нет конечно, одни м..ы.

    ОтветитьУдалить
  3. Клево!
    Так можно на работе собрать всех, сказать что я буду защищать ваши ПДн как нужно, но так как РКН требует много, то подпишите бумажку что вы согласны сделать ПДн общедоступными. И получаем то же самое что и в статье! У нас отпадает защита ИСПДн-Кадры, а саму ИСПДн можно защищать как хочешь, как считаешь нужным и достаточным. РКН идет лесом.

    ОтветитьУдалить
    Ответы
    1. Были такие прецеденты. Но если говорить о сотрудниках, то в ТК есть статья 86 а в ней п.9: работники не должны отказываться от своих прав на сохранение и защиту тайны.
      А раз есть тайна - значит общедоступность идет лесом )

      Удалить
  4. Письменного разрешения от пользователей нет, нужно повторный запрос направить в РКН, копию в ФАС по ограничению доступа.
    С другой стороны оказавшись в поликлиннике от обработки ПД - услуг ты не получишь.

    ОтветитьУдалить
  5. Сергей, да хоть ты умирать будешь и откажешься от обработки пдн тебя все равно попытаются спасти) им пофиг(да и по закону тоже) на то что ты не дашь им согласие )

    ОтветитьУдалить
  6. По новым приказам ФСТЭК общедоступные тоже надо будет защищать сертифицированными СЗИ. Вот и прикроется лавочка. Повторите запрос после их выхода, добавив в адресатов ФСТЭК.

    ZZubra

    ОтветитьУдалить
  7. Тоже кстати заметила эту вещь где-то пол-года назад, когда покупала билет на поезд.

    ОтветитьУдалить
  8. Анонимный16 мая 2013 г., 15:37

    Вы отправляли повторный запрос? с учетом Ст.8. ФЗ-152

    ОтветитьУдалить
    Ответы
    1. А что изменится если учитывать ст.8?

      Удалить
  9. ФЗ-152. Статья 8. Общедоступные источники персональных данных

    1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
    Наврятли кто-то из пользователей, зарегистрированных на этом сайте, давал письменное согласие...

    ОтветитьУдалить
    Ответы
    1. У РЖД ведь не общедоступный источник. Данные общедоступные, но "источник" они не создают.

      Удалить