Страницы

РЖД и ПДн

Не так давно на Хабре поднималась тема про персональные данные и РЖД (пост прикрыли, но вот зеркало). Так вот, помимо кучи дыр, меня заинтересовали "замечательные" условия обработки персональных данных, размещенные на сайте rzd.ru .



(кстати сам URL как бы намекает, что защита своих перс.данных - дело пользователя..=))

Далее на страничке идут сведения о пользователе, которые РЖД теперь будет считать общедоступными: ФИО, пол, мыло, телефон, дата рождения, логин с паролем + ответы на секретные вопросы типа девичьей фамилии матери. 

Дело в том, что нельзя признать свои персональные данные общедоступными на каком-то одном сайте. Соглашаясь с такими условиями вы, фактически, разрешаете переслать либо опубликовать ваши ПДн кому угодно. Вы так же лишаетесь права  спросить у РЖД куда они ваши персональные данные передавали, как обрабатывают и защищают. Особо интересный момент - это "общедоступность" логина, пароля и секретного ответа! 

Теперь если сайт РЖД взломают и сведения о миллионах пассажиров попадут в сеть, если сотрудник РЖД продаст базу на сторону, если у вас угонят аккаунт - РЖД тут не причем. Всё общее! 

В последние несколько лет Интернет кипит в борьбе за privacy (вот нет в нашем языке аналога этому слову. В трех словах: неприкосновенность частной жизни). Каждый крупный сервис оброс политиками конфиденциальности, утверждающими что нет ничего ценней, чем персональные данные пользователя. Но РЖД выбрали свой путь (см. картинку в заголовке). Все равно никто не читает условия использования...

Через портал госуслуг я написал запрос в РКН, попросив проверить соответствие способов обработки персональных данных целям обработки (ст. 5 152-ФЗ), указал на отсутствие на сайте политики обработки персональных данных и попросил их организовать внеплановую проверку, т.к. есть серьезные подозрения в массовом нарушении прав тысяч граждан.

Спустя полтора месяца я получил ответ от РКН (полный текст).
Сообщаем, что ОАО «РЖД», как администратор интернет-ресурса www.rzd.ru (далее – Сайт), вправе самостоятельно устанавливать правила регистрации пользователей на Сайте. До начала процедуры регистрации на Сайте пользователь предупреждается, что указанные пользователем регистрационные данные являются общедоступными персональными данными и не нуждаются в защите, а также будут доступны всем посетителям интерактивных сервисов корпоративного веб-портала ОАО «РЖД».В связи с тем, что пользователь самостоятельно и добровольно принимает решение о регистрации на Сайте и предоставлении своих персональных данных, в случае несогласия с правилами регистрации на Сайте, пользователь вправе отказаться от такой регистрации.Решение вопроса о возможном нарушении прав пользователей (не как субъектов персональных данных), в части ограничения возможности использования ресурсов Сайта, находится вне компетенции Управления.Информация, представленная в Вашем обращении, не содержит в себе оснований для организации и проведения внеплановой проверки в отношении ОАО «РЖД».
Обобщив предыдущий ответ Роскомнадзора по поводу защиты персональных данных на портале госуслуг, можно сказать, что образ защищенного "в соответствие с требованиями 152-ФЗ" вебсайта у нас сформировался: на вебсайте должна быть галка "разрешаю всем всё!" и всем остальным можно не заморачиваться.

Соответственно пользователям я бы посоветовал читать условия использования сервисов, а вебмастерам - брать пример с РЖД и Госуслуг =(.

PS. Концовка письма чуть-чуть смягчила мою грусть по похороненному праву на личную тайну:
Управление выражает Вам признательность за проявленное внимание к вопросу исполнения законодательства Российской Федерации в области персональных данных и поддерживает Вашу активную гражданскую позицию.



16 комментариев:

  1. Ну что тут скажешь ?
    Это россия, сынок ..!))
    Грустно, но правда.

    ОтветитьУдалить
  2. А я могу сказать след-ее:
    Для того чтобы ПДн сделать общедоступными - необходимо получить ПИСЬМЕННОЕ согласие субъекта! Ст.8. ФЗ-152
    Наррушения со стороны РЖД-они не защищают ПДн, как написано выше. (общедоступный источник то они не создают).
    Ну а в целом слов нет конечно, одни м..ы.

    ОтветитьУдалить
  3. Клево!
    Так можно на работе собрать всех, сказать что я буду защищать ваши ПДн как нужно, но так как РКН требует много, то подпишите бумажку что вы согласны сделать ПДн общедоступными. И получаем то же самое что и в статье! У нас отпадает защита ИСПДн-Кадры, а саму ИСПДн можно защищать как хочешь, как считаешь нужным и достаточным. РКН идет лесом.

    ОтветитьУдалить
    Ответы
    1. Были такие прецеденты. Но если говорить о сотрудниках, то в ТК есть статья 86 а в ней п.9: работники не должны отказываться от своих прав на сохранение и защиту тайны.
      А раз есть тайна - значит общедоступность идет лесом )

      Удалить
    2. Артём, поправьте меня если я не прав, но ведь то, что работники "не должны" это ведь не значит что они добровольно не могут ? Как например, предоставлен выбор работнику в данном соглашении: http://spbu.ru/images/orders/23664197-3099618-3099983.pdf
      Да и в «Справочник кадровика, № 1, 2011» есть форма соглашение работка на общедоступность.

      Удалить
    3. Хороший вопрос. Как по мне, так "не должны" значит "не могут". Стоит, конечно, поинтересоваться мнением Роскомнадзора и Минтруда по этому вопросу.

      Удалить
  4. Письменного разрешения от пользователей нет, нужно повторный запрос направить в РКН, копию в ФАС по ограничению доступа.
    С другой стороны оказавшись в поликлиннике от обработки ПД - услуг ты не получишь.

    ОтветитьУдалить
  5. Сергей, да хоть ты умирать будешь и откажешься от обработки пдн тебя все равно попытаются спасти) им пофиг(да и по закону тоже) на то что ты не дашь им согласие )

    ОтветитьУдалить
  6. По новым приказам ФСТЭК общедоступные тоже надо будет защищать сертифицированными СЗИ. Вот и прикроется лавочка. Повторите запрос после их выхода, добавив в адресатов ФСТЭК.

    ZZubra

    ОтветитьУдалить
  7. Тоже кстати заметила эту вещь где-то пол-года назад, когда покупала билет на поезд.

    ОтветитьУдалить
  8. Вы отправляли повторный запрос? с учетом Ст.8. ФЗ-152

    ОтветитьУдалить
  9. ФЗ-152. Статья 8. Общедоступные источники персональных данных

    1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
    Наврятли кто-то из пользователей, зарегистрированных на этом сайте, давал письменное согласие...

    ОтветитьУдалить
    Ответы
    1. У РЖД ведь не общедоступный источник. Данные общедоступные, но "источник" они не создают.

      Удалить
  10. Все государственные регулирующие-контролирующие органы нужны только для того, чтобы прижучить по указке "сверху" неугодных лиц (юридических или физических) по поводу или без. При этом они будут с пеной у рта заявлять, что действуют исключительно в целях защиты прав субъектов, хотя эта самая защита находится на самом распоследнем месте их работы. Не будет РКН ссориться с РЖД и Порталом гос_услуг до тех пор, пока не поступит "сигнал сверху".

    ОтветитьУдалить
    Ответы
    1. Вот наиболее правильный ответ. Законодательство у нас есть, однако регуляторы при проверках решают всё "на месте". Т.е. как договоришься. В зависимости от региона. В итоге ничего точно сказать нельзя. Например, в одном из регионов ФСТЭК наехал на оператора, который защищал гос. тайну с помощью Secret Net, который использует механизм дискреционного доступа из Windows, который, в свою очередь, под гос. тайну не сертифицирован. Однако в других регионах - всё ОК, никто не возникает. Отзыва сертификата нет.

      Удалить