Din cauza lacunelor legislative, informațiile despre pașapoarte și SNILS erau în domeniul public
Site-urile electronice introduc date personale necriptate ale participanților la licitații pe domeniul public. Din această cauză, peste 2,2 milioane de înregistrări sunt disponibile public, incluzând numerele SNILS, pașapoartele și informații despre angajare.
Cum au fost găsite numărul de pașapoarte și SNILS în domeniul public?
Cel puțin 2,24 milioane de înregistrări cu date de pașaport, numere SNILS și informații despre angajarea rușilor sunt în domeniul public. Acest lucru a fost descoperit de Ivan Begtin, președintele Asociației Participanților pe Piețele de Date; Cercetarea sa „Datele personale scurg din surse deschise. RBC are platforme de tranzacționare electronică.
Studiul a analizat informațiile de pe cele mai mari platforme de tranzacționare electronică din Rusia, unde cumpărăturile comerciale și achizițiile guvernamentale sunt plasate în conformitate cu legile federale 44-FZ și 223-FZ, și anume: modulul de cumpărare ZakazRF (562 mii de înregistrări), licitația RTS (550 mii). recorduri), Roseltorg (468 mii de înregistrări), Platforma electronică națională (142 mii de înregistrări), ETP AHRF (18 mii de înregistrări) și Sberbank AST (500 mii de înregistrări). Pe toate site-urile, puteți găsi informațiile personale ale participanților la licitație.
Apelând la apariția acestor informații o scurgere nu poate fi decât o întindere, a clarificat Begtin într-o conversație cu RBC. „Aceasta este accesibilitatea inițială datorată erorilor din legislație și ignoranței dezvoltatorilor [a site-urilor]”, a spus el.
Video promotional:
Cum se scurg datele pașapoartelor?
Begtin a oferit un algoritm pentru obținerea de date personale de la fiecare dintre site-urile menționate. Toți aceștia lucrau la materialul RBC până la începerea lucrărilor. După ce RBC s-a adresat reprezentanților Sberbank AST, sistemul a închis posibilitatea de a descărca date.
Mecanismul de descărcare a documentelor cu date personale pe toate site-urile enumerate este același. În cele mai multe cazuri, datele puteau fi găsite (după cum a fost convins de RBC) în deciziile stocate acolo cu privire la aprobarea licitațiilor deschise. Unele dintre ele conțin, de asemenea, adrese de e-mail, numere SNILS și informații despre angajarea participanților la licitație.
De ce sunt datele din domeniul public?
Motivul pentru care datele personale sunt postate pe platformele electronice este că deciziile de aprobare a tranzacțiilor mari în majoritatea cazurilor conțin informații despre cei care au aprobat această tranzacție, precum și despre reprezentanții acestora.
Reprezentantul RTS-Tender a declarat pentru RBC că, în conformitate cu legea, pentru acreditarea participanților pe platforma electronică, trebuie să fie transferată o anumită listă de documente - compania sa a încărcat-o pe site-ul web. Nikolai Andreev, directorul general al Sberbank AST, a declarat pentru RBC că, conform procedurii aprobate, registrul de participanți conține informații despre numele organizației, OGRN, TIN, precum și data de început și de sfârșit a acreditării. În registrul deschis al participanților la achiziții, pe care toți operatorii platformelor electronice trebuie să-l mențină în conformitate cu normele 44-FZ, uneori pot fi găsite date cu caracter personal, a menționat serviciul de presă al Roseltorg. Cu toate acestea, toate informațiile și documentele afișate în registru sunt pregătite chiar de către ofertanți, iar operatorii platformelor electronice sunt obligați să le publice neschimbate, a explicat reprezentantul companiei.
Potrivit lui Begtin, problema constă în două mari lacune în legislație. "Primul este cerința de a publica decizii disponibile publicului cu privire la aprobarea tranzacțiilor majore, care, potrivit practicii rusești, includ adesea datele despre pașaport ale fondatorilor", a explicat el. Al doilea este în practica utilizării unei semnături electronice calificate pentru publicarea documentelor de către clienți și furnizori. "Semnătura atașată unui astfel de fișier conține aceleași metadate ca semnătura electronică - nume complet, e-mail, SNILS", a spus Begtin pentru RBC.
Plasarea deschisă a datelor privind pașapoartele încalcă legea?
Prelucrarea datelor cu caracter personal ale ofertanților necesită consimțământul lor și este reglementată de legea „Cu privire la datele cu caracter personal”, a declarat Andrey Arsentiev, analistul InfoWatch Group. „Desigur, faptul că aveți date personale într-un mediu deschis este o încălcare. Aparent, platformele de tranzacționare electronică nu acordă întotdeauna suficientă atenție protejării datelor participanților la tranzacționare, deoarece nu există o răspundere strictă pentru încălcări”, a explicat el.
Dezvăluirea datelor despre pașapoarte poate intra sub incidența art. 137 din Codul penal (răspunderea penală pentru încălcarea vieții private), spune Konstantin Bochkarev, consilier al firmei de avocatură CMS. El citează un exemplu din practica judiciară, când Curtea Orașului Moscova a recunoscut un număr de telefon ca secret personal sau de familie. La publicarea unor astfel de informații, art. 13.11 din Codul administrativ al Federației Ruse (încălcarea legislației Federației Ruse în domeniul datelor cu caracter personal), susține avocatul.
Ce se întâmplă dacă afli despre încălcarea datelor?
Potrivit avocaților, o persoană care a descoperit o scurgere a datelor sale poate merge în instanță pentru daune. Cu toate acestea, dacă nu există dovezi ale pierderilor materiale, va fi dificil să obțineți compensații, Bochkarev este convins. „Pentru un cetățean obișnuit care nu își poate permite un proces lung și costisitor, cel mai eficient mod este să mergi direct pe site-ul unde sunt publicate datele și să le solicite să fie eliminate”, a spus el.
În plus, Roskomnadzor are dreptul de a amenda site-ul electronic la raportarea unei scurgeri de date cu caracter personal în presă, chiar și fără reclamații din partea persoanelor fizice. „În acest caz, datele vor fi șterse rapid”, a adăugat Bochkarev. El a menționat că o astfel de „neglijență” amenință riscurile de reputație pentru platformele electronice.
Scandale recente privind încălcarea datelor
La începutul lunii aprilie, a fost postată pe internet o bază de date cu pacienți ambulanți din mai multe orașe din apropierea Moscovei. De la acesta puteți afla numele, adresele și numerele de telefon, precum și starea de sănătate a celor care au consultat medicii. Comitetul de investigare a început să verifice acest aspect.
Facebook a fost acuzat de scurgeri de informații personale pe scară largă de mai multe ori. Ultima dată când s-a întâmplat acest lucru a fost în aprilie, când datele au fost disponibile public pe alte platforme și în spațiul de stocare în cloud Amazon. Înainte de aceasta, reprezentanții rețelei de socializare au descoperit că parolele unui număr de utilizatori Facebook au fost stocate pe serverele sale în formă necriptată - în text simplu. Sa raportat că stocarea necorespunzătoare a informațiilor a fost dezvăluită în timpul unui control de securitate de rutină din ianuarie; aceasta a afectat „sute de milioane de utilizatori Facebook Lite, zeci de milioane de alți utilizatori Facebook și zeci de mii de utilizatori de Instagram”.
Autori: Evgeniya Kuznetsova, Evgeniya Balenko
Cu: Mikhail Nesterkin
