Не так давно на Хабре поднималась тема про персональные данные и РЖД (пост прикрыли, но вот зеркало). Так вот, помимо кучи дыр, меня заинтересовали "замечательные" условия обработки персональных данных, размещенные на сайте rzd.ru .
(кстати сам URL как бы намекает, что защита своих перс.данных - дело пользователя..=))
Далее на страничке идут сведения о пользователе, которые РЖД теперь будет считать общедоступными: ФИО, пол, мыло, телефон, дата рождения, логин с паролем + ответы на секретные вопросы типа девичьей фамилии матери.
Дело в том, что нельзя признать свои персональные данные общедоступными на каком-то одном сайте. Соглашаясь с такими условиями вы, фактически, разрешаете переслать либо опубликовать ваши ПДн кому угодно. Вы так же лишаетесь права спросить у РЖД куда они ваши персональные данные передавали, как обрабатывают и защищают. Особо интересный момент - это "общедоступность" логина, пароля и секретного ответа!
Теперь если сайт РЖД взломают и сведения о миллионах пассажиров попадут в сеть, если сотрудник РЖД продаст базу на сторону, если у вас угонят аккаунт - РЖД тут не причем. Всё общее!
В последние несколько лет Интернет кипит в борьбе за privacy (вот нет в нашем языке аналога этому слову. В трех словах: неприкосновенность частной жизни). Каждый крупный сервис оброс политиками конфиденциальности, утверждающими что нет ничего ценней, чем персональные данные пользователя. Но РЖД выбрали свой путь (см. картинку в заголовке). Все равно никто не читает условия использования...
Через портал госуслуг я написал запрос в РКН, попросив проверить соответствие способов обработки персональных данных целям обработки (ст. 5 152-ФЗ), указал на отсутствие на сайте политики обработки персональных данных и попросил их организовать внеплановую проверку, т.к. есть серьезные подозрения в массовом нарушении прав тысяч граждан.
Спустя полтора месяца я получил ответ от РКН (полный текст).
Сообщаем, что ОАО «РЖД», как администратор интернет-ресурса www.rzd.ru (далее – Сайт), вправе самостоятельно устанавливать правила регистрации пользователей на Сайте. До начала процедуры регистрации на Сайте пользователь предупреждается, что указанные пользователем регистрационные данные являются общедоступными персональными данными и не нуждаются в защите, а также будут доступны всем посетителям интерактивных сервисов корпоративного веб-портала ОАО «РЖД».В связи с тем, что пользователь самостоятельно и добровольно принимает решение о регистрации на Сайте и предоставлении своих персональных данных, в случае несогласия с правилами регистрации на Сайте, пользователь вправе отказаться от такой регистрации.Решение вопроса о возможном нарушении прав пользователей (не как субъектов персональных данных), в части ограничения возможности использования ресурсов Сайта, находится вне компетенции Управления.Информация, представленная в Вашем обращении, не содержит в себе оснований для организации и проведения внеплановой проверки в отношении ОАО «РЖД».Обобщив предыдущий ответ Роскомнадзора по поводу защиты персональных данных на портале госуслуг, можно сказать, что образ защищенного "в соответствие с требованиями 152-ФЗ" вебсайта у нас сформировался: на вебсайте должна быть галка "разрешаю всем всё!" и всем остальным можно не заморачиваться.
Соответственно пользователям я бы посоветовал читать условия использования сервисов, а вебмастерам - брать пример с РЖД и Госуслуг =(.
PS. Концовка письма чуть-чуть смягчила мою грусть по похороненному праву на личную тайну:
Управление выражает Вам признательность за проявленное внимание к вопросу исполнения законодательства Российской Федерации в области персональных данных и поддерживает Вашу активную гражданскую позицию.
Ну что тут скажешь ?
ОтветитьУдалитьЭто россия, сынок ..!))
Грустно, но правда.
А я могу сказать след-ее:
ОтветитьУдалитьДля того чтобы ПДн сделать общедоступными - необходимо получить ПИСЬМЕННОЕ согласие субъекта! Ст.8. ФЗ-152
Наррушения со стороны РЖД-они не защищают ПДн, как написано выше. (общедоступный источник то они не создают).
Ну а в целом слов нет конечно, одни м..ы.
Клево!
ОтветитьУдалитьТак можно на работе собрать всех, сказать что я буду защищать ваши ПДн как нужно, но так как РКН требует много, то подпишите бумажку что вы согласны сделать ПДн общедоступными. И получаем то же самое что и в статье! У нас отпадает защита ИСПДн-Кадры, а саму ИСПДн можно защищать как хочешь, как считаешь нужным и достаточным. РКН идет лесом.
Были такие прецеденты. Но если говорить о сотрудниках, то в ТК есть статья 86 а в ней п.9: работники не должны отказываться от своих прав на сохранение и защиту тайны.
УдалитьА раз есть тайна - значит общедоступность идет лесом )
Артём, поправьте меня если я не прав, но ведь то, что работники "не должны" это ведь не значит что они добровольно не могут ? Как например, предоставлен выбор работнику в данном соглашении: http://spbu.ru/images/orders/23664197-3099618-3099983.pdf
УдалитьДа и в «Справочник кадровика, № 1, 2011» есть форма соглашение работка на общедоступность.
Хороший вопрос. Как по мне, так "не должны" значит "не могут". Стоит, конечно, поинтересоваться мнением Роскомнадзора и Минтруда по этому вопросу.
УдалитьПисьменного разрешения от пользователей нет, нужно повторный запрос направить в РКН, копию в ФАС по ограничению доступа.
ОтветитьУдалитьС другой стороны оказавшись в поликлиннике от обработки ПД - услуг ты не получишь.
Сергей, да хоть ты умирать будешь и откажешься от обработки пдн тебя все равно попытаются спасти) им пофиг(да и по закону тоже) на то что ты не дашь им согласие )
ОтветитьУдалитьПо новым приказам ФСТЭК общедоступные тоже надо будет защищать сертифицированными СЗИ. Вот и прикроется лавочка. Повторите запрос после их выхода, добавив в адресатов ФСТЭК.
ОтветитьУдалитьZZubra
Тоже кстати заметила эту вещь где-то пол-года назад, когда покупала билет на поезд.
ОтветитьУдалитьВы отправляли повторный запрос? с учетом Ст.8. ФЗ-152
ОтветитьУдалитьА что изменится если учитывать ст.8?
УдалитьФЗ-152. Статья 8. Общедоступные источники персональных данных
ОтветитьУдалить1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Наврятли кто-то из пользователей, зарегистрированных на этом сайте, давал письменное согласие...
У РЖД ведь не общедоступный источник. Данные общедоступные, но "источник" они не создают.
УдалитьВсе государственные регулирующие-контролирующие органы нужны только для того, чтобы прижучить по указке "сверху" неугодных лиц (юридических или физических) по поводу или без. При этом они будут с пеной у рта заявлять, что действуют исключительно в целях защиты прав субъектов, хотя эта самая защита находится на самом распоследнем месте их работы. Не будет РКН ссориться с РЖД и Порталом гос_услуг до тех пор, пока не поступит "сигнал сверху".
ОтветитьУдалитьВот наиболее правильный ответ. Законодательство у нас есть, однако регуляторы при проверках решают всё "на месте". Т.е. как договоришься. В зависимости от региона. В итоге ничего точно сказать нельзя. Например, в одном из регионов ФСТЭК наехал на оператора, который защищал гос. тайну с помощью Secret Net, который использует механизм дискреционного доступа из Windows, который, в свою очередь, под гос. тайну не сертифицирован. Однако в других регионах - всё ОК, никто не возникает. Отзыва сертификата нет.
Удалить