Страницы

Помогаем Роскомнадзору защищать права граждан

Когда я писал статью про паспорт, то наткнулся на один гуглозапрос, который вывел меня на базу данных Ространснадзора по Краснодарскому краю.
База содержала свыше 3000 уникальных записей физлиц, получивших лицензию на перевозку людей.
В базе было ФИО, телефон, адрес, серия и номер паспорта, кем и когда выдан.
Изюминкой утечки было то, что сведения эти располагались на сайте надзорного органа, что гарантировало 100% точность, актуальность и постоянное обновление базы.



Погуглив ещё немного, я обнаружил еще один региональный Ространснадзор, заботливо делящийся с посетителями и поисковыми ботами тем же набором персданных.

К сожалению, уполномоченный орган по защите прав субъектов (Роскомнадзор) не предусмотрел никакой горячей линии, куда можно пожаловаться на нарушение прав субъектов ПДн, поэтому мне пришлось использовать "стандартную" жалобу через сайт госуслуг.

Нужно отдать должное порталу госуслуг: на то, чтобы отправить две жалобы в РКН, я потратил всего минут 15.
Спустя полтора месяца, я получил два ответа от Роскомнадзора по ЮФО и по СЗФО.
 

В обоих случаях паспортные данные были удалены. Ространснадзор по КК получил ещё и штраф по ст. 13.11 КоАП за нарушение норм обработки персональных данных. Питерский Ространснадзор штраф почему-то не получил. Ну и ладно.

Конечно наказание за утечку весьма чувствительных категорий персональных данных тысяч граждан получилось практически никаким, что резко контрастирует с теми затратами, которые несут операторы персональных данных при построении систем безопасности.

Однако факт того, что РКН в этот раз среагировал на мой запрос должным образом, можно вполне считать положительным результатом.

Что еще почитать?
Как я закрыл мошеннический сайт

8 комментариев:

  1. странное название у поста "Помогаем Роскомнадзору защищать права граждан"

    1. о каких [якобы] нарушенных правах граждан идёт речь при публикации паспортных данных? о тайне частной жизни?

    2. и чего вы добились? что "паспортные данные" удалили, а адрес про прописке и адрес (для некоторых) фактического проживания остался.
    нет ли здесь тоже "нарушения прав граждан"?

    P.S. анонимно - потому что пароль от аккаунта не помню. До домашнего комп-а доберусь, отмечусь.

    ОтветитьУдалить
    Ответы
    1. 1. Да.
      2. Возможно есть какие-то документы, предписывающие публиковать "адрес осуществления лицензируемой деятельности". В любом случае, это уже не так критично, как паспорт и телефон.

      Удалить
    2. т.е. "фамилия, имя, отчество, паспортные данные" - это "информация о _частной_ жизни" ?

      Артём, поясните, пожалуйста, как паспортные данные (серия, номер, дата и место выдачи) вообще относятся к _жизни_ человека. Не к идентификации его как конкретного физического лица, а именно к _жизни_.

      вот по моим понятиям адрес фактического места жительства (не юридический, а то что я написал) имеет большее отношение к тайне частной/личной жизни чем паспортные данные. Можете не соглашаться.

      Удалить
    3. Моя точка зрения в этом вопросе - все, что может быть использовано злоумышленником для кражи личности, и есть тайна.

      Зная полные паспортные данные и адрес можно легко изготовить поддельный паспорт (а иногда достаточно и поддельной ксерокопии паспорта). Затем можно взять на человека кредит, прописать кого-нибудь к нему в квартиру и т.д.

      К тому же все эти ПДны были проиндексированы гуглом (собственно именно так я их и нашел). А это значит, что если кто-то погуглит ФИО из реестра, то поисковая система сразу выложит перед ним всё. Вы бы против такого возражали?

      Удалить
  2. Артем, я так понимаю что ты нерадивого заказчика потролил? :)

    Вообще, ещё не известно кто прав. Вполне возможно они руководствовались каким-то отраслевым ФЗ или подзаконными актами направленными на его выполнение и просто побоялись спорить с Роскомнадзором.

    + есть например такая информация
    http://www.nalog.ru/gosreg/vipiska_egrul/

    В соответствии со статьями 6 и 7 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением сведений, доступ к которым ограничен.



    ОтветитьУдалить
    Ответы
    1. Слабо могу себе представить такую ситуацию с нашим заказчиком :)
      Все это лично моя гражданская инициатива.

      Ежели твой паспорт, адрес и телефон общедоступен, то выложи ка их, пожалуйста, сюда :).

      Удалить
    2. Здесь шла речь о физиках, о юр.лицах - это отдельный разговор. Кто может выдать сделать общедоступными мои ПД как физ.лица и на основании чего?

      Удалить
  3. Это может получить любой на сайте налоговой и посредниках за небольшую денежку (недавно видели 500р за одну выписку, 20000р за безлимит)

    Ространснадзор - просто делает это бесплатно.

    Для информации:
    паспорт и адрес ИП - это его реквизиты
    телефон - вопрос какой? если это телефон осуществления деятельности ИП, то тоже реквизит

    для оао - информация об учредителях, руководителе и гл. бух. - это обязательная для опубликования информация

    ОтветитьУдалить