Разглашение ПДн Роскомнадзором?
О чем статья?
Сегодня поговорим о качестве открытых данных Роскомнадзора на примере набора данных «Реестр операторов, осуществляющих обработку персональных данных».
Данный набор как предполагается должен содержать общедоступную информацию об операторах ПДн. Попробуем понять, какие проблемы имеются у данного набора и что может улучшить Роскомнадзор в процессе обработки уведомлений об обработке ПДн.
Краткое описание реестра
Расположен он на странице «Реестр операторов, осуществляющих обработку персональных данных»:
Ссылка на Реестр использованный для анализа
Общие проблемы реестра
Контактные данные ответственных за обработку ПДн не всегда размещены в реестре:
Пример отсутствия контактных данных
Юридические наименования некоторых Операторов ПДн отсутствуют:
Пример пустой информации об индивидуальном предпринимателе
Оно и логично, индивидуальные предприниматели — это не юридические лица, но данная информация все же была бы полезна, будь она в открытых данных и, вероятно, набор данных следует немного модифицировать.
Если сделать запрос по данному ИНН через всем известную форму:
Пример заполнения формы «Поиск оператора»
Получим больше информации о наименовании ИП и его юридическом адресе:
Пример заполненной карточки при поиске по ИНН
Кстати, эта форма позволяет без всяких ограничений перебирать все данные по ИНН и номеру Оператора ПДн в базе Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/? id=77–22–072180. По крайней мере, мне так показалось.
Часть данных в открытых данных — простое месиво текста, которое сложно читать и уж тем более парситьдля исследования:
Отсутствие структуры
Как я понял, данное поле в базе Роскомнадзора имеет произвольный формат заполнения либо так было до какого-то момента, но работники Роскомнадзора обязаны заполнить ФИО, номер телефона, адрес местонахождения ответственного за обработку ПДн у Оператора ПДн. В итоге кто-то из работников Роскомнадзора заполняет эти данные в основном через точку с запятой, кто-то через перенос строки, остальные иным произвольным образом.
В открытых данных также присутствуют данные, не описанные в структуре XML (на момент написания статьи это «structure-20220729T0000.xsd»):
Пример комментария
Затем я решил написать еще один комментарий и понял, что данная форма не более чем фикция, рудимент. Вы только посмотрите на странную дату 29.11.2012 скриншотом выше. Или на капчу — она же совпадает с предыдущей при написании нового комментария:
Статичная капча
Как видим, с 2012 года никому не удалось оставить комментарий, либо удалось оставить их так много, что данная форма более не функционирует и все комментарии удалили.
Ответственный за данный реестр Контемиров Юрий Евгеньевич так же проигнорировал письмо о проблеме.
Разглашение ПДн через открытые данные
Дальнейшее изучение реестра натолкнуло меня на сдвиги в выводе данных — в одни поля в некоторых карточках Операторов ПДн выводились данные из других полей. И наконец я наткнулся на совсем странные сведения об Операторах персональных данных:
Разглашение персональных данных
Мои предположения:
РКН имеет одну-несколько баз из которых формируются открытые данные, так вот в коде ПО, что формирует открытые данные имеется (ся) баг, который выгружал данные из другой базы/таблицы;
Оператор ПДн сам отправил не понятно что в Уведомлении об обработке ПДн, а РКН не провалидировал то, что ему отправили и просто сделал эти данные открытыми (разгласил?).
Самая явная проблема
Самая бросающаяся в глаза проблема набора открытых данных — простой перенос текста из Уведомления об обработке ПДн «как есть». Это приводит к отображению текста части сведений с маленькой буквы:
Пример написания с маленькой буквы
Но ведь одной строкой кода можно делать первый символ текста заглавным и разово пройтись по всему набору данных.
Подаем обращение
Мне не очень интересно как изменятся данные в Реестре, боюсь, что если это и произойдёт, то за пару миллионов рублей и очень не скоро. Однако, мне интересна тема приватности данных граждан нашей страны. Воспользовавшись ссылкой «Направить предложение / замечания по набору данных» я зарегистрировал обращение, основной посыл которого заключался в следующем:
Роскомнадзору необходимо лучше валидировать данные из Уведомлений Операторов ПДн;
Разглашенные данные необходимо удалить из открытых данных;
Удалить пустые теги, чтобы не увиливать в пустую файл открытых данных.
Ответ:
В соответствии с ч. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
В свою очередь, в целях недопущения нарушения прав субъектов персональных данных, чьи персональные данные размещены на Портале персональных данных Роскомнадзора, в адрес ООО »***» направлено требование о корректировке сведений в Реестре операторов, осуществляющих обработку персональных данных.
Вывод
Я для себя сделал следующие выводы:
Открытые данные замусорены пустыми полями, что в разы увеличивает размер открытых данных и скорость обработки данных;
Схема XML не соответствует набору данных;
Подход к ведению открытых данных формален;
Данные валидируются недостаточно;
В разглашении персональных данных работников, по мнению Роскомнадзор, всецело виновата компания, которая допустила ошибку и разгласила персональные данные своих работнику Роскомнадзору, несмотря на то, что Роскомнадзор в свою очередь не глядя сделал их общедоступными;
Удалять либо маскировать без обновленного Уведомления Роскомнадзор открытые данные не стал, выгрузка на 29.03.2023 все так же содержала злосчастные персональные данные;
Назначение реестра с неполными, некорректными и не актуальными данными мне непонятна.
Проверять открытые данные регулярками на наличие паспортных и иных персональных данных я не стал, возможно, кому-то из читателей это будет интересно и он поделится исследованием.
Моей целью было лишь изучить потенциальные проблемы в реестре и забыть их как страшный сон.