Разглашение ПДн Роскомнадзором?

О чем статья?

Сегодня поговорим о качестве открытых данных Роскомнадзора на примере набора данных «Реестр операторов, осуществляющих обработку персональных данных».

Данный набор как предполагается должен содержать общедоступную информацию об операторах ПДн. Попробуем понять, какие проблемы имеются у данного набора и что может улучшить Роскомнадзор в процессе обработки уведомлений об обработке ПДн.

Краткое описание реестра

Расположен он на странице «Реестр операторов, осуществляющих обработку персональных данных»:

Ссылка на Реестр использованный для анализа

Ссылка на Реестр использованный для анализа

Общие проблемы реестра

Контактные данные ответственных за обработку ПДн не всегда размещены в реестре:

Пример отсутствия контактных данных

Пример отсутствия контактных данных

Юридические наименования некоторых Операторов ПДн отсутствуют:

Пример пустой информации об индивидуальном предпринимателе

Пример пустой информации об индивидуальном предпринимателе

Оно и логично, индивидуальные предприниматели — это не юридические лица, но данная информация все же была бы полезна, будь она в открытых данных и, вероятно, набор данных следует немного модифицировать.

Если сделать запрос по данному ИНН через всем известную форму:

Пример заполнения формы «Поиск оператора»

Пример заполнения формы «Поиск оператора»

Получим больше информации о наименовании ИП и его юридическом адресе:

Пример заполненной карточки при поиске по ИНН

Пример заполненной карточки при поиске по ИНН

Кстати, эта форма позволяет без всяких ограничений перебирать все данные по ИНН и номеру Оператора ПДн в базе Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/? id=77–22–072180. По крайней мере, мне так показалось.

Часть данных в открытых данных — простое месиво текста, которое сложно читать и уж тем более парситьдля исследования:

Отсутствие структуры

Отсутствие структуры

Как я понял, данное поле в базе Роскомнадзора имеет произвольный формат заполнения либо так было до какого-то момента, но работники Роскомнадзора обязаны заполнить ФИО, номер телефона, адрес местонахождения ответственного за обработку ПДн у Оператора ПДн. В итоге кто-то из работников Роскомнадзора заполняет эти данные в основном через точку с запятой, кто-то через перенос строки, остальные иным произвольным образом.

В открытых данных также присутствуют данные, не описанные в структуре XML (на момент написания статьи это «structure-20220729T0000.xsd»):

Неизвестный параметр <rkn:transgran>» /></p>

<p>Неизвестный параметр <rkn:transgran></p>

<p><rkn:transgran> нет в структуре XML, а <rkn:transgran_transfer> присутствует.</p>

<h2>Актуальность контактных данных</h2>

<p>Часть данных, например, номера телефонов Ответственных за обработку ПДн не содержат информации о коде города либо страны, да, коды можно предположить из юридического адреса либо иной информации, но фактический адрес ведения деятельности может не совпадать с адресом регистрации Оператора ПДн, так же это время и деньги, потраченные на звонок не в тот регион, если есть желание сообщить Оператору ПДн о какой-то проблеме, связанной с обработкой ПДн таким Оператором ПДн.</p>

<p>Адреса электронной почты написаны с ошибками, банально встречается русская буква, которая написана в момент переключения раскладки.</p>

<h2>Пробуем сообщить о проблеме</h2>

<p>Вообще прямо на странице открытых данных имеется ссылка: «Направить предложение / замечания по набору данных». Но по какой-то причине я ее не увидел и поспешил сообщить о проблеме комментарием к данной странице. </p>

<p>Я написал следующий комментарий (предчувствуя что-то интересное специально его сохранил): </p>

<p><img src=

Пример комментария

Затем я решил написать еще один комментарий и понял, что данная форма не более чем фикция, рудимент. Вы только посмотрите на странную дату 29.11.2012 скриншотом выше. Или на капчу — она же совпадает с предыдущей при написании нового комментария:

Статичная капча

Статичная капча

Как видим, с 2012 года никому не удалось оставить комментарий, либо удалось оставить их так много, что данная форма более не функционирует и все комментарии удалили.

Ответственный за данный реестр Контемиров Юрий Евгеньевич так же проигнорировал письмо о проблеме.

Разглашение ПДн через открытые данные

Дальнейшее изучение реестра натолкнуло меня на сдвиги в выводе данных — в одни поля в некоторых карточках Операторов ПДн выводились данные из других полей. И наконец я наткнулся на совсем странные сведения об Операторах персональных данных:

Разглашение персональных данных

Разглашение персональных данных

Мои предположения:

  • РКН имеет одну-несколько баз из которых формируются открытые данные, так вот в коде ПО, что формирует открытые данные имеется (ся) баг, который выгружал данные из другой базы/таблицы;

  • Оператор ПДн сам отправил не понятно что в Уведомлении об обработке ПДн, а РКН не провалидировал то, что ему отправили и просто сделал эти данные открытыми (разгласил?).

Самая явная проблема

Самая бросающаяся в глаза проблема набора открытых данных — простой перенос текста из Уведомления об обработке ПДн «как есть». Это приводит к отображению текста части сведений с маленькой буквы:

Пример написания с маленькой буквы

Пример написания с маленькой буквы

Но ведь одной строкой кода можно делать первый символ текста заглавным и разово пройтись по всему набору данных.

Подаем обращение

Мне не очень интересно как изменятся данные в Реестре, боюсь, что если это и произойдёт, то за пару миллионов рублей и очень не скоро. Однако, мне интересна тема приватности данных граждан нашей страны. Воспользовавшись ссылкой «Направить предложение / замечания по набору данных» я зарегистрировал обращение, основной посыл которого заключался в следующем:

  • Роскомнадзору необходимо лучше валидировать данные из Уведомлений Операторов ПДн;

  • Разглашенные данные необходимо удалить из открытых данных;

  • Удалить пустые теги, чтобы не увиливать в пустую файл открытых данных.

Ответ:

В соответствии с ч. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
В свою очередь, в целях недопущения нарушения прав субъектов персональных данных, чьи персональные данные размещены на Портале персональных данных Роскомнадзора, в адрес ООО »***» направлено требование о корректировке сведений в Реестре операторов, осуществляющих обработку персональных данных.

Вывод

Я для себя сделал следующие выводы:

  • Открытые данные замусорены пустыми полями, что в разы увеличивает размер открытых данных и скорость обработки данных;

  • Схема XML не соответствует набору данных;

  • Подход к ведению открытых данных формален;

  • Данные валидируются недостаточно;

  • В разглашении персональных данных работников, по мнению Роскомнадзор, всецело виновата компания, которая допустила ошибку и разгласила персональные данные своих работнику Роскомнадзору, несмотря на то, что Роскомнадзор в свою очередь не глядя сделал их общедоступными;

  • Удалять либо маскировать без обновленного Уведомления Роскомнадзор открытые данные не стал, выгрузка на 29.03.2023 все так же содержала злосчастные персональные данные;

  • Назначение реестра с неполными, некорректными и не актуальными данными мне непонятна.

Проверять открытые данные регулярками на наличие паспортных и иных персональных данных я не стал, возможно, кому-то из читателей это будет интересно и он поделится исследованием.

Моей целью было лишь изучить потенциальные проблемы в реестре и забыть их как страшный сон.

© Habrahabr.ru