ВШЭ и персональные данные: могло быть и лучше
Начиная с августа веду переписку с НИУ ВШЭ («вышка», Высшая школа экономики) по поводу публикации на их сайте ПД абитуриентов. Под катом — вся история.
TL; DR — общение с негосударственным (UPD: в комментариях поправили — он государственный) и, вроде бы, прогрессивным вузом оставило у меня двоякое впечатление. Проблему не признают, хотя ошибки исправляют (очень не спеша). Во избежание всякого — ПД в скринах маскирую.
В августе мой родственник поступал в магистратуру ВШЭ и вся семья напряженно следила за этим процессом. Первым делом абитуриент гордо прислал нам ссылку на сайт ВШЭ (документ Excel), где он фигурировал, как подавший заявление. Радости семьи не было предела, однако у меня возникло сомнение — хорошо ли публиковать СНИЛС в открытом доступе (см. рис. 1)? Я себя успокоил: дескать, там ФИО нет, только регистрационные номера, так что утечки вроде бы не должно быть.
Но для спокойствия я таки полез в положение ВШЭ, которое касается работы с ПД. Нашел там пункт 3.1.1., относящий ПД абитуриентов (значит, и СНИЛС тоже) к конфиденциальной информации, а еще пункт 9.2.2., запрещающий размещать конфиденциальную информацию в интернете. Поржал и написал в «вышку» обращение о несоответствии их Положения с реальным состоянием дел.
Сделал я это не скандала ради, а чисто для порядка. В обращении предложил в документах маскировать СНИЛС звездочками. На идентификацию это никак не повлияет, т.к. каждый абитуриент получает регистрационный номер и может по нему себя найти. Через две недели мне ожидаемо ответили в стиле «не извольте беспокоиться, ФИО мы не публикуем, а СНИЛС указывать нас закон обязывает». Ну ладно, ОК.
Главное «хаха» началось после окончания приемной кампании. Как и полагается, институт опубликовал списки поступивших. Ясное дело, с ФИО. Конечно, без СНИЛСов. И… да, именно, с указанием тех самых регистрационных номеров (см. рис. 2).
Тут я, конечно, взвился и направил в ВШЭ письмо следующего содержания (привожу с сокращениями):
На сайте НИУ ВШЭ любой желающий может узнать ФИО и СНИЛС абитуриентов:— на сайте в открытом доступе размещены списки с парами данных «регистрационный № поступающего — ФИО» и «регистрационный № поступающего — СНИЛС»
— соотнести ФИО и СНИЛС на основании этой информации не составляет труда
— таким образом НИУ ВШЭ нарушает не только собственное Положение об обработке персональных данных, но и федеральное законодательствоЧтобы не быть голословным, высылаю список ФИО и СНИЛС абитуриентов, поступавших в магистратуру на специальность «Аналитик деловой разведки» (оценили иронию?). Эти данные получены из размещенных в свободном доступе списков на сайте www.hse.ru списков.
От ВШЭ мне пришел автоответ «ваше сообщение получено». Далее — тишина в течение почти месяца.
Я как-то даже расстроился: вроде не налоговая инспекция, а прогрессивный вуз. Но сегодня свершилось чудо! Я вновь полез на сайт ВШЭ, скачал свежую версию ведомости с поступившими студентами и увидел, что оттуда убрали колонку с регистрационными номерами (рис. 3)!
Теперь злоумышленники не смогут сопоставить ФИО со СНИЛСами и оформить на будущих магистров кредиты. Ура, товарищи, здравый смысл восторжествовал, о чем и спешу вам сообщить!
P.S. Никакого ответного письма в стиле «спасибо за бдительность, чувствительные данные из открытого доступа убрали» я от ВШЭ пока не получил. Да ладно, я же это не для наград…
P.P. S. Ссылка на один и второй списки. Публикую без опаски, т.к. после внесенных изменений утечка ПД уже не случится.
