РЖД и ПДн

РЖД и ПДн
Не так давно на Хабре поднималась тема про персональные данные и РЖД (пост прикрыли, но вот зеркало ). Так вот, помимо кучи дыр, меня заинтересовали "замечательные" условия обработки персональных данных, размещенные на сайте rzd.ru  .

name='more'>


(кстати сам URL как бы намекает, что защита своих перс.данных - дело пользователя..=))

Далее на страничке идут сведения о пользователе, которые РЖД теперь будет считать общедоступными: ФИО, пол, мыло, телефон, дата рождения, логин с паролем + ответы на секретные вопросы типа девичьей фамилии матери. 

Дело в том, что нельзя признать свои персональные данные общедоступными на каком-то одном сайте. Соглашаясь с такими условиями вы, фактически, разрешаете переслать либо опубликовать ваши ПДн кому угодно. Вы так же лишаетесь права  спросить у РЖД куда они ваши персональные данные передавали, как обрабатывают и защищают. Особо интересный момент - это "общедоступность" логина, пароля и секретного ответа! 

Теперь если сайт РЖД взломают и сведения о миллионах пассажиров попадут в сеть, если сотрудник РЖД продаст базу на сторону, если у вас угонят аккаунт - РЖД тут не причем. Всё общее! 

В последние несколько лет Интернет кипит в борьбе за privacy (вот нет в нашем языке аналога этому слову. В трех словах: неприкосновенность частной жизни ). Каждый крупный сервис оброс политиками конфиденциальности, утверждающими что нет ничего ценней, чем персональные данные пользователя. Но РЖД выбрали свой путь (см. картинку в заголовке). Все равно никто не читает условия использования...

Через портал госуслуг я написал запрос в РКН, попросив проверить соответствие способов обработки персональных данных целям обработки (ст. 5 152-ФЗ), указал на отсутствие на сайте политики обработки персональных данных и попросил их организовать внеплановую проверку, т.к. есть серьезные подозрения в массовом нарушении прав тысяч граждан.

Спустя полтора месяца я получил ответ от РКН ( полный текст ).
Сообщаем, что ОАО «РЖД», как администратор интернет-ресурса www.rzd.ru(далее – Сайт), вправесамостоятельно устанавливать правила регистрации пользователей на Сайте. До начала процедуры регистрации на Сайте пользователь предупреждается, что указанные пользователем регистрационные данные являются общедоступными персональными данными и не нуждаются в защите, а также будут доступны всем посетителям интерактивных сервисов корпоративного веб-портала ОАО «РЖД».В связи с тем, что пользователь самостоятельно и добровольно принимает решение о регистрации на Сайте и предоставлении своих персональных данных, в случае несогласия с правилами регистрации на Сайте, пользователь вправе отказаться от такой регистрации.Решение вопроса о возможном нарушении прав пользователей (не как субъектов персональных данных), в части ограничения возможности использования ресурсов Сайта, находится вне компетенции Управления.Информация, представленная в Вашем обращении, не содержит в себе оснований для организации и проведения внеплановой проверки в отношении ОАО «РЖД».
Обобщив предыдущий ответ Роскомнадзора по поводу защиты персональных данных на портале госуслуг , можно сказать, что образ защищенного "в соответствие с требованиями 152-ФЗ" вебсайта у нас сформировался: на вебсайте должна быть галка "разрешаю всем всё!" и всем остальным можно не заморачиваться.

Соответственно пользователям я бы посоветовал читать условия использования сервисов, а вебмастерам - брать пример с РЖД и Госуслуг =(.

PS. Концовка письма чуть-чуть смягчила мою грусть по похороненному праву на личную тайну:
Управление выражает Вам признательность за проявленное внимание к вопросу исполнения законодательства Российской Федерации в области персональных данных и поддерживает Вашу активную гражданскую позицию.



Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Артем Агеев

root@itsec.pro:~#