Личные данные архитектурных подрядчиков мэрии Москвы попали в Сеть
Что можно было найти на сайте мэрии
На официальном сайте московской мэрии, mos.ru, находились документы с паспортными данными более ста человек. Эту утечку персональных данных РБК обнаружил в актах государственной историко-культурной экспертизы.
К моменту написания материала на сайте мэрии был доступен 81 документ, в них были указаны данные заказчиков такой экспертизы и их исполнителей — архитекторов-реставраторов. У каждого были указаны паспортные данные и номера СНИЛС, у некоторых — телефоны и платежные реквизиты. Вскоре после того, как РБК обратил на них внимание, документы были удалены.
Большая часть документов связана с реставрацией. РБК обнаружил акты, связанные с проведением работ в Булгаковском доме на Большой Садовой, Физическом институте им. П.Н. Лебедева, усадьбе в Гжельском переулке, в нескольких доходных домах в центре города, здании ВХУТЕМАС и на других объектах культурного наследия.
«Утечки персональных данных на сайтах органов власти происходят из-за отсутствия четких регламентов удаления персональных данных, — заявил РБК директор АНО «Информационная культура» Иван Бегтин. — Это большая организационная работа, которую в мэрии, я надеюсь, проведут».
РБК направил запросы в пресс-службу московской мэрии и в городской департамент информационных технологий (ДИТ). В департаменте РБК сообщили, что взлома или утечки данных с портала mos.ru не было, а информация была размещена в соответствии с требованиями закона № 73 «Об объектах культурного наследия». «Эксперты самостоятельно прикрепили в виде приложения договоры, в которых были указаны их персональные данные, — говорится в ответе. — В настоящее время данные акты с персональными данными удалены с портала mos.ru, экспертам дополнительно будут даны разъяснения».
Какие положения законодательства были нарушены
Разглашение паспортных данных может подпасть под ст. 137 УК (уголовная ответственность за нарушение неприкосновенности частной жизни). Но чаще подобные утечки подпадают под ст. 13.11 КоАП (нарушение законодательства в области персональных данных).
В законе «О персональных данных» есть такая категория, как «общедоступные персональные данные», пояснила РБК старший юрист практики интеллектуальной собственности Bryan Cave Leighton Paisner Ирина Шурмина. «Такие данные может обнародовать либо само физлицо, либо это можно сделать с его согласия, — подчеркнула она. — Иногда раскрытие предполагается по закону — например, раскрытие информации о доходах госслужащих». Если же при подаче документов у людей не взяли согласие на то, чтобы сделать их данные общедоступными, то их обнародование, вероятнее всего, будет противоречить закону, сказала эксперт.
Один из фигурантов упомянутых документов сообщил РБК, что не давал согласия на разглашение своей персональной информации.
Избежать подобных утечек можно усилением технического контроля. «Мерами, которые могут принимать организации, являются, например, усиление защиты системы, в которой хранятся персональные данные, от взлома и выгрузки данных, проведение инструктажей по защите персональных данных», — говорит Шурмина.
На что могут рассчитывать пострадавшие
В ряде европейских стран в случае утечек персональных данных предусмотрены обязанность оповещения соответствующего государственного органа и многомиллионные штрафы. В России за нарушение требований законодательства о персональных данных введена административная ответственность, штраф за нарушение статьи КоАП 13.11 составляет от 3 тыс. до 50 тыс. руб. Пострадавшие от таких нарушений могут обратиться с жалобой в Роскомнадзор, который вправе инициировать проверку оператора персональных данных и удаление их из открытого доступа. «Можно также взыскать моральный вред, но это вряд ли будет сумма, превышающая 10–20 тыс. руб.», — заключает Шурмина.
Утечки на сайтах госорганов
Весной Иван Бегтин обнаружил массовые утечки персональных данных в ходе госзакупок — через электронные площадки. Тогда в интернет попало не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. После этого случая Роскомнадзор потребовал, чтобы электронные маркетплейсы ответили за утечку.
Позже стало известно об утечке данных еще 350 тыс. человек из информационных систем госорганов — от реестра НКО Минюста до московского портала госзакупок. Тогда, помимо прочих утекли паспортные данные председателя фонда «Сколково» Аркадия Дворковича и главы «Роснано» Анатолия Чубайса.
Зимой 2018 года с сайта московской мэрии утекло более 400 платежных документов с данными физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД.