- Новости

Персональные данные избирателей, заинтересовавшие Андрея Лугового — по сей день в свободном доступе?

Много шума в рядах оппозиции наделало обращение депутата Госдумы Андрея Лугового в Следственный Комитет с просьбой проверить, нет ли в действиях лиц, руководивших выборами в Координационный Совет оппозиции (то есть, Леонида Волкова, и некоторых других граждан), состава преступления? По данным СМИ, Луговой просит следственный Комитет разобраться – не совершили ли эти лица преступлений, связанных с нарушением правил обработки персональных данных.

«В «список Лугового» попали оппозиционер и депутат Екатеринбургской городской Думы Леонид Волков, замгендиректора ассоциации «Голос» Григорий Мельконьянц, блогер Антон Носик, а также Валентин Преображенский, Василий Вайсенберг, Юлия Дрогова, Ольга Фейгина, Илья Сегалович и Максим Осовский.

Луговой подчеркнул, что были допущены нарушения по всем основным главам закона «О персональных данных: «Обработка специальной категории персональных данных», «Права субъекта персональных данных», «Обязанности оператора при сборе персональных данных» и «Меры безопасности персональных данных при их обработке».

На сайте ЦВК сказано, что персональные данные избирателей сохраняются лишь в виде хэша, который невозможно расшифровать», — написал, по поводу этого инцидента, информационно-аналитический портал Polit.ru

 

Не исключено, что первичную информацию для своих вопросов депутат  Луговой (или те, кто подсказал ему идею сделать депутатский запрос) получил в Блогосфере.

Так, например, блогер sporaw 18 октября сообщил: «Если кому нужны фотографии лица с документом (паспортом) для регистрации и подтверждения на каких-либо сервисах (например, социальных сетях), берите пачками вот здесь (тэг — «выборыКС», второй тэг — «КС» (кс), там меньше)» .

По ссылкам, которые дал блогер, даже на момент выхода данной статьи, свободно открывались фотографии участников голосования, вместе с читаемыми данными их паспорта и сетевыми никами. Обсуждение, ведущееся рядом с некоторыми фотографиями избирателей, не оставляет сомнений, что данные их паспорта были прочитаны людьми, ранее с ними не знакомыми. В том, что прочитавшие данные паспорта видят возможности криминального использования этой информации, которая, напомним, никак не защищена — сомнений также нет.

 

Вот пример такой фотографии (мы закрыли лицо человека и сделали нечитаемыми данные паспорта, но в оригинале все эти данные видны четко):

Фото избирателя с паспортом и обсуждение его данных на сайте Statigram - по ссылке, предоставленной публично блогером sporaw
Фото избирателя с паспортом и обсуждение его данных на сайте Statigram — по ссылке, предоставленной публично блогером sporaw

 

А на следующий день после публикации блогера sporaw, ЖЖ-юзер fatherland, известный как Николай Чернов, развернуто обосновал — почему, на его взгляд, состав преступлений в действиях организаторов выборов в координационный совет, может быть обнаружен:

 

«Насобирали паспортов на уголовку, не так ли? Закон может и не нравится, но он закон.

Центральный выборный Комитет оппозиции:

1. Не зарегистрирован как юридическое лицо. В соответствии с этим идет нарушение 261 ФЗ «О персональных данных». В соответствии со статьей 18 ч1: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;»

2. Так как нет юрлица – нет законного юридического устава, в рамках которого по той же статьей ФЗ нет регламента, озвученных мер по обеспечению контроля за безопасностью персональных данных, осуществления внутреннего контроля и аудита.
 
Ну, это, собственно всё «семечки». Тут можно сказать, не успели, люди нам «доверяют» отстаньте и так далее. И то, что в нарушение статьи 9 пункта 4, оператор не предоставляет общее описание используемых им способов обработки данных, и не говорит о сроках, в течении которых действует согласие гражданина, то есть субъекта, на использование его персональных данных это так же, не столь принципиально. Нарушение ФЗ, юрист Навальный все дела. Можно до кровавой пены вести разговоры о том, что есть мировой договор и степень доверия.

Принципиально иное.

Статья 19. Того же ФЗ:

«Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.»

2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

А теперь о мерах:

Постановление правительства Российской Федерации:

Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных

Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором с учетом совокупности условий и факторов, указанных в подпункте «е» пункта 2, а также оценки вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и нормативных правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

4. 1-й уровень защищенности персональных данных при их обработке в информационной системе персональных данных устанавливается, если выполняется одно из следующих условий:
— для информационной системы персональных данных актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные,

либо иные категории персональных данных;

— для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Короче. Называя вещи своими именами. Для того, чтобы обрабатывать данные более чем 100 тысяч человек, не являющихся сотрудниками организации, а так как нет юрлица – нет штата, значит и нет учета сотрудников – необходима в соответствии с ФЗ – лицензия ФСБ на шифрование степени К-1. Посему, господа, это уголовное преступление. Ваши те самые 165 тысяч человек.

Привет, юрист Навальный».

Материал господина Чернова собрал не так уж много комментариев, но среди комментаторов оказались и журналисты, а материал был 20 октября 2012 года перепечатан на известный и достаточно хорошо посещаемый политический ресурс Politonline.ru, с заголовком «Леонид Волков и организаторы выборов могут быть арестованы?».
А, 24 октября в СМИ широко распространилась новость об обращении Андрея Лугового в Следственный Комитет.

Впрочем, по официальным данным, Луговой лишь реагировал на обращение гражданина, который и задавал ему вопросы, воплотившиеся, в конечном счете, в депутатский запрос.

 

Филипп Юдин