Перейти к содержимому


Ржд И Пдн


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 Муаддиб

Муаддиб

    Втёршийся в доверие

  • Members
  • 119 сообщений

Отправлено 03 Апрель 2013 - 12:53

http://www.itsec.pro...og-post_25.html

Изображение

Не так давно на Хабре поднималась тема про персональные данные и РЖД (пост прикрыли, но вот зеркало). Так вот, помимо кучи дыр, меня заинтересовали "замечательные" условия обработки персональных данных, размещенные на сайте rzd.ru .



Изображение

(кстати сам URL как бы намекает, что защита своих перс.данных - дело пользователя..=))

Далее на страничке идут сведения о пользователе, которые РЖД теперь будет считать общедоступными: ФИО, пол, мыло, телефон, дата рождения, логин с паролем + ответы на секретные вопросы типа девичьей фамилии матери.

Дело в том, что нельзя признать свои персональные данные общедоступными на каком-то одном сайте. Соглашаясь с такими условиями вы, фактически, разрешаете переслать либо опубликовать ваши ПДн кому угодно. Вы так же лишаетесь права  спросить у РЖД куда они ваши персональные данные передавали, как обрабатывают и защищают. Особо интересный момент - это "общедоступность" логина, пароля и секретного ответа!

Теперь если сайт РЖД взломают и сведения о миллионах пассажиров попадут в сеть, если сотрудник РЖД продаст базу на сторону, если у вас угонят аккаунт - РЖД тут не причем. Всё общее!

В последние несколько лет Интернет кипит в борьбе за privacy (вот нет в нашем языке аналога этому слову. В трех словах: неприкосновенность частной жизни). Каждый крупный сервис оброс политиками конфиденциальности, утверждающими что нет ничего ценней, чем персональные данные пользователя. Но РЖД выбрали свой путь (см. картинку в заголовке). Все равно никто не читает условия использования...

Через портал госуслуг я написал запрос в РКН, попросив проверить соответствие способов обработки персональных данных целям обработки (ст. 5 152-ФЗ), указал на отсутствие на сайте политики обработки персональных данных и попросил их организовать внеплановую проверку, т.к. есть серьезные подозрения в массовом нарушении прав тысяч граждан.

Спустя полтора месяца я получил ответ от РКН (полный текст).

Сообщаем, что ОАО «РЖД», как администратор интернет-ресурса www.rzd.ru (далее – Сайт), вправе самостоятельно устанавливать правила регистрации пользователей на Сайте. До начала процедуры регистрации на Сайте пользователь предупреждается, что указанные пользователем регистрационные данные являются общедоступными персональными данными и не нуждаются в защите, а также будут доступны всем посетителям интерактивных сервисов корпоративного веб-портала ОАО «РЖД».В связи с тем, что пользователь самостоятельно и добровольно принимает решение о регистрации на Сайте и предоставлении своих персональных данных, в случае несогласия с правилами регистрации на Сайте, пользователь вправе отказаться от такой регистрации.Решение вопроса о возможном нарушении прав пользователей (не как субъектов персональных данных), в части ограничения возможности использования ресурсов Сайта, находится вне компетенции Управления.Информация, представленная в Вашем обращении, не содержит в себе оснований для организации и проведения внеплановой проверки в отношении ОАО «РЖД».

Обобщив предыдущий ответ Роскомнадзора по поводу защиты персональных данных на портале госуслуг, можно сказать, что образ защищенного "в соответствие с требованиями 152-ФЗ" вебсайта у нас сформировался: на вебсайте должна быть галка "разрешаю всем всё!" и всем остальным можно не заморачиваться.

Соответственно пользователям я бы посоветовал читать условия использования сервисов, а вебмастерам - брать пример с РЖД и Госуслуг =(.

PS. Концовка письма чуть-чуть смягчила мою грусть по похороненному праву на личную тайну:

Управление выражает Вам признательность за проявленное внимание к вопросу исполнения законодательства Российской Федерации в области персональных данных и поддерживает Вашу активную гражданскую позицию.






Игры на androidSEO форум