Глава Минкомсвязи Максут Шадаев подчеркнул, что после ослабления пропускного режима все персональные данные (ПДн) будут удалены из государственных систем. Это соответствует федеральному закону «О персональных данных». Но беспокойство вызывает сохранность данных вне государственных сервисов, куда ПДн могли попасть совершенно легально. Кроме того, неизвестно насколько тщательно они оберегаются до уничтожения.
– Персональные данные, которые собирались во время функционирования цифровых пропусков, включая информацию о перемещениях, адреса и прочее, относятся к особому виду ПДн – специальные категории персональных данных. Их сбор, хранение и защита регулируются ст. 10 ФЗ-152 «О персональных данных». Согласно этому закону, «обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом». То есть закончилась история с цифровыми пропусками – прекращается сбор и обработка данных для них. Но это еще не все.
Минкомсвязи, заявляя, что все данные собранные в ходе действия цифровых пропусков, будут уничтожены, опирается на ст. 21 того же ФЗ-152. В ней мы находим: «В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных». То есть у Министерства месяц на то, чтобы эта информация исчезла из государственных информационных систем. В обратном случае это будет нарушением Федерального закона.
Если же допустить, что данные утекут до их уничтожения (или уже утекли), то ответственность за это будет нести оператор ПДн. Мы помним, что в регионах система цифровых пропусков запускалась в аврале и гарантировать, что в них не было «дыр», невозможно. В такой спешке проверить сервис на соответствие нормативам ФСТЭК просто не было времени и возможности. Именно спешка и недоработки спровоцируют утечки данных. Яркий пример тому – персданные оштрафованных за нарушение самоизоляции в Москве, которые оказались доступны на сайтах для оплаты штрафов по номеру начисления.
Кроме того, стало известно, что персональные данные с согласия пользователей могут быть переданы третьим лицам. К примеру, внимательные пользователи заметили, что в согласии на обработку персональных данных на сайте i.moscow/covid есть пункт, позволяющий столичному Департаменту информационных технологий свободно передавать персданные, включая ФИО, адреса, место работы, должность, гражданство, телефон, электронную почту и пр. третьим лицам. А далее в течение 10 лет эти данные уже могут использоваться для отправки рекламных материалов от московской мэрии и от третьих лиц. Сама по себе такая новость удивляет. И, конечно, от этого риск утечек только возрастает.
Потому нет сомнений, что все персональные данные, связанные с цифровыми пропусками, будут уничтожены и удалены в государственных информационных системах. Но что с этими данными будет вне этих систем – вопрос открытый.