О чем статья?
Сегодня поговорим о качестве открытых данных Роскомнадзора на примере набора данных «Реестр операторов, осуществляющих обработку персональных данных».
Данный набор как предполагается должен содержать общедоступную информацию об операторах ПДн. Попробуем понять, какие проблемы имеются у данного набора и что может улучшить Роскомнадзор в процессе обработки уведомлений об обработке ПДн.
Краткое описание реестра
Расположен он на странице «Реестр операторов, осуществляющих обработку персональных данных»:
Общие проблемы реестра
Контактные данные ответственных за обработку ПДн не всегда размещены в реестре:
Юридические наименования некоторых Операторов ПДн отсутствуют:
Оно и логично, индивидуальные предприниматели - это не юридические лица, но данная информация все же была бы полезна, будь она в открытых данных и, вероятно, набор данных следует немного модифицировать.
Если сделать запрос по данному ИНН через всем известную форму:
Получим больше информации о наименовании ИП и его юридическом адресе:
Кстати, эта форма позволяет без всяких ограничений перебирать все данные по ИНН и номеру Оператора ПДн в базе Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/?id=77-22-072180. По крайней мере, мне так показалось.
Часть данных в открытых данных — простое месиво текста, которое сложно читать и уж тем более парсить для исследования:
Как я понял, данное поле в базе Роскомнадзора имеет произвольный формат заполнения либо так было до какого-то момента, но работники Роскомнадзора обязаны заполнить ФИО, номер телефона, адрес местонахождения ответственного за обработку ПДн у Оператора ПДн. В итоге кто-то из работников Роскомнадзора заполняет эти данные в основном через точку с запятой, кто-то через перенос строки, остальные иным произвольным образом.
В открытых данных также присутствуют данные, не описанные в структуре XML (на момент написания статьи это "structure-20220729T0000.xsd"):
<rkn:transgran> нет в структуре XML, а <rkn:transgran_transfer> присутствует.
Актуальность контактных данных
Часть данных, например, номера телефонов Ответственных за обработку ПДн не содержат информации о коде города либо страны, да, коды можно предположить из юридического адреса либо иной информации, но фактический адрес ведения деятельности может не совпадать с адресом регистрации Оператора ПДн, так же это время и деньги, потраченные на звонок не в тот регион, если есть желание сообщить Оператору ПДн о какой-то проблеме, связанной с обработкой ПДн таким Оператором ПДн.
Адреса электронной почты написаны с ошибками, банально встречается русская буква, которая написана в момент переключения раскладки.
Пробуем сообщить о проблеме
Вообще прямо на странице открытых данных имеется ссылка: «Направить предложение / замечания по набору данных». Но по какой-то причине я ее не увидел и поспешил сообщить о проблеме комментарием к данной странице.
Я написал следующий комментарий (предчувствуя что-то интересное специально его сохранил):
Затем я решил написать еще один комментарий и понял, что данная форма не более чем фикция, рудимент. Вы только посмотрите на странную дату 29.11.2012 скриншотом выше. Или на капчу — она же совпадает с предыдущей при написании нового комментария:
Как видим, с 2012 года никому не удалось оставить комментарий, либо удалось оставить их так много, что данная форма более не функционирует и все комментарии удалили.
Ответственный за данный реестр Контемиров Юрий Евгеньевич так же проигнорировал письмо о проблеме.
Разглашение ПДн через открытые данные
Дальнейшее изучение реестра натолкнуло меня на сдвиги в выводе данных — в одни поля в некоторых карточках Операторов ПДн выводились данные из других полей. И наконец я наткнулся на совсем странные сведения об Операторах персональных данных:
Мои предположения:
РКН имеет одну-несколько баз из которых формируются открытые данные, так вот в коде ПО, что формирует открытые данные имеется(ся) баг, который выгружал данные из другой базы/таблицы;
Оператор ПДн сам отправил не понятно что в Уведомлении об обработке ПДн, а РКН не провалидировал то, что ему отправили и просто сделал эти данные открытыми (разгласил?).
Самая явная проблема
Самая бросающаяся в глаза проблема набора открытых данных — простой перенос текста из Уведомления об обработке ПДн «как есть». Это приводит к отображению текста части сведений с маленькой буквы:
Но ведь одной строкой кода можно делать первый символ текста заглавным и разово пройтись по всему набору данных.
Подаем обращение
Мне не очень интересно как изменятся данные в Реестре, боюсь, что если это и произойдёт, то за пару миллионов рублей и очень не скоро. Однако, мне интересна тема приватности данных граждан нашей страны. Воспользовавшись ссылкой «Направить предложение / замечания по набору данных» я зарегистрировал обращение, основной посыл которого заключался в следующем:
Роскомнадзору необходимо лучше валидировать данные из Уведомлений Операторов ПДн;
Разглашенные данные необходимо удалить из открытых данных;
Удалить пустые теги, чтобы не увеличивать в пустую файл открытых данных.
Ответ:
В соответствии с ч. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
В свою очередь, в целях недопущения нарушения прав субъектов персональных данных, чьи персональные данные размещены на Портале персональных данных Роскомнадзора, в адрес ООО «***» направлено требование о корректировке сведений в Реестре операторов, осуществляющих обработку персональных данных.
Вывод
Я для себя сделал следующие выводы:
Открытые данные замусорены пустыми полями, что в разы увеличивает размер открытых данных и скорость обработки данных;
Схема XML не соответствует набору данных;
Подход к ведению открытых данных формален;
Данные валидируются недостаточно;
В разглашении персональных данных работников, по мнению Роскомнадзор, всецело виновата компания, которая допустила ошибку и разгласила персональные данные своих работнику Роскомнадзору, несмотря на то, что Роскомнадзор в свою очередь не глядя сделал их общедоступными;
Удалять либо маскировать без обновленного Уведомления Роскомнадзор открытые данные не стал, выгрузка на 29.03.2023 все так же содержала злосчастные персональные данные;
Назначение реестра с неполными, некорректными и не актуальными данными мне непонятна.
Проверять открытые данные регулярками на наличие паспортных и иных персональных данных я не стал, возможно, кому-то из читателей это будет интересно и он поделится исследованием.
Моей целью было лишь изучить потенциальные проблемы в реестре и забыть их как страшный сон.
Комментарии (6)
Sannis
07.04.2023 04:46+2Моей целью было лишь изучить потенциальные проблемы в реестре и забыть их как страшный сон.
Ок, а зачем тогда такой пост писать раз вам самим пофигу на результат?
LordImperious
07.04.2023 04:46+1Скорее всего чтобы еще раз доказать что РКН контора которая не заботится даже о безопасности данных которые они же и обрабатывают, зато "закручивать гайки" в первых рядах всегда
PereslavlFoto
07.04.2023 04:46-4Вы совершенно правильно выбрали аналогию. Ключ закручивает гайки, а вот закрутить ключ невозможно, ведь он не гайка.
Tzimie
Ну и хорошо, что у них плохо
Protos Автор
Как понимаю в первую очередь хуже нам - потребителям реестра и открытых данных
Tzimie
Возможно. Я просто думал что единственная "услуга", которую этот сервер представляет, это блокировка сайтов