В передаче "Очевидец" показали, как за годы в Регистр строений попали крайне детализированные документы и фотографии из частных домов, которые пользователи портала могут легко найти и просматривать. Среди ярких примеров встречаются снимки комнат внутри домов; на некоторых фотографиях запечатлены даже сами жильцы. Помимо фотографий, в Регистре строений содержатся договоры и другие сведения, позволяющие связывать людей с конкретными адресами и объектами недвижимости.

К тому времени, когда сюжет "Очевидца" вышел в эфир, администратор портала уже ограничил доступ к Регистру строений. Понятно, что показанное в передаче прозвучало как сигнал тревоги: что-то пошло очень неправильно. Также мы видим, что всего пару дней назад на сайте Регистра строений было опубликовано новое сообщение, призывающее стороны проверять, чтобы они не загружали в регистр персональные данные. Однако это всего лишь экстренные меры, чтобы уже возникший "пожар" не разгорелся сильнее. В передаче "Очевидец" также сообщалось, что Инспекция по защите данных инициировала контрольное расследование

Как вообще могло случиться массовое раскрытие личной информации и что следовало делать иначе?

Зрителю, вероятно, показалось странным, что в регистр, предназначенный для хранения данных о строительной деятельности, попало столько конфиденциальной информации. Для специалистов, которые ежедневно занимаются защитой данных и консультируют государственные учреждения, это, к сожалению, не так уж удивительно.

Представители разных секторов часто не осознают, сколько личной информации на самом деле собирается и хранится в их области, и, как мы увидели в "Очевидце", она может даже публиковаться без должной оценки рисков.

Создатели цифровых решений либо забыли, либо никогда не знали об одном из самых важных положений Общего регламента по защите данных (GDPR), действующего в Европейском союзе уже давно: личные данные – это любая информация об идентифицированном или идентифицируемом физическом лице. К личным данным, законность публикации которых необходимо оценивать, относится также информация, связанная с недвижимостью, принадлежащей этому лицу.

Разумеется, это не означает, что мы не должны создавать удобные и полезные цифровые решения, такие как, безусловно, Регистр строений. Обработка персональных данных там действительно необходима, но она должна происходить в определенных пределах и продуманно. В данном случае очевидно, что подготовительная работа была проведена недостаточно.

Государство дало возможность заглянуть в детскую комнату

Как уже упоминалось, для некоторых домов в регистре можно увидеть детализированные фотографии комнат. Подобные снимки встречаются и в объявлениях о продаже на порталах недвижимости. В связи с этим заслуживает отдельного комментария позиция Земельно-пространственного департамента, который утверждает, что фотография детской комнаты "не является серьезным нарушением", поскольку эти люди уже давно взрослые.

К сожалению, с точки зрения GDPR ситуация совсем обратная. Персональные данные детей в регламенте защищены особенно строго именно потому, что ребенок может не осознавать, какое влияние на него может оказать публикация этих данных в будущем. Когда ребенок станет взрослым, он вряд ли захочет, чтобы его нынешний или будущий работодатель, деловой партнер или клиент мог найти в государственном регистре фото его детской комнаты, где на стенах висят постеры Бритни Спирс.

Как можно было бы сделать лучше?

Надеемся, что из этого случая будет извлечен урок: вопросы защиты данных нужно воспринимать серьезно, даже в областях, которые на первый взгляд не кажутся напрямую связанными с защитой персональной информации. На самом деле этого инцидента, вероятно, можно было бы избежать довольно просто - ключ в том, чтобы заметить важные моменты на раннем этапе планирования цифрового решения.

Каждое государственное учреждение, которое по закону ведет какую-либо базу данных обязано иметь в своей команде специалиста по защите данных - это прямое требование GDPR.

Сюжет "Очевидца" наглядно показал, почему привлечение эксперта по защите данных при создании цифровых решений, использующих информацию граждан, абсолютно необходимо. Этот человек должен с самого начала иметь возможность указать, что помимо других анализов необходимо провести оценку защиты данных, и ее выводы должны влиять на содержание цифрового решения, IT-архитектуру, ограничения доступа и прочее.

Если говорить конкретно на примере Регистра строений, становится очевидным, насколько важно продумать роли и ответственность всех участников, использующих этот ресурс. Каждый, кто загружает в регистр чертежи, фотографии, договоры или другие документы, должен понимать, какую роль он играет как обработчик персональных данных. В противном случае никто не будет точно знать, кто за что отвечает.