В России в открытом доступе находится не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. Как говорится в исследовании председателя Ассоциации участников рынков данных Ивана Бегтина, утечку этих сведений допустили электронные торговые площадки, на которых размещаются коммерческие закупки и госзакупки по федеральным законам 44-ФЗ и 223-ФЗ.

Как пишет РБК, в исследовании Бегтина проанализирована информация крупнейших российских электронных торговых площадок: закупочного модуля ZakazRF (562 тыс. записей), "РТС-тендер" (550 тыс. записей), "Росэлторг" (468 тыс. записей), "Национальной электронной площадки" (142 тыс. записей), ЭТП РАД (18 тыс. записей) и "Сбербанк АСТ" (500 тыс. записей). На всех из них можно найти личную информацию участников аукционов, но, по словам Бегтина, речь не идет об утечках в прямо смысле – данные доступны изначально из-за ошибок в законодательстве и безграмотности разработчиков сайтов.

Механизм скачивания документов, содержащих персональные данные, совпадает на всех перечисленных площадках. Эти материалы можно найти в размещенных на площадках решениях об одобрении открытых аукционов. В некоторых случаях документы содержат не только паспортные данные, но и адреса электронной почты, номера СНИЛС и сведения о трудоустройстве участников аукционов. После обращения РБК к представителям площадок, администрация "Сбербанк АСТ" закрыла возможность скачивания данных.

Публикация площадками личных данных участников торгов связана с тем, что решения об одобрении крупных сделок в большинстве случаев содержат информацию о тех, кто эту сделку одобрил, а также об их представителях. Так, представитель "РТС-Тендер" пояснил, что по закону для аккредитации участников на электронной площадке необходима передача определенного перечня документов, которые загружаются на сайт. В пресс-службе "Росэлторга" отметили, что в открытом реестре участников закупок, который обязаны вести все операторы электронных площадок, могут встречаться персональные данные, но эти документы готовятся самими участниками торгов, а операторы площадок должны публиковать их в неизменном виде.

По словам Бегтина, эта проблема связана с двумя ошибками в законодательстве.
"Первая – это требования по публикации в открытом доступе решений о согласовании крупных сделок, в которые по российской практике часто включают паспортные данные учредителей. Вторая – в практике использования квалифицированной электронной подписи для публикации документов заказчиками и поставщиками. «Подпись, приложенная к такому файлу, содержит те же метаданные, что и электронная подпись — Ф.И.О., e-mail, СНИЛС", – рассказал Бегтин.

"Разумеется, наличие персональных данных в открытой среде является нарушением. Судя по всему, электронные торговые площадки не всегда уделяют достаточно внимания защите данных участников торгов, поскольку нет жесткой ответственности за нарушения", – считает аналитик ГК InfoWatch Андрей Арсентьев.

В свою очередь, советник юридической компании CMS Константин Бочкарев отметил, что публикация паспортных данных может подпасть под ст. 137 УК ("Нарушение неприкосновенности частной жизни"). Физлицо, обнаружившее утечку своих данных, может обратиться в суд за возмещением убытков, но без доказательств факта материальных убытков, добиться компенсации будет трудно.

Бочкарев также напомнил, что на основании публикаций в СМИ Роскомнадзор может даже без наличия жалоб со стороны физических лиц оштрафовать электронную площадку. В этом случае личные данные оперативно удалят.

Информация о персональных данных заинтересовала Роскомнадзор

Во второй половине дня 29 апреля стало известно, что Роскомнадзор направил электронным торговым площадкам запросы по поводу размещения в открытом доступе персональных данных участников аукционов.

О направлении таких запросов "Ведомостям" рассказал представитель ведомства, но в чем состоит суть запросов и планирует ли Роскомнадзор возбуждать дело из-за утечки данных, он не уточнил.