Комментарий адвоката Титова А.С. "Роскомнадзор не делает скидок"


© ComNews
14.08.2012

Скидочные порталы и онлайн-магазины могут небрежно обращаться с персональными данными своих подписчиков, посчитал Роскомнадзор и попросил их отчитаться о мерах по защите конфиденциальности такой информации.

"В связи с последними публикациями в средствах массовой информации сведений о наличии в сети Интернет различных предложений о продаже информационной базы, содержащей персональные данные подписчиков скидочных порталов и интернет-магазинов, Роскомнадзор посчитал необходимым проконтролировать ситуацию", - говорится в сообщении на сайте ведомства.

В пятницу, 10 августа, газета "Ведомости" сообщила о том, что в Интернете продается "эксклюзивная база подписчиков скидочных порталов и интернет-магазинов" с персональными данными более 700 тыс. пользователей. Данные предлагалось использовать в мошеннических целях.

Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных направил запросы о предоставлении сведений о принятых мерах по обеспечению конфиденциальности и безопасности персональных данных клиентов в восемь компаний, занимающихся продажей скидочных купонов: ООО "Группер", ООО "Биглион", ООО "Кинг Купон", ООО "Бигбаззи", ООО "Групон Рус", ООО "Сошиал Коммерс", ООО "Шопоголик.ру" и ООО "КупиКупон".

Полученные отчеты будут подвергнуты соответствующей экспертизе на предмет соответствия требованиям действующего законодательства РФ в области персональных данных, предупреждают чиновники.

Нет никаких доказательств того, что базы данных, о которых сообщалось в прессе, принадлежали именно скидочному порталу, заявил репортеру ComNews руководитель по связям с общественностью ООО "Бигбаззи" (портал BigBuzzy) Ярослав Комков. "Эта база данных может принадлежать любому интернет-магазину России - скорее всего нескольким, - отметил Ярослав Комков. - А специфика любой базы такова, что данные в ней могут пересекаться, ведь люди регистрируются на десятках сайтов".

Он добавил, что компания предпринимает все возможные меры по защите информации. "Доступ к управлению сайтом осуществляется только из офиса BigBuzzy. В случае бездействия сессия прерывается каждые 10 минут и требует повторного ввода пароля, который меняется ежедневно. Работа с базой данных ведется строго по запросу в систему. То есть если нужно отправить рассылку, специалист делает запрос, система формирует список рассылки и автоматически отправляет сообщение. Специалист не видит адресов и телефонов, на которые уходят письма, что исключает возможность копирования данных или переписывания их от руки. Все пароли пользователей хранятся в зашифрованном виде, без какого-либо доступа к ним со стороны", - рассказал он.

BigBuzzy, по словам Комкова, еще не получила официального запроса от Роскомнадзора. Директор по развитию Biglion Олег Савцов также отметил, что запрос в его компанию не поступил.

"Серверы "КупиКупон", хранящие все сведения, находятся в дата-центре самого высокого уровня надежности - Tier 4, согласно международной классификации стандарта TIA-942. Ни один менеджер компании "КупиКупон" не имеет единого доступа ко всей базе пользователей сразу. Сотрудник, имеющий ограниченный доступ к информации, может во время одной операции работать только с одним пользователем. Список он не видит никогда", - заверила представитель компании "КупиКупон" Анна Артемова.

Анна Артемова добавила, что при этом сотрудники, имеющие доступ к информации о каждом пользователе в отдельности, должны пройти двухступенчатую авторизацию до получения доступа. Сложные пароли постоянно обновляются и имеют ограниченный срок действия.

Независимый адвокат Александр Титов сообщил репортеру ComNews, что компании, включая интернет-порталы и интернет-магазины, осуществляющие обработку персональных данных, обязаны уведомить Роскомнадзор о намерении обрабатывать персональные данные. "Они должны провести комплекс организационных и технических мероприятий, в том числе определить лиц, ответственных за обработку персональных данных и обеспечить техническую (программную) защиту информации, содержащей персональные данные, - отметил Александр Титов. - Только в ряде случаев, перечисленных в законе, эти компании могут не уведомлять о своем намерении осуществить обработку персональных данных, однако требования, относящиеся к защите информации, ими должны выполняться".

Юрист добавил, что нарушение установленного законом режима обработки персональных данных, в том числе их распространение без согласия на то физического лица, влечет административную ответственность в виде штрафа до 10 тыс. руб. для юридических лиц и до 1 тыс. руб. для должностных лиц и индивидуальных предпринимателей.