Энергетика 09 июня, 10:06

Как коммунальщики оставили без присмотра личные данные киевлян

Киевские коммунальщики два года держали в открытом доступе персональные данные сотен тысяч киевлян. Чем это грозит пользователям, владельцам сайта и как все исправить?

Как коммунальщики оставили без присмотра личные данные киевлян
Фото: depositphotos

Персональные данные сотен тысяч киевлян оказались в открытом доступе благодаря сайту Коммунального концерна "Центр коммунального сервиса". Зарегистрировавшись на сайте центра, любой человек может получить доступ к вашей личной информации — именам, на которые оформлены договора со всеми поставщиками услуг, данным по потреблению, оплате и долгам за коммунальные  услуги и даже проверить — получаете ли вы субсидию. Как это произошло и что чиновники будут делать — в материале Delo.UA.

Коммунальная квартира

В 2016 году Киевская горадминистрация (КГГА) объединила все коммунальные ЖЭКи в одну организацию — Коммунальный концерн "Центр коммунального сервиса" (ЦКС). Коммунальный концерн заключил договора с основными поставщиками коммунальных услуг для горожан и таким образом получил доступ к данным сотен тысяч расчетных счетов киевлян.

Как объяснили Delo.UA в КГГА, ЦКС сформировал базу из персональных данных потребителей, количества проживающих и зарегистрированных, включая адреса, форму собственности, наличие счетчиков, возможные льготы и субсидии.

Пользователь может получить доступ к своим счетам и расчетам через личный кабинет на сайте. Система покажет все расчеты за коммуналку за последние два года, раскроет имена потребителей, на которых зарегистрированы договора, наличие субсидий и долгов.

Ежемесячные платежи по всем услугам сведены в одном окне, счет формируется автоматически, но можно исправить суммы вручную. Система очень удобна и понятна.

Проходной двор в данных и последствия

В прозрачности и доступности сайта есть проблемные моменты: для регистрации в личном кабинете достаточно указать любое имя, электронную почту или номер телефона и вбить нужный адрес.

Системе не важно, имеете ли вы хоть какое-то отношение к данной квартире: она не проверяет на соответствие имена, не просит указать номер договора, данные с последнего счета или отсканировать QR-код из платежки. Система впустит в ваш личный кабинет любого, кто правильно введет адрес вашей квартиры.

Более того, можно получить доступ к данным одной квартиры с нескольких несвязанных личных кабинетов. А с помощью простейшего парсера — выкачивать данные по целому дому, без ведома жильцов или управляющей организации.

Юрист Института массовой информации Роман Головенко говорит, что если верификация на сайте происходит через любую электронную почту (а не сообщенную самим клиентом при подписании договора, например), это позволяет получить доступ к чужим персональным данным. Что нарушает ч. 2 ст. 14 Закона Украины "О персональных данных".  

В пользовательском соглашении ЦКС снимает с себя ответственность за использование персональных данных киевлян третьими лицами, но в согласии на обработку перечисляет права пользователя. В соглашении, конечно, сказано, что пользователь не должен незаконно собирать данные о других пользователях. Вот только ответственность за использование третьими лицами информации о потребителе несет сам потребитель. Т.е. киевлянин, который даже не знал о ЦКС до нашей публикации и даже близко не был там зарегистрирован, сам несет ответственность, если его персональные данные будут украдены.

По мнению юристов, опрошенных Delo.UA, эти пункты соглашения тоже противоречат закону "О защите персональных данных".

Юрист ЮФ "Астерс" Марьяна Полищук отмечает, что закон требует от владельца персональных данных обеспечить защиту данных от случайной потери или уничтожения, незаконной обработки и доступа к данным. Закон предусматривает, что доступ к данным не должен предоставляться, если их получатель отказывается взять на себя ответственность за надлежащую защиту данных или не в состоянии ее обеспечить.

"Вместо того, чтобы обеспечить организационные и технические меры защиты данных, владелец возлагает ответственность за любое использование информации на сайте на пользователя", — приходит к выводу Полищук.

Юрист юридической фирмы Sayenko Kharenko Дарина Сидоренко перечисляет, что должно содержать согласие на обработку персональных данных, в соответствии с законодательством:   

  • кто будет обрабатывать персональные данные и кто будет ими владеть;
  • перечень персональных данных, которые будут обрабатываться, где они будут храниться;
  • кто является распорядителем персональных данных, какие у него права и полномочия;
  • кому могут передавать персональные данные, с какой целью и на каких основаниях;
  • как долго персональные данные будут храниться у владельца;
  • на каких условиях лицо может отозвать согласие на обработку персональных данных и какие последствия такого действия;
  • обязанности ЦКС относительно данных пользователей.

По мнению Сидоренко, клиенты сайта ЦКС при регистрации не имеют полного и четкого понимания — на обработку и хранение каких именно данных они соглашаются, а также — как к этим данным обращается ЦКС. "Это противоречит действующему законодательству", — констатирует юристка.

Пользователи должны разрешить владельцу данных предоставлять доступ третьим лицам. Под третьими лицами понимаются все, кроме пользователя, распорядителя данных и Уполномоченного по правам человека в Украине. 

"Как видно из текста соглашения, такого согласия предоставлено ими не было", — отмечает Сидоренко. Кроме того, пользователи сайта должны знать, на каких условиях они предоставляют доступ к своим персональным данным, включая информацию о третьих лицах, которым передаются их персональные данные. 

И снова — в соглашении ЦКС снимает с себя ответственность за использование персональных данных третьими лицами. 

"По закону именно ЦКС как владелец персональных данных должен контролировать доступ третьих лиц к персональным данным физических лиц, а перекладывание ответственности на пользователей веб-сайта является неправомерным", — отмечает Сидоренко.

Юристы считают, что для защиты своих данных пользователи коммунального концерна могут обращаться к Уполномоченному по правам человека в Украине или в суд — привлечение к ответственности должностного лица, которое не обеспечило надлежащий уровень защиты персональных данных, что привело к незаконному доступу к персональным данным (ч. 4 ст.188-39 Кодекса об админправонарушениях Украины).

По результатам рассмотрения обращения Уполномоченный составит протокол об административном правонарушении, который в дальнейшем направляется в суд, рассказал партнер адвокатского объединения "Бауман Кондратюк" Юрий Бауман. Если будет установлена связь между нарушением должностного лица и ущербом пользователя, нужно будет установить размер ущерба и компенсации.

Бауман обращает внимание, что "если суд признает должностное лицо виновным, на него может быть наложен штраф — от трехсот до одной тысячи необлагаемых минимумов доходов граждан" — от 264 тыс.грн до 881 тыс. грн.

Ключ появится в новых платежках

Исполняющий обязанности главы концерна Андрей Щербина на запрос Delo.UA сообщил, что в ближайшее время количество квартир в кабинете ограничат до четырех, а также внедрят код авторизации.

Сайт ЦКС работает около двух лет: все это время сайт позволял возможность открывать кабинеты с доступом к данным киевлян без ключа авторизации. Но в новых платежках за горячую воду, которые киевляне получат в июне (за май), ЦКС добавил ключ из цифр и букв, который нужно будет вводить для регистрации в кабинете.

"С помощью ключа можно создать личный кабинет и присоединить объект, в счете которого есть ключ", — сказал Щербина.

Щербина заверил, концерн также изменит соглашение пользователя: "Потребители пожаловались, что, с их точки зрения, соглашение не соответствует действующему законодательству".

Не пропустите самые важные новости и интересную аналитику. Подпишитесь на Delo.ua в Telegram

автор:
Виктория Ильченко
по материалам:
Дело.UA
раздел:
теги:

По теме:

В Евросоюзе вступили в силу новые правила защиты персональных данных: что это значит
Ремень Кибербезопасности 25 мая, 12:05

В Евросоюзе вступили в силу новые правила защиты персональных данных: что это значит

Новые правила обязывают того, кто намеревается использовать персональные данные, получить четкое позитивное разрешение владельца данных